감사 점검표 및 리뷰
1) 목적
다음을 보장하는 운영 및 준수에 대한 단일 체크리스트 및 검토 규칙 카탈로그를 작성하십시오
팀과 기간 간의 점검 비교 가능성;
결과의 완전성과 증거;
패치 (CAPA) 및 재확인의 투명한 관리
2) 역할 및 RACI
소유자: 준수 책임자/내부 감사 책임자-방법론, 체크리스트 버전. (A)
프로세스 소유자 (첫 번째 줄): 자체 평가, 인공물, CAPA. (R)
준수/InfoSec/AML/RG (2 행): 동료 검토, 공동 감사, 규범 해석. (R/C)
내부 감사 (3 줄): 독립적 인 리뷰, 등급, 후속 조치. (R)
관리 (Exec Sponsor) -CAPA에 대한 승인 출력 및 리소스. (A/C)
3) 검토 유형
1. SA (Self-Assessment): 짧은 체크리스트에 대한 프로세스 소유자의 월별/분기 별.
2. Peer-Review (PR): 이웃 팀의 교차 점검 (이해 상충 없음).
3. 관리 검토 (MR): 분기 별-KPI/KRI, 동향 및 공개 CAPA 검토.
4. 내부 감사 검토 (IA): IA 계획 독립 검토.
5. 외부 감사 준비 (EAR): 인증/검사 준비 (ISO/SOC/PCI/레귤레이터).
4) 점검표의 일반 규칙
각 체크리스트에는 코드, 버전, 소유자, 범위 및 필요한 섹션이 있습니다
ID: CL- <code >/Version: v <MAJOR. MINOR >/Owner: <role>
Область: <KYC/AML/RG, GDPR/PII, Payments/PCI, Games/Providers, Reporting, Incidents...>
Frequency: M Q Ad-hoc
Material: <criteria for High/Medium/Low>
Sampling: <method and size>
Evidence: <list of files/screenshots/logs>
Question List: [X] Yes [] No [] N/A + Comment + Artifact + Severity
Bottom line: Score/Rating/CAPA- Fully Met (100-90% )/Largely Met (89-75% )/Partically Met (74-50% )/Not Met (<50%).
- 불일치의 심각도: S1 임계/S2 높음/S3 중간/S4 낮음.
- 재료: 화폐 효과 (GGR/NGR), 고객 적용 범위/PII, 라이센스/페널티 위험, 게임 무결성에 미치는 영향.
5) 점검표 카탈로그 (체크 포인트가있는 골격)
CL-KYC-01-KYC/KYB
- 정책 및 검토 수준이 승인되었으며 최신 상태입니다.
- KYC 제공 업체에는 기존 계약/DPA가 있습니다.
- 검증 SLA가 충족됩니다 (D-1 메트릭).
- 문서는 보존에 따라 저장됩니다. 액세스-RBAC.
- 실패/에스컬레이션 문서화; FP의 비율은 정상입니다.
- 파트너를위한 KYB: 현재 진술/수혜자.
증거: KYC 상태 업로드, DPA 레지스트리, 액세스 로그, 25 건 샘플.
CL-AML-02-AML/CFT
- 업데이트 된 AML 정책 및 위험 채점 방법론.
- 온보드 PEP/제재 점검 및 정기적으로.
- SAR/STR은 정시에 전송됩니다. 인정이 있습니다.
- 조사의 질: 완전성, 타이밍, 폐쇄.
- 모니터링 규칙은 속도/구조/노새를 포함합니다.
- 팁오프 테스트 없음: SAR 중 클라이언트 알림이 없습니다.
증거: SAR/STR 사례, 제재 점검 로그, 사례 마감 시간 보고서.
CL-RG-03-책임있는 플레이
- 한계/자체 제외 등록 동기화 (Register/Nat. 시스템).
- 취약성은 SLA에서 → 접촉을 유발합니다. 통신 템플릿.
- 중재 효과를 측정하고 분석합니다.
- 광고/보너스는 시장 제약을 충족시킵니다.
- RG 사건 및 규제 기관에 정시에 알림.
증거: 자기 배제 기록, 공산주의자. 패턴, 봉사 활동 지표.
CL-PCI-04-지불/PCI
- 최신 PCI 세분화 및 PAN/CHD 인벤토리.
- 운송/휴식시 토큰 화/암호화; 열쇠가 파고 있습니다.
- 임계 값에서 PSP에 의한 청량/감소/대기 시간; 대체 경로.
- 분쟁에 대한 충전 프로세스 및 증거 기반.
- ASV 스캔의 취약점이 정시에 수정되었습니다.
- 지불 영역 액세스 로그는 완전하고 변경 불가능합니다.
증거: 네트워크 차트, ASV 보고서, 차지 백 사례, 주요 KMS 정책.
CL-GAMES-05-게임 제공 업체/무결성
- 계약 및 기술 사양은 최신 상태입니다. 레지스트리에서 RNG/빌드 버전.
- RTP 드리프트 모니터링 및 응답 임계 값; 동결은 절차 적으로 수정됩니다.
- 라운드/세션/지갑 잔액 동기화.
- 공급자 사건: 타임 라인, 캡처, 플레이어 보상.
- 무결성 규제 기관/RTP 보고서-제출 및 확인.
증명: RTP 업로드, 공급자 API 로그, 동결 티켓의 예.
CL-REP-06-규제보고
- 마감일 일정: 준비/보내기/허용 상태.
- 데이터 스키마는 다양합니다. 파일은 해시와 함께 서명됩니다.
- 조정: 지갑 PSP GL 불일치> X%.
- 승인 (ID/영수증) 이 저장되어 아티팩트와 연관됩니다.
- 현지화/언어가 만났다.
증거: 마감일 대시 보드, 영수증, SQL 조정.
CL-INC-07-사건/알림
- S1/S2의 SLA에서 TTS (첫 번째 메시지).
- DPA/레귤레이터/PSP/CERT 알림-정시에 확인.
- 아티팩트의 완전성: 타임 라인, 로그, 메시지, 영향을받는 목록.
- Retro는 7 일 동안 CAPA가 등록되어 이동합니다.
- 플레이어는 정책에 따라 보상됩니다.
증거: 사건 로그, 상태 페이지, 인공물 패키지.
CL-GDPR-08-GDPR/PII
- 최신 치료 등록 소 (RoPA); 법적 근거가 정확합니다.
- DSAR은 30 일 동안 닫힙니다. 연체가 설명되었습니다.
- DPIA는 고위험 프로세스를 위해 설계되었습니다.
- 업로드 및 보고서에서 할당/마스킹.
- 프로세서 및 SCC와의 계약이 유효합니다.
증거: RoPA, DSAR 저널, DPIA, 보고서의 마스크 예.
CL-ITGC-09-일반 IT 제어
- 관리 변경: PR 프로세스, 테스트, 승인, 업무 분리.
- 액세스: RBAC/ABAC, 주기적 개정, 오프 보딩 PK24 시간.
- 백업/복원, DR 정기 테스트
- 감사 로그를 변경할 수 없으며 보존이 관찰됩니다.
- 관찰 가능성: SLO/잘못된 예산, 중요한 지표에 대한 경고.
증거: PR 샘플, IAM 로그, DR 테스트 보고서, 보존 정책.
6) 샘플링 및 증거 방법론
크기: 범위와 위험에 중점을 둡니다 (예: 최소 25, 큰 배열에 대한 pps/층화).
방법: 피크 기간별로 무작위, 체계적, 방향성 (이상/한계 사례).
충분: 주요 출력 (로그, 스크린 샷, 업로드, 티켓) 에 대한 최소 2-3 개의 독립적 인 소스.
추적 성: 각 체크리스트 항목-ID를 사용한 증거 및 레지스터의 링크.
7) 평가 등급 루 브리 케이터 검토
효과적인-제어는 안정적으로 설계되고 작동하며 S1/S2의 불일치는 없습니다.
일반적으로 (개선 된) 효과-S3/S4가 있지만 위험이 통제됩니다.
부분적으로 효과적인 - 시스템 S2; 높은 잔류 위험.
비효율적-S1/set S2; 즉각적인 복구 계획이 필요합니다
8) CAPA 온라인 후속 조치
각 발견에 대해: 루트 → 동작 → 소유자 → 용어 → 성공 지표.
폐쇄 SLA: S1 - λ30 일; S2 - λ60 일; S3 - λ90 일; S4 - 동의합니다.
검증: 감사인은 구현의 증거 (화면/로그/정책) 를 적용하고 상태를 검증으로 변경합니다.
에스컬레이션: S1/S2 지연 - 주간 MR까지, 분기별로 감사위원회.
9) 작업 아티팩트 (템플릿)
9. 1 점검표 (체크 시트)
9. 2 카드 찾기
코드 제목 실제 기준 위험/영향 근본 원인은 권장 S- 레벨입니다.
9. 3 CAPA 시트
→ 단계 찾기 → 소유자 → 마감일 → 메트릭/임계 값 → 증거 → 상태 → 검증 날짜.
9. 4 PBC 목록 (클라이언트 제공)
쿼리 → 형식 → 소스 → 소유자 → 마감일 → 날짜 수신 → 의견.
10) 대시 보드 검토
적용 범위: 해당 기간 동안 검토에서 다루는 프로세스의%.
심각도 별 결과: S1-S4 분포.
CAPA 진행 상황: 완료/진행 중/만료; 중간 마감 시간.
결과 반복: 12 개월 동안 반복 비율
적시성: SA/PR/MR/IA 일정을 준수합니다.
효과 동향: 지역별 등급 역학.
11) 달력 및 주파수
월간: KYC/Payments/GDPR DSAR 별 SA, 사건/알림.
분기 별: AML/RG/Providers/Reporting의 PR, 모든 방향에 대한 MR입니다.
반 연간/연간: 고위험 지역별 IA; 인증/검사 전에 EAR입니다.
12) 체크 카드 "빠른 시작" (각각 7 점)
KYC (7 점): 정책 제공 업체/DPA SLA 대기열> SLA RBAC 면제/확대 FP 보고서.
AML (7 포인트): PEP 목록/SAR 제재 마감일 Velocity/구조화 케이스 보드 KPI 교육 없음.
RG (7 포인트): SLA 효과 광고 제한 사건의 레지스트리/동기화 연락처는 규제 기관에보고합니다.
PCI (7 포인트): 세그먼트 키/ASV 회전/화산 액세스 로그 토큰 화 차지 폴백 PSP.
게임 (7 포인트): RTP 드리프트 동결 절차 균형 동기화 제공 업체 사고 RNG 버전/빌드 SLA API 무결성 보고서.
보고 (7 점): 일정 체계/버전 시그니처/해시 조정 언어/로케일 DQ 메트릭 영수증.
사건 (7 점): 아티팩트 보상 레트로 CAPA 대시 보드의 시간 완전성에 대한 TTS 알림.
13) 빈번한 실수와 피하는 방법
증거가없는 점검표 → 모든 항목에는 아티팩트 ID가 필요합니다.
중요성이없는 평가 → 체크리스트 카드의 임계 값을 수정합니다.
SA/PR/IA 중복 → 일관된 캘린더 및 단일 요청 레지스터 (PBC).
운영 테스트가없는 "문서 중심주의" → 항상 일련의 작업을 수행합니다.
메트릭이없는 CAPA → 측정 가능한 결과를 지정합니다 (예: DSAR
14) 시행 계획 (30 일)
1 주차
1. 방법론과 등급 척도를 승인하십시오.
2. 8 개의 기본 점검표 (CL-KYC/AML/RG/PCI/GAMES/REP/INC/GDPR) 를 작성하십시오.
3. 아티팩트 및 PBC/찾기/CAPA 템플릿을 등록하십시오.
둘째 주
4. 2 개의 프로세스에서 SA 파일럿을 수행하고 1 프로세스에서 PR을
5. 검토 대시 보드 및 CAPA 로그를 설정하십시오.
6. "증거 및 샘플" 에 대한 문제 교육.
셋째 주
7. 인증/검사에 대한 EAR 세션.
8. 분기의 MR/IA 일정에 동의하십시오.
9. 재료 임계 값 및 샘플 크기를 수정합니다.
넷째 주
10. 릴리즈 v1. 0 체크리스트 디렉토리 및 캘린더 카드.
11. 레트로 파일럿, 업데이트 체크리스트 버전 (v1. 1).
12. 프로세스 소유자 KPI에 검토를 포함하십시오.
15) 관련 섹션
내부 감사 및 외부 감사
규제 보고서 및 데이터 형식
위반 및보고 마감일 통지
준수 대시 보드 및 모니터링
인시던트 플레이 북 및 스크립트
위기 관리 및 커뮤니케이션