GH GambleHub

შიდა აუდიტი და გარე აუდიტი

1) მიზანი და რეგიონი

უზრუნველყოს ოპერაციებისა და Complaens- ის პროცესების სისტემური, დამოუკიდებელი და რეპროდუქციული კონტროლი: ლიცენზიების/კანონების შესაბამისობა, ფინანსური და ოპერაციული ანგარიშგების საიმედოობა, რისკების კონტროლის ეფექტურობა (KYC/AML/RG, GDPR/PII, გადახდები/PCI, თამაშების პატიოსნება, IB, მარკეტინგი/აფილატები, პროვაინდივერები) განყოფილება ადგენს პრინციპებს, როლებს, მეთოდოლოგიას, შემოწმების პროგრამირებას, მოხსენების ფორმატს და შეუსაბამობების დახურვის პროცედურას.

2) პრინციპები და „თავდაცვის სამი ხაზი“

პირველი ხაზი: პროცესების მფლობელები (ოპერაციები, გადახდები, თამაშების პროვაიდერები, მარკეტინგი/აფილიტები, დამხმარე სამსახური) - მართავენ დღის რისკებს.
მე -2 ხაზი: შესაბამისობა/რისკი/უსაფრთხოება/DPO - პოლიტიკოსები, მონიტორინგი, კონსულტაციები, შესრულების კონტროლი.
მე -3 ხაზი: შიდა აუდიტი (IA) - დამოუკიდებელი შეფასება ადეკვატურობისა და კონტროლის ეფექტურობის შესახებ; ანგარიშვალდებულია სამეთვალყურეო საბჭოს/აუდიტის კომიტეტის მიერ.
გარე აუდიტი (EA): დამოუკიდებელი მესამე მხარეები - ფინანსური ანგარიშგებები, სერთიფიკატები (ISO/SOC/PCI), მარეგულირებელი შემოწმებები.

პრინციპები: დამოუკიდებლობა, ობიექტურობა, მტკიცებულება, კონფიდენციალურობა, რისკებზე და ღირებულებებზე ფოკუსირება, გამჭვირვალობა და კვალიფიკაცია.

3) IA- ს დემარკაცია EA

კრიტერიუმიშიდა აუდიტი (IA)გარე აუდიტი (EA)
ანგარიშვალდებულებააუდიტის კომიტეტი/საბჭოაქციონერები/რეგულატორები/სერტიფიკატი. ორგანოები
მიზანიპროცესების გაუმჯობესება და კონტროლიმოსაზრება/შესაბამისობის სერთიფიკატი
მოცულობარისკზე ორიენტირებული, მოქნილისტანდარტული/კონტრაქტით დაფიქსირებული
სიხშირეწლიური გეგმის მიხედვით + ad-hocანგარიშგების/სერტიფიკაციის კალენდრის მიხედვით
შედეგიანგარიში რეიტინგით და CAPAდასკვნა/სერთიფიკატი/წერილი მენეჯმენტისთვის

4) როლები და RACI

Head of Internal Audit (IA Lead) - სტრატეგია, დამოუკიდებლობა, გეგმა/რეპორტირება. (A)

Internal Auditors - საველე შემოწმება, სამუშაო დოკუმენტები, დასკვნები. (R)

Process Owners (პირველი ხაზი) - მონაცემთა/არტეფაქტების უზრუნველყოფა, CAPA. (R)

Compliance/InfoSec/AML/RG (მე -2 ხაზი) - აუდიტი, მეთოდოლოგები. (C/R)

CFO/Controller - finconture, GL, breakers. (C)

Legal/DPO - ნორმების ინტერპრეტაცია, PII და რეტენსია. (C)

Audit Committee - ამტკიცებს IA გეგმას, იღებს მოხსენებებს, აკონტროლებს დამოუკიდებლობას. (A)

External Auditors/Assessors - ატარებენ EA; NDA არტეფაქტებზე წვდომა. (I/R ხელშეკრულებით)

5) რისკზე ორიენტირებული დაგეგმვა

1. რისკების რეესტრი: × გავლენის ალბათობა (ფინანსები/GGR, ლიცენზიები, რეპუტაცია, მოთამაშეთა უსაფრთხოება).
2. პროცესის რუკა: გადახდა/PSP, საფულე, KYC/AML/KYB, RG, თამაშების პროვაიდერები/RTP, მარკეტინგი/აფილატები, IB/GDPR, ინციდენტები/შეტყობინებები, მარეგულირებელი მოხსენებები.
3. პრიორიტეტული მატრიცა: მაღალი/საშუალო/დაბალი - სიხშირე (კვ ./ნახევარი წელი/წელი).
4. სკოპი: მიზნები, კრიტერიუმები, პროცედურები, ნიმუშები, რესურსები, დრო, დამოკიდებულება.
5. დამტკიცება: აუდიტის კომიტეტი ამტკიცებს ყოველწლიურ გეგმას; ნებადართულია ad-hoc S1/S2 ინციდენტებზე.

6) მეთოდოლოგია: აუდიტის ეტაპები

A. Planning: დოკუმენტების მოთხოვნა, პროცესის გაგება, კონტროლის დიზაინის შეფასება, რისკის შეფასება, ტესტის პროგრამა.
B. Polevoye ეტაპი (Fieldwork): ინტერვიუ, walkthrough, დიზაინის/ოპერატიული ტესტები, ანალიტიკური პროცედურები, არტეფაქტების შემოწმება, ნიმუშები.
C. დასკვნები და რეიტინგი: ფაქტების შედარება კრიტერიუმებთან; findings- ის კლასიფიკაცია.
D.C. ანგარიში: პროექტი - ფაქტების დამტკიცება - ფინალი, მენეჯმენტის/კომიტეტის პრეზენტაცია.
E. CAPA და Follow-up: კორექტირების/გამაფრთხილებელი მოქმედებების გეგმა, შესრულების კონტროლი, გადამოწმება.

7) მტკიცებულებები და ნიმუშები

მტკიცებულებების ტიპები: დოკუმენტური (პოლიტიკოსები, ლოგოები, თიკეტები), ფიზიკური (ეკრანის კადრები, კონფიგურაცია), ზეპირი (ინტერვიუები), ანალიტიკური (კრიკეტები, ტენდენციები).
ხარისხი: საკმარისი (მოცულობა), მიზანშეწონილობა (შესაბამისობა), საიმედოობა (წყარო).
ნიმუშები: შემთხვევითი, სისტემატური, რომელიც მიმართულია ანომალიებზე; ზომა განისაზღვრება ზოგადი მთლიანობის რისკით და მოცულობით.
ტრეკირება: თითოეული დასკვნა უკავშირდება ტესტს, ტესტი - მტკიცებულებას (უნიკალური ID); „ნუმერაცია“.

8) შეუსაბამობებისა და რეიტინგების კლასიფიკაცია

კრიტიკული (S1): ლიცენზიის/კანონის რისკი/მნიშვნელოვანი ფინანსური ზიანი/PII-breach. საჭიროა დაუყოვნებელი მოქმედება, კომიტეტის/საბჭოს ანგარიში.
მაღალი (S2): მნიშვნელოვანი კონტროლის დეფექტი; მოკლე SLA გამოსწორებისთვის.
საშუალო (S3): შეზღუდული დეფექტი; კორექტირების გეგმა.
დაბალი (S4): გაუმჯობესება/დაკვირვება (ოპტიმიზაცია).

აუდიტორული პროცესის რეიტინგი: Effective/Generally Effective with Improvements/Partially Effective/Ineffective.

9) სამუშაო დოკუმენტები და რეტენციები

სამუშაო პროგრამები: პროგრამა, საკონტროლო ფურცლები, ნიმუშები, ინტერვიუს ოქმები, მტკიცებულებები, გამოთვლები, დასკვნები.
დიზაინის სტანდარტები: ინდექსი, ვერსია, მფლობელი, თარიღი, არტეფაქტების ჰიპერბმულები, ცვლილებების კონტროლი.
კონფიდენციალურობა და PII: წვდომა RBAC- ზე, დაშიფრული შენახვა, მგრძნობიარე ველების შენიღბვა.
შენახვის ვადა: პოლიტიკაში (ჩვეულებრივ 5-7 წელი) ან უფრო გრძელი, თუ საჭიროა ლიცენზია/რეგულატორები.

10) შემოწმების თემები (კატალოგი IA)

1. გადახდები/PSP/PCI: auth/decline/chargebacks, ფსევდონიმი PAN, წვდომის ჟურნალები, მომწოდებლების რეესტრი.
2. KYC/AML/KYB: სისრულე და სიზუსტე KYC, RER/სანქციები, SAR/STR დრო, გამოძიების ხარისხი, საქმეების კეთება.
3. პასუხისმგებელი თამაში (RG): შეზღუდვები/თვითკმაყოფილება, კონტაქტის პროცედურები, ინტერვენციების ეფექტურობა, სარეკლამო შეზღუდვები.
4. GDPR/PII/DPO: დამუშავების რეესტრი, DSAR, კონფიდენციალურობის ინციდენტები, დამუშავების ხელშეკრულებები.
5. თამაშების პროვაიდერები/პატიოსნება: RTP drift, რაუნდის ინციდენტები, ნაშთების სინქრონიზაცია, RNG/bilds- ის ვერსია.
6. მარკეტინგი/აფილიატები: კრეატიული/მიზნობრივი შეზღუდვების დაცვა, ატრიბუტი, ხელშეკრულებები, გადახდები.
7. ინციდენტის პროცესები: განცხადებამდე დრო (TTS), რეგულატორებისთვის შეტყობინებების დროულობა, არტეფაქტების სისრულე.
8. მარეგულირებელი ანგარიშგებები: სქემები, ვადები, DQ, შერიგება GL/PSP- ით.
9. IT კონტროლი/IB: წვდომა, SOD, ცვლილებები/გამოშვებები, აუდიტის ჟურნალები, ზურგჩანთები, DR/BCP სავარჯიშოები.

11) IA ანგარიშის ფორმატი (შაბლონი)

სააღსრულებო რეზიუმე: მოცულობა, მიზნები, რეიტინგი, საკვანძო დასკვნები და რისკი.
კონტექსტი: პროცესი/სისტემა/იურისდიქცია, მოთხოვნები.
მეთოდოლოგია და შეზღუდვები (თუ იყო).
დეტალური დასკვნები პრიორიტეტულია: ის ფაქტი, რომ კრიტერიუმი წარმოადგენს რისკს, გავლენას და რეკომენდაციას.
CAPA ცხრილი: მფლობელი, ნაბიჯები, ვადები, წარმატების მეტრიკა.
პროგრამები: ნიმუშები, დიაგრამები, მტკიცებულებების რეესტრი, გლოსარიუმი.

12) ურთიერთქმედება გარე აუდიტთან (EA)

ფინანსური ანგარიშგებები: GL- ის მომზადება, გადამოწმება, დადასტურება PSP/ბანკებიდან/პროვაიდერებიდან, მენეჯმენტის წერილები.
შესაბამისობის სერთიფიკატი/შეფასება: ISO 27001/9001, SOC 2, PCI DSS, რეგულატორთა ინდუსტრიის ინსპექციები.
IA- ს როლები: pre assment (gap ანალიზი), შეკითხვის თანმხლები, CAPA- ს აჩქარება, დუბლირების თავიდან აცილება.
გამჭვირვალობა: არტეფაქტების ერთიანი ვიტრინა, ვიზიტების კალენდარი, დაშვების წესები, NDA.
კომუნიკაციები: რეგულარული სტენდაპები „EA Readiness“, შესასვლელი წერტილი - Audit Coordinator.

13) CAPA და შესრულების კონტროლი

CAPA გეგმა: კონკრეტული ნაბიჯები, მეტრიკა, მფლობელი, ვადა, დამოკიდებული სისტემები/ბრძანებები.
გადამოწმება: განხორციელების მტკიცებულებები (სკრიპტები, ლოგოები, პოლიტიკოსები, ტესტის შედეგები), თარიღი, პასუხისმგებელი აუდიტორი.
ესკალაცია: S1/S2 - კომიტეტის სავალდებულო განახლება; შეფერხებები - დაშბორდის „წითელი ზონა“.
რისკის შეფასების ცვლილება: წარმატებული CAPA- ს შემდეგ - ნარჩენი რისკის გადახედვა და შემოწმების სიხშირე.

14) დაშბორდის აუდიტი (მენეჯმენტის კონტროლი)

გეგმის სტატუსი: დასრულების% კვარტალებსა და სფეროებში.
Findings პორტფელი: სერიოზულად და დაგვიანებით.
CAPA progress: დასრულებულია/სამსახურში/ვადაგადაცილებული, საშუალო დახურვის დრო.
პროცესის თერმული რუკა: კონტროლის რისკი/ეფექტურობა CAPA- ს შემდეგ.
განმეორებითი იდენტიფიცირება: სისტემური პრობლემების ინდიკატორი.

15) ეთიკური მოთხოვნები და დამოუკიდებლობა

ინტერესთა კონფლიქტები: აუდიტორები არ ამოწმებენ საკუთარ ყოფილ ოპერაციულ საქმიანობას 12 თვის განმავლობაში; კონფლიქტის დეკლარაცია.
მონაცემების წვდომა: მხოლოდ „მინიმალური აუცილებლობის“ პრინციპით; PII- ს პირადი კოპირების აკრძალვა.
კომუნიკაციები: ნეიტრალური ფორმულირება, „საბრალდებო“ ტონის არარსებობა; ფაქტები ადრე ინტერპრეტაციების შესახებ.

16) ჩეკის ფურცლები

აუდიტის დაწყება

  • განისაზღვრება მიზნები/კრიტერიუმები/საზღვრები.
  • მოთხოვნილი და მიღებული არტეფაქტები, შეთანხმებულია ფორმატები/ვადები.
  • დადასტურებულია დამოუკიდებლობა, არ არსებობს კონფლიქტები.
  • დამტკიცდა ტესტებისა და შერჩევის პროგრამა.

საველე ეტაპი

  • ჩატარდა walkthrough და ინტერვიუ key-roles- თან.
  • დიზაინის და ოპერაციული ეფექტურობის ტესტები.
  • შეიქმნა მტკიცებულებათა რეესტრი ID/ბმულებით.
  • შუალედური ბრიფინგი პროცესის მფლობელებს (ფინალში სიურპრიზების გარეშე).

ანგარიში და CAPA

  • ფაქტები შეთანხმებულია, სადავო წერტილები ნებადართულია.
  • დასკვნები კლასიფიცირებულია (S1-S4), შეფასებულია რისკი/გავლენა.
  • CAPA გეგმა მფლობელებთან და ვადებთან ერთად დამტკიცებულია.
  • follow-up თარიღები შედის კალენდარში.

17) არტეფაქტების შაბლონები (სწრაფი ჩანართები)

Request List (PBC): დოკუმენტების/გადმოტვირთვის/წვდომის სია ვადაზე.
Test Sheet: კონტროლი - პროცედურა - ნიმუში - შედეგი - მტკიცებულება - დასკვნა.
Finding Card: კოდი, სათაური, აღწერა, რისკი, გავლენა, მიზეზი (root cause), რეკომენდაცია, S- დონე, მფლობელი, ვადა.
CAPA Sheet: ნაბიჯი, მეტრიკა, დადასტურების ნიმუშები, თარიღი, შემოწმებულია.

18) ხშირი შეცდომები და როგორ მოვერიდოთ მათ

IA- ს და მე -2 ხაზის შერწყმული როლები დაირღვა დამოუკიდებლობა. გადაწყვეტილება: IA ანგარიშები პირდაპირ კომიტეტთან.
მტკიცებულებების არასაკმარისი კვალიფიკაცია - დასკვნების სუსტი დაცვა. გამოსავალი: ერთიანი რეესტრი და ნუმერაცია.
„შეუსაბამობის ნადირობა“ რისკის და ღირებულების შეფასების ნაცვლად. გამოსავალი: რისკის ფოკუსი და პრიორიტეტიზაცია.
CAPA გადატვირთვა რესურსებისა და შეფერხების გარეშე. გამოსავალი: SMART მიზნები და WIP ლიმიტი.
ამ ხარისხის/სიახლის უგულებელყოფა ანგარიშგების შემოწმებისას. გამოსავალი: DQ ჩეკის სია.

19) სწრაფი დაწყება (განხორციელება 30 დღეში)

კვირა 1: დაამტკიცოს წესდება IA (მანდატი/ანგარიშვალდებულება), განახორციელოს რისკის შეფასება, შეადგინოს წლიური გეგმის პროექტი.
კვირა 2: დაიწყეთ შაბლონები (PBC, Test/Finding/CAPA sheets), ჩამოაყალიბეთ მტკიცებულებების რეესტრი და სტატუსის დაშლა.
კვირა 3: ჩაატარეთ 2 მოკლე საპილოტე აუდიტი (მაგალითად, PSP/PCI და RG/DSAR), გამოაქვეყნეთ მოხსენებები, დარეგისტრირდით CAPA.
კვირა 4: ჩაატარეთ follow-up მფრინავები, შეაკეთეთ მეთოდოლოგია, აიღეთ წლიური გეგმა კომიტეტის დასამტკიცებლად, შეთანხმდნენ საგარეო აუდიტის/სერტიფიკაციის გრაფიკზე.

დაკავშირებული სექციები:
  • მარეგულირებელი ანგარიშები და მონაცემთა ფორმატები
  • შეტყობინებები დარღვევებისა და ანგარიშგების ვადების შესახებ
  • Dashbord Complaence და მონიტორინგი
  • ინციდენტის ფლეიბუქები და სკრიპტები
  • კრიზისული მენეჯმენტი და კომუნიკაცია
  • ბიზნესის უწყვეტობის გეგმა (BCP )/DRP
  • ოპერაციების აუდიტის ჟურნალები
Contact

დაგვიკავშირდით

დაგვიკავშირდით ნებისმიერი კითხვის ან მხარდაჭერისთვის.ჩვენ ყოველთვის მზად ვართ დაგეხმაროთ!

Telegram
@Gamble_GC
ინტეგრაციის დაწყება

Email — სავალდებულოა. Telegram ან WhatsApp — სურვილისამებრ.

თქვენი სახელი არასავალდებულო
Email არასავალდებულო
თემა არასავალდებულო
შეტყობინება არასავალდებულო
Telegram არასავალდებულო
@
თუ მიუთითებთ Telegram-ს — ვუპასუხებთ იქაც, დამატებით Email-ზე.
WhatsApp არასავალდებულო
ფორმატი: ქვეყნის კოდი და ნომერი (მაგალითად, +995XXXXXXXXX).

ღილაკზე დაჭერით თქვენ ეთანხმებით თქვენი მონაცემების დამუშავებას.