GH GambleHub

Interne Kontrollen und deren Prüfung

1) Zweck und Bereich

Das Ziel: Das Erreichen der Geschäftsziele sicher und legal zu gewährleisten, indem operative, finanzielle, Compliance- und Reputationsrisiken reduziert werden.
Reichweite: Prozess- und IT-Kontrollen in allen Bereichen: Zahlungen/Kassaaus, KYC/AML/Sanktionen, Betrugsbekämpfung, RG, Marketing/Datenexporte, DevOps/SRE, DWH/BI, Datenschutz/DSGVO, TPRM.

2) Prinzipien und Modell des Schutzes

Drei Verteidigungslinien: 1) Prozesseigner (Betrieb/Produkt), 2) Risiko/Compliance/Sicherheit (Methodik, Monitoring), 3) unabhängige interne Revision.
Risikobasiert: Die Kontrollen werden nach der Priorität des Restrisikos aufgebaut.
Evidence-driven: Jede Steuerung hat messbare Kriterien, Datenquellen und Artefakte der Nachweisbarkeit.
Automate-first: Wenn möglich - automatische und kontinuierliche Kontrollen (CCM) statt manuell.

3) Risikokarte → Ziele → Kontrollen

1. Risiko-Register: Ermittlung von Ursachen/Ereignissen/Folgen (Finanzen, Spieler, Lizenzen).
2. Kontrollzwecke: Was muss verhindert/erkannt/korrigiert werden (z.B. „illegale Abhebungen“, „unbefugter Zugriff auf PII“).
3. Kontrollaktivitäten: Auswahl spezifischer Richtlinien/Verfahren/Automatisierungen, um das Ziel zu erreichen.

Arten von Kontrollen:
  • Präventiv: RBAC/ABAC, SoD (4-Augen), Limits und Scoring, Datenvalidierungen, WebAuthn, mTLS.
  • Detektiv: SIEM/Alert, Reconciliations, SLA/SLO Dashboards, Audit-Logs (WORM), Anomalie-Kontrolle.
  • Korrekturen: Auto-Sperren, Release-Rollbacks, Schlüsselrotation, manuelle Demontagen und Retouren.
  • Kompensation: wenn die Hauptkontrolle nicht möglich ist - verstärkende Maßnahmen (zusätzliche Überwachung, doppelter Abgleich).

4) Katalog der Kontrollen (Kontrollbibliothek)

Für jede Kontrolle werden erfasst:
  • ID/Titel, Ziel (Ziel), Risiko, Typ, Häufigkeit, Eigentümer (Kontrollbesitzer), Ausführender, Ausführungsmethode (manuell/Auto/Guid), Beweisquellen, KPI/KRI, Kommunikation mit Richtlinien/Verfahren, abhängige Systeme.
  • Status: Draft → Active → Monitored → Retired. Versionierung und Änderungsprotokoll.
Beispiele für Einträge (vergrößert):
  • „CTRL-PAY-004“ - 4-Augen-Ansatz für Auszahlungen> X (präventiv, täglich, Eigentümer: Leiter der Zahlungen, Evidence: Anträge/Protokolle, KPI: 100% Deckung).
  • „CTRL-DWH-012“ - PII-Maskierung in Vitrinen (präventiv, dauerhaft, Eigentümer: Datenkopf, Evidence: Testanfragen, KPI: ≥95% maskierte Lesungen).
  • „CTRL-SEC-021“ - MFA für Admin-Konsolen (präventiv; Evidence: IdP-Berichte; KPI: 100% adoption).

5) RACI und Eigentümer

AktivitätBusiness OwnerProcess OwnerSecurity/Privacy/AMLData/IT/SREInternal Audit
KontrolldesignARCCI
ErfüllungIRCRI
Überwachung/KRICRA/RRI
Testen (1-2 Zeilen)CRA/RRI
Unabhängige PrüfungIIIIA/R
SARA/RemediationARRRC

6) Planung von Audits und Tests

Der Jahresplan wird risikoorientiert gebildet (hohes Restrisiko, regulatorische Anforderungen, Vorfälle, neue Systeme).

Arten von Inspektionen:
  • Design Effectiveness (DE): Ist die Steuerung korrekt ausgelegt, um das Risiko zu reduzieren.
  • Operating Effectiveness (OE): Arbeitet stabil und in einer vorgegebenen Frequenz.
  • Thematic/Process Audit: End-to-End-Domain-Validierung (z.B. KYC/AML oder Cassouts).
  • Follow-up/Verification: Bestätigung, dass die CAPA geschlossen wurde.

Ansatz: Walkthrough (Tracing), Interview, Revue der Artefakte/Protokolle, Analytik, Reperformance (Wiederholung der Performance).

7) Nachweise und Stichproben

Arten von evidence: Log-Uploads (Signatur/Hash), IdP/SSO-Berichte, Tickets und Genehmigungsprotokolle, Configs, Screenshots mit Zeitstempeln, xls/csv aus Vitrinen, Aufnahmen von PAM-Sitzungen.
Integrität: WORM-Kopien, Hash-Ketten/Signaturen, Angabe' ts _ utc'.
Stichprobe: statistisch/bestimmt; Die Größe hängt von der Häufigkeit der Kontrollen und dem Konfidenzniveau ab.
Kriterien: pass/fail; De-minimis-Schwellenwerte für manuelle Operationen sind zulässig.

8) Bewertung und Klassifizierung von Nichtkonformitäten

Abstufungen: Kritisch/Hoch/Mittel/Niedrig.
Kriterien: Einfluss (Geld/PII/Lizenzen), Wahrscheinlichkeit, Dauer, Wiederholbarkeit, Kompensationskontrollen.
Berichterstattung: Fundkarte (Risiko, Beschreibung, Beispiele, Ursache, Wirkung, erforderliche Maßnahmen, Zeitrahmen, Besitzer), Tracking-Status.

9) CAPA und Änderungsmanagement

Korrigierende und präventive Handlungen: Beseitigung der Grundursache (Wurzelursache), nicht nur der Symptome.
S.M.A.R.T.-Maßnahmen: spezifisch, messbar, datiert; Verantwortlichkeiten und Kontrollpunkte.
Change Advisory Board: Änderungen mit hohem Risiko werden durch die CAB durchgeführt; Aktualisierung von Richtlinien/Prozeduren/Rollen.
Leistungsnachweis: Re-Audit nach N Wochen/Monaten.

10) Kontinuierliche Überwachung (CCM) und Analyse

CCM-Kandidaten: hochfrequente und formalisierbare Kontrollen - SoD-Konflikte, JIT-Ausgaben, anormale Exporte, MFA-Abdeckung, Zahlungslimits, Sanktionshits.
Tools: SIEM/UEBA-Regeln, Data/BI-Dashboards, Schema/Masking-Validatoren, Zugriffstests (Policy-as-Code).
Signale/Warnungen: Schwelle/Verhalten; SOAR-Tickets; Auto-Blöcke bei kritischen Abweichungen.
Vorteile: Erkennungsgeschwindigkeit, Reduzierung der manuellen Belastung, bessere Nachweisbarkeit.

11) Metriken (KPI/KRI)

KPI (Ausführung):
  • Coverage durch kritische Prozesskontrollen ≥ 95%
  • On-Time-Ausführung von manuellen Kontrollen ≥ 98%
  • CAPA geschlossen auf Zeit (High/Critical) ≥ 95%
  • Anteil automatisierter Kontrollen ↑ MoM
KRI (Risiken):
  • Verstöße gegen die SoD = 0
  • PII-Zugriffe ohne' purpose'= 0
  • Lecks/Vorfälle gemeldet ≤ 72 h - 100%
  • Fail-Rate der operativen Kontrollen <2% (Trend rückläufig)

12) Frequenz und Kalender

Täglich/kontinuierlich: CCM, Anti-Fraud-Signale, Auszahlungslimits, Maskierung.
Wöchentlich: Zahlungsabgleich/Register, Exportkontrolle, Alert-Analyse.
Monatlich: MFA/SSO-Berichte, Zugangsregister, Vendor-Monitoring, KRI-Trends.
Vierteljährlich: Re-Zertifizierung von Rechten, thematische Reviews, BCP/DR Stresstests.
Jährlich: vollständiger Auditplan und Aktualisierung der Risikokarte.

13) Integration in bestehende Politiken

RBAC/ABAC/Least Privilege, Zugriffsrichtlinien und Segmentierung sind die Quelle präventiver Kontrollen.
Passwortrichtlinie und MFA sind verbindliche Anforderungen für Admins/kritische Operationen.
Audit Logs/Logs Policy - Detektiv- und Beweiskontrollen.
TPRM und Verträge Dritter - externe Kontrollen: SLA, DPA/SCCs, Prüfungsrechte.

14) Checklisten

14. 1 Design der neuen Steuerung

  • Zweck und damit verbundenes Risiko beschrieben
  • Typ definiert (präventiv/detektiv/korrigierend)
  • Eigentümer/Ausführender und Häufigkeit zugeordnet
  • Datenquellen und evidence-Format festgelegt
  • Integrierte Metriken (KPI/KRI) und Alerts
  • Verbindungen zu Richtlinien/Verfahren sind vorgeschrieben
  • Prüfplan DE/OE definiert

14. 2 Durchführung des Audits

  • Umfang und Kriterien DE/OE harmonisiert
  • Liste der Artefakte und Zugriffe erhalten
  • Stichprobe vereinbart und festgelegt
  • Ergebnisse und Befunde klassifiziert
  • CAPA, Deadlines und Eigentümer genehmigt
  • Bericht veröffentlicht und den Stakeholdern mitgeteilt

14. 3 Überwachung und Berichterstattung (monatlich)

  • KPI/KRI für alle kritischen Kontrollen
  • Trends bei Ausfällen/Fehlalarmen
  • CAPA-Status und Verzug
  • Vorschläge für Automatisierung/SSM

15) Typische Fehler und wie man sie vermeidet

Kontrolle ohne Ziel/Metrik: Formalisierung von Ziel und KPI/KRI.
Manuelle Kontrollen ohne Nachweis: Standardisieren Sie Formulare/Skripte und speichern Sie Artefakte in WORM.
Ausweitung der Ausnahmen: Register der Ausnahmen mit Ablaufdatum und Ausgleichsmaßnahmen.
„Auf dem Papier“ funktioniert - in der Realität nicht: regelmäßige OE-Tests und CCM.
Ungedeckte CAPAs: automatische Eskalation und Status beim monatlichen Risikoausschuss.

16) Fahrplan für die Umsetzung

Wochen 1-2: Aktualisieren Sie die Risikokarte, erstellen Sie einen Katalog von Kontrollen, weisen Sie Eigentümer zu, genehmigen Sie evidence-Vorlagen.
Woche 3-4: KPI/KRI Monitoring starten, 5-10 Controls für Automation (CCM) auswählen, Jahresauditplan genehmigen.
Monat 2: Führen Sie 1-2 thematische Audits durch (hohes Risiko), implementieren Sie SOAR-Alerts, richten Sie die Berichterstattung an das Board ein.
Monat 3 +: CCM erweitern, vierteljährliche Überprüfungen durchführen, manuelle Kontrollen reduzieren, den Anteil der DE/OE-Abdeckung und die CAPA-Abschlussrate erhöhen.

TL; DR

Effektive interne Kontrollen = Risikokarte → Ziele → klare Aktivitäten mit dem Eigentümer und den Nachweisen sowie regelmäßige DE/OE-Tests, CAPA und CCM-Automatisierung. Das macht Risikomanagement messbar, Audit berechenbar und Compliance nachweisbar.

Contact

Kontakt aufnehmen

Kontaktieren Sie uns bei Fragen oder Support.Wir helfen Ihnen jederzeit gerne!

Integration starten

Email ist erforderlich. Telegram oder WhatsApp – optional.

Ihr Name optional
Email optional
Betreff optional
Nachricht optional
Telegram optional
@
Wenn Sie Telegram angeben – antworten wir zusätzlich dort.
WhatsApp optional
Format: +Ländercode und Nummer (z. B. +49XXXXXXXXX).

Mit dem Klicken des Buttons stimmen Sie der Datenverarbeitung zu.