आंतरिक लेखा परीक्षा और बाहरी लेखा परीक्षा

1) उद्देश्य और क्षेत्र

संचालन और अनुपालन प्रक्रियाओं का व्यवस्थित, स्वतंत्र और प्रजनन योग्य नियंत्रण सुनिश्चित करना: लाइसेंस/कानूनों का अनुपालन, वित्तीय और परिचालन रिपोर्टिंग की विश्वसनीयता, जोखिम नियंत्रण की प्रहेगी (केसी/एएमएएमपीआर/एएमपी/एएम/एएम। सहयोगी, प्रदाता)। अनुभाग गैर-अनुरूपता को बंद करने के लिए सिद्धांतों, भूमिकाओं, कार्यप्रणाली, जांच प्रोग्रामिंग, रिपोर्ट प्रारूप और प्रक्रिया को परिभाषित करता है।

2) सिद्धांत और "रक्षा की तीन पंक्तियाँ"

पहली पंक्ति: प्रक्रिया के मालिक (संचालन, भुगतान, खेल प्रदाता, विपणन/सहयोगी, सहायता सेवा) - दिन-प्रतिदिन के जोखिमों का प्रबंधन करते हैं।

दूसरी पंक्ति: अनुपालन/जोखिम/सुरक्षा/डीपीओ - नीतियां, निगरानी, परामर्श, प्रवर्तन।

तीसरी पंक्ति: आंतरिक लेखा परीक्षा (आईए) - नियंत्रण की पर्याप्तता और प्रभावशीलता का स्वतंत्र मूल्यांकन; पर्यवेक्षी बोर्ड/लेखा परीक्षा समिति को रिपोर्ट।

बाहरी ऑडिट (ईए): स्वतंत्र तीसरे पक्ष - वित्तीय रिपोर्टिंग, प्रमाणन (आईएसओ/एसओसी/पीसीआई), नियामक निरीक्षण।

सिद्धांत: स्वतंत्रता, निष्पक्षता, साक्ष्य, गोपनीयता, जोखिम और मूल्यों पर ध्यान केंद्रित करना, पारदर्शिता और ट्रे

3) आईए बनाम ईए अर्क

4) भूमिकाएँ और आरएसीआई

आंतरिक लेखा परीक्षा के प्रमुख (आईए लीड) - रणनीति, स्वतंत्रता, योजना/रिपोर्टिंग। (ए)

आंतरिक लेखा परीक्षक - क्षेत्र जाँच, कार्य दस्तावेज, निष्कर्ष। (आर)

प्रक्रिया मालिक (पहली पंक्ति) - डेटा/कलाकृतियां प्रदान करना, CAPA। (आर)

अनुपालन/InfoSec/AML/RG (दूसरी पंक्ति) - सह-ऑडिट, कार्यप्रणाली। (सी/आर)

सीएफओ/नियंत्रक - वित्तीय सर्किट, जीएल, सामंजस्य। (सी)

कानूनी/डीपीओ - मानदंडों, पीआईआई और प्रतिधारण की व्याख्या। (सी)

लेखा परीक्षा समिति - आईए योजना को मंजूरी देती है, रिपोर्ट स्वीकार करती है, स्वतंत्रता को नियंत्रि (ए)

बाह्य लेखा परीक्षक/मूल्यांकनकर्ता - ईए का संचालन करना; एनडीए द्वारा कलाकृतियों तक पहुंच। (संविदा I/R)

5) वार्षिक लेखा परीक्षा योजना

1. जोखिम रजिस्टर: संभावना × प्रभाव (वित्त/जीजीआर, लाइसेंस, प्रतिष्ठा, खिलाड़ी सुरक्षा)।

2. प्रक्रिया मानचित्र: भुगतान/पीएसपी, बटुआ, केवाईसी/केवाईबी, आरजी, खेल प्रदाता/आरटीपी, विपणन/सहयोगी, सूचना सुरक्षा/जीडीपीआर, घटनाएं/सूचनाएं, विनियामक रिपोर्ट।

3. प्राथमिकता मैट्रिक्स: उच्च/मध्यम/निम्न → आवृत्ति (तिमाही/आधा वर्ष/वर्ष)।

4. स्कोप: लक्ष्य, मानदंड, प्रक्रियाएं, नमूने, संसाधन, समयरेखा, निर्भरता।

5. अनुमोदन: लेखा परीक्षा समिति वार्षिक योजना को मंजूरी देती है; तदर्थ घटनाओं के लिए अनुमति दी गई।

6) कार्यप्रणाली: ऑडिट चरण

ए। योजना: दस्तावेज़ अनुरोध, प्रक्रिया समझ, नियंत्रण डिजाइन मूल्यांकन, जोखिम मूल्यांकन, परीक्षण कार्यक्रम।

बी। फील्डवर्क: साक्षात्कार, वॉकथ्रू, डिजाइन/जवाबदेही परीक्षण, विश्लेषणात्मक प्रक्रियाएं, कलाकृति निरीक्षण, नमूना।

सी। निष्कर्ष और रेटिंग: मानदंड के साथ तथ्यों की तुलना; निष्कर्षों का वर्गीकरण।

डी। रिपोर्ट: मसौदा → तथ्यों का अनुमोदन → प्रबंधन/समिति के लिए अंतिम → प्रस्तुति।

ई। CAPA और फॉलो-अप: सुधारात्मक/निवारक कार्य योजना, अनुवर्ती, सत्यापन।

7) साक्ष्य और नमूने

साक्ष्य के प्रकार: वृत्तचित्र (नीतियां, लॉग, टिकट), भौतिक (स्क्रीनशॉट, विन्यास), मौखिक (साक्षात्कार), विश्लेषणात्मक (सामंजस्य, रुझान)।

गुणवत्ता: पर्याप्तता (मात्रा), प्रासंगिकता, वैधता (स्रोत)।

नमूने: विसंगतियों द्वारा यादृच्छिक, व्यवस्थित, निर्देशित (जोखिम-आधारित); आकार जोखिम और सामान्य आबादी की मात्रा से निर्धारित होता है।

ट्रेसिबिलिटी: प्रत्येक आउटपुट एक परीक्षण के साथ जुड़ा हुआ है, साक्ष्य के साथ परीक्षण (अद्वितीय आईडी); "निरंतर नंबरिंग"।

8) गैर-अनुरूपता और रेटिंग का वर्गीकरण

महत्वपूर्ण (S1): लाइसेंस/कानून/महत्वपूर्ण वित्तीय क्षति/PII-उल्लंघन का जोखिम। तत्काल कार्रवाई आवश्यक, समिति/परिषद को रिपोर्ट करें।

उच्च (S2): महत्वपूर्ण नियंत्रण दोष; ठीक करने के लिए लघु एसएलए।

मध्यम (S3): सीमित दोष; समायोजन योजना।

कम (S4): सुधार/अवलोकन (अनुकूलन)।

लेखा परीक्षित प्रक्रिया रेटिंग: सुधार/आंशिक रूप से प्रभावी/अप्रभावी के साथ प्रभावी/आम तौर पर प्रभावी।

9) कार्य दस्तावेज और प्रतिधारण

वर्किंग पेपर: प्रोग्राम, चेकलिस्ट, नमूने, साक्षात्कार प्रोटोकॉल, साक्ष्य, गणना, निष्कर्ष।

प्रारूपण मानक: सूचकांक, संस्करण, स्वामी, तिथि, कलाकृतियों के लिए हाइपरलिंक, नियंत्रण बदलें।

गोपनीयता और पीआईआई: आरबीएसी एक्सेस, एन्क्रिप्टेड स्टोरेज, सेंसिटिव फील्ड मास्किंग।

प्रतिधारण अवधि: नीति द्वारा (आमतौर पर 5-7 वर्ष) या लंबे समय तक यदि लाइसेंस/नियामकों की आवश्यकता होती है।

10) विषयों की जाँच करें (आईए कैटलॉग)

1. भुगतान/PSP/PCI: ऑथ/डिक्लेयर/चार्जबैक, पैन अलियासिंग, एक्सेस लॉग, विक्रेता रजिस्ट्री।

2. केवाईसी/एएमएल/केवाईबी: केवाईसी पूर्णता और सटीकता, पीईपी/प्रतिबंध, एसएआर/एसटीआर समय, जांच की गुणवत्ता, मामला प्रबंधन।

3. जिम्मेदार नाटक (आरजी): सीमा/आत्म-बहिष्करण, संपर्क प्रक्रियाएं, हस्तक्षेप की प्रभावशीलता, विज्ञापन प्रतिबंध।

4. GDPR/PII/DPO: प्रसंस्करण रजिस्ट्री, DSAR, गोपनीयता की घटनाएं, प्रोसेसर अनुबंध।

5. खेल प्रदाता/ईमानदारी: आरटीपी बहाव, गोल घटनाएं, संतुलन सिंक्रनाइज़ेशन, आरएनजी/बिल्ड वर्शनिंग।

6. विपणन/सहयोगी: रचनात्मक/लक्षित प्रतिबंधों, विशेषता, अनुबंध, भुगतान का अनुपालन।

7. हादसा-प्रक्रियाएं: आवेदन करने का समय (टीटीएस), नियामकों को सूचनाओं की समयबद्धता, कलाकृतियों की पूर्णता।

8. नियामक रिपोर्टिंग: योजनाएं, समय सीमा, डीक्यू, जीएल/पीएसपी के साथ सामंजस्य।

9. आईटी नियंत्रण/सूचना सुरक्षा: एक्सेस, एसओडी, परिवर्तन/रिलीज, ऑडिट लॉग, बैकअप, डीआर/बीसीपी अभ्यास।

11) आईए रिपोर्ट प्रारूप (साँचा)

कार्यकारी सारांश: स्कोप, उद्देश्य, रेटिंग, प्रमुख निष्कर्ष और जोखिम।

संदर्भ: प्रक्रिया/प्रणाली/क्षेत्राधिकार, अवधि, लागू आवश्यकताएं।

कार्यप्रणाली और सीमाएँ (यदि कोई हो)।

प्राथमिकता पर विस्तृत निष्कर्ष: तथ्य मानदंड जोखिम प्रभाव - सिफारिशें।

CAPA टेबल - मालिक, कदम, समयरेखा, सफलता मेट्रिक्स

परिशिष्ट: नमूने, चार्ट, साक्ष्य रजिस्टर, शब्दावली।

12) बाहरी लेखा परीक्षा (ईए) के साथ बातचीत

वित्तीय रिपोर्टिंग: जीएल की तैयारी, सुलह, पीएसपी/बैंकों/प्रदाताओं से पुष्टि, प्रबंधन पत्र।

अनुपालन के प्रमाणपत्र/आकलन: आईएसओ 27001/9001, एसओसी 2, पीसीआई डीएसएस, उद्योग नियामक निरीक्षण।

IA भूमिकाएँ: पूर्व-मूल्यांकन (अंतर विश्लेषण), क्वेरी समर्थन, CAPA त्वरण, दोहराव से बचना।

पारदर्शिता: कलाकृतियों का एक एकल प्रदर्शन, यात्राओं का एक कैलेंडर, पहुंच नियम, एनडीए।

संचार: नियमित रूप से स्टैंड-अप "ईए तत्परता", प्रवेश बिंदु - ऑडिट समन्वयक।

13) CAPA और अनुवर्ती

CAPA योजना: विशिष्ट चरण, मीट्रिक, मालिक, शब्द, आश्रित प्रणाली/टीमें।

सत्यापन: कार्यान्वयन के प्रमाण (स्क्रीन, लॉग, नीतियां, परीक्षण परिणाम), तिथि, जिम्मेदार लेखा परीक्षक

वृद्धि: समिति के लिए S1/S2 - अनिवार्य अद्यतन; देरी - डैशबोर्ड का "रेड ज़ोन"।

जोखिम मूल्यांकन में परिवर्तन: एक सफल CAPA के बाद - अवशिष्ट जोखिम और निरीक्षणों की आवृत्ति की समीक्षा।

14) ऑडिट डैशबोर्ड (प्रबंधन नियंत्रण)

योजना की स्थिति: तिमाही और दिशा द्वारा% पूरा।

निष्कर्ष पोर्टफोलियो: गंभीरता और अपराधीता द्वारा।

CAPA प्रगति: पूरा/प्रगति/समाप्त, औसत समापन समय।

प्रक्रिया हीट मैप: CAPA से पहले/बाद में नियंत्रण की जोखिम/प्रभावशीलता।

दोहराने योग्य डिटेक्शन: सिस्टम समस्याओं का संकेतक।

15) नैतिक आवश्यकताएं और स्वतंत्रता

हितों के टकराव: लेखा परीक्षक अपने पिछले कार्यों का ऑडिट नहीं करते हैं ≤ 12 महीने; संघर्ष की घोषणा।

डेटा तक पहुंच: केवल "न्यूनतम आवश्यक" के सिद्धांत पर; व्यक्तिगत पीआईआई निषेध की नकल करता है।

संचार: तटस्थ भाषा, कोई "अभियोग" स्वर नहीं; व्याख्याओं से पहले तथ्य।

16) चेकलिस्ट

लेखा परीक्षा की शुरुआत

• परिभाषित लक्ष्य/मानदंड/सीमाएं।
• कलाकृतियों ने अनुरोध किया और प्राप्त किया, प्रारूप/समयसीमा सहमत हुई।
• स्वतंत्रता की पुष्टि, कोई संघर्ष न
• परीक्षण और नमूना कार्यक्रम अनुमोदित।

क्षेत्र चरण

• वॉकथ्रू और प्रमुख भूमिकाओं के साक्षात्कार आयोजित किए गए।
• डिजाइन और परिचालन दक्षता परीक्षण।
• आईडी/लिंक के साथ साक्ष्य रजिस्टर बनाया गया है।
• मालिकों की प्रक्रिया के लिए मध्यवर्ती संक्षिप्त (फाइनल में कोई आश्चर्य नहीं

रिपोर्ट और CAPA

• तथ्य सहमत हुए, विवाद के बिंदु हल हुए।
• निष्कर्ष वर्गीकृत (S1-S4), जोखिम/प्रभाव का आकलन किया गया।
• मालिकों और तारीखों के साथ CAPA योजना अनुमोदित।
• अनुवर्ती तिथियां कैलेंडर में सूचीबद्ध हैं।

17) आर्टिफैक्ट पैटर्न (त्वरित आवेषण)

अनुरोध सूची (पीबीसी): दस्तावेजों की सूची/अपलोड/समय सीमा के साथ पहुंच।

टेस्ट शीट: नियंत्रण → प्रक्रिया → नमूना → परिणाम → प्रूफ → निष्कर्ष।

कार्ड खोजना: कोड, शीर्षक, विवरण, जोखिम, प्रभाव, मूल कारण, सिफारिश, एस-स्तर, मालिक, शब्द।

CAPA शीट: चरण, मीट्रिक, पुष्टि कलाकृतियाँ, तिथि, जाँच की गई।

18) बार-बार गलतियाँ और उनसे कैसे बचें

आईए और दूसरी पंक्ति की संयुक्त भूमिकाएँ - बिगड़ा हुआ स्वतंत्रता। निर्णय: आईए रिपोर्टिंग सीधे समिति को।

साक्ष्य की अपर्याप्तता - निष्कर्षों की कमजोर सुरक्षा। समाधान: एकल रजिस्टर और नंबरिंग।

जोखिम और मूल्य मूल्यांकन के बजाय "गैर-शिकार शिकार"। समाधान: जोखिम फोकस और प्राथमिकता।

संसाधनों के बिना CAPA ओवरलोड करें - देरी। समाधान: SMART लक्ष्य और WIP सीमा।

रिपोर्टिंग की जाँच करते समय गुणवत्ता/ताज़ाडेटा की अनदेखी करना। समाधान: डीक्यू-चेकलिस्ट।

19) त्वरित शुरुआत (30-दिवसीय कार्यान्वयन)

सप्ताह 1: आईए चार्टर (जनादेश/जवाबदेही) को मंजूरी दें, जोखिम मूल्यांकन करें, वार्षिक योजना का मसौदा तैयार करें।

सप्ताह 2: टेम्पलेट बनाएं (पीबीसी, टेस्ट/फाइंडिंग/सीएपीए शीट), साक्ष्य का एक रजिस्टर और एक स्थिति डैशबोर्ड स्थापित करें।

सप्ताह 3: आचरण 2 "लघु रूप" पायलट ऑडिट (उदा। PSP/PCI और RG/DSAR), रिपोर्ट जारी करें, CAPAs रजिस्टर करें।

सप्ताह 4: पायलटों का अनुवर्ती आचरण, कार्यप्रणाली को समायोजित करना, समिति द्वारा अनुमोदन के लिए वार्षिक योजना प्रस्तुत करना, बाहरी ऑडिट/प्रमाणपत्र की अनुसूची पर सहमत होना।

• नियामक रिपोर्ट और डेटा प्रारूप
• उल्लंघन और रिपोर्टिंग समय सीमा की सूचना
• अनुपालन डैशबोर्ड और निगरानी
• हादसा प्लेबुक और स्क्रिप्ट
• संकट प्रबंधन और संचार
• व्यापार निरंतरता योजना (बीसीपी )/डीआरपी
• लेनदेन लेखा परीक्षा लॉग