GH GambleHub

Կոմունիստական ռիսկերի մատրիցը

1) Նշանակումներ և փոփոխություններ

Նպատակը 'ստանդարտացնել գնահատումը և կառավարումը iGaming-ում, նվազեցնել տուգանքների/արձագանքների հավանականությունը և ապահովել կայուն վիրահատություններ։

Մոսկվա: AML/CFT, KYC/KYB, սանկցիաներ/RER, վճարումներ և բոնուսային աբուզ, Responsible Gaming (RG), տվյալների պաշտպանություն/PII, գովազդ/մարքեթինգ, գործընկերներ/աֆֆիլիատներ/պրովայդերներ, կարգավորող հաշվետվություններ։

2) Մասշտաբը և տրամագիծը 5 մատրիցա 5 մատրիցա։

Հավանականություն (L, 1-5)

1 - շատ հազվադեպ (241/տարի) 242 - հազվադեպ (թաղամաս) 243 - ժամանակ (ամիս) 244 - հաճախ (շաբաթ) 245 - շատ հաճախ (օրեր) (օրեր)

Ազդեցությունը (I, 1-5)

Ֆինանսներ ՝ 1: 01 5k 242: 245-25k 243: 2425-100k 244: 24100-500k 245:> 24500k

Կարգավորիչ ՝ 1: 1 գործողություն 2: Հարցումը 243:4: Տուգանքի բարձր ռիսկը 5: բարձր ռիսկ դադարեցման/ակնարկ

Վիրահատություններ/հեղինակություն: 1: Նվազագույն 108... 355: Զանգվածային բացասականություն/արտահոսք

Վերջնական միավորը ՝ R = L 35I (1-25)

Գոտիները և շեմերը

1-5 Կանաչ - թույլատրելի, ռուսական։

6-10 Դեղին 'նվազեցման պլանը և սեփականատերը։

11-15 Նարնջագույն - արագացված CAPA, վերահսկողություն ամեն շաբաթ։

16-25 Կարմիր - ռուսական շարժասանդուղքը, բրիջը, անհրաժեշտության դեպքում ծանուցումները։

SLA շարժասանդուղքներ (օրինակ) 'Դեղին - 24 ժամ Orangewa - 4 ժամ - Կարմիր - 15

3) Համակարգչային ռիսկերի կատեգորիաները (սցենարները)

1. AML/CFT: Smurfing, միջոցների խառնուրդ, «mula», structuring, լվացում բոնուսների/քեշ-աուտների միջոցով։

2. Սանկցիաները/RER 'շրջանցել միգրացիոն սահմանափակումները, կեղծ համընկնումները, ժամկետանց ցուցակները։

3. KYC/KYB 'սինթետիկ, փաստաթղթերի կեղծումը, օգտագործողները, ֆիքսված գործընկերները։

4. Ստացիոնար ֆրոդը/բոնուս աբուզը 'Չարդբեկի, մուլտիկաունտինգի, սարքերի ֆերմերների, CPA-frodfiliats։

5. RG (պատասխանատու խաղը) 'սահմանների խախտումներ, վատ խաղային գործունեության չաշխատված ձգումներ։

6. Տվյալների պաշտպանությունը/PII 'արտահոսքեր, անօրինական վերամշակում, սուբյեկտների իրավունքների խախտում, հիբրիդային փոխանցումներ։

7. Գովազդը/մարքեթինգը 'արգելված լսարանների, անբարեխիղճ գովազդային, տեղական կանոնների անհամապատասխանությունը։

8. Wendors/utsors 'KYC պրովայդերների ձախողումներ, հոստինգի գործընկերներ, PSA; ենթահամակարգերի շղթա։

9. Կարգավորող հաշվետվությունները 'ժամկետներ, թերի հաշվետվություններ, տվյալների համաձայն։

4) Կոմպլանսի ռիսկերի մատրիցը ձևանմուշն է։

ԿատեգորիաՍցենարըLIRԳոտիKRI/KPIՇեմնՍեփականատերըԳործողություններSLA
Սանկցիաներ/RERHit-rate և FPR աճը ցուցակների թարմացումից հետո3412Օրանժ։ Hit-rate %, FPR %> 3% hit-rate կամ FPR> 12%Head of ComplianceՍտացիոնար պրովայդեր, ձեռքի ընտրություն high-value, կանոնների կարգավորում4 ժամ
KYCՄերժումների ցատկ liveness4312Օրանժ։ KYC fail %, TATfail%> 15% օրKYC LeadԴիֆերենցիալ, fallback-պրովայդեր, ձեռքով4 ժամ
AMLԱննորմալ եզրակացություններ (մեկ քարտ/շատ ակկ)3515Օրանժ։ SAR/STR rate, Velocity> X եզրակացություններ/քարտեզ/օրAML LeadՍառեցում, EDD, STR, limits1 ժամ
ՎճարումներChargeback-rate տարածաշրջանի4416Կարմիր։ CBR %, NFD %>1. 2%Payments/FRM3DS/AVS, hold, offbording սխեմաներ15 րոպե
RGԻնքնատիրապետման սահմանների գերազանցումը3412Օրանժ։% խախտումներ, TTR> + 50 տոկոսը բազայինRG OfficerԽաղացողի կապը, ժամանակավոր սահմանները/բլոկը, զեկույցը4 ժամ
ՏվյալներըPII պատահարը (ապացուցված)2510Ժելտ ./Օրանժ. #PII records, MTTR> 1000 գրառումDPOԶսպում, ծանուցում, CAPA24 ժամ/4 ժամ
ԳովազդըԿարգավորողի բողոքը պրոմո248Ժելտ։ Բողոքներ/100k ցուցադրություններ> www.2 հիմքերըMarketing/LegalՍտեղծարարության վերացումը, նշվում է, զեկույցը24 ժամ

Եթե ազդում են տվյալների կատեգորիաների վրա, որոնք պահանջում են ծանուցումներ 72 ժամվա ընթացքում 'ռուսական էսկալացիա (կարմիր)։

5) Մետրիկի (KRI/KPI) և շեմերի ուղեցույցները։

AML/Սանկցիաներ/PEP

Hit-rate no/RER-ը 1-ին գրանցման վրա; շեմերը '> 1։ 5% (դեղին),> 3% (նարնջագույն/կարմիր համատեքստով)

FPR 2019/RER; շեմերը ՝> 8% (դեղին),> 12% (նարնջագույն)

SAR/STR per 10k ակտիվ; Time-to-Review (TTR) alert

KYC/KYB:
  • KYC fail %, Liveness dropout %, avg TAT; շեմեր ՝ fail%> 12% (դեղին),> 15% (նարնջագույն) (նարնջագույն)
  • KYB 'գործընկերների տոկոսը առանց իրական մրցույթների/սկանների; շեմերը ՝> 3% (դեղին),> 5% (նարնջագույն)

Վճարումներ/ֆրոդ

Chargeback Rate (CBR); շեմերը ՝> 0։ 8% (դեղին),> 1։ 2% (կարմիր)

Net Fraud Loss % от GGR; շեմն '> 0։ 9% (նարնջագույն)

RG:
  • Ինքնաառաջադրումների մասնաբաժինը։ բողոքներ/1000 խաղացողներ; TTR RG տրիգերներ

Տվյալները/PII

Col-ը backlog-ում կրիտիկական խոցելիության մեջ։ MTTD/MTTR 2019; տվյալների սուբյեկտների հարցումները SLA-ում

Գովազդը/մարքեթինգը

Բողոքներ/100k ցուցադրություններ; ստեղծագործական արարածների մասնաբաժինը մոդերացիայով; գեո/տարիքի խախտումներ

Գենդորներ/հաշվետվություններ

SLA Slaider complaens; կարգավորող պայմանագրերի հետաձգումը; PPH զեկույցի տվյալները

6) Վերահսկման քարտեզը և դրանց արդյունավետությունը

Ինդուկտիվ ՝ սանկցիոն/RER-scrining (onbording + նախքան վճարումը), 2FA/Windows Authn, limits, device-fingerprinting, geo-սահմանափակումներ, գովազդի քաղաքականություն տարիքով/geo, DPIA-ի նոր ֆիգերի համար։

Դետեկտիվ 'real-time հակաֆրոդ կանոնները, կրկնօրինակող պրովայդերը, SIEM/SOAR հարաբերակցությունները, RG-ի ձգիչները, PII հասանելիության լոգարիթմը։

Ուղղիչ ՝ EDD/EDD +, hold/limits, եզրակացությունների սառեցում, արդյունաբերական ժամանակավոր անջատումը, կարգավորողներին/բանկերին ծանուցումները, CAPA-ն։

Արդյունավետության գնահատումը

Coverage% (No. 71), FPR/FNR, Precision/Recall կանոնների/մոդելների համար, TTR/MTTR, տարածքների սահմանները անցնող տարածքների մասը։

7) Ռիսկի-ախորժակը և ընդունման շեմերը

Risk Appetite Stations: Թույլ տվեք ընդհանուր ռիսկը դեղին գոտում, եթե կա նվազեցման պլաններ, նարնջագույն/կարմիր - միայն ժամանակավոր փոխհատուցող վերահսկողություններով և 30 օր հեռացման պլանով։

Decision Gates: high-rollers> X եզրակացությունները առանց EDD-ի արգելված են։ անթափանց գործընկերներ 'կանգառ; գովազդը առանց age երաշխիքների 'stop.

8) Էսկալացիա և հաղորդակցություն (playbook)

Triggers: R 3516; PII պատահարը; պատժամիջոցների քեյսը high-value; CBR> շեմն; Ռիսկի կլաստերներ։

Ջրանցքը 'բրիջը (Compliance + Windows + Payments + Legal + PR + Ops)։

Քայլերը ՝ 1) 2) մասշտաբի հաստատումը 3) պարտադիր ծանուցումներ (իրավասություն) 4) CAPA պլան 5) փոստի մորտը 72 ռուբլով

RACI:
  • Responsible: Կատեգորիայի սեփականատերը (AML/KYC/RG/Privacy/Ads/Payments)
  • Accountable: Head of Compliance
  • Consulted: Legal, DPO, Security, SRE, Finance
  • Informed: C-level, Supert/VIP, գործընկերներ/PSA (անհրաժեշտության դեպքում)

9) Ռիսկերի իրականացումը ձայնագրման կառուցվածքն է

ID 24DID/KPI/KPI/Prog/Proge/International International/International International International/պլանավորված վերահսկում էին International-ը (բիզն/տեխնիկական)։ Traffict կարգավիճակը/SARA World World World W

Օրինակ

ID: AML-012Կատեգորիա: ՍանկցիաներՍցենարը 'PEP-ի համընկնումը VIP-ի առջև քաշաուտի առջև
L/I: 3-4 = 12 (նարնջագույն)Շեմն 'hit-rate> 3% օրվա ընթացքում էսկալացիա
Վերահսկել 'երկրորդ պրովայդերը, ձեռքով հավատալիքները, hold T + 1
CAPA 'տեղադրել fuzzy-matching, սովորեցնել մի խումբ ձեռքով ստուգումներԺամկետը ՝ 14 օր

10) Հիբրիդային օրինակները (մինի-playbook "և)

A. AML/Սանկցիաներ

Պայմանը 'STR-ի և սանկցիոն հիթերի աննորմալ աճը։

Գործողությունները 'ներառել հիբրիդային պրովայդերը; ճշտել ցուցակները; նվազեցնել զգայունությունը ցածր ռիսկի համար/ուժեղացնել high-risk-ի համար; EDD անցկացնել կլաստերների վրա։

B. KYC/KYB

Պայմանը 'liveness-fail> 15 տոկոսը։

Գործողություններ 'fallback; VIP հոսքը; MSK/տեսախցիկի ստուգում; ժամանակավոր սահմաններ։

Վճարումներ/բոնուս աբուզ

Պայմանը 'CBR> 1։ 2% կամ multi-account աճը։

Գործողությունները 'ուժեղացնել velocity/dewis ազդանշանները։ 3DS պարտադիր; սահմանափակումներ բոնուսների համար; Apphiliats-campaine աուդիտ։

D. RG

Պայմանը 'վնասակար ակտիվության խթանիչները ռուսական խաղացողների մոտ։

Գործողությունները ՝ կոնտակտ/խորհուրդ, դեպոզիտների սահմանափակում, ժամանակավոր արգելափակում, գործողությունների փաստաթղթավորում։

E. Տվյալներ/PII

Պայման 'չհաստատված արտահոսք։

Գործողությունները ՝ wwww.ain.ru (բանալիներ/հասանելի), ֆորենզիկա, DPIA, ծանուցումներ (եթե անհրաժեշտ է), պարտադիր փոստի մորտը։

F. Գովազդը

Պայման 'բողոքել անչափահասներին։

Գործողությունները 'ակնթարթային փլեյ, աղբյուրի/թարգետի աուդիտ, քաղաքական գործչի նորարարություն, կարգավորիչի տեղեկացում անհրաժեշտության դեպքում։

11) Վենդորներն ու երրորդը։

Onbording: due diligence, սանկցիաներ/RER, SOC2/ISO27001, DPIA/DTIA, DPA/SCCs.

Գործողության մեջ ՝ www.SLA, միջադեպեր, ենթահամակարգեր, geo 360 տվյալների։

Diboarding: Հասանելի ակնարկներ, հեռացում/տվյալների փաթեթ, փակման ակտ։

12) Գործընթացներում

CAB/Change-entle-ը 'հակաֆրոդի/կոմպլանսի կանոններում փոփոխությունները անցնում են CAB-ի միջոցով, որոնք գնահատում են ազդեցությունը KRI/FPR/FNR-ի վրա։

CI/CD: policy-as-code թեստերը դելֆիններում; «մարդասպան» կանոնները միայն feature դրոշների միջոցով են։

Հաշվետվություններ ՝ ամենօրյա KRIS Snepshot; շաբաթական ռիսկի հանձնաժողովը; ամսական ռետրոն մատրիցայի նորարարությամբ։

13) Մատրիցայի հասունության չեկ թերթիկը

  • L/I մասշտաբները պնդված և փաստագրված են
  • Կատեգորիաները և սցենարները ծածկում են անցյալ տարվա մրցույթի 95% -ը։
  • KRIS ավտոմատացված (dashbords, alerts, SLA ռեակցիաներ)
  • Գոյություն ունի երկրորդ պրովայդեր 2019/CUS և պլանի համար։
  • RACI-ն հասկանալի է, թարմացված է կոնտակտային թերթերը և հաղորդակցման ձևանմուշները
  • CAPA-treker միասնական համակարգում և փակվում է ժամանակին
  • Ezekvartal prodrisk appetite և շեմեր

14) Ճանապարհի քարտեզը (օրինակ)

Շաբաթներ 1-2: ռիսկերների բուլարիզացիան, որը պարունակում է մասշտաբը, սև մատրիցը, սեփականատերերի նշանակումը։

Շաբաթներ 3-4: KRIS-ի ավտոմատիզացիան, ալտերի ինտեգրումը, RACI/էսկալացիա, կոդավորման ձևանմուշներ։

Մեկ ամիս 2 'մետրոպոլիտենի պրովայդերների միացում, SOAR պլեյբուսներ, թիմերի ուսուցում։

Մեկ ամիս 3 + 'սթրեսային թեստեր, արդյունավետության աուդիտ, շեմերի ավելացում և քաղաքական։

TL; DR

Միասնական 5-5 մատրիցա + չափված KRIs-ը և պարզ շեմերը կանխատեսելի էսկալացիա և արագ լուծումներ են։ Արդյունքը ավելի քիչ տուգանքներ և բյուջեներ են, ավելի բարձր կայունություն և պահանջների համապատասխանեցում բոլոր օրենքներում։

Contact

Կապ հաստատեք մեզ հետ

Կապ հաստատեք մեզ հետ ցանկացած հարցի կամ աջակցության համար։Մենք միշտ պատրաստ ենք օգնել։

Սկսել ինտեգրացիան

Email-ը՝ պարտադիր է։ Telegram կամ WhatsApp — ըստ ցանկության։

Ձեր անունը ըստ ցանկության
Email ըստ ցանկության
Թեմա ըստ ցանկության
Նամակի բովանդակություն ըստ ցանկության
Telegram ըստ ցանկության
@
Եթե նշեք Telegram — մենք կպատասխանենք նաև այնտեղ՝ Email-ի дополнение-ով։
WhatsApp ըստ ցանկության
Ձևաչափ՝ երկրի կոդ և համար (օրինակ՝ +374XXXXXXXXX)։

Սեղմելով կոճակը՝ դուք համաձայնում եք տվյալների մշակման հետ։