GH GambleHub

Procedimientos de auditoría e inspección

1) Por qué se necesitan auditorías en iGaming

La auditoría es la comprobación del cumplimiento de los requisitos de licencia, ley, normas y políticas internas del producto y las operaciones.
Objetivos: reducir los riesgos regulatorios y financieros, demostrar la integridad de los juegos/pagos/datos, mejorar los procesos y la cultura de cumplimiento.

2) Taxonomía de las inspecciones (qué y quién)

TipoQuién lleva a caboFocoPeriodicidad
Auditoría internaIn-house Internal Audit/CompliancePolíticas, procesos, SoD, lógica, informestrimestral/semestral
Externo independienteLaboratorios/auditorías de empresasRNG/RTP/volatilidad, seguro. y procesosanual/durante el lanzamiento
Inspección regulatoriaLicenciante/supervisorCorte completo: juegos, pagos, RG/AML/Privacidadhorario/de repente
Auditoría temáticaPor dominioKYC/AML, RG, Privacy/GDPR, PCI DSSanual/por cambio
TI/seguridadSec/IT AuditAccesos, gestión de cambios, DevOps, DR/BCPanual/después del incidente

3) Área de auditoría (scope)

Juegos: RNG, RTP, control de versiones, registros inmutables.
Pagos: enrutamiento, devoluciones, chargeback, Net Loss, límites.
KYC/AML: procedimientos, listas de sanciones/RR, casos y RAE/AMB.
Responsible Gaming: límites, tiempos de espera, auto-exclusión, Reality Checks.
Privacidad/GDPR/CCPA/LGPD: DPIA, bases del tratamiento, vida útil, derechos de las entidades.
Seguridad/TI: RBAC/ABAC, SoD, registro, CI/CD, secretos, DR/BCP.
Marketing/CRM/Afiliados: suppression, consentimiento, prohibiciones contractuales.

4) Normas y marco metodológico

ISO 19011 son los principios de auditoría y realización (planificación → informe → seguimiento).
ISO/IEC 27001/27701 - Gestión de la seguridad/privacidad (medidas de control).
PCI DSS: si está procesando tarjetas/PAN.
GLI-11/19, ISO/IEC 17025 - en conjunto con los laboratorios de pruebas.
El marco de las «tres líneas de protección» es 1) propietarios de procesos, 2) riesgo/cumplimiento, 3) auditoría independiente.

5) Ciclo de vida de auditoría

1. Planificación: definición de scope/criterios, mapa de riesgos, lista de artefactos, NDA y accesos.
2. Trabajo de campo: entrevistas, walkthrough, pruebas de control, muestreo, inspección de registros/sistemas.
3. Consolidación: confirmación de hechos, clasificación de inconsistencias (High/Med/Low), proyecto de informe.
4. Informe: conclusiones, pruebas, recomendaciones, plazos de eliminación.
5. CAPA (Acciones Correctivas y Preventivas): un plan de corrección y prevención de recaídas.
6. Seguimiento: verificación de la ejecución de CAPA, cierre de puntos.

6) Pruebas y muestras

Pruebas (evidence): políticas/procedimientos (últimas versiones), capturas de pantalla de configuración, descargas de registros (WORM), sumas hash de builds, tickets de gestión de cambios, actos de entrenamiento, protocolos de incidentes, DPIA, registros de consentimiento, informes AML/RG.

Muestra (sampling):
  • RNG/RTP - Muestras estadísticas de resultados ≥10⁶ (o volumen/período convenido).
  • KYC/AML es una muestra aleatoria de 60-100 casos/período con seguimiento a fuentes.
  • Privacidad - 20-50 solicitudes de sujetos (DSAR), verificación de SLA y exhaustividad de las respuestas.
  • Pagos - 100-200 transacciones por script (depósito/retiro/chargeback/bono).
  • RG - 50-100 casos de límites/tiempos de espera/autoexclusiones + registros de suppression.

Cadena de retención (cadena de custodia): fijación de origen, tiempo, control de integridad (hashes, firmas).

7) Calificaciones de inconsistencias y CAPA

NivelCriterioFecha de cierreEjemplo
HighViolación de la ley/licencia, riesgo de daño a los jugadores15-30 díasAusencia de suppression en los auto-excluidos
MediumError de control/proceso45-60 díasPases en RBAC con rugido
LowFlujo de trabajo/defectos menores90 díasPlantilla de directiva heredada

Patrón CAPA: descripción del problema → causa raíz → acción (correctivo/prevenible) → propietario → plazo de → de KPI de efecto → de evidencia de cierre.

8) RACI (roles y responsabilidades)

FunciónResponsabilidad
Audit Lead (Internal/External)Plan, scope, metodología, independencia
Process OwnersProvisión de artefactos, correcciones
Compliance/Legal/DPOCriterios, marco jurídico, DPIA, reguladores
Security/IT/DevOpsAccesos, registros, CI/CD, DR, WORM
Data/ML/RiskMétricas RG/AML, modelos y códigos reason
Finance/PaymentsTransacciones, charjebacks, informes
Support/CRM/MarketingScripts, suppression, consentimiento

9) Lista de comprobación de la preparación para la auditoría

Documentos y políticas

  • Registro de versiones de políticas y procedimientos (con propietarios/fechas).
  • DPIA/Records of Processing/Reten Matrix de datos.
  • Políticas RG/KYC/AML/Privacy/Incident/Change/Access/Logging.

Artefactos técnicos

  • Almacén de registros WORM (juegos/pagos/accesos/cambios).
  • Artefactos CI/CD: SBOM, hashes de builds, firmas, notas de lanzamiento.
  • Registro RBAC/ABAC, control SoD, resultados del rugido de los accesos.
  • Planes y resultados del ejercicio DR/BCP.
  • Lista de capacitación y certificación del personal (RG/AML/Privacy).
  • Registro de incidentes y post-moremas.
  • Registro de solicitudes de sujetos de datos (DSAR) con SLA.

10) Playbook: inspección in situ (onsite) y remota (remote)

Onsite:

1. Reunión informativa, acuerdo de agenda y ruta.

2. Tour de lugares de trabajo/servidor (si corresponde), verificación física. medidas.

3. Entrevistas + controles de demostración en vivo, muestras de prod/réplicas.

4. Wrap-up diario, retroalimentación previa.

Remote:
  • Acceso a paneles/dashboards listos para leer, intercambio de archivos seguro, grabación de sesiones, ranuras de tiempo en caja.
  • Precarga de artefactos, scripts de reproducción.
Comunicaciones:
  • Punto único de contacto, seguimiento de solicitudes (ticketing), SLA para la presentación de pruebas (normalmente T + 1/T + 2 días hábiles).

11) Escenarios especiales: «raid dawn» y comprobaciones no programadas

Preparación: informe legal, lista de contactos (Legal/Compliance), reglas de acompañamiento del auditor, prohibición de destrucción/modificación de datos (legal hold).
Procedimiento: verificación de mandato/credenciales, registro de copias de los datos incautados, presencia de Legal, copias de registros de integridad.
Después de: investigación interna, comunicaciones bordú/socios, CAPA.

12) Arquitectura de datos de cumplimiento y observabilidad

Compliance Data Lake: almacenamiento centralizado de informes, registros, certificados, DPIA, métricas.
Plataforma GRC: registro de riesgos, controles, auditorías y CAPA, calendario de recertificaciones.
Portal de la API de auditoría/regulador: acceso controlado para auditores/reguladores externos.
Inmutabilidad: almacenamiento de objetos/WORM, cadenas de hashes Merkle.
Dashboards: RTP a la deriva, Auto-Exclusion suppression accuracy, Time-to-Enforce limites, KYC SLA.

13) Métricas de madurez de auditoría (SLO/KPI)

MétricaValor de destino
On-time Evidence Delivery≥ el 95% de las consultas en SLA
High-Findings Closure100% a tiempo CAPA
Repeat Findings Rate<10% período-a-período
RTP Drift Alarms Investigated100% en T + 5 días
Access Review Coverage100% trimestral
Training Completion≥ 98% en programas críticos
Audit Readiness Score≥ 90% (dentro. escala)

14) Plantilla de informe de auditoría (estructura)

1. Resumen del ejecutivo (Executive Summary).
2. Ámbito y criterios.
3. Metodología y muestreo.
4. Observaciones/inconsistencias (con referencias a pruebas).
5. Evaluación del riesgo y prioridades.
6. Recomendaciones y plan CAPA (plazos acordados/propietarios).
7. Aplicaciones: artefactos, revistas, hashes, capturas de pantalla, registro de entrevistas.

15) Errores frecuentes y cómo evitarlos

Directivas/versiones irrelevantes → registro centralizado, recordatorios.
No hay cadena de almacenamiento/WORM → no se pueden probar los hechos; introduzca la inmutabilidad.
El débil SoD/RBAC → un rugido trimestral de accesos y registros.
Falta de disciplina CAPA → propietarios/plazos/pruebas de cierre.
No acoplamientos de datos (RTP/informes/directorio) → conciliaciones y alertas automáticas.
Respuesta ad-hoc a las inspecciones → playbook y entrenamiento (table-top).

16) Hoja de ruta para la implementación (6 pasos)

1. Política y metodología: adoptar el estándar de auditoría, escala de riesgos, formatos de informes.
2. Inventario de control: mapa de procesos y controles por dominio.
3. Arquitectura de la evidencia: WORM, Compliance Data Lake, Audit API.
4. GRC & calendario: calendario de auditorías/recertificaciones, registro CAPA.
5. Entrenamiento/entrenamiento: ejercicios de rol, simulaciones de «dawn raid», table-top.
6. Mejora continua: monitorización de métricas, retrospectivas, reducción de recapitulaciones.

Resultado

Los procedimientos de auditoría e inspección no son eventos puntuales, sino un circuito permanente de cumplimiento probado: scope claro, evidencia de calidad, disciplina CAPA, registros inmutables, preparación para visitas reguladoras y métricas transparentes. Este enfoque reduce los riesgos, refuerza las licencias y mejora la sostenibilidad del producto y la marca.

Contact

Póngase en contacto

Escríbanos ante cualquier duda o necesidad de soporte.¡Siempre estamos listos para ayudarle!

Iniciar integración

El Email es obligatorio. Telegram o WhatsApp — opcionales.

Su nombre opcional
Email opcional
Asunto opcional
Mensaje opcional
Telegram opcional
@
Si indica Telegram, también le responderemos allí además del Email.
WhatsApp opcional
Formato: +código de país y número (por ejemplo, +34XXXXXXXXX).

Al hacer clic en el botón, usted acepta el tratamiento de sus datos.