حسابرسی داخلی و حسابرسی خارجی
1) هدف و منطقه
اطمینان از کنترل سیستماتیک، مستقل و قابل تکرار عملیات و فرآیندهای انطباق: انطباق با مجوزها/قوانین، قابلیت اطمینان گزارشگری مالی و عملیاتی، اثربخشی کنترل ریسک (KYC/AML/RG، GDPR/PII، پرداخت/PCI، صداقت بازی ها، امنیت اطلاعات، بازاریابی/وابسته، ارائه دهندگان). این بخش اصول، نقش ها، روش شناسی، برنامه نویسی چک، فرمت گزارش و روش برای بستن عدم انطباق را تعریف می کند.
2) اصول و «سه خط دفاع»
خط اول: صاحبان فرآیند (عملیات، پرداخت، ارائه دهندگان بازی، بازاریابی/وابسته، خدمات پشتیبانی) - مدیریت خطرات روزمره.
خط دوم: انطباق/ریسک/امنیت/DPO - سیاست ها، نظارت، مشاوره، اجرای.
خط سوم: حسابرسی داخلی (IA) - ارزیابی مستقل از کفایت و اثربخشی کنترل ؛ گزارش به هیئت نظارت/کمیته حسابرسی.
ممیزی خارجی (EA): اشخاص ثالث مستقل - گزارشگری مالی، صدور گواهینامه (ISO/SOC/PCI)، بازرسی های نظارتی.
اصول: استقلال، عینیت، شواهد، محرمانه بودن، تمرکز بر خطرات و ارزش ها، شفافیت و ردیابی.
3) IA در مقابل EA تعهدی
4) نقش ها و RACI
رئیس حسابرسی داخلی (IA سرب) - استراتژی، استقلال، برنامه/گزارش. (الف)
حسابرسان داخلی - چک های میدانی، اسناد کار، نتیجه گیری. (R)
صاحبان فرآیند (خط اول) - ارائه داده ها/مصنوعات، CAPA. (R)
انطباق/InfoSec/AML/RG (خط 2) - شرکت حسابرسی، متدولوژیست ها. (C/R)
CFO/کنترل کننده - مدار مالی، GL، آشتی. (ج)
حقوقی/DPO - تفسیر هنجارها، PII و حفظ. (ج)
کمیته حسابرسی - طرح IA را تصویب می کند، گزارش ها را می پذیرد، استقلال را کنترل می کند. (الف)
حسابرسان خارجی/ارزیابان - انجام EA ؛ دسترسی به مصنوعات توسط NDA. (قرارداد I/R)
5) برنامه حسابرسی سالانه
1. ثبت ریسک: احتمال × تاثیر (امور مالی/GGR، مجوز، شهرت، ایمنی بازیکن).
2. نقشه فرآیند: پرداخت/PSP، کیف پول، KYC/AML/KYB، RG، ارائه دهندگان بازی/RTP، بازاریابی/وابسته، امنیت اطلاعات/GDPR، حوادث/اطلاعیه ها، گزارش های نظارتی.
3. ماتریس اولویت: بالا/متوسط/پایین → فرکانس (سه ماهه/نیم سال/سال).
4. محدوده: اهداف، معیارها، رویه ها، نمونه ها، منابع، جدول زمانی، وابستگی ها.
5. تصویب: کمیته حسابرسی برنامه سالانه را تصویب می کند ؛ امکان وقوع حوادث S1/S2
6) روش شناسی: مراحل حسابرسی
A. برنامه ریزی: درخواست سند، درک فرآیند، ارزیابی طراحی کنترل، ارزیابی ریسک، برنامه تست.
B. کار میدانی: مصاحبه ها، پیاده روی، تست های طراحی/پاسخگویی، روش های تحلیلی، بازرسی مصنوعات، نمونه برداری.
C. نتیجه گیری و رتبه بندی: مقایسه حقایق با معیارها ؛ طبقه بندی یافته ها
D. گزارش: پیش نویس → تصویب حقایق → نهایی → ارائه به مدیریت/کمیته.
E. CAPA و پیگیری: برنامه اقدام اصلاحی/پیشگیرانه، پیگیری، تأیید.
7) شواهد و نمونه ها
انواع شواهد: مستند (سیاست ها، سیاهههای مربوط، بلیط)، فیزیکی (تصاویر، تنظیمات)، شفاهی (مصاحبه ها)، تحلیلی (آشتی، روند).
کیفیت: کفایت (حجم)، ارتباط، اعتبار (منبع).
نمونه ها: تصادفی، سیستماتیک، کارگردانی (مبتنی بر ریسک)، توسط ناهنجاری ها ؛ اندازه توسط خطر و حجم جمعیت عمومی تعیین می شود.
ردیابی: هر خروجی با یک آزمون همراه است، آزمون با شواهد (شناسه منحصر به فرد) ؛ «شمارهگذاری مستمر»
8) طبقه بندی عدم انطباق و رتبه بندی
بحرانی (S1): خطر مجوز/قانون/آسیب مالی قابل توجه/PII نقض. اقدام فوری مورد نیاز، گزارش به کمیته/شورا.
بالا (S2): نقص کنترل قابل توجه ؛ SLA کوتاه برای تعمیر.
متوسط (S3): نقص محدود ؛ برنامه تنظیم.
کم (S4): بهبود/مشاهدات (بهینه سازی).
رتبه بندی فرآیند حسابرسی: موثر/به طور کلی موثر با بهبود/تا حدی موثر/بی اثر است.
9) اسناد کار و نگهداری
مقالات کار: برنامه، چک لیست، نمونه، پروتکل مصاحبه، شواهد، محاسبات، نتیجه گیری.
استانداردهای پیش نویس: فهرست، نسخه، مالک، تاریخ، لینک به مصنوعات، کنترل تغییر.
حریم خصوصی و PII: دسترسی RBAC، ذخیره سازی رمزگذاری شده، پوشش حساس زمینه.
دوره نگهداری: توسط سیاست (معمولا 5-7 سال) و یا طولانی تر اگر مجوز/تنظیم کننده ها نیاز دارند.
10) بررسی موضوعات (کاتالوگ IA)
1. پرداخت/PSP/PCI: auth/کاهش/بازپرداخت، PAN aliasing، سیاهههای مربوط به دسترسی، رجیستری فروشنده.
2. KYC/AML/KYB: کامل بودن و دقت KYC، PEP/تحریم ها، زمان بندی SAR/STR، کیفیت تحقیقات، مدیریت پرونده.
3. بازی مسئولانه (RG): محدودیت/خود حذفی، روش تماس، اثربخشی مداخلات، محدودیت های تبلیغاتی.
4. GDPR/PII/DPO: رجیستری پردازش، DSAR، حوادث حریم خصوصی، قراردادهای پردازنده.
5. ارائه دهندگان بازی/صداقت: رانش RTP، حوادث دور، هماهنگ سازی تعادل، RNG/ساخت نسخه.
6. بازاریابی/شرکت های وابسته: انطباق با محدودیت های خلاق/هدفمند, انتساب, قرارداد, پرداخت.
7. فرآیندهای حادثه: زمان به برنامه (TTS)، به موقع بودن اطلاعیه ها به تنظیم کننده ها، کامل بودن مصنوعات.
8. گزارش نظارتی: طرح ها، مهلت ها، DQ، آشتی با GL/PSP.
9. کنترل فناوری اطلاعات/امنیت اطلاعات: دسترسی، SOD، تغییرات/انتشار، سیاهههای مربوط به ممیزی، پشتیبان گیری، تمرینات DR/BCP.
11) قالب گزارش IA (قالب)
خلاصه اجرایی: محدوده، اهداف، رتبه بندی، یافته های کلیدی و ریسک.
زمینه: فرآیند/سیستم/حوزه های قضایی، دوره، الزامات قابل اجرا.
محدودیت ها و محدودیت ها (در صورت وجود)
نتیجه گیری دقیق در مورد اولویت: واقعیت → معیار → ریسک → توصیه ها
جدول CAPA - مالک، مراحل، جدول زمانی، معیارهای موفقیت
ضمائم: نمونه ها، نمودارها، ثبت مدارک، واژه نامه.
12) تعامل با حسابرسی خارجی (EA)
گزارشگری مالی: تهیه GL، آشتی، تأیید از PSP/بانک ها/ارائه دهندگان، نامه های مدیریت.
گواهینامه ها/ارزیابی انطباق: ISO 27001/9001، SOC 2، PCI DSS، بازرسی های نظارتی صنعت.
نقش های IA: پیش ارزیابی (تجزیه و تحلیل شکاف)، پشتیبانی پرس و جو، شتاب CAPA، اجتناب از تکرار.
شفافیت: یک ویترین واحد از مصنوعات، یک تقویم بازدید، قوانین دسترسی، NDA.
ارتباطات: به طور منظم ایستاده «آمادگی EA»، نقطه ورود - هماهنگ کننده حسابرسی.
13) CAPA و پیگیری
طرح CAPA: مراحل خاص، متریک، مالک، مدت، سیستم های وابسته/تیم.
تایید: شواهد اجرای (صفحه نمایش، سیاهههای مربوط، سیاست ها، نتایج آزمون)، تاریخ، حسابرس مسئول.
تشدید: S1/S2 - به روز رسانی اجباری به کمیته ؛ تاخیر - «منطقه قرمز» داشبورد.
تغییر در ارزیابی ریسک: پس از یک CAPA موفق - بررسی ریسک باقی مانده و فرکانس بازرسی
14) داشبورد حسابرسی (کنترل مدیریت)
وضعیت برنامه:٪ تکمیل توسط سه ماهه و جهت.
نمونه کارها یافته ها: با شدت و بزهکاری.
پیشرفت CAPA: تکمیل شده/در حال پیشرفت/منقضی شده، زمان بسته شدن متوسط.
نقشه حرارت فرآیند: خطر/اثربخشی کنترل قبل/بعد از CAPA.
تشخیص های قابل تکرار: نشان دهنده مشکلات سیستم است.
15) الزامات اخلاقی و استقلال
تعارض منافع: حسابرسان فعالیتهای قبلی خود را ≤ 12 ماه حسابرسی نمیکنند. اعلام تعارض
دسترسی به داده ها: فقط بر اساس اصل «حداقل لازم» ؛ ممنوعیت کپی PII شخصی.
ارتباطات: زبان خنثی، بدون لحن «اتهام» ؛ حقایق قبل از تفسیر
16) چک لیست
شروع حسابرسی
- تعریف اهداف/معیارها/مرزها.
- مصنوعات درخواست شده و دریافت شده، فرمت/زمان بندی توافق شده است.
- استقلال تأیید شد، هیچ درگیری وجود ندارد.
- برنامه تست و نمونه گیری تایید شده است.
مرحله میدانی
- پیاده روی و مصاحبه های کلیدی انجام شده است.
- طراحی و تست بهره وری عملیاتی.
- شواهد ثبت نام با ID/لینک تشکیل شده است.
- مختصر متوسط به صاحبان پردازش (بدون شگفتی در نهایی).
گزارش و کاپا
- حقایق توافق شده، نقاط اختلاف حل شده است.
- نتیجه گیری طبقه بندی شده (S1-S4)، خطر/تاثیر ارزیابی شده است.
- طرح CAPA با صاحبان و تاریخ تایید شده است.
- تاریخ پیگیری در تقویم ذکر شده است.
17) الگوهای مصنوعی (درج سریع)
لیست درخواست (PBC): لیست اسناد/آپلود/دسترسی با مهلت.
برگه تست: کنترل → روش → نمونه → نتیجه → اثبات → نتیجه گیری.
پیدا کردن کارت: کد، عنوان، شرح، خطر، تاثیر، علت ریشه، توصیه، سطح S، مالک، مدت.
ورق CAPA: گام، متریک، مصنوعات تایید، تاریخ، بررسی شده است.
18) اشتباهات مکرر و چگونگی اجتناب از آنها
نقش ترکیبی IA و خط دوم استقلال را مختل می کند. تصمیم گیری: IA به طور مستقیم به کمیته گزارش می دهد.
ردیابی ناکافی شواهد، حفاظت ضعیف از نتیجه گیری راه حل: ثبت نام تک و شماره.
«شکار عدم انطباق» به جای ارزیابی ریسک و ارزش راه حل: تمرکز و اولویت بندی ریسک.
اضافه بار CAPA بدون منابع → تاخیر راه حل: اهداف SMART و محدودیت WIP.
نادیده گرفتن داده های کیفیت/تازگی هنگام بررسی گزارش. راه حل: چک لیست DQ.
19) شروع سریع (اجرای 30 روزه)
هفته 1: تصویب منشور IA (حکم/پاسخگویی)، انجام ارزیابی ریسک، پیش نویس برنامه سالانه.
هفته 2: ایجاد قالب (PBC، ورق تست/پیدا کردن/CAPA)، راه اندازی یک ثبت نام از شواهد و داشبورد وضعیت.
هفته 3: انجام 2 «فرم کوتاه» ممیزی خلبان (به عنوان مثال PSP/PCI و RG/DSAR)، گزارش، ثبت نام CAPAs.
هفته 4: پیگیری خلبانان، تنظیم روش، ارائه برنامه سالانه برای تصویب توسط کمیته، موافقت با برنامه ممیزی/گواهینامه های خارجی.
- گزارش های نظارتی و فرمت های داده
- اطلاعیه های نقض و مهلت گزارش
- داشبورد انطباق و نظارت
- کتاب های بازی و اسکریپت های حادثه
- مدیریت بحران و ارتباطات
- برنامه تداوم کسب و کار (BCP )/DRP
- گزارش های حسابرسی معاملات