GH GambleHub

Chèques d'audit et revues

1) Destination

Créer un catalogue unique de chèques et de règles de rhubarbe pour les opérations et Complaens, qui fournit :
  • la comparabilité des contrôles entre les équipes et les périodes ;
  • l'exhaustivité et la preuve des résultats ;
  • gestion transparente des corrections (CAPA) et des revérifications.

2) Rôles et RACI

Owner : Head of Compliance/Head of Internal Audit - méthodologie, versions chèques. (A)

Process Owners (1re ligne) : self-assessment, artefacts, CAPA. (R)

Conformité/InfoSec/AML/RG (ligne 2) : peer-review, co-audits, interprétation des normes. (R/C)

Audit interne (3ème ligne) : revues indépendantes, classements, follow-up. (R)

Gestion (Exec Sponsor) : approbation des conclusions et des ressources de l'APCA. (A/C)

3) Types de rhubarbe

1. Self-Assessment (SA) : mensuellement/trimestriellement par les propriétaires de processus sur les chèques courts.
2. Peer-Review (PR) : vérification croisée par une équipe voisine (pas de conflit d'intérêts).
3. Examen de la gestion (RM) : une fois par trimestre est un examen des indicateurs clés/KRI, des tendances et des APA non couverts.
4. Examen de l'audit interne (AI) : vérification indépendante selon le plan de l'AI.
5. Lecture externe (EAR) : préparation aux certifications/inspections (ISO/SOC/PCI/régulateur).

4) Règles générales de tcheklist

Chaque checklist a un code, une version, un propriétaire, une zone et des sections obligatoires : 

ID: CL- <code >/Version: v <MAJOR. MINOR >/Owner: <role>
Область: <KYC/AML/RG, GDPR/PII, Payments/PCI, Games/Providers, Reporting, Incidents...>
Frequency: M     Q      Ad-hoc
Material: <criteria for High/Medium/Low>
Sampling: <method and size>
Evidence: <list of files/screenshots/logs>
Question List: [X] Yes [] No [] N/A + Comment + Artifact + Severity
Bottom line: Score/Rating/CAPA
Système d'évaluation (recommandé) :
  • Fully Met (100–90%) / Largely Met (89–75%) / Partially Met (74–50%) / Not Met (<50%).
  • Severity des incohérences : S1 critique/S2 élevé/S3 moyen/S4 faible.
  • Matérialité : effet monétaire (GGR/NGR), couverture client/PII, risque de licence/pénalité, impact sur l'honnêteté des jeux.

5) Catalogue de chèques (squelettes avec points de contrôle)

CL-KYC-01 — KYC/KYB

  • Les politiques et les niveaux de vérification sont approuvés et à jour.
  • Les fournisseurs KYC ont des contrats/DPA en vigueur.
  • Les SLA de vérification sont respectées (métrique D-1).
  • Les documents sont conservés en fonction de la rétention ; accès - RBAC.
  • Les refus/escalade sont documentés ; la part de FP dans la normale.
  • KYB pour les partenaires : relevés actualisés/bénéficiaires.

Preuve : déchargement des statuts KYC, registre DPA, journal d'accès, sample de 25 cas.

CL-AML-02 — AML/CFT

  • Mise à jour de la politique de la LMA et de la méthode d'évaluation des risques.
  • Contrôles RRE/Sanctions sur l'utilisation de l'eau et périodiquement.
  • Les SAR/STR sont envoyés dans les délais ; il y a des confirmations d'admission.
  • Qualité des enquêtes : exhaustivité, timing, fermeture.
  • Les règles de surveillance couvrent la velocité/structuration/mules.
  • Test « no tipping-off » : il n'y a pas de notification aux clients en SAR.

Preuve : cas SAR/STR, dossiers de vérification des sanctions, rapports sur l'heure de clôture des dossiers.

CL-RG-03 - Jeu responsable

  • Le registre des limites/auto-exceptions est synchronisé (registre/nac. système).
  • Déclencheurs de vulnérabilité → contact dans l'ALS ; modèles de communication.
  • L'efficacité des interventions est mesurée et analysée.
  • La publicité/les bonus correspondent aux contraintes du marché.
  • Incidents RG et avis à l'organisme de réglementation - dans les délais.

Preuve : logs self-exclusion, communale. modèles, métriques d'outreach.

CL-PCI-04 - Paiements/PCI

  • La segmentation PCI et l'inventaire PAN/CHD sont à jour.
  • Tokenization/cryptage en transit/at-rest ; les clés tournent.
  • Taux auth/decline/latency par PSP dans les seuils ; les itinéraires fallback.
  • Processus de chargeback et base de données probantes pour les disputes.
  • Les vulnérabilités des scans ASV ont été corrigées à temps.
  • Journaux d'accès à la zone de paiement - complets et immuables.

Preuve : diagrammes réseau, rapports ASV, cas chargebacks, politique clé de KMS.

CL-GAMES-05 - Fournisseurs de jeux/honnêteté

  • Contrats et techniques. les spécifications sont à jour ; les versions RNG/bilds sont dans le registre.
  • Surveillance RTP-drift et seuils de réaction ; freeze est fixé procéduralement.
  • Synchronisation des soldes round/session/portefeuille.
  • Incidents du fournisseur : temporisation, fixation, indemnisation des joueurs.
  • Rapports au régulateur de l'honnêteté/RTP - remis et confirmé.

Preuve : déchargement RTP, logs API du fournisseur, exemples de freeze-tickets.

CL-REP-06 - Rapports réglementaires

  • Calendrier de la date limite : statuts « prêts/envoyés/acceptés ».
  • Les schémas de données sont versionnés ; les fichiers sont signés/avec des hachages.
  • Reconnaissance : Portefeuille ↔ PSP ↔ GL sans divergence> X %.
  • Les preuves d'acceptation (ID/reçus) sont conservées et associées aux artefacts.
  • Localisation/langue respectée.

Preuve : dashboard deadline, reçus, rapprochement SQL.

CL-INC-07 - Incidents/notifications

  • TTS (premier message) dans SLA par S1/S2.
  • Avis aux DPA/régulateurs/PSP/CERT - dans les délais, avec confirmation.
  • Exhaustivité des artefacts : timing, logs, messages, listes affectées.
  • Rétro ≤ 7 jours, les CAPA sont enregistrés et se déplacent.
  • La rémunération des joueurs est calculée selon la politique.

Preuves : journal des incidents, page de statut, paquets d'artefacts.

CL-GDPR-08 — GDPR/PII

  • Le registre des traitements (RoPA) est à jour ; les fondements juridiques sont corrects.
  • Les DSAR sont fermés ≤ 30 jours ; les retards sont expliqués.
  • DPIA sont conçus pour les processus à haut risque.
  • Pseudonyme/masquage lors des décharges et des rapports.
  • Les contrats avec les transformateurs et le CCN sont en vigueur.

Preuve : RoPA, journal DSAR, DPIA, exemples de masques dans les rapports.

CL-ITGC-09 - Contrôles informatiques généraux

  • Gestion du changement : processus PR, tests, approvals, séparation des duties.
  • Accès : RBAC/ABAC, audit périodique, off-boarding, 24 h ≤
  • Sauvegarde/restauration, tests périodiques DR.
  • Les logs d'audit sont immuables, la rétention est respectée.
  • Observabilité : SLO/budgets erronés, alertes sur les métriques critiques.

Preuve : échantillons de PR, logs IAM, rapports de tests RD, politiques de rétroaction.

6) Méthodologie des échantillons et des preuves

Taille : se concentrer sur le volume des opérations et le risque (par exemple, min 25, pps/stratification pour les grandes baies).
Méthodes : aléatoires, systématiques, dirigées (anomalies/cas marginaux), par périodes de pics.
Suffisance : au moins 2 à 3 sources indépendantes par sortie clé (logs, captures d'écran, décharges, tiquets).
Traçabilité : chaque article du chéquiste est une preuve avec ID et référence dans le registre.

7) Rubricateur de notation par rhubarbe

Efficace - le contrôle est conçu et fonctionne de manière stable, il n'y a pas S1/S2 incohérence.
L'efficacité généralisée (avec des améliorations) - il y a des S3/S4, mais les risques sont sous contrôle.
Partially Effective - système S2 ; risque résiduel élevé.
Ineffective - S1/pluralité de S2 ; un plan de relance immédiat est nécessaire.

8) CAPA и follow-up

Pour chaque finding : racine → action → propriétaire → durée → métrique du succès.
SLA de fermeture : S1 - ≤ 30 jours ; S2 - ≤ 60 jours ; S3 - ≤ 90 jours ; S4 - par accord.
Vérification : le vérificateur applique des preuves de mise en œuvre (contrôles/logs/politiques), change le statut en Verified.
Escalade : arriérés de S1/S2 - au MR hebdomadaire, au comité de vérification trimestriel.

9) artefacts de travail (modèles)

9. 1 Chéquiste (feuille de vérification)

« Paragraphe »« Oui/Non/N/A »'Commentaire '`Severity`« Artefact (ID) ».

9. 2 Finding Card

Code Titre Fait Critère Risque/impact Cause (cause) Recommandation Niveau S.

9. 3 CAPA Sheet

Finding → Étapes → Propriétaire → Durée → Métrique/seuil → Preuve → Statut → Date de vérification.

9. 4 feuilles PBC (Lived By Client)

Demande → Format → Source → Responsable → Daedline → Reçu (date) → Commentaires.

10) Dashboard rhubarbe

Coverage :% des processus couverts par la rhubarbe par période.
Findings by Severity : distribution de S1-S4.
CAPA Progress : terminé/en cours/en retard ; l'heure médiane de fermeture.
Repeat Findings : proportion de répétitions pour 12 mois.
Le respect du calendrier SA/PR/MR/IA.
Effectiveness Trend : dynamique des classements par domaine.

11) Calendrier et fréquences

Monthly : SA par KYC/Payments/GDPR DSAR, incidents/notifications.
Quarterly : PR par AML/RG/Providers/Reporting, MR pour toutes les destinations.
Semi-Annual/Annual : IA par zone à haut risque ; EAR avant les certifications/inspections.

12) Chèques-cartes « Démarrage rapide » (7 points chacun)

KYC (7-point) : Politique Fournisseurs/DPA SLA Files d'attente> SLA RBAC Refus/escalade Rapport FP.
AML (7-point) : Listes RER/Sanctions SAR Timing Qualité des enquêtes Velocity/Structuring No tipping-off Formations Caseboard KPI.
RG (7-point) : Registre/Synchronisation Contacts dans l'ALS Efficacité Restrictions de la publicité Plaintes Incidents Rapports au régulateur.
PCI (7-point) : Segmentation Clés/rotation ASV/Wolnes Journaux d'accès Tokenization Chargebacks Fallback PSP.
Jeux (7-point) : RTP-drift Freeze Procédure Balance-synchronisation Incidents du fournisseur Versions RNG/bilds Rapports d'honnêteté de l'API SLA.
Reporting (7-point) : Calendrier Schémas/versions Signature/hachage Reconnaissance Langue/local Reçus métriques DQ.
Incidents (7-point) : Avis TTS dans les délais Exhaustivité des artefacts Compensation Rétro CAPA Dushbord.

13) Erreurs fréquentes et comment les éviter

Les chèques sans preuve → tous les points exigeront un artefact ID.
L'évaluation sans matérialité → fixer les seuils dans la carte chéquiste.
Duplication de SA/PR/IA → calendrier harmonisé et registre unique des demandes (PBC).
« Documentocentrisme » sans tests d'exploitation → toujours prendre un échantillon d'opérations.
CAPA sans métriques → fournir des résultats mesurables (p. ex. DSAR ≤ 30 jours ≥ 98 %).

14) Plan de mise en oeuvre (30 jours)

Semaine 1

1. Approuver la méthodologie et les barèmes de notation.
2. Créer 8 chèques de base (CL-KYC/AML/RG/PCI/GAMES/REP/INC/GDPR).
3. Créer un registre d'artefacts et des modèles PBC/Finding/CAPA.

Semaine 2

4. Effectuer un pilote SA en 2 processus et un PR en 1 processus.
5. Configurer le dashboard rhubarbe et le journal CAPA.
6. Donner une formation sur les « preuves et les échantillons ».

Semaine 3

7. Session EAR sur la certification/inspection la plus proche.
8. Convenir d'un calendrier MR/IA pour le trimestre.
9. Fixer les seuils de matérialité et les dimensions des échantillons.

Semaine 4

10. Libérer le v1. 0 catalogue de chèques et carte de calendrier.
11. Effectuer un rétro pilote, mettre à jour les versions des chèques (v1. 1).
12. Inclure la rhubarbe dans le KPI des propriétaires de processus.

15) Sections connexes

Audit interne et audit externe

Rapports réglementaires et formats de données

Notifications d'irrégularités et délais de déclaration

Dashboard Complaens et surveillance

Pleybooks et scénarios d'incidents

Gestion de crise et communication

Contact

Prendre contact

Contactez-nous pour toute question ou demande d’assistance.Nous sommes toujours prêts à vous aider !

Telegram
@Gamble_GC
Commencer l’intégration

L’Email est obligatoire. Telegram ou WhatsApp — optionnels.

Votre nom optionnel
Email optionnel
Objet optionnel
Message optionnel
Telegram optionnel
@
Si vous indiquez Telegram — nous vous répondrons aussi là-bas.
WhatsApp optionnel
Format : +code pays et numéro (ex. +33XXXXXXXXX).

En cliquant sur ce bouton, vous acceptez le traitement de vos données.