GH GambleHub

Ներքին աուդիտ և արտաքին աուդիտ

1) Նպատակը և տարածքը

Ապահովել համակարգային, անկախ և վերարտադրված վերահսկողություն Վիրահատությունների գործընթացների և Կոմպլանսի գործընթացների, վճարումների/օրենքների, ֆինանսական և վիրահատական հաշվետվությունների համապատասխանությունը, ռիսկերի կառավարման արդյունավետությունը (KYC/AML/RG, GDPR/PII, վճարումներ/PCI, խաղերի ազնվությունը, IB, մարքեթինգը/աֆիլինատներ, պրովայդերներ) Բաժինը տալիս է սկզբունքներ, դերեր, մեթոդներ, ստուգումների ծրագրավորում, կոդավորման ձևաչափ և անհամապատասխանությունների փակման կարգը։

2) Սկզբունքները և պաշտպանության երեք գծերը "

1-ին գիծը 'գործընթացների սեփականատերերը (Վիրահատություն, վճարումներ, խաղերի պրովայդերներ, Մարքեթինգ/Աֆֆիլիատներ, աջակցության ծառայություն) - կառավարում են day-to-day ռիսկերը։

2-րդ գիծը 'Complaens/Ռիսկ/Անվտանգություն/DPO - քաղաքականություններ, խորհրդատվություններ, խորհրդատվություններ, կատարման վերահսկողություն։

3-րդ գիծը 'Ներքին աուդիտ (IA) - ինքնարժեքության և վերահսկողության արդյունավետության անկախ գնահատում։ ներկայացված է Դիտողական խորհրդով/Audit-2019։

Արտաքին աուդիտը (EA) 'անկախ երրորդ կողմերը' ֆինանսական հաշվետվություններ, հավաստագրեր (ISO/SOC/PCI), կարգավորիչների պաշտպանություն։

Սկզբունքները ՝ անկախություն, օբյեկտիվություն, ապացույցներ, գաղտնիություն, ռիսկերի և արժեքների կենտրոնացում, թափանցիկություն և հետադարձ կապ։

3) IA vs EA տարբերակումը

ՔննադատությունՆերքին աուդիտ (IA)Արտաքին աուդիտ (EA)
ՈւղղափառությունԱուդիտի հանձնաժողովը/ԽորհուրդԲաժնետերեր/Կարգավորիչներ/Հավաստագրություն։ օրգանները
ՆպատակըԳործընթացների և վերահսկողության բարելավումԿարծիք/վկայագիր համաձայն
ԾավալըՌիսկային, ճկունՖիքսված ստանդարտով/պայմանագրով
ՀաճախականությունըՏարեկան պլանով + ad-hocՀաշվետվությունների/սերտիֆիկացման օրացույցի համաձայն
ԱրդյունքըՎիճակագրությունը և CAPAԵզրակացություն/վկայագիր/նամակ կառավարման համար

4) Դերեր և RACI

Head of Mastal Audit (IA Lead) - ռազմավարություն, անկախություն, պլան/ռեպորթինգ։ (A)

Coral Auditors-ը դաշտային ստուգումներ է, աշխատանքային փաստաթղթեր, եզրակացություններ։ (R)

Process Owners (1-ին գիծ) - տվյալների/արտեֆակտների, CAPA-ի տրամադրումը։ (R)

Compliance/WindSec/AML/RG (2-րդ գիծ) - co-աուդիտներ, մեթոդաբաններ։ (C/R)

CFO/Winler-ը ֆինկոնտուրն է, GL-ը, նշանները։ (C)

Legal/DPO-ը նորմերի, PII-ի և վերականգնումը է։ (C)

Audit Committee-ը հաստատում է IA պլանը, ընդունում է հաշվետվությունները, կառավարում է անկախությունը։ (A)

External Auditors/Assessors-ը անցկացնում է EA; NDA արտեֆակտների հասանելիությունը։ (I/R պայմանագրով)

5) Ռիսկային պլանավորումը (Annational Audit Plan)

1. Ռիսկերի իրականացումը 'ռուսական ազդեցության հավանականությունը (ֆինանսներ/GGR, լիցենզիաներ, հեղինակություն, խաղացողների անվտանգություն)։

2. Գործընթացների քարտեզը 'վճարումներ/PSA, դրամապանակ, KYC/AML/KYB, RG, խաղերի պրովայդերներ/RTP, մարքեթինգ/աֆֆիլիատներ, IB/GDPR, միջադեպեր/ծանուցումներ, կարգավորող հաշվետվություններ։

3. Առաջնահերթության մատրիցը ՝ High/Novich/Low-ը (քառակուսի/տարի)։

4. Սկոպը ՝ նպատակներ, չափանիշներ, նմուշներ, ռեսուրսներ, թայմլին, կախվածություն։

5. Հաստատումը 'Աուդիտի հանձնաժողովը հայտարարում է տարեկան պլանը։ www.ad-hoc S1/S2 միջադեպերի ժամանակ։

6) Մեթոդաբանություն ՝ փուլեր

A. Preaudit (Planning) 'փաստաթղթերի հարցումը, գործընթացի հասկանալը, վերահսկողության դիզայնի գնահատումը, ռիսկի գնահատումը, թեստերի ծրագիրը։

Բ. Ռուսական քայլը (Fieldwork) 'հարցազրույցներ, walkthrough, դիզայնի թեստեր/թեստեր, վերլուծական ընթացակարգեր, արտեֆակտների ստուգում, նմուշներ։

C. եզրակացություններ և վարկանիշ 'փաստերի համեմատություն չափանիշների հետ։ fings դասակարգում։

Դ.Դ. զեկույց: Ռուսական փաստերի նախագիծը ավարտված է կառավարման/2019 ներկայացմամբ։

E. CAPA և Follow-up 'ուղղիչ/նախազգուշական գործողությունների պլան, կատարման վերահսկում, հավատարմագրում։

7) Ապացույցներ և նմուշներ

Ապացույցների տեսակները 'փաստագրական (քաղաքականություններ, լոգներ, տիկետներ), ֆիզիկական (սկրինշոտներ, կազմաձևեր), բանավոր (հարցազրույցներ), վերլուծական (կրկնօրինակներ, միտումներ)։

Որակը 'բավարար (ծավալը), տեղայնությունը (ռելեվանտիզմը), հուսալիությունը (աղբյուրը)։

Նմուշները 'պատահական, համակարգված, ուղղված (risk-based), անոմալիաներով։ չափսը որոշվում է նաև ընդհանուր ծավալով։

Հետադարձ կապը 'յուրաքանչյուր եզրակացություն կապված է թեստի հետ, թեստը' ապացույցով (եզակի ID); «համարակալման միջով»։

8) Անհամապատասխանության և վարկանիշների դասակարգում

Critical (S1) 'լիցենզիայի/օրենքի ռիսկը/զգալի ֆինանսական վնասը/PII-breach։ Պահանջվում է անհապաղ գործողություն, Պիտերբուրգի զեկույցը/Խորհուրդ։

High (S2) 'վերահսկողության զգալի թերություն; ԿԱՐՃ SLA ուղղման համար։

System (S3) ՝ սահմանափակ թերություն; պլանը։

Low (S4) 'բարելավում/դիտարկումներ (օպտիմիզացիա)։

Աուդիտորական գործընթացի գնահատականը 'Effective/Generally Effective with Improvements/Partially Effective/Ineffective։

9) Աշխատանքային փաստաթղթերը և վերականգնումը

Working Papers: ծրագիր, վերահսկողական թերթիկներ, նմուշներ, հարցազրույցի արձանագրություններ, ապացույցներ, հաշվարկներ, եզրակացություններ։

Գրանցման ստանդարտները 'ինդեքսը, տարբերակը, սեփականատերը, ամսաթիվը, հիպերսաքսները արտեֆակտների վրա, փոփոխությունների վերահսկումը։

Գաղտնիությունը և PII 'RBAC-ի հասանելիությունը, ծածկագրված պահպանումը, զգայուն դաշտերի դիմադրությունը։

Պահեստավորման պայմանները 'քաղաքականության (սովորաբար 5-7 տարի) կամ ավելի երկար, եթե պահանջում են արտոնագրեր/կարգավորիչներ։

10) Ստուգման թեմաները (IA կատալոգը)

1. Վճարումները/PSA/PCI: auth/decom/chargebacks, PAN կեղծանունիզացիան, մուտքի ամսագրերը, ռուսական։

2. KYC/AML/KYB: KYC ամբողջական և ճշգրտությունը, RER/սանկցիաները, SAR/STR ժամանակահատվածները, հետազոտության որակը, կատարումը։

3. Պատասխանատու խաղը (RG) 'սահմաններ/ինքնախաբեություններ, շփման ընթացակարգեր, միջամտությունների արդյունավետություն, գովազդային սահմանափակումներ։

4. GDPR/PII/DPO: Ռուսական վերամշակումներ, DSAR, միջադեպեր, վերամշակողների հետ պայմանագրեր։

5. Խաղերի պրովայդերները/ազնվությունը 'RTP drift, ռոկների պատահարները, հավասարակշռությունների համաժամացումը, RNG/bids տարբերակումը։

6. Մարքեթինգը/Աֆֆիլիատները 'ստեղծագործական/ռուսական սահմանափակումների պահպանումը, պայմանագրերը, վճարումները։

7. Պատահականության գործընթացները 'ժամանակը մինչև հայտարարությունը (TFC), կարգավորողներին ծանուցման ժամանակին, արտեֆակտների ամբողջությունը։

8. Կարգավորող հաշվետվությունները 'սխեմաներ, DQ, GL/PSA-ի հետ։

9. IT-վերահսկում/IB 'հասանելի, SOD, փոփոխություններ/թողարկումներ, պարբերագրեր, bekaps, DR/BCP ուսուցում։

11) IA զեկույցի ձևաչափը (ձևաչափը)

Կատարողական ռեզյումե 'ծավալը, նպատակները, վարկանիշը, հիմնական եզրակացությունները և ռիսկը։

Համատեքստը 'գործընթաց/համակարգ/իրավասություն, ժամանակահատվածներ, կիրառական պահանջներ։

Մեթոդաբանություն և սահմանափակումներ (եթե կային)։

Մանրամասն եզրակացություններ առաջնահերթության մասին. Փաստն այն է, որ չափանիշը նվազեցնում է ռիսկը համապատասխան առաջարկությունների ազդեցությանը։

Media CAPA 'սեփականատեր, քայլեր, ժամկետներ, հաջողության չափումներ։

Ծրագրեր 'նմուշներ, դիագրամներ, ապացույցներ, գլոսարիա։

12) Արտաքին աուդիտի հետ փոխազդեցությունը (EA)

Ֆինանսական հաշվետվությունները 'GL, նշաններ, PBS/բանկերից/պրովայդերներից, կառավարման նամակներից։

Սերտիֆիկացում/գնահատականներ 2019: ISO 27001/9001, SOC 2, PCI DSS-ը, կարգավորողների արդյունաբերական ձեռնարկությունները։

IA-ի դերերը ՝ pre-assess.ru (gap-վերլուծություն), հարցումների ուղեկցությունը, CAPA արագացումը, միգրանտների խուսափումը։

Թափանցելիություն 'արտեֆակտների մեկ պատուհան, վիզաների օրացույցը, մուտքի կանոնները, NDA-ն։

Հաղորդակցություն ՝ «EA readiness» ստենդապներ, մուտքի կետը Audit Coordinae-ն է։

13) CAPA-ն և կատարման վերահսկումը

CAPA պլանը 'կոնկրետ քայլեր, մետրիկա, սեփականատեր, ժամանակ, կախված համակարգեր/թիմեր։

Վերիֆիկացիան 'ներդրման ապացույցը (սքրիններ, լոգներ, քաղաքական գործիչներ, թեստերի արդյունքները), ամսաթիվը, պատասխանատու ագրեսորը։

Էսկալացիա: S1/S2 - Ռուսաստանի պարտադիր ապդեյթ; ժամկետները «կարմիր գոտի» են։

Ռիսկի գնահատման փոփոխությունը 'հաջողակ CAPA-ից հետո' հիբրիդային ռիսկի և ստուգման հաճախության բարձրացում։

14) Դաշբորդ կղզին (կառավարման վերահսկողություն)

Պլանի կարգավիճակը 'զանգվածների և տարածքների ավարտման տոկոսը։

Findings-ի պորտֆելը 'լուրջ և ժամկետանց։

CAPA progress: 108/աշխատավայրում/ժամկետանց, փակման ժամանակ։

Գործընթացների ջերմային քարտեզը 'ռիսկը/արդյունավետությունը CAPA-ից առաջ/հետո։

Կրկնվող բացահայտումները 'խնդիրների լուծման ցուցիչը։

15) Էթիկայի պահանջները և անկախությունը

Շահերի հակամարտությունները 'ագրեսորները չեն ստուգում իրենց նախկին վիրահատական գործունեությունը թիվ 12 մեզ։ հակամարտությունների լուծումը։

Տվյալների հասանելիությունը 'միայն «նվազագույն անհրաժեշտ» սկզբունքով։ PII-ի անձնական պատճենման արգելքը։

Հաղորդակցություն 'չեզոք ձևակերպումներ, «մեղադրական» տոնայի բացակայություն։ փաստերը նախքան մեկնաբանությունները։

16) Չեկ թերթերը

Մեկնարկը 2019

  • Որոշված նպատակներ/չափանիշներ/սահմաններ։
  • Պահանջված և ստացվել են արտեֆակտներ, համաձայնեցված են աշխատանքային/ժամկետի հետ։
  • Անկախությունը հաստատվում է, կոնֆլիկտներ չկան։
  • Հաստատված է թեստերի և նմուշների ծրագիրը։

Ռուսական քայլը

  • Walkthrough-ը և key-roles հարցազրույցը։
  • Դիզայնի և վիրահատական արդյունավետության թեստեր։
  • Ձևավորվում է ID/հղումով ապացույցների ցանկը։
  • Միջանկյալ բրիֆը գործընթացի սեփականատերերին (առանց անակնկալների եզրափակչում)։

Զեկույց և CAPA

  • Փաստերը համաձայնեցված են, վիճելի պահերը թույլատրված են։
  • Եզրակացությունները դասակարգվում են (S1-S4), գնահատվում է ռիսկ/ազդեցություն։
  • Follow-up ամսաթվերը նշված են օրացույցի մեջ։
[CAPA պլանը սեփականատերերի և ժամկետների հետ պնդվում է։

17) Արտեֆակտների ձևանմուշները (արագ լուծումներ)

Request Liste (PBC) 'փաստաթղթերի/բեռնման/մատչելի dedelins հետ։
Test Sheet: Վերահսկումը ռուսական ընտրական ընթացակարգը հաստատվում է ռուսական ապացույցը։
Finding Card: կոդը, վերնագիրը, նկարագրությունը, ռիսկը, ազդեցությունը, պատճառը (root cause), առաջարկությունը, S-մակարդակը, սեփականատերը, ժամանակը։
CAPA Sheet 'քայլ, մետրիկ, հաստատման արտեֆակտներ, ամսաթիվը, ստուգեց։

18) Հաճախակի սխալներ և ինչպես խուսափել դրանցից

IA-ի և 2-րդ գծի միաձուլված դերերը խախտվել են անկախությունը։ Որոշումը 'IA հաշվետվությունները ուղղակիորեն Մոսկվա։
Ապացույցների բացակայությունը բացատրում է եզրակացության թույլ պաշտպանությունը։ Լուծումը 'միասնական պաշտպանություն և համարակալում։
«Անհամապատասխանության որսը» ռիսկի և արժեքների գնահատման փոխարեն։ Լուծումը 'ռիսկի ֆոկուս և գերակայություն։
CAPA-ի գերագնահատումը առանց ռեսուրսների կատարվում է ժամկետանց։ Լուծումը 'SMART նպատակներ և WIP սահմանաչափը։
Այս որակի/թարմության անտեսումը հաշվետվությունների ստուգման ժամանակ։ Լուծումը 'DQ-chek-թերթ։

19) Արագ սկիզբը (ներդրումը 30 օրվա ընթացքում)

Մեկ շաբաթ 1: հաստատել IA-ի կանոնադրությունը (մանդատ), ռիսկի գնահատական անցկացնել, կազմել տարեկան պլանի սևամորթ։
Շաբաթը 2: ձևանմուշներ (PBC, Test/Finding/CAPA sheets), տեղադրեք ապացույցների և ստատուսների պարամետրերը։
Շաբաթ 3: երկու փորձնական կոմպոզիցիաներ «կարճ ձևի» (օրինակ, PSA/PCI և RG/DSAR), թողարկել զեկույցներ, գրանցել CAPA-ը։
Շաբաթը 4: follow-up-up օդաչուներ, հետաձգել ֆորումը, ներկայացնել տարեկան պլանը Հանձնաժողովի հայտարարության համար, համակարգել արտաքին աուդիտների/հավաստագրերի գրաֆիկը։

Հարակից բաժինները

Կարգավորող հաշվետվությունները և տվյալների ցանկը
Խախտումների և հաշվետվությունների ժամկետների մասին ծանուցումներ
Dashbord complaence եւ www.ru
Պատահական պլեյբուսներ և սցենարներ
Ճգնաժամային կառավարում և հաղորդակցություն
Բիզնեսի շարունակականության պլանը (BCP )/PPP
Ռուսական գործողությունների ամսագրեր
Contact

Կապ հաստատեք մեզ հետ

Կապ հաստատեք մեզ հետ ցանկացած հարցի կամ աջակցության համար։Մենք միշտ պատրաստ ենք օգնել։

Telegram
@Gamble_GC
Սկսել ինտեգրացիան

Email-ը՝ պարտադիր է։ Telegram կամ WhatsApp — ըստ ցանկության։

Ձեր անունը ըստ ցանկության
Email ըստ ցանկության
Թեմա ըստ ցանկության
Նամակի բովանդակություն ըստ ցանկության
Telegram ըստ ցանկության
@
Եթե նշեք Telegram — մենք կպատասխանենք նաև այնտեղ՝ Email-ի дополнение-ով։
WhatsApp ըստ ցանկության
Ձևաչափ՝ երկրի կոդ և համար (օրինակ՝ +374XXXXXXXXX)։

Սեղմելով կոճակը՝ դուք համաձայնում եք տվյալների մշակման հետ։