内部控制及其审计

1）目的和范围

目标：通过降低运营、财务、合规和声誉风险，确保安全和合法地实现业务目标。
覆盖范围：所有领域的处理器和IT控制：付款/卡索,KYC/AML/制裁,反欺诈,RG,数据营销/出口,DevOps/SRE, DWH/BI, 隐私/GDPR, TPRM。

2）保护原则和模式

三条保护线：1）流程所有者（运营/产品），2）风险/合规/安全（方法，监视），3）独立内部审计。
基于风险：控制者排列残余风险优先级。
Evidence-driven：每个控制都具有可测量的标准、数据源和可证明性工件。
自动第一：如果可能,自动和连续控制（CCM）而不是手动控制。

3）风险图→目标→控制

1.风险注册：识别原因/事件/后果（财务、玩家、许可证）。
2.控制目标：需要预防/发现/纠正的内容（例如"非法取款"，"未经授权访问PII"）。
3.控制活动：选择实现目标的特定策略/过程/自动化。

• 预防：RBAC/ABAC, SoD （4-eyes）,限制和评分,数据验证,WebAuthn, mTLS。
• 侦探：SIEM/Alerts，侦探，SLA/SLO dashboard，审计记录（WORM），异常控制。
• 校正：自动锁定、发行回滚、密钥旋转、手动解析和退货。
• 补偿：如果无法进行主要控制-加强措施（补充监测，双重对账）。

4）控制目录（控制库）

• ID/标题，目标（目标），风险，类型，频率，所有者（控制所有者），表演者，执行方法（手动/自动/guid），证据来源，KPI/KRI，与策略/程序的通信，依赖系统。
• 状态：Draft → Active → Monitored → Retired。转换和更改日志。

• "CTRL-PAY-004"-4眼申请付款>X（抢先,每日,所有者：付款头,事件：申请/记录,KPI： 100%覆盖）。
• "CTRL-DWH-012"-在橱窗中掩盖PII（抢先性，永久性，所有者：数据头，事件：测试查询，KPI：≥95％的蒙面读物）。
• "CTRL-SEC-021"-用于管理控制台的MFA（抢先性；事件：IdP报告；KPI: 100% adoption).

5） RACI和业主

6）计划审核和测试

年度计划以风险为导向（高残余风险，监管要求，事件，新系统）。

• 设计有效性（DE）：控制是否正确设计以降低风险。
• Operating Effectiveness （OE）：是否在给定频率下稳定运行。
• Thematic/Process Audit：端到端域验证（例如KYC/AML或cassouts）。
• Follow-up/Verification：确认CAPA关闭。

方法：walkthrough（跟踪），访谈，文物/徽标评论，分析，复制（重复执行）。

7）证据和样本

Evidence视图：log卸载（签名/哈希）,IdP/SSO报告,ticket和批准日志,configies,时间戳截图,xls/csv从店面,PAM会话记录。
完整性：WORM拷贝，散列链/签名，指示"ts_utc"。
样本：统计/注定；大小取决于控制频率和信心水平。
标准：通过/失败；允许手动操作的de minimis阈值。

8）不一致性评估和分类

分级：批评/高度/中度/低度。
标准：影响（金钱/PII/许可证），概率，持续时间，可重复性，补偿控制。
报告：发现卡（风险，描述，示例，根本原因，影响，所需行动，时限，所有者），跟踪状态。

9） CAPA和变更管理

Corrective and Preventive Actions：解决根本原因（root cause）,而不仅仅是症状。
S.M.A.R.T.措施：特定，可测量，日期；责任和控制点。
更改咨询委员会：高风险更改由CAB进行；更新策略/过程/角色。
有效性验证：在N周/月后重新审核。

10）持续监测（CCM）和分析

CCM候选人：高频和正式控制-SoD冲突，JIT发行，异常出口，MFA覆盖，支付限制，制裁命中。
工具：SIEM/UEBA规则，Data/BI仪表板，电路/掩码验证器，访问测试（策略即代码）。
信号/变量：阈值/行为；SOAR提卡；严重偏差的自动单元。
优点：检测速度快,手动负载减少,可证明性更好。

11）度量（KPI/KRI）

• 关键过程控制覆盖率≥ 95%
• 手动控制器的即时执行≥ 98%
• CAPA按时关闭（High/Critical） ≥ 95%
• MoM ↑自动控制比例

• SoD=0违规行为
• 没有"purpose"=0的PII访问
• 泄漏/事件通知≤ 72小时-100%
• Fail-rate操作控制<2%（趋势下降）

12）频率和日历

每天/连续：CCM，反欺诈信号，付款限制，掩盖。
每周：付款/登记核对、出口管制、差价分析。
每月：MFA/SSO报告，访问注册表，供应商监控，KRI趋势。
每季度：重新认证权利，主题审查，BCP/DR压力测试。
每年：完整的审计计划和风险图更新。

13）与现有策略集成

RBAC/ABAC/Least Privilege，访问策略和细分是预防性控制的来源。
密码策略和MFA是管理/关键操作的强制性要求。
审计期刊/博客政策-侦探和证据控制。
TPRM和第三方合同-外部控制：SLA，DPA/SCC，审计权。

14）支票单

14.1新控制设计

• 描述了目标和相关风险
• 已定义类型（预防/侦探/纠正）
• 指定所有者/执行者和频率
• 指定了数据源和evidence格式
• 嵌入度量（KPI/KRI）和Alerta
• 阐明了与政策/程序的关系
• 确定了DE/OE测试计划

14.2进行审计

• Scope和DE/OE标准一致
• 已获得工件和可用性列表
• 已商定并记录了样本
• 结果和发现被分类
• CAPA、时间表和业主获得批准
• 报告已发布并报告给Stakeholders

14.3监测和报告（每月）

• 所有关键控制的KPI/KRI
• 因故障/误报而出现的趋势
• CAPA状态和逾期
• 自动化/SSM建议

15）类型错误以及如何避免它们

没有目标/度量的控制：正式化目标和KPI/KRI。
无证据的手动控制：标准化形状/脚本，并将文物存储在WORM中。
例外情况增加：例外情况登记册，有到期日期和补偿措施。
"在纸上"工作-实际上不是：定期的OE测试和CCM。
未包裹的CAPA：自动升级和每月风险委员会的状态。

16）实施路线图

第1周至第2周：更新风险图,编制控制目录,指定所有者,批准事件模式。
3-4周：启动KPI/KRI监视，选择5-10控制自动化（CCM），批准年度审核计划。
第2个月：进行1-2次主题审计（高风险），引入SOAR-Alerta，建立董事会报告。
3月+：扩大CCM，进行季度审查，减少手动控制，提高DE/OE覆盖率和CAPA关闭率。

TL;DR

有效的内部控制=风险卡→目标→与所有者和证据的明确活动,以及定期的DE/OE测试、CAPA和CCM自动化。这使得风险管理可衡量，审计可预测，合规性可证明。