GH GambleHub

Controles internos y su auditoría

1) Asignación y ámbito

Objetivo: garantizar el cumplimiento de los objetivos comerciales de forma segura y legal, reduciendo los riesgos operativos, financieros, de cumplimiento y de reputación.
Cobertura: controles de procesos y TI en todos los dominios: pagos/cajeros, KYC/AML/sanciones, antifraude, RG, marketing/exportación de datos, DevOps/SRE, DWH/BI, privacidad/GDPR, TR PRM.

2) Principios y modelo de protección

Tres líneas de protección: 1) propietarios de procesos (operaciones/productos), 2) riesgo/cumplimiento/seguridad (metodología, monitoreo), 3) auditoría interna independiente.
Risk-based: los controles se alinean con la prioridad de riesgo residual.
Evidence-driven: cada control tiene criterios medibles, fuentes de datos y artefactos de probabilidad.
Automate-first: si es posible, controles automáticos y continuos (CCM) en lugar de controles manuales.

3) Mapa de riesgos → objetivos → controles

1. Registro de riesgos: identificar las causas/eventos/consecuencias (finanzas, jugadores, licencias).
2. Objetivos de control: Qué se debe prevenir/detectar/corregir (por ejemplo, «retirada ilegal de fondos», «acceso no autorizado a PII»).
3. Actividades de control: seleccionar políticas/procedimientos/automáticos específicos para lograr el objetivo.

Tipos de control:
  • Preventivos: RBAC/ABAC, SoD (4-eyes), límites y puntuación, validación de datos, WebAuthn, mTLS.
  • Detectives: SIEM/alertas, reconciliaciones, dashboards SLA/SLO, registros de auditoría (WORM), control de anomalías.
  • Correctivos: bloqueos automáticos, revisiones de lanzamientos, rotación de llaves, desmontajes manuales y devoluciones.
  • Compensadores: si no es posible un control básico - medidas de refuerzo (control adicional, doble conciliación).

4) Directorio de control (Control Library)

Para cada control se fija:
  • ID/Nombre, objetivo (objetivo), riesgo, tipo, frecuencia, propietario (control del usuario), ejecutante, método de ejecución (manual/auto/guía), fuentes de evidencia, KPI/KRI, relación con políticas/procedimientos, sistemas dependientes.
  • Estados: Draft → Active → Monitored → Retired. Versioning y registro de cambios.
Ejemplos de registros (ampliados):
  • 'CTRL-PAY-004' - 4-eyes approve para pagos> X (preventivo, diario, Owner: Head of Payments, Evidence: pujas/registros, KPI: 100% de cobertura).
  • 'CTRL-DWH-012' - enmascarar PII en escaparates (preventivo, permanente, Owner: Head of Data, Evidence: testing requests, KPI: ≥95% masked reads).
  • 'CTRL-SEC-021' - MFA para consolas de administración (preventivo; Evidence: informes IdP; KPI: 100% adoption).

5) RACI y propietarios

ActividadBusiness OwnerProcess OwnerSecurity/Privacy/AMLData/IT/SREInternal Audit
Diseño de controlARCCI
EjecuciónIRCRI
Monitoreo/KRICRA/RRI
Pruebas (1-2 líneas)CRA/RRI
Auditoría independienteIIIIA/R
SARAH/RemediaciónARRRC

6) Planificación de auditorías y pruebas

El plan anual se forma de forma orientada al riesgo (alto riesgo residual, requisitos regulatorios, incidentes, nuevos sistemas).

Tipos de comprobaciones:
  • Diseño Effectiveness (DE): si el control está correctamente diseñado para reducir el riesgo.
  • Eficacia operativa (OE): si funciona de forma estable y a una frecuencia determinada.
  • Auditoría de procesos/temas: validación de dominio de extremo a extremo (por ejemplo, KYC/AML o cassouts).
  • Seguimiento/Verificación: confirmación de cierre de CAPA.

Enfoque: Walkthrough (rastreo), entrevista, rugido de artefactos/registros, analítica, réperformance (repetición de ejecución).

7) Pruebas y muestras

Tipos de evidence: descargas de registros (firma/hash), informes de IdP/SSO, tickets y registros de aprobaciones, confiscaciones, capturas de pantalla con temporizadores, xls/csv de escaparates, grabaciones de sesiones de PAM.
Integridad: copias WORM, cadenas/firmas hash, especificando 'ts _ utc'.
Muestra: estadística/destinada; el tamaño depende de la frecuencia de control y el nivel de confianza.
Criterios: pass/fail; los umbrales de minimis permitidos para las operaciones manuales.

8) Evaluación y clasificación de las inconsistencias

Gradaciones: Critical/High/Medium/Low.
Criterios: impacto (dinero/PII/licencias), probabilidad, duración, repetibilidad, controles compensatorios.
Informe: tarjeta de hallazgo (risk, descripción, ejemplos, causa raíz, impacto, acciones requeridas, plazos, propietario), estado de seguimiento.

9) CAPA y gestión de cambios

Acciones correctivas y preventivas: eliminar la causa raíz (raíz causa), no sólo los síntomas.
S.M.A.R.T.- Medidas: específicas, medibles, fechadas; responsabilidad y puntos de control.
Change Advisory Board: Los cambios de alto riesgo pasan por la AMB; actualización de políticas/procedimientos/roles.
Verificación de la eficacia: auditoría repetida en N semanas/meses.

10) Monitoreo continuo (CCM) y análisis

Candidatos CCM: controles de alta frecuencia y formalizables - conflictos SoD, emisiones JIT, exportaciones anómalas, MFA-coverage, límites de pago, éxitos sancionadores.
Herramientas: reglas SIEM/UEBA, dashboards Data/BI, validadores de diagrama/enmascaramiento, pruebas de acceso (policy-as-code).
Señales/alertas: umbral/comportamiento; tickets SOAR; Unidades automáticas con desviaciones críticas.
Ventajas: velocidad de detección, reducción de la carga manual, mejor probabilidad.

11) Métricas (KPI/KRI)

KPI (ejecución):
  • Control de cobertura de procesos críticos ≥ 95%
  • Ejecución en tiempo real de controles manuales ≥ 98%
  • CAPA cerrado a tiempo (Alto/Crítico) ≥ 95%
  • Proporción de controles automatizados ↑ MoM
KRI (riesgos):
  • Violaciones de SoD = 0
  • Accesos a PII sin 'purpose' = 0
  • Fugas/incidentes notificados ≤ 72 h - 100%
  • Fail-rate de los controles operativos <2% (tendencia descendente)

12) Frecuencia y calendario

Diario/continuo: CCM, señales antifraude, límites de pago, enmascaramiento.
Semanalmente: conciliación de pagos/registros, control de exportaciones, análisis de alertas.
Mensualmente: informes MFA/SSO, registro de accesos, seguimiento de proveedores, tendencias KRI.
Trimestralmente: re-certificación de derechos, revisiones temáticas, pruebas de estrés BCP/DR.
Anualmente: plan completo de auditorías y actualización del mapa de riesgos.

13) Integraciones con políticas existentes

RBAC/ABAC/Privilegio Least, Políticas de acceso y segmentación - una fuente de controles preventivos.
Política de contraseñas y MFA: requisitos obligatorios para las operaciones críticas y de administración.
Revistas de auditoría/políticas de registros - Controles de detectives y pruebas.
TPRM y contratos de terceros - controles externos: SLA, DPA/SCCs, derechos de auditoría.

14) Hojas de cheques

14. 1 Diseño de nuevo control

  • Se describe el objetivo y el riesgo asociado
  • Tipo definido (preventivo/detective/correctivo)
  • Propietario/ejecutante y frecuencia designados
  • Fuentes de datos especificadas y formato de evidence
  • Métricas integradas (KPI/KRI) y alertas
  • Se establecen vínculos con las políticas/procedimientos
  • Se ha definido un plan de pruebas DE/OE

14. 2 Realización de una auditoría

  • Scope y criterios de DE/OE acordados
  • Lista de artefactos y accesos recibidos
  • Muestra acordada y confirmada
  • Resultados y hallazgos clasificados
  • CAPA, plazos y propietarios aprobados
  • El informe se publica y se comunica a los miembros de la Junta

14. 3 Supervisión y presentación de informes (mensual)

  • KPI/KRI para todos los controles críticos
  • Tendencias en fallas/falsos positivos
  • Estado de CAPA y retraso
  • Propuestas de automatización/SSM

15) Errores típicos y cómo evitarlos

Control sin objetivo/métricas: formalizar objective y KPI/KRI.
Controles manuales sin pruebas: estandarizar formularios/scripts y almacenar artefactos en WORM.
Aumento de las excepciones: registro de excepciones con fecha de caducidad y medidas compensatorias.
«On paper» funciona - en realidad no: pruebas regulares de OE y CCM.
CAPA sin cubrir: escalamiento automático y estado en el comité de riesgo mensual.

16) Hoja de ruta para la implementación

Semanas 1-2: actualizar el mapa de riesgos, hacer un catálogo de controles, asignar propietarios, aprobar plantillas de evidencia.
Semanas 3-4: iniciar la supervisión de KPI/KRI, seleccionar 5-10 controles de automatización (CCM), aprobar el plan de auditoría anual.
Mes 2: realizar 1-2 auditorías temáticas (alto riesgo), implementar alertas SOAR, establecer informes de bordes.
Mes 3 +: ampliar la CCM, realizar revisiones trimestrales, reducir los controles manuales, aumentar la cuota de cobertura de DE/OE y la velocidad de cierre de CAPA.

TL; DR

Controles internos efectivos = tarjeta de riesgo → objetivos → actividades claras con el propietario y las pruebas, además de pruebas regulares de DE/OE, CAPA y automatización CCM. Esto hace que la gestión del riesgo sea medible, que la auditoría sea predecible y que el cumplimiento sea demostrable.

Contact

Póngase en contacto

Escríbanos ante cualquier duda o necesidad de soporte.¡Siempre estamos listos para ayudarle!

Iniciar integración

El Email es obligatorio. Telegram o WhatsApp — opcionales.

Su nombre opcional
Email opcional
Asunto opcional
Mensaje opcional
Telegram opcional
@
Si indica Telegram, también le responderemos allí además del Email.
WhatsApp opcional
Formato: +código de país y número (por ejemplo, +34XXXXXXXXX).

Al hacer clic en el botón, usted acepta el tratamiento de sus datos.