GH GambleHub

Auditoría interna y auditoría externa

1) Objetivo y área

Garantizar el control sistemático, independiente y reproducible de los procesos de Operaciones y Cumplimiento: cumplimiento de licencias/leyes, confiabilidad de los informes financieros y operativos, eficiencia de control de riesgos (KYC/AML/RG, GDPR/PII, pagos/PCI, honestidad de juegos, IB, marketing/afiliados, proveedores). La sección establece los principios, roles, metodología, programación de comprobaciones, formato de informes y orden de cierre de inconsistencias.

2) Principios y «tres líneas de protección»

1ª Línea: Propietarios de procesos (Transacciones, Pagos, Proveedores de juegos, Marketing/Afiliados, Servicio de Atención al Cliente): gestionan los riesgos del día a día.
2ª línea: Cumplimiento/Riesgo/Seguridad/DPO - Políticas, monitoreo, consulta, control de ejecución.
3ª Línea: Auditoría Interna (IA) - Evaluación independiente de la adecuación y eficacia del control; Rendir cuentas a la Junta de Supervisión/Comité de Auditoría.
Auditoría externa (EA): terceros independientes - estados financieros, certificaciones (ISO/SOC/PCI), inspecciones regulatorias.

Principios: independencia, objetividad, probidad, confidencialidad, enfoque en riesgos y valores, transparencia y trazabilidad.

3) Delimitación de IA vs EA

CriterioAuditoría interna (IA)Auditoría externa (EA)
Rendición de cuentasComité de auditoría/ConsejoAccionistas/Reguladores/Certificado. órganos
ObjetivoMejorar los procesos y el controlDictamen/certificado de conformidad
VolumenOrientado al riesgo, flexibleFijo por norma/contrato
FrecuenciaPlan anual + ad-hocPor calendario de informes/certificación
ResultadoInforme de calificación y CAPAConclusión/certificado/carta a la administración

4) Roles y RACI

Head of Internal Audit (IA Lead) - estrategia, independencia, plan/reporting. (A)

Auditores internos - inspecciones de campo, documentos de trabajo, conclusiones. (R)

Process Owners (1ª línea) - Proporcionar datos/artefactos, CAPA. (R)

Compliance/InfoSec/AML/RG (2ª línea) - co-auditorías, metodólogos. (C/R)

CFO/Controller - Finkontur, GL, conciliaciones. (C)

Legal/DPO - interpretación de las normas, PII y retencion. (C)

Comité de Auditoría - Aprueba el plan IA, acepta informes, controla la independencia. (A)

Auditores externos/Evaluadores - realizan EA; acceso a los artefactos de la NDA. (I/R por contrato)

5) Planificación orientada al riesgo (Plan de Auditoría Anual)

1. Registro de riesgos: probabilidad × impacto (finanzas/GGR, licencias, reputación, seguridad de los jugadores).
2. Tarjeta de proceso: pagos/PSP, billetera, KYC/AML/KYB, RG, proveedores de juegos/RTP, marketing/afiliados, IB/GDPR, incidentes/notificaciones, informes regulatorios.
3. Matriz de prioridad: Alta/Media/Baja periodicidad → (cuadrada/semestral/año).
4. Scope: objetivos, criterios, procedimientos, muestras, recursos, tiempo en línea, dependencias.
5. Aprobación: El Comité de Auditoría aprueba el plan anual; se permite ad-hoc en S1/S2 incidentes.

6) Metodología: etapas de auditoría

A. Preaudit (Planificación): solicitud de documentos, comprensión del proceso, evaluación del diseño de control, evaluación de riesgos, programa de pruebas.
B. Fase de campo (Fieldwork): entrevistas, walkthrough, pruebas de diseño/operatividad, procedimientos analíticos, inspección de artefactos, muestras.
C. Conclusiones y calificación: comparación de los hechos con los criterios; clasificación findings.
D. Informe: proyecto → negociación de hechos → final → presentación a la gerencia/comité.
E. CAPA y Follow-up: plan de acciones correctivas/preventivas, control de ejecución, verificación.

7) Pruebas y muestras

Tipos de pruebas: documentales (políticos, logs, tickets), físicas (capturas de pantalla, configuraciones), orales (entrevistas), analíticas (conciliaciones, tendencias).
Calidad: suficiencia (volumen), pertinencia (relevancia), validez (fuente).
Muestras: aleatorias, sistemáticas, dirigidas (risk-based), por anomalías; el tamaño está determinado por el riesgo y el volumen de la totalidad.
Trazabilidad: cada salida está relacionada con la prueba, la prueba es con la prueba (ID única); «numeración transversal».

8) Clasificación de inconsistencias y calificaciones

Critical (S1): riesgo de licencia/ley/daño financiero significativo/PII-breach. Se requiere una acción inmediata, informe al Comité/Consejo.
Alto (S2): defecto significativo de control; SLA corto para la corrección.
Medium (S3): defecto limitado; un plan de ajuste.
Bajo (S4): mejoras/observaciones (optimización).

Clasificación del proceso auditado: Effective/Generally Effective with Improvements/Partially Effective/Inefective.

9) Documentos de trabajo y retenciones

Papeles de trabajo: programa, hojas de control, muestras, actas de entrevistas, pruebas, cálculos, conclusiones.
Normas de diseño: índice, versión, propietario, fecha, hipervínculos a artefactos, control de cambios.
Privacidad y PII: acceso RBAC, almacenamiento cifrado, enmascaramiento de campos sensibles.
Períodos de retención: por políticas (generalmente de 5 a 7 años) o más si se requieren licencias/reguladores.

10) Temas de verificación (directorio IA)

1. Pagos/PSP/PCI: auth/decline/chargebacks, pseudonimización PAN, registros de acceso, registro de proveedores.
2. KYC/AML/KYB: plenitud y precisión de KYC, RER/sanciones, plazos SAR/AMB, calidad de las investigaciones, manejo de casos.
3. Juego responsable (RG): límites/autoexclusiones, procedimientos de contacto, eficacia de las intervenciones, restricciones publicitarias.
4. GDPR/PII/DPO: registro de tratamientos, DSAR, incidentes de confidencialidad, contratos con manejadores.
5. Proveedores de juegos/honestidad: RTP drift, incidentes de rondas, sincronización de balances, versionamiento de RNG/builds.
6. Marketing/Afiliados: cumplimiento de restricciones creativas/objetivo, atribución, contratos, pagos.
7. Procesos de incidentes: tiempo antes de la declaración (TTS), puntualidad de las notificaciones a los reguladores, integridad de los artefactos.
8. Informes regulatorios: esquemas, deduplines, DQ, conciliación con GL/PSP.
9. Controles de TI/IB: accesos, SOD, cambios/lanzamientos, registros de auditoría, backups, ejercicios DR/BCP.

11) Formato del informe IA (plantilla)

Resumen ejecutivo: volumen, objetivos, calificación, conclusiones clave y riesgo.
Contexto: proceso/sistema/jurisdicción, período, requisitos aplicables.
Metodología y limitaciones (si las hubiera).
Conclusiones detalladas sobre la prioridad: hecho → criterio → riesgo → impacto → recomendaciones.
Tabla CAPA: propietario, pasos, plazos, métricas de éxito.
Anexos: muestras, diagramas, registro de pruebas, glosario.

12) Interacción con la auditoría externa (EA)

Estados financieros: preparación de GL, conciliaciones, confirmaciones de PSP/bancos/proveedores, cartas de gestión.
Certificaciones/evaluaciones de cumplimiento: ISO 27001/9001, SOC 2, PCI DSS, inspecciones reguladoras de la industria.
Roles IA: pre-evaluación (análisis gap), seguimiento de consultas, aceleración de CAPA, evitar duplicaciones.
Transparencia: escaparate único de artefactos, calendario de visitas, reglas de acceso, NDA.
Comunicaciones: standups regulares «EA readiness», punto de entrada - Audit Coordinator.

13) CAPA y control de ejecución

Plan CAPA: pasos específicos, métrica, propietario, plazo, sistemas/comandos dependientes.
Verificación: pruebas de implementación (escrutinios, registros, políticas, resultados de pruebas), fecha, auditor responsable.
Escalamiento: S1/S2 - apdate obligatorio al Comité; los retrasos son la «zona roja» del dashboard.
Cambio en la evaluación del riesgo: después de una CAPA exitosa, revisión del riesgo residual y la frecuencia de las inspecciones.

14) Auditoría Dashboard (control de gestión)

Estado del plan:% de finalización por trimestre y destino.
Cartera de findings: por seriedad y retraso.
CAPA progress: completado/en trabajo/vencido, mediana de tiempo de cierre.
Mapa térmico de los procesos: riesgo/eficacia de los controles antes/después de CAPA.
Identificaciones repetidas: indicador de problemas del sistema.

15) Requisitos éticos e independencia

Conflictos de interés: los auditores no auditan sus actividades operativas anteriores ≤ 12 meses; declaración de conflictos.
Acceso a los datos: sólo por el principio de «mínimo necesario»; prohibición de copiar personalmente PII.
Comunicaciones: lenguaje neutral, sin tono acusatorio; hechos anteriores a las interpretaciones.

16) Hojas de cheques

Inicio de la auditoría

  • Se definen objetivos/criterios/límites.
  • Los artefactos solicitados y recibidos, formatos/plazos acordados.
  • La independencia está confirmada, no hay conflictos.
  • Programa de pruebas y muestras aprobado.
  • Realizado por walkthrough y entrevistas con key-roles.
  • Pruebas de diseño y rendimiento operativo.
  • Se ha creado un registro de pruebas con identificación/referencias.
  • Informe intermedio a los propietarios del proceso (sin sorpresas en la final).

Informe y CAPA

  • Se acuerdan los hechos, se resuelven los puntos polémicos.
  • Conclusiones clasificadas (S1-S4), riesgo/impacto evaluado.
  • Plan CAPA con propietarios y plazos aprobados.
  • Las fechas de seguimiento se han introducido en el calendario.

17) Plantillas de artefactos (inserciones rápidas)

Lista de solicitudes (PBC): lista de documentos/descargas/accesos con líneas de salida.
Hoja de prueba: control → procedimiento → muestreo → resultado → prueba → conclusión.
Finding Card: código, título, descripción, riesgo, impacto, causa (raíz causa), recomendación, nivel S, propietario, plazo.
CAPA Sheet: paso, métrica, artefactos de confirmación, fecha, verificado.

18) Errores frecuentes y cómo evitarlos

Los papeles fusionados de IA y la segunda línea → roto la independencia. Decisión: Presentación de informes de IA directamente al Comité.
Falta de trazabilidad de las pruebas → escasa protección de las conclusiones. Solución: registro único y numeración.
«Caza de inconsistencias» en lugar de evaluar el riesgo y el valor. Solución: enfoque de riesgo y priorización.
Sobrecarga de CAPA sin recursos → retraso. Solución: objetivos SMART y límite WIP.
Ignorar los datos de calidad/frescura al verificar los informes. Solución: lista de cheques DQ.

19) Inicio rápido (implementación en 30 días)

Semana 1: Aprobar la carta de la IA (mandato/rendición de cuentas), realizar una evaluación de riesgos, redactar un borrador del plan anual.
Semana 2: crear plantillas (PBC, Pruebas/Muestras de CAPA/Finding), configurar el registro de pruebas y los estados de dashboard.
Semana 3: realizar 2 auditorías piloto del «formulario corto» (por ejemplo, PSP/PCI y RG/DSAR), emitir informes, registrar CAPA.
Semana 4: realizar un seguimiento de los pilotos, ajustar la metodología, someter el plan anual a la aprobación del Comité, acordar un calendario de auditorías/certificaciones externas.

Secciones relacionadas:
  • Informes regulatorios y formatos de datos
  • Notificaciones de infracciones y plazos de presentación de informes
  • Dashboard de cumplimiento y monitoreo
  • Playbooks y scripts de incidentes
  • Gestión de crisis y comunicaciones
  • Plan de continuidad del negocio (BCP )/DRP
  • Registros de auditoría de operaciones
Contact

Póngase en contacto

Escríbanos ante cualquier duda o necesidad de soporte.¡Siempre estamos listos para ayudarle!

Telegram
@Gamble_GC
Iniciar integración

El Email es obligatorio. Telegram o WhatsApp — opcionales.

Su nombre opcional
Email opcional
Asunto opcional
Mensaje opcional
Telegram opcional
@
Si indica Telegram, también le responderemos allí además del Email.
WhatsApp opcional
Formato: +código de país y número (por ejemplo, +34XXXXXXXXX).

Al hacer clic en el botón, usted acepta el tratamiento de sus datos.