GH GambleHub

აუდიტორული შემოწმებები და შურისძიება

1) დანიშვნა

შექმენით Checlists- ის ერთიანი კატალოგი და წესები ოპერაციებისა და Complaens- ისთვის, რომელიც უზრუნველყოფს:
  • გუნდებსა და პერიოდებს შორის შემოწმებების შედარება;
  • შედეგების სისრულე და მტკიცებულება;
  • გამჭვირვალე კორექტირების მენეჯმენტი (CAPA) და ხელახალი შემოწმება.

2) როლები და RACI

Owner: Head of Compliance/Head of Internal Audit - მეთოდოლოგია, ჩეკისტების ვერსიები. (A)

Process Owners (პირველი ხაზი): self-assessment, არტეფაქტები, CAPA. (R)

Compliance/InfoSec/AML/RG (მე -2 ხაზი): peer მიმოხილვა, co-აუდიტი, სტანდარტების ინტერპრეტაცია. (R/C)

Internal Audit (მე -3 ხაზი): დამოუკიდებელი შურისძიება, რეიტინგები, follow-up. (R)

მენეჯმენტი (Exec Sponsor): დასკვნებისა და რესურსების დამტკიცება CAPA- ში. (A/C)

3) შურისძიების ტიპები

1. Self-Assessment (SA): ყოველთვიურად/კვარტალურად, მოკლემეტრაჟიანი პროცესების მფლობელები.
2. Peer-Review (PR): მეზობელი გუნდის ჯვრის შემოწმება (ინტერესთა კონფლიქტის გარეშე).
3. მენეჯმენტის მიმოხილვა (MR): კვარტალში ერთხელ - KPI/KRI მიმოხილვა, ტენდენციები და დაუცველი CAPA.
4. Internal Audit მიმოხილვა (IA): დამოუკიდებელი აუდიტი IA გეგმის მიხედვით.
5. External-Audit Readiness (EAR): მზადება სასერთიფიკატო/ინსპექტირებისთვის (ISO/SOC/PCI/რეგულატორი).

4) ჩეკლისტის ზოგადი წესები

თითოეულ სექციას აქვს კოდი, ვერსია, მფლობელი, რეგიონი და სავალდებულო სექციები: 

ID: CL- <code >/Version: v <MAJOR. MINOR >/Owner: <role>
Область: <KYC/AML/RG, GDPR/PII, Payments/PCI, Games/Providers, Reporting, Incidents...>
Frequency: M     Q      Ad-hoc
Material: <criteria for High/Medium/Low>
Sampling: <method and size>
Evidence: <list of files/screenshots/logs>
Question List: [X] Yes [] No [] N/A + Comment + Artifact + Severity
Bottom line: Score/Rating/CAPA
შეფასების სისტემა (რეკომენდებული):
  • Fully Met (100–90%) / Largely Met (89–75%) / Partially Met (74–50%) / Not Met (<50%).
  • Severity შეუსაბამობები: S1 კრიტიკული/S2 მაღალი/S3 საშუალო/S4 დაბალია.
  • მატერიალები: ფულადი ეფექტი (GGR/NGR), მომხმარებელთა გაშუქება/PII, ლიცენზიის/ჯარიმების რისკი, გავლენა თამაშების გულწრფელობაზე.

5) ჩეკლისტების კატალოგი (ჩონჩხი საგუშაგოებით)

CL-KYC-01 — KYC/KYB

  • პოლიტიკა და აუდიტის დონე დამტკიცებულია და აქტუალურია.
  • KYC პროვაიდერებს აქვთ არსებული ხელშეკრულებები/DPA.
  • SLA შემოწმებულია გადამოწმების თვალსაზრისით (მეტრიკა D-1).
  • დოკუმენტები ინახება რეტენციის შესაბამისად; წვდომა - RBAC.

დაფიქსირებულია წარუმატებლობა/ესკალაცია; FP- ის წილი ნორმალურია.

  • KYB პარტნიორებისთვის: შესაბამისი ამონაწერები/ბენეფიციარები.

მტკიცებულებები: KYC სტატუსის გადმოტვირთვა, DPA რეესტრი, წვდომის ჟურნალი, 25 შემთხვევის ნიმუში.

CL-AML-02 — AML/CFT

  • განახლებული AML პოლიტიკა და რისკების მართვის მეთოდი.
  • REP/სანქციები on-boarding- ზე და პერიოდულად.
  • SAR/STR იგზავნება დროულად; დაშვების დადასტურება არსებობს.
  • გამოძიების ხარისხი: სისრულე, დრო, დახურვა.
  • Monitoring rules დაფარულია velocity/chructuring/muls.
  • ტესტი „no tipping-off“: არ არსებობს მომხმარებლის შეტყობინებები SAR- ში.

მტკიცებულებები: SAR/STR შემთხვევები, სანქციების შემოწმების ლოგოები, ანგარიშები დახურვის დროზე.

CL-RG-03 - პასუხისმგებელი თამაში

  • ლიმიტების/თვითშეფასების რეესტრი სინქრონიზებულია (რეესტრი/ეროვნული). სისტემა).
  • დაუცველების გამომწვევი მიზეზები - კონტაქტი SLA- ში; კომუნიკაციის შაბლონები.

ინტერვენციების ეფექტურობა იზომება და ანალიზდება.

  • რეკლამა/პრემია შეესაბამება ბაზრის შეზღუდვებს.
  • RG ინციდენტები და რეგულატორისთვის შეტყობინებები დროულად.

მტკიცებულებები: logs self-exclusion, კომუნა. შაბლონები, მრიცხველები გარეთ.

CL-PCI-04 - გადახდები/PCI

  • PCI სეგმენტი და PAN/CHD ინვენტარი აქტუალურ მდგომარეობაში.
  • ტოკენიზაცია/დაშიფვრა ტრანზიტში/at-rest; გასაღებები ვრცელდება.
  • Auth-rate/decline/latence PSP- ში რეიდებში; fallback მარშრუტები.
  • Chargeback process და სადავო საფუძველი დებატებისთვის.
  • ASV სკანებიდან დაუცველები დროულად აღმოიფხვრა.
  • საგადახდო ზონაში წვდომის ჟურნალები სრული და უცვლელია.

მტკიცებულებები: ქსელის დიაგრამები, ASV მოხსენებები, chargebacks- ის შემთხვევები, KMS- ის საკვანძო პოლიტიკა.

CL-GAMES-05 - თამაშების პროვაიდერები/პატიოსნება

  • კონტრაქტები და ტექნიკური. სპეციფიკაციები აქტუალურია; RNG/ბილეთების ვერსიები რეესტრშია.
  • RTP-drift მონიტორინგი და რეაქციის ბარიერები; freeze პროცედურულად ფიქსირდება.
  • ნაშთების სინქრონიზაცია round/session/საფულე.
  • პროვაიდერის ინციდენტები: დრო, ფიქსაცია, მოთამაშეების ანაზღაურება.
  • მოხსენებები პატიოსნების მარეგულირებლისთვის/RTP - წარდგენილია და დადასტურებულია.

მტკიცებულებები: RTP გადმოტვირთვის, პროვაიდერის API- ის ლოგო, freeze ticket- ის მაგალითები.

CL-REP-06 - მარეგულირებელი ანგარიში

  • ვადების კალენდარი: სტატუსები „მზად/გაგზავნილი/მიღებული“.
  • მონაცემთა სქემები განახლებულია; ფაილები გაფორმებულია/ჰეშებით.
  • რეკონსტრუქცია: საფულე - PSP - GL შეუსაბამობის გარეშე> X%.
  • მიღების დადასტურება (ID/ქვითრები) დაცულია და უკავშირდება არტეფაქტებს.
  • ლოკალიზაცია/ენა დაცულია.

მტკიცებულებები: ვადა, ქვითრები, SQL კრეკერები.

CL-INC-07 - ინციდენტები/შეტყობინებები

  • TTS (პირველი შეტყობინება) SLA- ში S1/S2.
  • შეტყობინებები DPA/რეგულატორებისთვის/PSP/CERT - დროულად, დადასტურებით.
  • არტეფაქტების სისრულე: დრო, ლოგოები, შეტყობინებები, დაზარალებულთა სიები.
  • რეტრო 7 დღის განმავლობაში, CAPA რეგისტრირებულია და მოძრაობს.
  • კომპენსაცია მიენიჭა მოთამაშეებს პოლიტიკის შესაბამისად.

მტკიცებულებები: ინციდენტების ჟურნალი, სტატუსის გვერდი, არტეფაქტების პაკეტები.

CL-GDPR-08 — GDPR/PII

  • დამუშავების რეესტრი (RoPA) აქტუალურია; სამართლებრივი საფუძვლები სწორია.
  • DSAR დახურულია 30 დღის განმავლობაში; შეფერხებები აიხსნება.
  • DPIA მზადდება მაღალი რისკის პროცესებისთვის.
  • ფსევდონიმიზაცია/შენიღბვა გადმოტვირთვისა და მოხსენებების დროს.
  • ხელშეკრულებები დამამუშავებლებთან და SCC ძალაში შედის.

მტკიცებულებები: RoPA, DSAR ჟურნალი, DPIA, ნიღბების მაგალითები მოხსენებებში.

CL-ITGC-09 - ზოგადი IT კონტროლი

  • ცვლილების მენეჯმენტი: PR პროცესი, ტესტები, approvals, duties separation.
  • წვდომა: RBAC/ABAC, პერიოდული გადასინჯვა, off-boarding - 24:
  • სარეზერვო/აღდგენა, პერიოდული ტესტები DR.
  • აუდიტის ლოგოები უცვლელია, შეინიშნება რეცენზია.
  • დაკვირვება: SLO/მცდარი ბიუჯეტები, ალერტები კრიტიკულ მეტრებზე.

მტკიცებულებები: PR ნიმუშები, IAM ლოგოები, DR ტესტების მოხსენებები, რეტენციული პოლიტიკა.

6) ნიმუშებისა და მტკიცებულებების ტექნიკა

ზომა: ფოკუსირება ოპერაციების მოცულობასა და რისკზე (მაგ., min 25, pps/სტრატიფიკაცია დიდი მასივებისთვის).
მეთოდები: შემთხვევითი, სისტემატური, მიმართული (ანომალიები/სასაზღვრო შემთხვევები), მწვერვალების პერიოდების მიხედვით.
ადეკვატურობა: მინიმუმ 2-3 დამოუკიდებელი წყარო საკვანძო დასკვნისთვის (ლოგოები, ეკრანის კადრები, გადმოტვირთვა, თიკეტები).
კვალიფიკაციის ამაღლება: შემოწმების თითოეული პუნქტი არის მტკიცებულება ID- ით და რეესტრში მითითებით.

7) შურისძიების რეიტინგის რუბრიკატორი

Effective - კონტროლი შექმნილია და სტაბილურად მუშაობს, არ არსებობს შეუსაბამობები S1/S2.
Generally Effective (გაუმჯობესებით) - არის S3/S4, მაგრამ რისკები კონტროლდება.
Partially Effective - სისტემური S2; მაღალი ნარჩენი რისკი.
ინვესტიცია - S1/მრავალი S2; საჭიროა დაუყოვნებელი აღდგენის გეგმა.

8) CAPA и follow-up

თითოეული finding: ფესვი - მოქმედება - მფლობელი - წარმატების მეტრიკის ვადა.
SLA დახურვა: S1 - 30 დღე; S2 - 60 დღის განმავლობაში; S3 - 90 დღის განმავლობაში; S4 - შეთანხმდნენ.
გადამოწმება: აუდიტორი იყენებს განხორციელების მტკიცებულებებს (scrins/logs/პოლიტიკოსები), ცვლის სტატუსს Verified- ზე.
ესკალაცია: დაგვიანებული S1/S2 - ყოველკვირეულ MR- ში, Audit კომიტეტისთვის კვარტალურად.

9) სამუშაო არტეფაქტები (შაბლონები)

9. 1 ჩეკლისტი (გადამოწმების ფურცელი)

'წერტილი''დიახ/არა/N/A''კომენტარი'`Severity`'არტეფაქტი (ID)'.

9. 2 Finding Card

სათაურის კოდი ფაქტია კრიტერი რისკი/მიზეზის გავლენა (Root cause) რეკომენდაცია S დონეზე.

9. 3 CAPA Sheet

Finding Stream - მფლობელი - ვადა Metrika/ზღურბლს. მტკიცებულებები: სტატუსი - გადამოწმების თარიღი.

9. 4 PBC სია

მოთხოვნა - ფორმატით - წყარო - პასუხისმგებელი ვადა - მიღებული (თარიღი) - კომენტარები.

10) დაშბორდი

Coverage: პერიოდის განმავლობაში შურისძიებით დაფარული პროცესების%.
Findings by Severity: S1-S4 განაწილება.
CAPA Progress: დასრულებულია/სამსახურში/ვადაგადაცილებული; დახურვის საშუალო დრო.
Repeat Findings: განმეორებითი წილი 12 თვის განმავლობაში.
დრო: SA/PR/MR/IA გრაფიკის დაცვა.
Effectiveness Trend: რეიტინგების დინამიკა რეგიონებში.

11) კალენდარი და სიხშირე

Monthly: SA KYC/Payments/GDPR DSAR, ინციდენტები/შეტყობინებები.
Quarterly: PR AML/RG/Providers/Reporting, MR ყველა მიმართულებით.
Semi-Annual/Annual: IA მაღალი რისკის ზონების მიხედვით; EAR სერტიფიკაციამდე/შემოწმებამდე.

12) ჩეკის ბარათები „სწრაფი დაწყება“ (თითო 7 ქულა)

KYC (7-ქულა): პროვაიდერის პოლიტიკა/DPA SLA ეტაპი> SLA RBAC უარი თქვას/ესკალაცია FP ანგარიშის შესახებ.
AML (7-პუნქტი): RER/SAR სანქციების სიები Velocity/Cructuring No tipping-off Caseboard KPI ტრენინგის გამოძიების ხარისხის შესახებ.
RG (7-ქულა): კონტაქტების რეესტრი/სინქრონიზაცია SLA- ში რეგულატორისთვის საჩივრის ინციდენტების რეკლამირების შეზღუდვის ეფექტურობის შესახებ.
PCI (7-წერტილი): გასაღების სეგმენტი/ASV/ვულნის ტოკენიზაციის ჟურნალები Chargebacks Fallback PSP.
თამაშები (7-ქულა): RTP-drift Freeze პროცედურა ბალანსის სინქრონული ინციდენტის შესახებ, RNG ვერსიის პროვაიდერის/SLA API- ს პატიოსნების ანგარიშების ბილეთების შესახებ.
ანგარიში (7 - პუნქტიანი): სქემის კალენდარი/ხელმოწერის/ჰეშის რეკონსტრუქციის ენა/DQ მეტრიკის კვიტაციის ადგილი.
Incidents (7-ქულა): TTS შეტყობინებები Retro CAPA- ს კომპენსაციის არტეფაქტების სისრულის ვადებში.

13) ხშირი შეცდომები და როგორ მოვერიდოთ მათ

ჩეხისტები მტკიცებულებების გარეშე, ყველა წერტილს დასჭირდება ID არტეფაქტი.
შეფასება მატერიალისტის ბარათის გარეშე.
დუბლირება SA/PR/IA - შეთანხმებული კალენდარი და შეკითხვის ერთიანი რეესტრი (PBC).
ოპერაციის ტესტების გარეშე, „დოკუმენტოცენტრიზმი“ ყოველთვის არის ოპერაციების ნიმუშის აღება.
CAPA- ს გარეშე მეტრიკის გარეშე, დასვით გაზომილი შედეგები (მაგალითად, DSAR - 30 დღე - 98%).

14) განხორციელების გეგმა (30 დღე)

კვირა 1

1. დაამტკიცეთ მეთოდოლოგია და შეფასების მასშტაბები.
2. შექმენით 8 ძირითადი ჩეკლისტი (CL-KYC/AML/RG/PCI/GAMES/REP/INC/GDPR).
3. დაიწყეთ არტეფაქტების რეესტრი და შაბლონები PBC/Finding/CAPA.

კვირა 2

4. ჩაატარეთ SA მფრინავი 2 პროცესში და PR 1 პროცესში.
5. Dashboard Review და CAPA ჟურნალი.
6. გაიარეთ ტრენინგი „მტკიცებულებებზე და ნიმუშებზე“.

კვირა 3

7. EAR სესია უახლოესი სერტიფიკაციის/შემოწმების შესახებ.
8. შეთანხმდით MR/IA გრაფიკზე კვარტალში.
9. დააფიქსირეთ მატერიალური ბარიერები და ნიმუშების ზომა.

კვირა 4

10. გამოშვება v1. 0 ჩეკლისტებისა და კალენდრის ბარათების კატალოგის 0.
11. ჩაატარეთ რეტრო მფრინავი, განაახლეთ ჩეკლისტების ვერსიები (v1. 1).
12. ჩართეთ შურისძიება პროცესის მფლობელთა KPI- ში.

15) დაკავშირებული მონაკვეთები

შიდა აუდიტი და გარე აუდიტი

მარეგულირებელი ანგარიშები და მონაცემთა ფორმატები

შეტყობინებები დარღვევებისა და ანგარიშგების ვადების შესახებ

Dashbord Complaence და მონიტორინგი

ინციდენტის ფლეიბუქები და სკრიპტები

კრიზისული მენეჯმენტი და კომუნიკაცია

Contact

დაგვიკავშირდით

დაგვიკავშირდით ნებისმიერი კითხვის ან მხარდაჭერისთვის.ჩვენ ყოველთვის მზად ვართ დაგეხმაროთ!

Telegram
@Gamble_GC
ინტეგრაციის დაწყება

Email — სავალდებულოა. Telegram ან WhatsApp — სურვილისამებრ.

თქვენი სახელი არასავალდებულო
Email არასავალდებულო
თემა არასავალდებულო
შეტყობინება არასავალდებულო
Telegram არასავალდებულო
@
თუ მიუთითებთ Telegram-ს — ვუპასუხებთ იქაც, დამატებით Email-ზე.
WhatsApp არასავალდებულო
ფორმატი: ქვეყნის კოდი და ნომერი (მაგალითად, +995XXXXXXXXX).

ღილაკზე დაჭერით თქვენ ეთანხმებით თქვენი მონაცემების დამუშავებას.