Κατάλογος ελέγχου και επανεξέταση

1) Σκοπός

• συγκρισιμότητα των ελέγχων μεταξύ ομάδων και περιόδων·
• την πληρότητα και την απόδειξη των αποτελεσμάτων·
• Διαφανής διαχείριση των εμπλάστρων και των επανελέγχων

2) Ρόλοι και RACI

Ιδιοκτήτης: προϊστάμενος συμμόρφωσης/προϊστάμενος εσωτερικού ελέγχου - μεθοδολογία, εκδόσεις καταλόγων ελέγχου. (A)

Ιδιοκτήτες διεργασιών (1η γραμμή): αυτοαξιολόγηση, τεχνουργήματα, CAPA. (R)

Συμμόρφωση/InfoSec/AML/RG (2η γραμμή): αξιολόγηση από ομοτίμους, από κοινού λογιστικοί έλεγχοι, ερμηνεία των κανόνων. (R/C)

Εσωτερικός έλεγχος (3η γραμμή): ανεξάρτητες επανεξετάσεις, αξιολογήσεις, παρακολούθηση. (R)

Διαχείριση (Exec Sponsor) -Αξιοποίηση εκροών και πόρων στους CAPA. (A/C)

3) Τύποι επανεξέτασης

1. Αυτοαξιολόγηση (SA): μηνιαία/τριμηνιαία από τους ιδιοκτήτες διαδικασιών για τους σύντομους καταλόγους ελέγχου.
2. Αξιολόγηση από ομοτίμους (PR): διασταύρωση από γειτονική ομάδα (καμία σύγκρουση συμφερόντων).
3. Ανασκόπηση της διαχείρισης (MR): τριμηνιαία επανεξέταση των ΚΔΕ/ΚΔΕ, των τάσεων και των ανοικτών ΚΓΠ.
4. Επανεξέταση εσωτερικού ελέγχου (ΙΑ): Ανεξάρτητη επανεξέταση του σχεδίου εκτίμησης επιπτώσεων.
5. Ετοιμότητα εξωτερικού ελέγχου (EAR): προετοιμασία για πιστοποιήσεις/επιθεωρήσεις (ISO/SOC/PCI/ρυθμιστική αρχή).

4) Γενικοί κανόνες του καταλόγου σημείων ελέγχου

ID: CL- <code >/Version: v <MAJOR. MINOR >/Owner: <role>
Область: <KYC/AML/RG, GDPR/PII, Payments/PCI, Games/Providers, Reporting, Incidents...>
Frequency: M     Q      Ad-hoc
Material: <criteria for High/Medium/Low>
Sampling: <method and size>
Evidence: <list of files/screenshots/logs>
Question List: [X] Yes [] No [] N/A + Comment + Artifact + Severity
Bottom line: Score/Rating/CAPA

• Met Fully Met (100-90% )/Major Met (89-75% )/Particular Met (74-50% )/Not Met (<50%).
• Σοβαρότητα των διαφορών: S1 χαμηλή.
• Σημασία: νομισματική επίπτωση (GGR/NGR), κάλυψη πελατών/PII, κίνδυνος αδειοδότησης/ποινής, αντίκτυπος στην ακεραιότητα του παιχνιδιού.

5) Κατάλογος καταλόγων ελέγχου (σκελετοί με σημεία ελέγχου)

KYC/KYB

• Οι πολιτικές και τα επίπεδα επανεξέτασης εγκρίνονται και επικαιροποιούνται.
• Οι πάροχοι KYC έχουν υφιστάμενες συμβάσεις/ΑΠΔ.
• Πληρούνται οι SLA επαλήθευσης (D-1 μετρικό).
• Τα έγγραφα αποθηκεύονται ανάλογα με την κατακράτηση. πρόσβαση - RBAC.
• Τεκμηριωμένες αστοχίες/κλιμακώσεις· η αναλογία του ΠΠ είναι φυσιολογική.
• KYB για εταίρους: τρέχουσες δηλώσεις/δικαιούχοι.

Αποδεικτικά στοιχεία: μεταφορτώσεις κατάστασης KYC, μητρώο DPA, ημερολόγιο πρόσβασης, δείγμα 25 περιπτώσεων.

CL-AML-02 - AML/CFT

• Επικαιροποιημένη μεθοδολογία βαθμολόγησης της ΟΜΛ και του κινδύνου.
• Έλεγχοι PEP/κυρώσεων κατά την επιβίβαση και περιοδικά.
• Οι SAR/STR αποστέλλονται εγκαίρως· υπάρχουν αναγνωρίσεις.
• Ποιότητα των ερευνών: πληρότητα, χρονοδιάγραμμα, κλείσιμο.
• Οι κανόνες παρακολούθησης καλύπτουν την ταχύτητα/δομή/μουλάρια.
• Καμία δοκιμή διακοπής: Καμία ειδοποίηση πελάτη κατά τη διάρκεια της ΕΔΠ.

Αποδεικτικά στοιχεία: υποθέσεις SAR/STR, καταγραφές ελέγχου κυρώσεων, αναφορές προθεσμίας υποβολής προσφορών.

CL-RG-03 - Υπεύθυνο παιχνίδι

• Συγχρονισμένο μητρώο ορίου/αυτοαποκλεισμού (Register/Nat. σύστημα).
• Η ευπάθεια ενεργοποιεί → επαφή στο SLA. υποδείγματα επικοινωνίας.
• Η αποτελεσματικότητα της παρέμβασης μετράται και αναλύεται.
• Οι διαφημίσεις/τα bonus πληρούν τους περιορισμούς της αγοράς.

RG περιστατικά και κοινοποιήσεις προς τη ρυθμιστική αρχή - εγκαίρως.

Στοιχεία: αρχεία καταγραφής αυτοαποκλεισμού, κομμουνιστικά. μοτίβα, μετρήσεις προβολής.

CL-PCI-04 - Πληρωμές/ΕΚΕ

• επικαιροποίηση του κατακερματισμού PCI και απογραφή PAN/CHD.
• Σήμανση/κρυπτογράφηση υπό διαμετακόμιση/σε ηρεμία. Τα κλειδιά σκάβουν.
• Επιτάχυνση/μείωση/καθυστέρηση ανά πάροχο ΥΠ σε κατώτατα όρια· εφεδρικές διαδρομές.
• Διαδικασία χρέωσης και βάση αποδεικτικών στοιχείων για διαφορές.
• Τρωτά σημεία από σαρώσεις ASV έχουν καθοριστεί εγκαίρως.
• Τα αρχεία καταγραφής πρόσβασης σε έκταση πληρωμών είναι πλήρη και αμετάβλητα.

Αποδεικτικά στοιχεία: δικτυακά διαγράμματα, εκθέσεις ASV, υποθέσεις χρέωσης, βασική πολιτική KMS.

CL-GAMES-05 - Πάροχοι παιχνιδιών/Ακεραιότητα

• Οι συμβάσεις και οι τεχνικές προδιαγραφές είναι επικαιροποιημένες. Εκδόσεις RNG/κατασκευής - στο μητρώο.
• Κατώφλια παρακολούθησης παρασυρόμενων από RTP και απόκρισης, η δέσμευση καθορίζεται διαδικαστικά.
• Συγχρονισμός των ισοζυγίων γύρου/συνεδρίας/πορτοφολιού.
• Περιστατικά παρόχου: Χρονοδιάγραμμα, σύλληψη, αποζημίωση παίκτη.
• Εκθέσεις προς τη ρυθμιστική αρχή ακεραιότητας/ΠΚΤ - υποβλήθηκαν και επιβεβαιώθηκαν.

Αποδείξεις: RTP uploads, provider API logs, παραδείγματα εισιτηρίων παγώματος.

CL-REP-06 - Υποβολή ρυθμιστικών εκθέσεων

• Ημερολόγιο προθεσμίας: Έτοιμες/Αποστελλόμενες/Αποδεκτές καταστάσεις.
• Τα σχήματα δεδομένων επαληθεύονται. τα αρχεία είναι υπογεγραμμένα/με hashes.
• Συμφιλίωση: purse ↔ PSP ↔ GL καμία απόκλιση> X%.
• Οι βεβαιώσεις (ταυτότητες/αποδείξεις) αποθηκεύονται και συνδέονται με τεχνουργήματα.
• Η τοπική προσαρμογή/γλώσσα συναντήθηκε.

Αποδεικτικά στοιχεία: Ταμπλό προθεσμίας, αποδείξεις, συμφωνίες SQL.

CL-INC-07 - Περιστατικά/Κοινοποιήσεις

• TTS (πρώτο μήνυμα) στην SLA έως το S1/S2.
• Κοινοποιήσεις DPA/Ρυθμιστικής Αρχής/PSP/CERT - εγκαίρως, με επιβεβαιώσεις.
• Πληρότητα των αντικειμένων: χρονοδιάγραμμα, κούτσουρα, μηνύματα, κατάλογοι που επηρεάζονται.
• Ρετρό ≤ 7 ημέρες, οι CAPA είναι εγγεγραμμένοι και μετακινούνται.
• Οι παίκτες αποζημιώνονται σύμφωνα με την πολιτική.

Αποδεικτικά στοιχεία: ημερολόγιο συμβάντων, σελίδα κατάστασης, πακέτα αντικειμένων.

CL-GDPR-08 - GDPR/PII

• Ενημερωμένο μητρώο επεξεργασίας (RoPA) οι νομικοί λόγοι είναι σωστοί.
• Τα DSAR κλείνουν ≤ 30 ημερών. τις παραβάσεις που εξηγούνται.
• Οι DPIA έχουν σχεδιαστεί για διαδικασίες υψηλού κινδύνου.
• Παραποίηση/συγκάλυψη σε μεταφορτώσεις και αναφορές.
• Οι συμβάσεις με μεταποιητές και SCC είναι έγκυρες.

Αποδεικτικά στοιχεία: RoPA, περιοδικό DSAR, DPIA, παραδείγματα μάσκας σε εκθέσεις.

CL-ITGC-09 - Γενικοί έλεγχοι ΤΠ

• Διαχείριση αλλαγών: διαδικασία δημοσίων σχέσεων, δοκιμές, εγκρίσεις, διαχωρισμός καθηκόντων.
• Πρόσβαση: RBAC/ABAC, περιοδική αναθεώρηση, εκτός επιβίβασης ≤ 24 ώρες.
• Εφεδρικές/Επαναφορά, Περιοδικές δοκιμές DR
• Τα αρχεία καταγραφής ελέγχων είναι αμετάβλητα, παρατηρείται διατήρηση.
• Παρατηρησιμότητα: SLO/εσφαλμένοι προϋπολογισμοί, προειδοποιήσεις για κρίσιμες μετρήσεις.

Αποδεικτικά στοιχεία: δείγματα δημοσίων σχέσεων, αρχεία καταγραφής IAM, εκθέσεις δοκιμών DR, πολιτικές κατακράτησης.

6) Δειγματοληψία και μεθοδολογία απόδειξης

Μέγεθος: Εστίαση στο πεδίο εφαρμογής και στον κίνδυνο (π.χ. min 25, pps/διαστρωμάτωση για μεγάλες συστοιχίες).
Μέθοδοι: τυχαίες, συστηματικές, κατευθυνόμενες (ανωμαλίες/οριακές περιπτώσεις), κατά περιόδους αιχμής.
Επάρκεια: τουλάχιστον 2-3 ανεξάρτητες πηγές για το βασικό αποτέλεσμα (αρχεία καταγραφής, στιγμιότυπα οθόνης, uploads, εισιτήρια).
Ιχνηλασιμότητα: για κάθε στοιχείο του καταλόγου - απόδειξη με ταυτότητα και σύνδεσμο στο μητρώο.

7) Αξιολογήσεις rubricator

Αποτελεσματικό - ο έλεγχος είναι σχεδιασμένος και λειτουργεί σταθερά, δεν υπάρχουν ασυνέπειες S1/S2.
Γενικά αποτελεσματικοί (με βελτιώσεις) - υπάρχουν S3/S4, αλλά οι κίνδυνοι βρίσκονται υπό έλεγχο.
Εν μέρει αποτελεσματικό - σύστημα S2, υψηλός υπολειπόμενος κίνδυνος.
Αναποτελεσματικό - S1/set S2. απαιτεί άμεσο σχέδιο αποκατάστασης.

8) Παρακολούθηση της CAPA

Για κάθε εύρημα: root → action → ιδιοκτήτης → term → success metric.
S1 - ≤ 30 ημέρες S2 - ≤ 60 ημέρες, S3 - ≤ 90 ημέρες, S4 - με συμφωνία.
Επαλήθευση: ο ελεγκτής εφαρμόζει αποδεικτικά στοιχεία εφαρμογής (οθόνες/αρχεία καταγραφής/πολιτικές), μεταβάλλει το καθεστώς σε επαληθευμένο.
Κλιμάκωση: S1/S2 καθυστερήσεις - σε εβδομαδιαία MR, στην επιτροπή ελέγχου ανά τρίμηνο.

9) Τεχνουργήματα εργασίας (υποδείγματα)

9. 1 Κατάλογος σημείων ελέγχου (φύλλο ελέγχου)

9. 2 Κάρτα εύρεσης

Κωδικός Τίτλος Πραγματικό κριτήριο Κίνδυνος/επίπτωση Ρίζα αιτία Σύσταση σε επίπεδο S.

9. 3 Φύλλο CAPA

Εύρεση βημάτων προθεσμία ιδιοκτήτη μετρικό/κατώτατο όριο αποδεικτικό στοιχείο ημερομηνία επαλήθευσης.

9. 4 Λίστα PBC (Παρέχεται από πελάτη)

Ερώτηση → Μορφή → Πηγή → Ιδιοκτήτης → Προθεσμία → Ημερομηνία Παραλαβής → Σχολίων.

10) Επανεξέταση του ταμπλό

Κάλυψη:% των διαδικασιών που καλύπτονται από την επανεξέταση κατά τη διάρκεια της περιόδου.
Ευρήματα από τη σοβαρότητα: S1-S4 κατανομή.
CAPA Progress: ολοκληρώθηκε/βρίσκεται σε εξέλιξη/έληξε· διάμεσος χρόνος κλεισίματος.

Επαναληπτικά ευρήματα: Αναλογία επαναλήψεων σε 12 μήνες

Επικαιρότητα: τήρηση του χρονοδιαγράμματος SA/PR/MR/IA.
Τάση αποτελεσματικότητας: Δυναμική αξιολόγησης ανά περιοχή.

11) Ημερολόγιο και συχνότητες

Μηνιαία: SA by KYC/Payments/GDPR DSAR, περιστατικά/κοινοποιήσεις.
Τριμηνιαία: PR από AML/RG/παρόχους/υποβολή εκθέσεων, MR για όλες τις κατευθύνσεις.
Εξαμηνιαία/ετήσια: ΑΑ ανά περιοχή υψηλού κινδύνου. EAR πριν από τις πιστοποιήσεις/επιθεωρήσεις.

12) Κάρτες ελέγχου «Γρήγορη εκκίνηση» (7 βαθμοί το καθένα)

KYC (7 βαθμοί): Πάροχοι πολιτικής/DPA SLA Queues> SLA RBAC Απαλλαγές/κλιμακώσεις FP Έκθεση.
AML (7 βαθμοί): PEP κατάλογοι/SAR κυρώσεις προθεσμίες Ποιότητα των ερευνών Velocity/διάρθρωση No tipping-off Caseboard KPI εκπαιδεύσεις.
RG (7 βαθμοί): Καταχώριση/συγχρονισμός Επαφές για την αποτελεσματικότητα της SLA Ad Restrictions Reports to Regulator.
PCI (7-βαθμός): Κλειδιά διαχωρισμού/ASV Περιστροφή/Volcanoes Access Logs Tokenization Chargebacks Fallback PSP.
Παιχνίδια (7 βαθμοί): RTP-drift Διαδικασία παγώματος Ισορροπία Συγχρονισμού Περιστατικά Παρόχου RNG Εκδόσεις/Κατασκευάζει εκθέσεις ακεραιότητας SLA API.
Υποβολή εκθέσεων (7 βαθμοί): Ημερολογιακά συστήματα/εκδόσεις Υπογραφή/hash Γλώσσα συμφιλίωσης/τοπική μέτρηση DQ.
Περιστατικά (7 βαθμοί): Γνωστοποιήσεις TTS εγκαίρως Πληρότητα αντικειμένων Αντιστάθμιση Retro CAPA Dashboard.

13) Συχνά λάθη και τρόπος αποφυγής τους

Οι κατάλογοι ελέγχου χωρίς αποδεικτικά στοιχεία → όλα τα αντικείμενα θα απαιτούν ταυτότητα τεχνουργήματος.
Αποτίμηση χωρίς σημαντικότητα → καθορισμός των κατώτατων ορίων στην κάρτα του καταλόγου ελέγχου.
Η επικάλυψη SA/PR/IA → συνεκτικό ημερολόγιο και ενιαίο μητρώο αιτήσεων (PBC).
Ο «κεντρισμός εγγράφων» χωρίς επιχειρησιακές δοκιμές → να λαμβάνει πάντα δείγμα επιχειρήσεων.
CAPA χωρίς μετρήσεις → προσδιορίζουν μετρήσιμα αποτελέσματα (για παράδειγμα, DSAR ≤ 30 ημέρες ≥ 98%).

14) Σχέδιο εφαρμογής (30 ημέρες)

Εβδομάδα 1

1. Να εγκρίνει τη μεθοδολογία και τις κλίμακες διαβάθμισης.
2. Δημιουργία 8 βασικών καταλόγων ελέγχου (CL-KYC/AML/RG/PCI/GAMES/REP/INC/GDPR).
3. Εγγραφή αντικειμένων και προτύπων PBC/Εύρεση/CAPA.

Εβδομάδα 2

4. Διεξαγωγή χειριστών SA σε 2 διαδικασίες και δημοσίων σχέσεων σε 1 διαδικασία.
5. Δημιουργία πίνακα ανασκόπησης και καταγραφής CAPA.
6. Κατάρτιση σε «αποδεικτικά στοιχεία και δείγματα».

Εβδομάδα 3

7. Συνεδρία EAR για σχεδόν πιστοποίηση/επιθεώρηση.
8. Συμφωνήστε σχετικά με το χρονοδιάγραμμα MR/IA για το τρίμηνο.
9. Καθορίζει τα όρια υλικών και τα μεγέθη δειγμάτων.

Εβδομάδα 4

10. Απελευθέρωση v1. 0 κατάλογος καταλόγου σημείων ελέγχου και ημερολογιακή κάρτα.
11. Retro pilot, ενημερωμένες εκδόσεις της λίστας ελέγχου (v1. 1).
12. Συμπερίληψη επανεξέτασης σε KPI ιδιοκτήτη διεργασιών.

15) Συναφή τμήματα

Εσωτερικός έλεγχος και εξωτερικός έλεγχος

Κανονιστικές εκθέσεις και μορφότυποι δεδομένων

Ανακοινώσεις παραβάσεων και προθεσμίες υποβολής εκθέσεων

Ταμπλό συμμόρφωσης και παρακολούθηση

Βιβλία και σενάρια περιστατικών

Διαχείριση κρίσεων και επικοινωνίες