監査チェックリストとレビュー

1）目的

• チームと期間の間のチェックの比較可能性；
• 結果の完全性と証拠；
• パッチ（CAPA）および再チェックの透過的な管理

2）役割とRACI

所有者： コンプライアンス責任者/内部監査責任者-方法論、チェックリストのバージョン。（A）

プロセス所有者（1行目）： 自己評価、アーティファクト、CAPA。（R）

コンプライアンス/InfoSec/AML/RG （2行目）： ピアレビュー、共同監査、規範の解釈。（R/C）

内部監査（3行目）： 独立したレビュー、評価、フォローアップ。（R）

管理（Exec Sponsor）-CAPAへの出力とリソースの承認。（A/C）

3）レビューの種類

1.自己評価（SA）：短いチェックリストのためのプロセス所有者によって毎月/四半期。
2.ピアレビュー（PR）：近隣チームによるクロスチェック（利益相反なし）。
3.マネジメントレビュー（MR）：四半期ごと-KPI/KRIのレビュー、トレンド、オープンCAPA。
4.内部監査レビュー（IA）： IA Plan Independent Review。
5.外部監査準備（EAR）：認証/検査（ISO/SOC/PCI/レギュレータ）の準備。

4）チェックリストの一般的なルール

ID: CL- <code >/Version: v <MAJOR. MINOR >/Owner: <role>
Область: <KYC/AML/RG, GDPR/PII, Payments/PCI, Games/Providers, Reporting, Incidents...>
Frequency: M     Q      Ad-hoc
Material: <criteria for High/Medium/Low>
Sampling: <method and size>
Evidence: <list of files/screenshots/logs>
Question List: [X] Yes [] No [] N/A + Comment + Artifact + Severity
Bottom line: Score/Rating/CAPA

• 完全に会った（100-90％）/主に会った（89-75％）/部分的に会った（74-50％）/会わなかった（<50％）。
• 相違の重症度：S1 critical/S2 high/S3 medium/S4低い。
• マテリアリティ：金銭効果（GGR/NGR）、顧客カバレッジ/PII、ライセンス/ペナルティリスク、ゲームの完全性への影響。

5）チェックリストカタログ（チェックポイント付きスケルトン）

CL-KYC-01-KYC/KYB

• ポリシーとレビューレベルは承認され、最新のものです。
• KYCプロバイダには既存の契約/DPAがあります。
• 検証SLAを満たしています（D-1メートル）。
• 文書は保持に従って保存されます。アクセス-RBAC。
• 文書化された障害/エスカレーション；FPの割合は正常です。
• パートナーのためのKYB：現在の声明/受益者。

証拠：KYCステータスアップロード、DPAレジストリ、アクセスログ、25ケースのサンプル。

CL-AML-02-AML/CFT

• AMLポリシーとリスクスコアリング方法を更新しました。
• オンボーディングPEP/制裁チェックと定期的に。
• SAR/STRは時間通りに送信されます。謝辞があります。
• 調査の質：完全性、タイミング、閉鎖。
• 監視ルールは速度/構造化/ミュールをカバーします。
• tipping-offテストなし：SAR中にクライアント通知なし。

証拠：SAR/STRケース、制裁チェックログ、ケース閉鎖時間レポート。

CL-RG-03-責任あるプレー

• Limit/Self Exclusion同期されたレジスタ（Register/Nat。システム）。
• 脆弱性トリガー→SLA内の連絡先；コミュニケーションテンプレート。
• 介入の有効性を測定し、分析する。
• 広告/ボーナスは市場の制約を満たしています。
• RGインシデントとレギュレータへの通知-時間通りに。

証拠：自己排除ログ、共産主義。パターン、アウトリーチメトリクス。

CL-PCI-04-決済/PCI

• PCIセグメンテーションとPAN/CHDインベントリの最新情報。
• transit/at-restのトークン化/暗号化；鍵は掘ってる。
• しきい値のPSPによるAuth-rate/decline/latency；フォールバック・ルート。
• チャージバックのプロセスと紛争の証拠ベース。
• ASVスキャンの脆弱性は時間通りに修正されました。
• 決済エリアのアクセスログは完全で変更できません。

証拠：ネットワークチャート、ASVレポート、チャージバックケース、主要なKMSポリシー。

CL-GAMES-05-ゲームプロバイダ/インテグリティ

• 契約および技術仕様は最新のものです。RNG/ビルドバージョン-レジストリ内。
• RTPドリフトモニタリングと応答しきい値；凍結は手続き的に固定されます。
• ラウンド/セッション/ウォレット残高を同期します。
• プロバイダーインシデント：タイムライン、キャプチャ、プレーヤー補償。
• Integrity Regulator/RTPへのレポート-提出および確認。

証明：RTPアップロード、プロバイダAPIログ、フリーズ・チケットの例。

CL-REP-06-規制報告

• 締め切りカレンダー：Ready/Sent/Acceptedステータス。
• データスキーマはバージョン管理されています。ファイルはハッシュで署名されています。
• 和解：財布↔ PSP ↔ GLの違いはありません>X％。
• 謝辞（ID/領収書）は、アーティファクトに保存され、関連付けられます。
• ローカライズ/言語が満たされました。

証拠：締め切りのダッシュボード、領収書、SQLの和解。

CL-INC-07-インシデント/通知

• S1/S2によるSLAのTTS（最初のメッセージ）。
• DPA/レギュレータ/PSP/CERT通知-時間通りに、確認。
• アーティファクトの完全性：タイムライン、ログ、メッセージ、影響を受けるリスト。
• レトロ≤ 7日、CAPAが登録され、移動しています。
• プレイヤーはポリシーに従って補償されます。

証拠：インシデントログ、ステータスページ、アーティファクトパッケージ。

CL-GDPR-08-GDPR/PII

• 治療レジストリ（RoPA）最新の。法的根拠は正しい。
• DSARは30日間≤閉鎖されます。非行が説明されました。
• DPIAは高リスクプロセスのために設計されています。
• アップロードとレポートでのエイリアス/マスキング。
• プロセッサおよびSCCとの契約は有効です。

証拠：RoPA、 DSARジャーナル、DPIA、レポートのマスクの例。

CL-ITGC-09-一般的なITコントロール

• 変更管理：PRプロセス、テスト、承認、職務の分離。
• アクセス：RBAC/ABAC、定期改訂、24時間≤のオフボーディング。
• バックアップ/リストア、DR定期テスト
• 監査ログは変更不可、保持が観察されます。
• オブザビリティ：SLO/誤った予算、重要な指標へのアラート。

証拠：PRサンプル、IAMログ、DRテストレポート、保持ポリシー。

6）サンプリングとエビデンスの方法論

サイズ：スコープとリスクに焦点を当てる（例：min 25の大きい配列のためのpps/stratification）。
メソッド：ランダム、体系的、方向性（異常/限界ケース）、ピーク期間によって。
十分：キー出力の少なくとも2-3独立したソース（ログ、スクリーンショット、アップロード、チケット）。
トレーサビリティ：各チェックリスト項目-IDとレジスタ内のリンクを証明します。

7）評価のルブリケーターを見直して下さい

効果的-コントロールは設計されており、安定して動作します。S1/S2に矛盾はありません。
一般的に効果的（改善）-S3/S4がありますが、リスクは管理されています。
部分的に効果的な-システムS 2；高い残余の危険。
効果がない-S1/set S2；すぐに回復計画が必要です。

8） CAPAのフォローアップ

各検索の場合：root→action→owner→term→success metric。
閉じるSLA： S1-≤ 30日；S2-≤ 60日；S3-≤ 90日；S4-合意による。
検証：監査人は実施の証拠（スクリーン/ログ/ポリシー）を適用し、ステータスを検証済みに変更します。
エスカレーション：S1/S2の遅延-毎週のMRへ、四半期ごとに監査委員会へ。

9）作業アーティファクト（テンプレート）

9.1チェックリスト（チェックシート）

9.2カードの検索

コードタイトル実際の基準リスク/影響根本原因勧告Sレベル。

9.3 CAPAシート

Finding→Steps→Owner→Deadline→Metric/Threshold→Evidence→Status→Verification Date。

9.4 PBCリスト（顧客によって提供される）

クエリ→フォーマット→ソース→オーナー→締め切り→受け取った日付→コメント。

10）ダッシュボードレビュー

カバレッジ：期間中にレビューによってカバーされるプロセスの％。
重症度別の調査結果：S1-S4分布。
CAPA進捗状況：完了/進行中/期限切れ；閉館時間の中央値です。

リピート調査結果： 12か月のリピートの割合

適時性：SA/PR/MR/IAスケジュールの遵守。
有効性トレンド：エリア別の評価ダイナミクス。

11）カレンダーおよび頻度

毎月：KYCによるSA/支払い/GDPR DSAR、インシデント/通知。
四半期ごとに：AML/RG/プロバイダー/レポートによるPR、すべての方向のMR。
半年間/年次：高リスク領域によるIA；証明/点検の前のEAR。

12）チェックカード「クイックスタート」（各7ポイント）

KYC （7点）：ポリシープロバイダ/DPA SLAキュー>SLA RBAC 免除/エスカレーションFPレポート。
AML （7点）：PEP リスト/SAR制裁期限調査の品質Velocity/Structuring No Tipping-off Caseboard KPIトレーニング。
RG （7点）：SLA Effectiveness広告制限のレジストリ/同期連絡先Regulatorへの苦情インシデントレポート。
PCI （7点）：セグメンテーションキー/ASV回転/火山アクセスログTokenization Chargebacks Fallback PSP。
ゲーム（7点）：RTP-drift FreezeプロシージャBalance Synchronies Provider Incidents RNG Versions/Builds SLA API Integrity Reports。
レポート（7点）：カレンダースキーム/バージョン署名/ハッシュ調整言語/ロケールDQメトリック領収書。
インシデント（7点）：時間内のTTS通知アーティファクトの完全性補償Retro CAPAダッシュボード。

13）頻繁な間違いとそれらを回避する方法

証拠のないチェックリスト→すべてのアイテムにアーティファクトIDが必要です。
マテリアリティのない評価→チェックリストカードのしきい値を修正します。
SA/PR/IA重複→一貫したカレンダーと単一のリクエストレジスタ（PBC）。
運用テストなしの「文書中心主義」→常に作業のサンプルを取ります。
メトリックのないCAPA→測定可能な結果を指定します（例えば、DSAR ≤ 30日≥ 98％）。

14）実施計画（30日）

ウィーク1

1.方法論と評価尺度を承認します。
2.8つの基本チェックリスト（CL-KYC/AML/RG/PCI/GAMES/REP/INC/GDPR）を作成します。
3.アーティファクトとPBC/Finding/CAPAテンプレートを登録します。

ウィーク2

4.2工程でSAパイロットを実施し、1工程でPRを行います。
5.レビューダッシュボードとCAPAログを設定します。
6.「証拠とサンプル」に関するトレーニングを発行します。

ウィーク3

7.ほぼ認証/検査に関するEARセッション。
8.四半期のMR/IAスケジュールに同意します。
9.材料のしきい値とサンプルサイズを修正します。

ウィーク4

10.v1をリリースします。0チェックリストディレクトリとカレンダーカード。

11.レトロパイロット、チェックリストのバージョンを更新（v1。1).

12.プロセスオーナーのKPIにレビューを含める。

15）関連セクション

内部監査と外部監査

規制レポートとデータフォーマット

違反の通知と報告期限

コンプライアンスダッシュボードと監視

インシデントプレイブックとスクリプト

危機管理とコミュニケーション