GH GambleHub

Interne Revision und externe Revision

1) Ziel und Bereich

Gewährleistung einer systematischen, unabhängigen und reproduzierbaren Kontrolle der Betriebs- und Compliance-Prozesse: Einhaltung von Lizenzen/Gesetzen, Zuverlässigkeit der Finanz- und Betriebsberichterstattung, Wirksamkeit der Risikokontrolle (KYC/AML/RG, GDPR/PII, Zahlungen/PCI, Integrität des Spiels, Informationssicherheit, Marketing/Affiliates, Anbieter). Der Abschnitt legt Grundsätze, Rollen, Methodik, Prüfprogrammierung, Berichtsformat und die Reihenfolge fest, in der Nichtkonformitäten geschlossen werden.

2) Prinzipien und „drei Verteidigungslinien“

1. Zeile: Prozesseigentümer (Transaktionen, Zahlungen, Spieleanbieter, Marketing/Affiliates, Helpdesk) - verwalten Tag-zu-Tag-Risiken.
2. Zeile: Compliance/Risiko/Sicherheit/DSB - Richtlinien, Überwachung, Beratung, Kontrolle der Ausführung.
3. Zeile: Internes Audit (IA) - unabhängige Bewertung der Angemessenheit und Wirksamkeit der Kontrollen; ist gegenüber dem Aufsichtsrat/Prüfungsausschuss rechenschaftspflichtig.
Externes Audit (EA): unabhängige Dritte - Finanzberichterstattung, Zertifizierungen (ISO/SOC/PCI), behördliche Inspektionen.

Grundsätze: Unabhängigkeit, Objektivität, Evidenz, Vertraulichkeit, Fokus auf Risiken und Werte, Transparenz und Rückverfolgbarkeit.

3) Abgrenzung IA vs EA

KriteriumInterne Revision (IA)Externes Audit (EA)
AbrechnungspflichtPrüfungsausschuss/RatAktionäre/Aufsichtsbehörden/Certif. Organe
ZielProzess- und KontrollverbesserungenGutachten/Konformitätsbescheinigung
UmfangRisikoorientiert, flexibelFest nach Standard/Vertrag
FrequenzNach Jahresplan + Ad-hocNach Berichts-/Zertifizierungskalender
ErgebnisBericht mit Rating und CAPAAbschluss/Zertifikat/Brief an das Management

4) Rollen und RACI

Head of Internal Audit (IA Lead) - Strategie, Unabhängigkeit, Plan/Reporting. (A)

Interne Auditoren - Feldbesichtigungen, Arbeitsdokumente, Schlussfolgerungen. (R)

Process Owners (1. Zeile) - Bereitstellung von Daten/Artefakten, CAPA. (R)

Compliance/InfoSec/AML/RG (2. Linie) - Co-Audits, Methodologen. (C/R)

CFO/Controller - Finkontur, GL, Abstimmungen. (C)

Legal/DSB - Interpretation von Normen, PII und Retention. (C)

Audit Committee - genehmigt den IA-Plan, akzeptiert Berichte, überwacht die Unabhängigkeit. (A)

Externe Auditoren/Assessoren - führen EAs durch; Zugriff auf Artefakte über NDA. (I/R unter Vertrag)

5) Risikoorientierte Planung (Jahresabschlussplan)

1. Risikoregister: Wahrscheinlichkeit × Auswirkungen (Finanzen/GGR, Lizenzen, Reputation, Sicherheit der Spieler).
2. Prozesslandkarte: Payments/PSP, Wallet, KYC/AML/KYB, RG, Game Provider/RTP, Marketing/Affiliates, IB/GDPR, Incidents/Notifications, Regulatory Reports.
3. Prioritätsmatrix: Hoch/Mittel/Niedrig → Periodizität (Quartal/Halbjahr/Jahr).
4. Scope: Ziele, Kriterien, Verfahren, Stichproben, Ressourcen, Zeitlinie, Abhängigkeiten.
5. Genehmigung: Der Prüfungsausschuss genehmigt den Jahresplan; Ad-hoc ist bei S1/S2 Vorfällen erlaubt.

6) Methodik: Phasen des Audits

A. Pre-Audit (Planung): Anforderung von Dokumenten, Prozessverständnis, Bewertung des Steuerungsdesigns, Risikobewertung, Testprogramm.
B. Feldphase (Feldarbeit): Interviews, Walkthrough, Design/Agility-Tests, analytische Verfahren, Artefakt-Inspektion, Stichproben.
C. Schlussfolgerungen und Bewertung: Vergleich der Fakten mit den Kriterien; Klassifizierung von Findings.
D. Bericht: Entwurf → Abstimmung der Fakten → Finale → Präsentation vor dem Management/Ausschuss.
E. CAPA und Follow-up: Korrektur-/Vorsorgemaßnahmenplan, Ausführungskontrolle, Verifizierung.

7) Nachweise und Stichproben

Arten von Beweisen: dokumentarisch (Richtlinien, Protokolle, Tickets), physisch (Screenshots, Konfigurationen), mündlich (Interviews), analytisch (Abstimmungen, Trends).
Qualität: Angemessenheit (Volumen), Angemessenheit (Relevanz), Glaubwürdigkeit (Quelle).
Stichproben: zufällig, systematisch, gerichtet (risikobasiert), nach Anomalien; Die Größe wird durch das Risiko und das Volumen der Gesamtgesamtheit bestimmt.
Rückverfolgbarkeit: Jede Ausgabe ist mit einem Test verbunden, der Test mit einem Nachweis (eindeutige ID); „Durchnummerierung“.

8) Klassifizierung von Nichtkonformitäten und Ratings

Kritisch (S1): Lizenz-/Gesetzesrisiko/erheblicher finanzieller Schaden/PII-Bruch. Sofortiges Handeln erforderlich, Bericht an Ausschuss/Rat.
High (S2): wesentlicher Kontrollfehler; kurzer SLA für die Korrektur.
Medium (S3): begrenzter Defekt; Anpassungsplan.
Low (S4): Verbesserungen/Beobachtungen (Optimierung).

Bewertung des auditierten Prozesses: Effective/Generally Effective mit Verbesserungen/Partially Effective/Ineffective.

9) Arbeitspapiere und Retention

Arbeitspapiere: Programm, Checklisten, Stichproben, Interviewprotokolle, Beweise, Berechnungen, Schlussfolgerungen.
Designstandards: Index, Version, Besitzer, Datum, Hyperlinks zu Artefakten, Änderungskontrolle.
Datenschutz und PII: Zugriff über RBAC, Speicherung verschlüsselt, Maskierung sensibler Felder.
Aufbewahrungsfristen: je nach Richtlinie (in der Regel 5-7 Jahre) oder länger, wenn Lizenzen/Aufsichtsbehörden erforderlich sind.

10) Inspektionsthemen (IA-Katalog)

1. Zahlungen/PSP/PCI: auth/decline/chargebacks, PAN-Pseudonymisierung, Zugriffsprotokolle, Lieferantenregister.
2. KYC/AML/KYB: Vollständigkeit und Genauigkeit von KYC, PER/Sanktionen, SAR/STR-Fristen, Qualität der Untersuchungen, Fallpflege.
3. Responsible Play (RG): Grenzen/Selbstausschlüsse, Kontaktverfahren, Wirksamkeit von Interventionen, Werbebeschränkungen.
4. DSGVO/PII/DSB: Verarbeitungsregister, DSAR, Datenschutzvorfälle, Verträge mit Auftragsverarbeitern.
5. Spieleanbieter/Integrität: RTP Drift, Rundenvorfälle, Balance Synchronisation, RNG/Bildversionierung.
6. Marketing/Affiliates: Einhaltung kreativer/gezielter Einschränkungen, Attribution, Verträge, Auszahlungen.
7. Incident-Prozesse: Zeit bis zur Anwendung (TTS), Aktualität der Meldungen an die Aufsichtsbehörden, Vollständigkeit der Artefakte.
8. Regulatorische Berichterstattung: Schemata, Deadlines, DQ, Abgleich mit GL/PSP.
9. IT Controls/IB: Zugriffe, SODs, Änderungen/Freigaben, Audit Logs, Backups, DR/BCP Übungen.

11) IA-Berichtsformat (Vorlage)

Executive Summary: Umfang, Ziele, Rating, wichtige Erkenntnisse und Risiko.
Kontext: Prozess/System/Gerichtsbarkeit, Zeitraum, anwendbare Anforderungen.
Methodik und Einschränkungen (falls vorhanden).
Detaillierte Schlussfolgerungen zur Priorität: Tatsache → Kriterium → Risiko → Auswirkungen → Empfehlungen.
CAPA-Tabelle: Eigentümer, Schritte, Zeitrahmen, Erfolgsmetriken.
Anwendungen: Stichproben, Diagramme, Evidenzregister, Glossar.

12) Interaktion mit externem Audit (EA)

Finanzberichterstattung: Vorbereitung von GL, Abstimmungen, Bestätigungen von PSP/Banken/Anbietern, Managementbriefe.
Zertifizierung/Konformitätsbewertung: ISO 27001/9001, SOC 2, PCI DSS, Inspektionen der Regulierungsbehörden.
IA-Rollen: Pre-Assessment (Gap-Analyse), Abfragepflege, CAPA-Beschleunigung, Vermeidung von Doppelarbeit.
Transparenz: Einzelausstellung von Artefakten, Besuchskalender, Zugangsregeln, NDA.
Kommunikation: regelmäßige Stand-ups „EA readiness“, Einstiegspunkt ist Audit Coordinator.

13) CAPA und Ausführungskontrolle

CAPA-Plan: konkrete Schritte, Metrik, Eigentümer, Laufzeit, abhängige Systeme/Teams.
Verifizierung: Nachweis der Umsetzung (Skins, Protokolle, Richtlinien, Testergebnisse), Datum, verantwortlicher Auditor.
Eskalation: S1/S2 - obligatorische Aktualisierung des Ausschusses; Verspätung ist die „rote Zone“ des Dashboards.
Änderung der Risikobewertung: nach erfolgreicher CAPA - Überprüfung des Restrisikos und der Häufigkeit der Kontrollen.

14) Audit Dashboard (Managementkontrolle)

Planstatus:% Fertigstellung nach Quartal und Destination.
Findings Portfolio: nach Schwere und Verspätung.
CAPA-Fortschritt: abgeschlossen/in Arbeit/überfällig, Median der Schließzeit.
Heatmap der Prozesse: Risiko/Wirksamkeit der Kontrollen vor/nach der CAPA.
Wiederholbare Erkennungen: ein Indikator für Systemprobleme.

15) Ethische Anforderungen und Unabhängigkeit

Interessenkonflikte: Auditoren prüfen ihre eigenen früheren operativen Aktivitäten ≤ 12 Monate nicht; Deklaration von Konflikten.
Datenzugriff: nur nach dem Prinzip des „minimal Notwendigen“; Verbot des persönlichen Kopierens von PII.
Kommunikation: neutrale Sprache, kein „anklagender“ Ton; Fakten vor Interpretationen.

16) Checklisten

Beginn des Audits

  • Ziele/Kriterien/Grenzen sind definiert.
  • Artefakte angefordert und erhalten, Formate/Termine vereinbart.
  • Unabhängigkeit bestätigt, keine Konflikte.
  • Das Test- und Probenahmeprogramm wurde genehmigt.

Feldphase

  • Durchgeführt von walkthrough und Interviews mit Schlüsselrollen.
  • Design- und Operational-Performance-Tests.
  • Es wurde ein Beweisregister mit ID/Referenzen erstellt.
  • Zwischenbrief an die Prozesseigner (keine Überraschungen im Finale).

Bericht und CAPA

  • Sachverhalt vereinbart, strittige Punkte gelöst.
  • Befunde klassifiziert (S1-S4), Risiko/Wirkung bewertet.
  • CAPA-Plan mit Eigentümern und Fristen genehmigt.
  • Folgetermine sind im Kalender eingetragen.

17) Artefaktmuster (Schnelleinfügungen)

Anforderungsliste (PBC): Liste der Dokumente/Uploads/Zugriffe mit Terminen.
Testblatt: Kontrolle → Verfahren → Probenahme → Ergebnis → Beweis → Schlussfolgerung.
Finding Card: Code, Titel, Beschreibung, Risiko, Einfluss, Ursache (Wurzelgrund), Empfehlung, S-Level, Besitzer, Begriff.
CAPA-Blatt: Schritt, Metrik, Bestätigungsartefakte, Datum, geprüft.

18) Häufige Fehler und wie man sie vermeidet

Die verklumpten Rollen der IA und der 2. Linie → die Unabhängigkeit verletzt. Beschluss: direkte Berichterstattung der IA an den Ausschuss.
Unzureichende Nachverfolgbarkeit der Beweise → unzureichender Schutz der Schlussfolgerungen. Lösung: einheitliches Register und Nummerierung.
„Jagd auf Ungereimtheiten“ statt Risiko- und Wertschätzung. Die Lösung: Risikoorientierung und Priorisierung.
Überlastung der CAPA ohne Ressourcen → Verzögerung. Die Lösung: SMART-Ziele und WIP-Limit.
Qualitäts-/Frischedaten bei der Berichtsüberprüfung ignorieren. Lösung: DQ-Checkliste.

19) Schnellstart (Umsetzung in 30 Tagen)

Woche 1: Annahme der IA-Charta (Mandat/Rechenschaftspflicht), Durchführung einer Risikobewertung, Entwurf eines Jahresplans.
Woche 2: Starten Sie die Vorlagen (PBC, Test/Finding/CAPA-Blätter), richten Sie das Proof-Register und das Status-Dashboard ein.
Woche 3: Durchführung von 2 „Kurzform“ -Pilotaudits (z. B. PSP/PCI und RG/DSAR), Erstellung von Berichten, Registrierung der CAPA.
Woche 4: Follow-up der Piloten durchführen, Methodik anpassen, Jahresplan dem Ausschuss zur Genehmigung vorlegen, Zeitplan für externe Audits/Zertifizierungen vereinbaren.

Verwandte Abschnitte:
  • Regulatorische Berichte und Datenformate
  • Meldungen von Unregelmäßigkeiten und Meldefristen
  • Compliance Dashboards und Monitoring
  • Incident Playbooks und Szenarien
  • Krisenmanagement und Kommunikation
  • Business Continuity Plan (BCP )/DRP
  • Aktivitätsprüfungsprotokolle
Contact

Kontakt aufnehmen

Kontaktieren Sie uns bei Fragen oder Support.Wir helfen Ihnen jederzeit gerne!

Telegram
@Gamble_GC
Integration starten

Email ist erforderlich. Telegram oder WhatsApp – optional.

Ihr Name optional
Email optional
Betreff optional
Nachricht optional
Telegram optional
@
Wenn Sie Telegram angeben – antworten wir zusätzlich dort.
WhatsApp optional
Format: +Ländercode und Nummer (z. B. +49XXXXXXXXX).

Mit dem Klicken des Buttons stimmen Sie der Datenverarbeitung zu.