GH GambleHub

Cheques de auditoría y rugidos

1) Asignación

Crear un único directorio de fichas y reglas de rugido para Operaciones y Cumplimiento que proporcione:
  • la comparabilidad de las comprobaciones entre comandos y períodos;
  • La exhaustividad y probabilidad de los resultados;
  • administración transparente de parches (CAPA) y revisiones.

2) Roles y RACI

Owner: Head of Compliance/Head of Internal Audit es una metodología, versiones de checklist. (A)

Process Owners (1ª línea): autoevaluación, artefactos, CAPA. (R)

Compliance/InfoSec/AML/RG (2ª línea): revisión de la situación, co-auditorías, interpretación de normas. (R/C)

Auditoría interna (3ª línea): rugido independiente, rating, follow-up. (R)

Gestión (Exec Sponsor): aprobación de resultados y recursos en CAPA. (A/C)

3) Tipos de rugido

1. Autoevaluación (SA): mensualmente/trimestralmente por los propietarios de procesos de cheques cortos.
2. Peer-Review (PR): verificación cruzada por un equipo vecino (sin conflicto de intereses).
3. Revisión de gestión (MR): una vez al trimestre: revisión de KPI/KRI, tendencias y CAPA sin cubrir.
4. Revisión de Auditoría Interna (IA): verificación independiente del plan IA.
5. Lectura de auditoría externa (EAR): preparación para certificaciones/inspecciones (ISO/SOC/PCI/regulador).

4) Reglas generales de la hoja de cálculo

Cada checklist tiene código, versión, propietario, área y secciones obligatorias: 

ID: CL- <code >/Version: v <MAJOR. MINOR >/Owner: <role>
Область: <KYC/AML/RG, GDPR/PII, Payments/PCI, Games/Providers, Reporting, Incidents...>
Frequency: M     Q      Ad-hoc
Material: <criteria for High/Medium/Low>
Sampling: <method and size>
Evidence: <list of files/screenshots/logs>
Question List: [X] Yes [] No [] N/A + Comment + Artifact + Severity
Bottom line: Score/Rating/CAPA
Sistema de evaluación (recomendado):
  • Fully Met (100–90%) / Largely Met (89–75%) / Partially Met (74–50%) / Not Met (<50%).
  • Severity de las inconsistencias: S1 crítico/S2 alto/S3 medio/S4 bajo.
  • Materiales: efecto monetario (GGR/NGR), cobertura de clientes/PII, riesgo de licencias/multas, impacto en la integridad del juego.

5) Catálogo de fichas (esqueletos con puntos de control)

CL-KYC-01 — KYC/KYB

  • Las políticas y los niveles de validación están aprobados y son relevantes.
  • Los proveedores de KYC tienen contratos/DPA vigentes.
  • Se cumplen los SLA de verificación (métrica D-1).
  • Los documentos se conservarán de acuerdo con la retención; acceso - RBAC.
  • Se han documentado fallos/escalaciones; la proporción de FP es normal.
  • KYB para socios: estados de cuenta/beneficiarios actualizados.

Pruebas: descargas de KYC estados, registro de DPA, registro de acceso, muestra de 25 casos.

CL-AML-02 — AML/CFT

  • Política actualizada de AML y metodología de puntuación de riesgos.
  • Inspecciones de RR/Sanciones de on-boarding y periódicamente.
  • Las RAE/AMB se envían dentro de los plazos previstos; hay confirmaciones de admisión.
  • Calidad de las investigaciones: plenitud, tiempo de espera, cierre.
  • Las reglas de monitoreo cubren velocity/structuring/mulas.
  • Prueba «sin tipping-off»: no hay notificaciones de clientes en la RAE.

Pruebas: casos de la RAE/AMB, registros de inspecciones de sanciones, informes sobre la hora de cierre de los casos.

CL-RG-03 - Juego responsable

  • El registro de límites/autoexclusiones está sincronizado (registro/natz. sistema).
  • Los desencadenantes de vulnerabilidad → el contacto en el SLA; plantillas de comunicación.
  • La eficacia de las intervenciones se mide y analiza.
  • Los anuncios/bonos cumplen con las restricciones del mercado.
  • Incidentes RG y notificaciones al regulador - a tiempo.

Pruebas: registros de autoconstitución, comunión. plantillas, métricas de outreach.

CL-PCI-04 - Pagos/PCI

  • Segmentación de PCI e inventario PAN/CHD al día.
  • Tokenización/encriptación en tránsito/at-nat; las llaves están rotando.
  • Auth-rate/decline/latency por PSP en umbrales; rutas fallback.
  • Proceso de chargeback y base de pruebas para dispouts.
  • Las vulnerabilidades de los escáneres ASV se resuelven a tiempo.
  • Registros de acceso a la zona de pago: completos e inmutables.

Evidencia: diagramas de red, informes de ASV, casos de chargebacks, política clave de KMS.

CL-GAMES-05 - Proveedores de juegos/honestidad

  • Contratos y tecnología. las especificaciones son relevantes; versiones RNG/builds - en el Registro.
  • RTP-drift monitoreo y umbrales de reacción; freeze se fija procesalmente.
  • Sincronización de balances round/session/monedero.
  • Incidentes del proveedor: tiempo en línea, fijación, compensación a los jugadores.
  • Informes al regulador de integridad/RTP - entregados y confirmados.

Pruebas: descargas de RTP, registros de API del proveedor, ejemplos de tickets libres.

CL-REP-06 - Informes regulatorios

  • Calendario de Deadline: estados «listo/enviado/aceptado».
  • Los diagramas de datos se versionan; archivos firmados/con hash.
  • Reconciliación: monedero ↔ PSP ↔ GL sin discrepancias> X%.
  • Las confirmaciones de recepción (ID/recibos) se guardan y están relacionadas con los artefactos.
  • Se ha respetado la localización/lenguaje.

Pruebas: dashboard de los deadline, recibos, conciliaciones SQL.

CL-INC-07 - Incidentes/notificaciones

  • TTS (primer mensaje) en SLA por S1/S2.
  • Notificaciones DPA/Reguladores/PSP/CERT - dentro de los plazos, con confirmaciones.
  • Integridad de los artefactos: línea de tiempo, registros, mensajes, listas de afectados.
  • Retro ≤ 7 días, CAPA registrados y en movimiento.
  • Las compensaciones a los jugadores se cobran de acuerdo con la política.

Pruebas: registro de incidentes, página de estado, paquetes de artefactos.

CL-GDPR-08 — GDPR/PII

  • El Registro de Tratamientos (RoPA) está actualizado; los fundamentos legales son correctos.
  • Los DSAR se cierran ≤ 30 días; Se han explicado las demoras.
  • Los DPIA se realizan para procesos de alto riesgo.
  • Pseudonimización/enmascaramiento en descargas e informes.
  • Los contratos con los manejadores y SCC están en vigor.

Evidencia: RoPA, DSAR magazine, DPIA, máscaras de ejemplo en los informes.

CL-ITGC-09 - Controles de TI compartidos

  • Gestión de cambios: proceso PR, pruebas, approvals, separation of duties.
  • Accesos: RBAC/ABAC, revisión periódica, off-boarding ≤ 24 h.
  • Backup/restore, pruebas periódicas de RD.
  • Los registros de auditoría son inmutables, se respeta la retención.
  • Observabilidad: SLO/presupuestos erróneos, alertas a métricas críticas.

Evidencia: muestras de PR, registros IAM, informes de pruebas de DR, políticas de retención.

6) Método de muestreo y pruebas

Tamaño: centrarse en el volumen de operaciones y el riesgo (por ejemplo, min 25, pps/estratificación para arreglos de discos grandes).
Métodos: aleatorio, sistemático, dirigido (anomalías/casos marginales), por períodos de pico.
Suficiencia: al menos 2-3 fuentes independientes por salida clave (registros, capturas de pantalla, descargas, tickets).
Trazabilidad: cada artículo de la checklist es una prueba con un ID y una referencia en el registro.

7) Rubricador de calificaciones de rugido

Effective - El control está diseñado y funciona de manera estable, no hay inconsistencias S1/S2.
Generally Effective (con mejoras): hay S3/S4, pero los riesgos están bajo control.
Partially Effective - S2 del sistema; alto riesgo residual.
Inefective - S1/conjunto S2; se requiere un plan de recuperación inmediato.

8) CAPA и follow-up

Para cada finding: raíz → acción → propietario → término → métrica de éxito.
Cierre SLA: S1 - ≤ 30 días; S2 - ≤ 60 días; S3 - ≤ 90 días; S4 - por acuerdo.
Verificación: el auditor aplica pruebas de implementación (screens/logs/políticas), cambia el estado a Verified.
Escalamiento: S1/S2 atrasos - en el MR semanal, en el Comité de Auditoría trimestral.

9) Artefactos de trabajo (plantillas)

9. 1 Hoja de verificación (hoja de verificación)

'Tema''Sí/No/N/A''Comentario'`Severity`'Artefacto (ID)'.

9. 2 Finding Card

Código Título Hecho Criterio Riesgo/impacto Causa (raíz causa) Recomendación Nivel S.

9. 3 CAPA Sheet

Finding → Pasos → Propietario → Término → Métrica/Umbral → Pruebas → Estado → Fecha de verificación.

9. 4 hojas PBC (Provided By Client)

Solicitud → Formato → Fuente → Responsable → Dedline → Recibido (fecha) → Comentarios.

10) Rugido de Dashboard

Coverage:% de los procesos cubiertos por el rugido durante el período.
Findings by Severity: distribución de S1-S4.
CAPA Progress: ejecutado/en trabajo/vencido; mediana de tiempo de cierre.
Repeat Findings: proporción de repeticiones en 12 meses.
Timeliness: cumplimiento del calendario SA/PR/MR/IA.
Effectiveness Trend: dinámica de clasificación por área.

11) Calendario y frecuencias

Monthly: SA por KYC/Payments/GDPR DSAR, incidentes/notificaciones.
Quarterly: PR por AML/RG/Providers/Reporting, MR para todos los destinos.
Semi-Anual/Anual: IA por zonas de alto riesgo; EAR antes de las certificaciones/inspecciones.

12) Tarjetas de cheque «Inicio rápido» (7 puntos cada una)

KYC (7-point): Política de proveedores/DPA SLA Colas> SLA RBAC Fallas/Escaladas Informe de FP.
AML (7-point): Listas RER/sanciones SAR plazos Calidad de las investigaciones Velocity/structuring No tipping-off Entrenamientos Caseboard KPI.
RG (7-point): Registro/sincronización Contactos en SLA Eficiencia Restricciones de publicidad Quejas Incidentes Informes al regulador.
PCI (7-point): Segmentación Llaves/rotación ASV/Vulnas Registros de acceso Tokenización Chargebacks Fallback PSP.
Juegos (7-point): RTP-drift Procedimiento Freeze Balance Sincronizado Incidentes Proveedor Versiones RNG/builds Informes de honestidad SLA API.
Reporting (7-point): Calendario Diagramas/versiones Firma/hash Reconciliación Idioma/local Recibos métricos DQ.
Incidents (7-point): TTS Avisos dentro de los plazos Complete artefactos Compensación Retro CAPA Dashboard.

13) Errores frecuentes y cómo evitarlos

Los cheques sin pruebas → todas las cláusulas requerirán un artefacto de identificación.
Puntuación sin material → fijar los umbrales en la tarjeta de verificación.
Duplicación de SA/PR/IA → calendario armonizado y registro único de solicitudes (PBC).
El «documentocentrismo» sin pruebas de operatividad → tomar siempre una muestra de operaciones.
CAPA sin métricas → especificar resultados medibles (por ejemplo, DSAR ≤ 30 días ≥ 98%).

14) Plan de implementación (30 días)

Semana 1

1. Aprobar la metodología y las escalas de calificación.
2. Crear 8 fichas base (CL-KYC/AML/RG/PCI/GAMES/AMB/INC/GDPR).
3. Iniciar un registro de artefactos y plantillas PBC/Finding/CAPA.

Semana 2

4. Conducir el piloto de SA en 2 procesos y PR en 1 proceso.
5. Configurar el rugido de dashboard y la revista CAPA.
6. Emitir una formación sobre «pruebas y muestras».

Semana 3

7. EAR-Sesión de Certificación/Inspección Inmediata.
8. Acordar un calendario de MR/IA para el trimestre.
9. Fijar los umbrales de material y las dimensiones de las muestras.

Semana 4

10. Liberar v1. 0 del catálogo de fichas y de la tarjeta de calendario.
11. Llevar a cabo un piloto retro, actualizar las versiones de checklist (v1. 1).
12. Habilitar rugido en los KPI de los propietarios de procesos.

15) Secciones relacionadas

Auditoría interna y auditoría externa

Informes regulatorios y formatos de datos

Notificaciones de infracciones y plazos de presentación de informes

Dashboard de cumplimiento y monitoreo

Playbooks y scripts de incidentes

Gestión de crisis y comunicaciones

Contact

Póngase en contacto

Escríbanos ante cualquier duda o necesidad de soporte.¡Siempre estamos listos para ayudarle!

Telegram
@Gamble_GC
Iniciar integración

El Email es obligatorio. Telegram o WhatsApp — opcionales.

Su nombre opcional
Email opcional
Asunto opcional
Mensaje opcional
Telegram opcional
@
Si indica Telegram, también le responderemos allí además del Email.
WhatsApp opcional
Formato: +código de país y número (por ejemplo, +34XXXXXXXXX).

Al hacer clic en el botón, usted acepta el tratamiento de sus datos.