ऑडिट चेकलिस्ट और समीक्षा
1) उद्देश्य
संचालन और अनुपालन के लिए एक एकल चेकलिस्ट और समीक्षा नियम सूची बनाएं जो सुनिश्चित करता है:- टीमों और अवधि के बीच जांच की तुलना;
- परिणामों की पूर्णता और प्रमाण;
- पैच (CAPA) का पारदर्शी प्रबंधन और पुनः जाँच
2) भूमिकाएँ और आरएसीआई
मालिक: अनुपालन के प्रमुख/आंतरिक लेखा परीक्षा के प्रमुख - कार्यप्रणाली, चेकलिस्ट के संस्करण। (ए)
प्रक्रिया मालिक (पहली पंक्ति): आत्म-मूल्यांकन, कलाकृतियाँ, CAPA। (आर)
अनुपालन/InfoSec/AML/RG (दूसरी पंक्ति): सहकर्मी-समीक्षा, सह-ऑडिट, मानदंडों की व्याख्या। (आर/सी)
आंतरिक लेखा परीक्षा (तीसरी पंक्ति): स्वतंत्र समीक्षा, रेटिंग, अनुवर्ती। (आर)
प्रबंधन (Exec प्रायोजक) -Approval आउटपुट और CAPAs के लिए संसाधन। (ए/सी)
3) समीक्षा के प्रकार
1. स्व-मूल्यांकन (एसए): लघु चेकलिस्ट के लिए प्रक्रिया मालिकों द्वारा मासिक/त्रैमासिक।
2. सहकर्मी-समीक्षा (पीआर): एक पड़ोसी टीम द्वारा क्रॉस-चेकिंग (हितों का कोई टकराव नहीं)।
3. प्रबंधन समीक्षा (एमआर): केपीआई/केआरआई की त्रैमासिक समीक्षा, रुझान और खुले सीएपीए।
4. आंतरिक लेखा परीक्षा समीक्षा (आईए): आईए योजना स्वतंत्र समीक्षा।
5. बाहरी लेखा परीक्षा तत्परता (ईएआर): प्रमाणपत्र/निरीक्षण (आईएसओ/एसओसी/पीसीआई/नियामक) की तैयारी।
4) चेकलिस्ट के सामान्य नियम
प्रत्येक चेकलिस्ट में एक कोड, संस्करण, स्वामी, गुंजाइश और आवश्यक अनुभाग होते हैं:
ID: CL- <code >/Version: v <MAJOR. MINOR >/Owner: <role>
Область: <KYC/AML/RG, GDPR/PII, Payments/PCI, Games/Providers, Reporting, Incidents...>
Frequency: M Q Ad-hoc
Material: <criteria for High/Medium/Low>
Sampling: <method and size>
Evidence: <list of files/screenshots/logs>
Question List: [X] Yes [] No [] N/A + Comment + Artifact + Severity
Bottom line: Score/Rating/CAPA- पूरी तरह से मेट (100-90% )/मोटे तौर पर मेट (89-75% )/आंशिक रूप से मेट (74-50% )/नॉट मेट (<50%)।
- विसंगतियों की गंभीरता: S1 critical/S2 high/S3 medium/S4 कम।
- भौतिकता: मौद्रिक प्रभाव (जीजीआर/एनजीआर), ग्राहक कवरेज/पीआईआई, लाइसेंस/दंड जोखिम, खेल अखंडता पर प्रभाव।
5) चेकलिस्ट कैटलॉग (चौकियों के साथ कंकाल)
CL-KYC-01 - KYC/KYB
- नीतियां और समीक्षा स्तर अनुमोदित और अद्यतित हैं।
- केवाईसी प्रदाताओं के पास मौजूदा अनुबंध/डीपीए हैं।
- सत्यापन एसएलए मिलते हैं (डी -1 मीट्रिक)।
- प्रतिधारण के अनुसार दस्तावेज संग्रहीत हैं; पहुंच - RBAC।
- विफलताओं/वृद्धि प्रलेखित; फारवर्ड प्रेस का अनुपात सामान्य है।
- भागीदारों के लिए KYB: वर्तमान बयान/लाभार्थी।
साक्ष्य: केवाईसी स्थिति अपलोड, डीपीए रजिस्ट्री, एक्सेस लॉग, 25 मामलों का नमूना।
CL-AML-02 - एएमएल/सीएफटी
- अपडेटेड एएमएल नीति और जोखिम स्कोरिंग कार्यप्रणाली।
- ऑन-बोर्डिंग PEP/स्वीकृति जांच और समय-समय पर।
- एसएआर/एसटीआर समय पर भेजे जाते हैं; पावती हैं।
- जांच की गुणवत्ता: पूर्णता, समय, बंद।
- निगरानी नियम वेग/संरचना/खच्चरों को कवर करते हैं।
- कोई टिपिंग-ऑफ परीक्षण नहीं: एसएआर के दौरान कोई ग्राहक अधिसूचना नहीं।
साक्ष्य: एसएआर/एसटीआर मामले, स्वीकृति जांच लॉग, मामला बंद समय रिपोर्ट।
CL-RG-03 - जिम्मेदार नाटक
- सीमा/स्व बहिष्करण रजिस्टर तुल्यकालित (रजिस्टर/नट। सिस्टम)।
- भेद्यता ट्रिगर करती है - एसएलए में संपर्क; संचार टेम्पलेट।
- हस्तक्षेप प्रभावशीलता को मापा और विश्लेषण किया जाता है।
- विज्ञापन/बोनस बाजार की बाधाओं को पूरा करते हैं।
- आरजी की घटनाएं और नियामक को सूचनाएं - समय पर।
साक्ष्य: स्व-बहिष्करण लॉग, कम्युनिस्ट। पैटर्न, आउटरीच मेट्रिक्स।
CL-PCI-04 - भुगतान/पीसीआई
- पीसीआई विभाजन और पैन/सीएचडी सूची आज तक।
- टोकेनाइजेशन/एन्क्रिप्शन इन ट्रांजिट/एट-रेस्ट; चाबियाँ खुदाई कर रहे हैं।
- थ्रेसहोल्ड में PSP द्वारा आत्म-दर/गिरावट/विलंबता; फॉलबैक मार्ग।
- चार्जबैक प्रक्रिया और विवादों के लिए सबूत आधार।
- एएसवी स्कैन से कमजोरियां समय पर तय की गई हैं।
- भुगतान क्षेत्र पहुंच लॉग पूर्ण और अपरिवर्तनीय हैं।
साक्ष्य: नेटवर्क चार्ट, एएसवी रिपोर्ट, चार्जबैक मामले, प्रमुख केएमएस नीति।
CL-GAMES-05 - खेल प्रदाता/अखंडता
- अनुबंध और तकनीकी विनिर्देश अद्यतित हैं; RNG/बिल्ड संस्करण - रजिस्ट्री में।
- आरटीपी-बहाव निगरानी और प्रतिक्रिया थ्रेसहोल्ड; फ्रीज प्रक्रियात्मक रूप से तय किया गया है।
- राउंड/सेशन/वॉलेट बैलेंस को सिंक्रनाइज़करना।
- प्रदाता घटनाएँ: समयरेखा, कब्जा, खिलाड़ी मुआवजा।
- अखंडता नियामक/आरटीपी को रिपोर्ट - प्रस्तुत और पुष्टि की गई।
प्रमाण: आरटीपी अपलोड, प्रदाता एपीआई लॉग, फ्रीज टिकट के उदाहरण।
नियामक रिपोर्टिंग
- डेडलाइन कैलेंडर: तैयार/भेजा/स्वीकृत स्थिति।
- डेटा स्कीमा बहुत लंबवत हैं; फ़ाइलों पर हस्ताक्षर/हैश के साथ।
- सुलह: पर्स ↔ PSP ↔ GL कोई विसंगति नहीं> X%।
- पावती (आईडी/रसीदें) संग्रहीत और कलाकृतियों के साथ जुड़ी हुई हैं।
- स्थानीयकरण/भाषा मिली।
साक्ष्य: डेडलाइन डैशबोर्ड, रसीदें, एसक्यूएल सामंजस्य।
CL-INC-07 - घटनाएँ/सूचनाएँ
- SLA द्वारा TTS (पहला संदेश)।
- डीपीए/नियामक/पीएसपी/सीईआरटी सूचनाएं - समय पर, पुष्टि के साथ।
- कलाकृतियों की पूर्णता: समयरेखा, लॉग, संदेश, प्रभावित सूची।
- रेट्रो ≤ 7 दिन, CAPAs पंजीकृत और चलते हैं।
- खिलाड़ियों को नीति के अनुसार मुआवजा दिया जाता है।
साक्ष्य: घटना लॉग, स्थिति पृष्ठ, कलाकृति पैकेज।
CL-GDPR-08 - जीडीपीआर/पीआईआई
- उपचार रजिस्ट्री (RoPA) अप-टू-डेट; कानूनी आधार सही हैं।
- DSAR बंद हैं ≤ 30 दिन; delinquences समझाया।
- डीपीआईए उच्च जोखिम वाली प्रक्रियाओं के लिए डिज़ाइन किए गए हैं।
- अपलोड और रिपोर्ट में अलियासिंग/मास्किंग।
- प्रोसेसर और एससीसी के साथ अनुबंध मान्य हैं।
साक्ष्य: RoPA, DSAR जर्नल, DPIA, रिपोर्ट में मुखौटे के उदाहरण।
CL-ITGC-09 - सामान्य आईटी नियंत्रण
- परिवर्तन प्रबंधन: पीआर प्रक्रिया, परीक्षण, अनुमोदन, कर्तव्यों का अलगाव।
- एक्सेस: आरबीएसी/एबीएसी, आवधिक संशोधन, ऑफ-बोर्डिंग ≤ 24 घंटे।
- बैकअप/रिस्टोर, डीआर आवधिक परीक्षण
- ऑडिट लॉग अपरिवर्तनीय हैं, प्रतिधारण देखा जाता है।
- अवलोकन: SLO/गलत बजट, महत्वपूर्ण मेट्रिक्स के लिए अलर्ट।
साक्ष्य: पीआर नमूने, आईएएम लॉग, डीआर परीक्षण रिपोर्ट, प्रतिधारण नीतियां।
6) नमूना और साक्ष्य पद्धति
आकार: गुंजाइश और जोखिम पर ध्यान केंद्रित करें (जैसे। न्यूनतम 25, बड़े सरणियों के लिए पीपीएस/स्तरीकरण)।
तरीके: पीक पीरियड्स द्वारा यादृच्छिक, व्यवस्थित, दिशात्मक (विसंगतियां/सीमांत मामले)।
पर्याप्तता: प्रमुख आउटपुट (लॉग, स्क्रीनशॉट, अपलोड, टिकट) के लिए कम से कम 2-3 स्वतंत्र स्रोत।
ट्रेसिबिलिटी: प्रत्येक चेकलिस्ट आइटम के लिए - आईडी के साथ प्रूफ और रजिस्टर में लिंक।
7) समीक्षा रेटिंग रूब्रिकेटर
प्रभावी - नियंत्रण डिजाइन किया गया है और स्थिर रूप से काम करता है, कोई विसंगति नहीं है।
आम तौर पर प्रभावी (सुधार के साथ) - वहाँ हैं, लेकिन जोखिम नियंत्रण में हैं।
आंशिक रूप से प्रभावी - प्रणाली S2; उच्च अवशिष्ट जोखिम।
अप्रभावी - S1/set S2; तत्काल वसूली योजना की आवश्यकता है।
8) CAPA и फॉलो-अप
प्रत्येक खोज के लिए: रूट → एक्शन → मालिक → टर्म → सफलता मीट्रिक।
समापन SLA: S1 - ≤ 30 दिन; S2 - ≤ 60 दिन; S3 - ≤ 90 दिन; S4 - समझौते से।
सत्यापन: लेखा परीक्षक कार्यान्वयन (स्क्रीन/लॉग/पॉलिसी) के प्रमाण लागू करता है, सत्यापित स्थिति को बदल देता है।
वृद्धि: S1/S2 देरी - साप्ताहिक एमआर के लिए, ऑडिट समिति को त्रैमासिक।
9) कार्यशील कलाकृतियाँ (टेम्पलेट)
9. 1 चेकलिस्ट (चेक शीट)
9. 2 खोज कार्ड
कोड शीर्षक वास्तविक मानदंड जोखिम/प्रभाव रूट सिफारिश एस-स्तर का कारण बनता है।
9. 3 CAPA शीट
→ कदम खोजना → मालिक → डेडलाइन → मीट्रिक/थ्रेशोल्ड → साक्ष्य → स्थिति → सत्यापन तिथि।
9. 4 पीबीसी सूची (ग्राहक द्वारा प्रदान की गई)
क्वेरी → प्रारूप → स्रोत → मालिक → डेडलाइन → तिथि प्राप्त → टिप्पणियाँ।
10) डैशबोर्ड की समीक्षा
कवरेज: अवधि के दौरान समीक्षा द्वारा कवर की गई प्रक्रियाओं का%
गंभीरता से निष्कर्ष: S1-S4 वितरण।
CAPA प्रगति: पूरा/प्रगति/समाप्त; औसत समापन समय।
दोहराएं निष्कर्ष: 12 महीनों में दोहराव का अनुपात
समयबद्धता: एसए/पीआर/एमआर/आईए अनुसूची का पालन।
प्रभावशीलता प्रवृत्ति: क्षेत्र द्वारा रेटिंग गतिशीलता।
11) कैलेंडर और आवृत्तियाँ
मासिक: केवाईसी/भुगतान/जीडीपीआर डीएसएआर द्वारा एसए, घटनाएं/सूचनाएं।
त्रैमासिक: सभी दिशाओं के लिए एएमएल/आरजी/प्रदाता/रिपोर्टिंग, एमआर द्वारा पीआर।
अर्ध-वार्षिक/वार्षिक: उच्च जोखिम वाले क्षेत्र द्वारा आईए; प्रमाणपत्र/निरीक्षण से पहले ईएआर।
12) चेक-कार्ड "क्विक स्टार्ट" (7 अंक प्रत्येक)
केवाईसी (7-पॉइंट): नीति प्रदाता/डीपीए एसएलए कतार> एसएलए आरबीएसी वेवर्स/एस्केलेशन एफपी रिपोर्ट।
एएमएल (7-पॉइंट): पीईपी सूची/एसएआर प्रतिबंधों की समय सीमा की जांच वेलोसिटी/संरचना कोई टिपिंग-ऑफ केसबोर्ड केपीआई प्रशिक्षण।
आरजी (7-बिंदु): एसएलए प्रभावशीलता विज्ञापन प्रतिबंध शिकायत घटनाओं में रजिस्ट्री/तुल्यकालन संपर्क नियामक को रिपोर्ट करता है।
पीसीआई (7-पॉइंट): सेगमेंटेशन कीज ़/एएसवी रोटेशन/ज्वालामुखी एक्सेस लॉग्स टोकेनाइजेशन चार्जबैक फॉलबैक पीएसपी।
खेल (7-बिंदु): RTP-बहाव फ्रीज प्रक्रिया संतुलन सिंक्रोनाइज़प्रदाता घटनाएँ RNG संस्करण/SLA API अखंडता रिपोर्ट बनाता है।
रिपोर्टिंग (7-बिंदु): कैलेंडर योजनाएं/संस्करण हस्ताक्षर/हैश सुलह भाषा/लोकेल डीक्यू मीट्रिक प्राप्तियां।
घटनाएं (7-बिंदु): कलाकृतियों की पूर्णता में टीटीएस सूचनाएं मुआवजा रेट्रो सीएपीए डैशबोर्ड।
13) बार-बार गलतियाँ और उनसे कैसे बचें
सबूत के बिना चेकलिस्ट - सभी वस्तुओं को एक कलाकृति आईडी की आवश्यकता होगी।
भौतिकता के बिना मूल्यांकन - चेकलिस्ट कार्ड में थ्रेसहोल्ड को ठीक करें।
एसए/पीआर/आईए दोहराव - एक सुसंगत कैलेंडर और एक एकल अनुरोध रजिस्टर (पीबीसी)।
परिचालन परीक्षणों के बिना "दस्तावेज़केंद्रवाद" - हमेशा संचालन का एक नमूना लेते हैं।
मैट्रिक्स के बिना CAPA - औसत दर्जे का परिणाम निर्दिष्ट करें (उदाहरण के लिए, DSAR 30 दिन 98%)।
14) कार्यान्वयन योजना (30 दिन)
सप्ताह 1
1. कार्यप्रणाली और रेटिंग तराजू को मंजूरी दें।
2. 8 मूल चेकलिस्ट बनाएँ (CL-KYC/AML/RG/PCI/GAMES/REP/INC/GDPR).
3. रजिस्टर कलाकृतियां और पीबीसी/फाइंडिंग/सीएपीए टेम्पलेट।
सप्ताह 2
4. 2 प्रक्रियाओं में एसए पायलट और 1 प्रक्रिया में पीआर का संचालन करें।
5. समीक्षा डैशबोर्ड और CAPA लॉग सेट करें.
6. "सबूत और नमूने" पर प्रशिक्षण जारी करें।
सप्ताह 3
7. निकट प्रमाणन/निरीक्षण पर ईएआर सत्र।
8. तिमाही के लिए एमआर/आईए अनुसूची पर सहमति।
9. सामग्री थ्रेसहोल्ड और नमूना आकार ठीक करें।
सप्ताह 4
10. रिलीज v1। 0 चेकलिस्ट निर्देशिका और कैलेंडर कार्ड।
11. रेट्रो पायलट, चेकलिस्ट संस्करण अद्यतन करें (v1। 1).
12. प्रक्रिया स्वामी केपीआई में समीक्षा शामिल करें।
15) संबंधित अनुभाग
आंतरिक लेखा परीक्षा और बाहरी लेखा परीक्षा
नियामक रिपोर्ट और डेटा प्रारूप
उल्लंघन और रिपोर्टिंग समय सीमा की सूचना
अनुपालन डैशबोर्ड और निगरानी
हादसा प्लेबुक और स्क्रिप्ट
संकट प्रबंधन और संचार