内部統制と監査

1）目的とエリア

目的：事業目標の達成を安全かつ合法的に確保し、運用、財務、コンプライアンスおよび評判リスクを低減する。
適用範囲：すべての範囲のプロセスそしてIT制御：支払/カスアウト、KYC/AML/制裁、反詐欺、RG、マーケティング/データ輸出、DevOps/SRE、 DWH/BI、 privacy/GDPR、 TPRM。

2）保護原則とモデル

防衛の3つのライン：1）プロセス所有者（操作/製品）、2）リスク/コンプライアンス/セキュリティ（方法論、監視）、3）独立した内部監査。
リスクベース：コントロールは残留リスクの優先度に応じて構築されます。
証拠主導：各コントロールには、測定可能な基準、データソース、および証明可能性アーティファクトがあります。
Automate-first：可能であれば-手動ではなく自動および連続制御（CCM）。

3）リスクマップ→目的→コントロール

1.リスクレジスタ：原因/イベント/結果（財政、プレイヤー、ライセンス）を特定します。
2.制御の目的：防止/検出/修正する必要があるもの（例えば「、資金の違法撤退」「、PIIへの不正アクセス」）。
3.コントロールアクティビティ：目標を達成するための特定のポリシー/手順/自動化の選択。

• 予防：RBAC/ABAC、 SoD （4-eyes）、限界と得点、データ検証、WebAuthn、 mTLS。
• 探偵：SIEM/アラート、和解、SLA/SLOダッシュボード、監査ログ（WORM）、異常制御。
• 訂正：自動ロック、解放のロールバック、キー回転、手動解析およびリターン。
• 補償：メインコントロールが不可能な場合-対策の強化（追加監視、二重検証）。

4）コントロールライブラリ

• ID/Name、 objective、 risk、 type、 frequency、 control owner、 performer、 execution method （manual/auto/guide）、 evidenceのソース、KPI/KRI、ポリシー/プロシージャとのコミュニケーション、依存システム。
• 状態：ドラフト→アクティブ→モニタリング→引退。バージョン管理とログの変更。

• 'CTRL-PAY-004'-4目は支払いを承認します>X（予防、毎日、所有者：支払いの頭、証拠：アプリケーション/ログ、KPI： 100％カバレッジ）。
• 'CTRL-DWH-012'-店頭でのPIIマスキング（予防、永続的、所有者：データ責任者、証拠：テストリクエスト、KPI： ≥ 95％マスク読み取り）。
• 'CTRL-SEC-021'-管理コンソール用MFA（予防；証拠：IdPレポート；KPI： 100％採用）。

5） RACIおよび所有者

6）監査とテストの計画

年間計画は、リスク指向（高い残留リスク、規制要件、インシデント、新しいシステム）を形成します。

• 設計の有効性（DE）：コントロールがリスクを軽減するために正しく設計されているかどうか。
• 動作効率（OE）-一定の周波数で安定して動作するかどうか。
• テーマ別/プロセス監査：エンドツーエンドのドメイン検証（例：KYC/AMLまたはCassouts）。
• フォローアップ/検証-CAPA閉鎖の確認。

アプローチ：ウォークスルー（トレース）、インタビュー、アーティファクト/ログのレビュー、分析、パフォーマンス（繰り返し）。

7）証拠およびサンプル

証拠の種類：ログアップロード（署名/ハッシュ）、IdP/SSOレポート、チケットと承認ログ、構成、タイムスタンプ付きスクリーンショット、ストアフロントからのxls/csv、 PAMセッションの記録。
整合性：WORMコピー、ハッシュチェーン/署名、'ts_utc'を指定します。
サンプリング：統計的/判断的；サイズは制御および信頼レベルの頻度によって決まります。
基準：合格/失敗；de minimis手動操作のしきい値が許可されています。

8）不適合の評価及び分類

グラデーション：クリティカル/ハイ/ミディアム/ロー。
基準：影響（お金/PII/ライセンス）、確率、期間、再現性、補償制御。
レポート：カード（リスク、説明、例、根本原因、影響、必要なアクション、タイミング、所有者）を検索し、ステータスを追跡します。

9） CAPAと変更管理

矯正と予防措置：根本原因の排除、症状だけでなく。
S。M。A。R。T。-測定：特定、測定可能、日付；責任とマイルストーン。
変更の諮問委員会：高リスク変更はCABを渡します；ポリシー/プロシージャ/ロールの更新。
パフォーマンス検証：N週間/月の後に再監査。

10）連続的な監視（CCM）および分析

CCM候補者：高周波および形式化されたコントロール-SoD紛争、JIT問題、異常輸出、MFAカバレッジ、支払限度、制裁のヒット。
ツール：SIEM/UEBAルール、データ/BIダッシュボード、回路/マスキングバリデータ、アクセステスト（policy-as-code）。
シグナル/アラート：しきい値/行動；SOARチケット；重要な偏差のための自動ブロック。
利点：検出の速度、手動負荷の減少、より良い証明性。

11）指標（KPI/KRI）

• 重要なプロセスの制御によるカバレッジ≥ 95％
• マニュアルコントロールのオンタイム実行≥ 98％
• CAPAは時間通りに閉鎖しました（高い/重大な）≥ 95％
• 自動MoMコントロールの共有

• SoD障害=0
• PIIは'purpose'なしでアクセスする=0
• リーク/インシデント通知≤ 72時間-100％
• オペレーション制御のフェイルレート<2％（トレンド減少）

12）頻度およびカレンダー

毎日/連続：CCM、不正防止信号、支払制限、マスキング。
毎週：支払い/レジスタの和解、輸出管理、アラート分析。
毎月：MFA/SSOレポート、アクセスレジスタ、ベンダー監視、KRIトレンド。
四半期：権利再認証、テーマ別レビュー、BCP/DRストレステスト。
年間：完全な監査計画とリスクマップの更新。

13）既存のポリシーとの統合

RBAC/ABAC/Lest Privilege、 Access Policies、 Segmentation-予防コントロールのソース。
パスワードポリシーとMFAは、管理者/重要な操作に必須の要件です。
監査ログ/ログポリシー-探偵と証拠のコントロール。
TPRMおよび第三者契約-外部コントロール：SLA、 DPA/SCC、監査権。

14）チェックリスト

14.1新しい制御設計

• 説明されている客観的および関連リスク
• 定義型（予防/探偵/矯正）
• オーナー/パフォーマーと頻度の割り当て
• 指定されたデータソースと証拠フォーマット
• 組み込みメトリック（KPI/KRI）とアラート
• ポリシー/プロシージャへのリンク
• DE/OEテストプラン定義

14.2監査

• 合意された範囲とDE/OEの基準
• 検索されたアーティファクトとアクセスのリスト
• サンプリングが合意され、修正された
• 分類された結果と結果
• CAPA、期限、所有者が承認
• ステークホルダーへの報告・報告

14.3モニタリングとレポート作成（月次）

• すべてのクリティカルコントロールのKPI/KRI
• 失敗/偽陽性の傾向
• CAPAと非行状態
• オートメーション/JMA提案

15）典型的なエラーとそれらを回避する方法

目標/メートルなしの制御：目的およびKPI/KRIを形式化して下さい。
証拠のない手動制御：フォーム/スクリプトを標準化し、WORMにアーティファクトを保存します。
例外の増加：有効期限と補償措置を持つ例外のレジスタ。
「紙に」作品-現実ではありません：通常のOEテストとCCM。
オープンCAPA：毎月のリスク委員会の自動エスカレーションとステータス。

16）実装ロードマップ

週1-2：リスクマップを更新し、コントロールのカタログをコンパイルし、所有者を任命し、証拠テンプレートを承認します。
週3-4： KPI/KRIモニタリングを開始し、オートメーション（CCM）の5-10コントロールを選択し、年次監査計画を承認します。
月2：1-2テーマ監査（高リスク）を実施し、SOARアラートを実施し、取締役会報告を確立する。
月3+：CCMを拡大し、四半期ごとのレビューを実施し、手動制御を削減し、DE/OEカバレッジとCAPA閉鎖率を増加させます。

TL；DRについて

効果的な内部統制=リスクカード→目標→オーナーとエビデンスの明確な活動、定期的なDE/OEテスト、CAPAおよびCCMオートメーション。これにより、リスク管理が測定可能になり、監査が予測可能になり、コンプライアンスが実証可能になります。