GH GambleHub

چک لیست ها و بررسی های حسابرسی

1) هدف

ایجاد یک چک لیست و بررسی کاتالوگ قانون برای عملیات و انطباق که تضمین می کند:
  • مقایسه چک های بین تیم ها و دوره ها ؛
  • کامل بودن و اثبات نتایج
  • مدیریت شفاف از تکه های (CAPAs) و دوباره چک

2) نقش ها و RACI

مالک: رئیس انطباق/رئیس حسابرسی داخلی - روش، نسخه چک لیست. (الف)

صاحبان فرآیند (خط اول): خود ارزیابی، مصنوعات، CAPA. (R)

انطباق/InfoSec/AML/RG (خط 2): بررسی همکار، حسابرسی، تفسیر هنجارها. (R/C)

حسابرسی داخلی (خط 3): بررسی مستقل، رتبه بندی، پیگیری. (R)

مدیریت (Exec Sponsor) - خروجی ها و منابع مربوط به CAPA ها را تأیید می کند. (A/C)

3) انواع بررسی

1. خود ارزیابی (SA): ماهانه/سه ماهه توسط صاحبان فرآیند برای چک لیست های کوتاه.
2. Peer-Review (PR): بررسی متقابل توسط یک تیم همسایه (بدون تضاد منافع).
3. بررسی مدیریت (MR): سه ماهه - بررسی KPI/KRI، روند و CAPA های باز.
4. بررسی حسابرسی داخلی (IA): بررسی مستقل طرح IA.
5. آمادگی حسابرسی خارجی (EAR): آمادگی برای گواهینامه ها/بازرسی ها (ISO/SOC/PCI/regulator).

4) قوانین عمومی چک لیست

هر چک لیست دارای کد، نسخه، مالک، دامنه و بخش های مورد نیاز است: 

ID: CL- <code >/Version: v <MAJOR. MINOR >/Owner: <role>
Область: <KYC/AML/RG, GDPR/PII, Payments/PCI, Games/Providers, Reporting, Incidents...>
Frequency: M     Q      Ad-hoc
Material: <criteria for High/Medium/Low>
Sampling: <method and size>
Evidence: <list of files/screenshots/logs>
Question List: [X] Yes [] No [] N/A + Comment + Artifact + Severity
Bottom line: Score/Rating/CAPA
سیستم رتبه بندی (توصیه می شود):
  • به طور کامل ملاقات (100-90٪ )/تا حد زیادی ملاقات (89-75٪ )/تا حدی ملاقات (74-50٪ )/نه ملاقات (<50٪).
  • شدت اختلافات: S1 critical/S2 high/S3 medium/S4 کم است.
  • اهمیت: اثر پولی (GGR/NGR)، پوشش مشتری/PII، ریسک مجوز/مجازات، تاثیر بر یکپارچگی بازی.

5) کاتالوگ چک لیست (اسکلت با ایست بازرسی)

CL-KYC-01 - KYC/KYB

  • سیاست ها و سطوح بررسی تایید شده و به روز است.
  • ارائه دهندگان KYC قرارداد/DPA موجود دارند.
  • SLA های تأیید ملاقات می شوند (متریک D-1).
  • اسناد با توجه به نگهداری ذخیره می شود ؛ دسترسی - RBAC
  • شکست/تشدید مستند ؛ نسبت FP طبیعی است.
  • KYB برای شرکا: اظهارات فعلی/ذینفعان.

شواهد: آپلود وضعیت KYC، رجیستری DPA، ورود به سیستم دسترسی، نمونه 25 مورد.

CL-AML-02 - AML/CFT

  • به روز شده سیاست AML و روش به ثمر رساند خطر.
  • در شبانه روزی PEP/چک تحریم و به صورت دوره ای.
  • SARs/STR ها به موقع ارسال می شوند ؛ تصدیق وجود دارد.
  • کیفیت تحقیقات: کامل بودن، زمان بندی، بسته شدن.
  • قوانین نظارت پوشش سرعت/ساختار/قاطر.
  • بدون تست اوج خاموش: هیچ اطلاع رسانی مشتری در طول SAR.

شواهد: موارد SAR/STR، سیاهههای مربوط به بررسی تحریم، گزارش زمان بسته شدن پرونده.

CL-RG-03 - بازی مسئول

  • محدودیت/خود حذفی ثبت نام هماهنگ (ثبت نام/NAT. سیستم).
  • آسیب پذیری → تماس در SLA ؛ الگوهای ارتباطی.
  • اثربخشی مداخله اندازه گیری و تجزیه و تحلیل می شود.
  • تبلیغات/پاداش مطابق با محدودیت های بازار است.
  • حوادث RG و اطلاعیه ها به تنظیم کننده - در زمان.

شواهد: سیاهههای مربوط خود حذفی, کمونیست. الگوهای، معیارهای توسعه.

CL-PCI-04 - پرداخت/PCI

  • تقسیم بندی PCI و موجودی PAN/CHD به روز.
  • نشانه گذاری/رمزگذاری در حمل و نقل/در حالت استراحت ؛ کليدها دارند حفر ميشن.
  • نرخ Auth/کاهش/تاخیر توسط PSP در آستانه ؛ راه هاي برگشت.
  • روند بازپرداخت و پایه شواهد برای اختلافات.
  • آسیب پذیری از اسکن ASV در زمان ثابت شده است.
  • گزارش های دسترسی به منطقه پرداخت کامل و غیر قابل تغییر است.

شواهد: نمودار شبکه، گزارش ASV، موارد بازپرداخت، سیاست کلیدی KMS.

CL-GAMES-05 - ارائه دهندگان بازی/یکپارچگی

  • قراردادها و مشخصات فنی به روز هستند ؛ نسخه های RNG/build - در رجیستری.
  • RTP رانش نظارت و آستانه پاسخ ؛ فریز کردن به صورت روتین انجام می شود.
  • هماهنگ سازی تعادل دور/جلسه/کیف پول.
  • حوادث ارائه دهنده: جدول زمانی، ضبط، جبران بازیکن.
  • گزارش به یکپارچگی رگولاتور/RTP - ارسال و تایید شده است.

اثبات: آپلود RTP, گزارش API ارائه دهنده, نمونه هایی از بلیط یخ.

CL-REP-06 - گزارش نظارتی

  • تقویم مهلت: وضعیت آماده/ارسال/پذیرفته شده.
  • طرح داده ها نسخه می شوند ؛ فایل ها امضا شده اند/با هش ها.
  • آشتی: کیف پول ↔ PSP ↔ GL بدون اختلاف> X٪.
  • تقدیرنامه ها (شناسه/رسید) ذخیره می شوند و با مصنوعات مرتبط هستند.
  • محلی سازی/زبان ملاقات کرد.

شواهد: داشبورد مهلت، رسید، آشتی SQL.

CL-INC-07 - حوادث/اطلاعیه ها

  • TTS (اولین پیام) در SLA توسط S1/S2.
  • DPA/تنظیم کننده/PSP/CERT اطلاعیه - در زمان، با تایید.
  • کامل بودن مصنوعات: جدول زمانی، سیاهههای مربوط، پیام ها، لیست های آسیب دیده.
  • Retro ≤ 7 روز، CAPA ها ثبت شده و در حال حرکت هستند.
  • بازیکنان با توجه به سیاست جبران می شود.

شواهد: ورود به سیستم حادثه، صفحه وضعیت، بسته های مصنوعی.

💡 > CL-GDPR-08 - GDPR/PII
  • دفتر ثبت درمان (RoPA) تا به امروز ؛ دلایل قانونی درست است.
  • DSAR ها به ≤ 30 روز بسته می شوند ؛ تخلفات توضیح داده شده است.
  • DPIA ها برای فرآیندهای پر خطر طراحی شده اند.
  • Aliasing/masking در آپلود ها و گزارش ها.
  • قرارداد با پردازنده ها و SCC معتبر هستند.

شواهد: RoPA، مجله DSAR، DPIA، نمونه هایی از ماسک در گزارش ها.

CL-ITGC-09 - کنترل های عمومی فناوری اطلاعات

  • مدیریت تغییر: فرایند روابط عمومی، آزمون، مصوبات، جدایی از وظایف.
  • دسترسی: RBAC/ABAC، تجدید نظر دوره ای، خارج از شبانه روزی ≤ 24 ساعت.
  • پشتیبان گیری/بازیابی، تست های دوره ای DR
  • گزارش های حسابرسی غیر قابل تغییر هستند، نگهداری مشاهده می شود.
  • قابل مشاهده بودن: SLO/بودجه اشتباه، هشدار به معیارهای بحرانی.

شواهد: نمونه های PR، گزارش های IAM، گزارش های آزمون DR، سیاست های نگهداری.

6) نمونه برداری و روش شواهد

اندازه: تمرکز بر دامنه و خطر (به عنوان مثال،. دقیقه 25، pps/طبقه بندی برای آرایه های بزرگ).
روش ها: تصادفی، سیستماتیک، جهت (موارد غیر عادی/حاشیه ای)، توسط دوره های اوج.
کفایت: حداقل 2-3 منابع مستقل برای خروجی کلیدی (سیاهههای مربوط، تصاویر، آپلود، بلیط).
ردیابی: برای هر مورد چک لیست - اثبات با شناسه و لینک در ثبت نام.

7) rubricator رتبه بندی نقد و بررسی

موثر - کنترل طراحی شده و پایدار کار می کند، هیچ ناسازگاری S1/S2 وجود ندارد.
به طور کلی موثر (با پیشرفت) - S3/S4 وجود دارد، اما خطرات تحت کنترل هستند.
تا حدی موثر - سیستم S2 ؛ خطر باقی مانده بالا.

بی اثر - S1/set S2 ؛ نیاز به یک برنامه بهبودی فوری

8) پیگیری и CAPA

برای هر یافته: ریشه → عمل → مالک → مدت متریک موفقیت.
بسته شدن SLA: S1 - ≤ 30 روز ؛ S2 - ≤ 60 روز ؛ S3 - ≤ 90 روز ؛ S4 - با توافق.
تأیید: حسابرس شواهد اجرای (صفحه نمایش/سیاهههای مربوط/سیاست ها) را اعمال می کند، وضعیت را به تایید شده تغییر می دهد.
تشدید: S1/S2 تاخیر - به MR هفتگی، به کمیته حسابرسی سه ماهه.

9) مصنوعات کار (قالب)

9. 1 چک لیست (برگه چک)

«نقطه»'بله/نه/N/A'«نظرات»«جدی است»'Artifact (ID)'.

9. 2 پیدا کردن کارت

عنوان کد معیار واقعی خطر/تاثیر علت ریشه توصیه سطح S.

9. 3 ورق کاپا

Finding → Steps → Owner → Deadline → Metric/Threshold → Evidence → Status → تاریخ تأیید.

9. 4 لیست PBC (ارائه شده توسط مشتری)

پرس و جو → فرمت → منبع → مالک → مهلت → تاریخ دریافت → نظرات.

10) بررسی داشبورد

پوشش:٪ از فرآیندهای تحت پوشش بررسی در طول دوره.
یافته های شدت: توزیع S1-S4.

پیشرفت CAPA: تکمیل شده/در حال انجام/منقضی شده ؛ زمان بسته شدن متوسط

تکرار یافته ها: نسبت تکرار در 12 ماه

به موقع بودن: پایبندی به برنامه SA/PR/MR/IA.
روند اثربخشی: دینامیک رتبه بندی بر اساس منطقه.

11) تقویم و فرکانس

ماهانه: SA توسط KYC/پرداخت/DSAR GDPR، حوادث/اطلاعیه ها.
سه ماهه: PR توسط AML/RG/ارائه دهندگان/گزارش، MR برای همه جهات.
نیمه سالانه/سالانه: IA توسط منطقه پر خطر ؛ EAR قبل از گواهینامه ها/بازرسی ها.

12) چک کارت «شروع سریع» (7 امتیاز هر یک)

KYC (7 امتیاز): ارائه دهندگان سیاست/DPA صف SLA> SLA RBAC چشم پوشی/تشدید گزارش FP.
AML (7 امتیاز): لیست PEP/مهلت تحریم SAR کیفیت تحقیقات سرعت/ساختار بدون اوج خاموش آموزش KPI Caseboard.
RG (7 نقطه): ثبت/هماهنگ سازی اطلاعات تماس در SLA اثربخشی آگهی محدودیت شکایات حوادث گزارش به تنظیم کننده.
PCI (7 نقطه): تقسیم بندی کلید/ASV چرخش/آتشفشان دسترسی سیاهههای مربوط توکنیزه Chargebacks برگشت PSP.
بازی ها (7 نقطه): RTP-drift Freeze procedure حوادث ارائه دهنده همگام سازی تعادل نسخه های RNG/گزارش های یکپارچگی API SLA را ایجاد می کند.
گزارش (7 نقطه): تقویم طرح/نسخه امضا/هش آشتی زبان/محلی DQ رسید متریک.
حوادث (7 نقطه): اطلاعیه TTS در زمان کامل از مصنوعات جبران یکپارچهسازی با سیستمعامل کاپا داشبورد.

13) اشتباهات مکرر و چگونگی اجتناب از آنها

چک لیست بدون شواهد → همه موارد یک شناسه مصنوع نیاز.
ارزش گذاری بدون اهمیت → رفع آستانه در کارت چک لیست.
تکثیر SA/PR/IA → یک تقویم سازگار و یک ثبت درخواست واحد (PBC).
«Document centrism» بدون آزمون عملیاتی → همیشه یک نمونه از عملیات را.
CAPA بدون معیارها نتایج قابل اندازه گیری را مشخص می کند (به عنوان مثال، DSAR ≤ 30 روز ≥ 98٪).

14) برنامه اجرایی (30 روز)

1 هفته

1. روش و مقیاس رتبه بندی را تایید کنید.
2. ایجاد 8 چک لیست پایه (CL-KYC/AML/RG/PCI/GAMES/REP/INC/GDPR).
3. مصنوعات ثبت نام و قالب های PBC/Finding/CAPA.

2 هفته

4. خلبان SA را در 2 فرآیند و PR در 1 فرآیند انجام دهید.
5. داشبورد بررسی و ورود به سیستم CAPA را تنظیم کنید.
6. آموزش موضوع «شواهد و نمونه ها».

3 هفته

7. جلسه گوش در نزدیکی صدور گواهینامه/بازرسی.
8. موافقت با برنامه MR/IA برای سه ماهه.
9. آستانه مواد و اندازه نمونه را ثابت کنید.

4 هفته

10. v1 را آزاد کنید. 0 دایرکتوری چک لیست و کارت تقویم.
11. خلبان یکپارچهسازی با سیستمعامل، نسخه چک لیست به روز رسانی (v1. 1).
12. شامل بررسی در KPI های مالک فرآیند.

15) بخش های مرتبط

حسابرسی داخلی و حسابرسی خارجی

گزارش های نظارتی و فرمت های داده

اطلاعیه های نقض و مهلت گزارش

داشبورد انطباق و نظارت

کتاب های بازی و اسکریپت های حادثه

مدیریت بحران و ارتباطات

Contact

با ما در تماس باشید

برای هرگونه سؤال یا نیاز به پشتیبانی با ما ارتباط بگیرید.ما همیشه آماده کمک هستیم!

Telegram
@Gamble_GC
شروع یکپارچه‌سازی

ایمیل — اجباری است. تلگرام یا واتساپ — اختیاری.

نام شما اختیاری
ایمیل اختیاری
موضوع اختیاری
پیام اختیاری
Telegram اختیاری
@
اگر تلگرام را وارد کنید — علاوه بر ایمیل، در تلگرام هم پاسخ می‌دهیم.
WhatsApp اختیاری
فرمت: کد کشور و شماره (برای مثال، +98XXXXXXXXXX).

با فشردن این دکمه، با پردازش داده‌های خود موافقت می‌کنید.