Аудит чеклисттери жана ревю

1) Максаты

• командалар менен мезгилдердин ортосундагы текшерүүлөрдүн салыштырмалуулугу;
• натыйжалардын толуктугу жана далилдүүлүгү;
• ачык-айкын башкаруу (CAPA) жана кайра текшерүү.

2) Ролдору жана RACI

Owner: Head of Compliance/Head of Internal Audit - методология, чеклисттердин версиялары. (A)

Process Owners (1-линия): өзүн-өзү тейлөө, экспонаттар, CAPA. (R)

Compliance/InfoSec/AML/RG (2-линия): peer-review, ко-аудиттер, нормаларды чечмелөө. (R/C)

Internal Audit (3-линия): көз карандысыз ревю, рейтингдер, follow-up. (R)

Management (Exec Sponsor): CAPA боюнча корутундуларды жана ресурстарды бекитүү. (A/C)

3) Review түрлөрү

1. Self-Assessment (SA): ай сайын/чейрек кыска текшерүү боюнча жараяндардын ээлери.
2. Peer-Review (PR): кошуна команда менен кайчылаш текшерүү (кызыкчылыктардын кагылышуусуз).
3. Management Review (MR): чейректе бир жолу - KPI/KRIге, тенденцияларга жана жабылбаган CAPAга сереп салуу.
4. Internal Audit Review (IA): IA планы боюнча көз карандысыз текшерүү.
5. External-Audit Readiness (ЭЭР): тастыктоо/текшерүү даярдоо (ISO/SOC/PCI/жөнгө салуучу).

4) Чеклисттин жалпы эрежелери

ID: CL- <code >/Version: v <MAJOR. MINOR >/Owner: <role>
Область: <KYC/AML/RG, GDPR/PII, Payments/PCI, Games/Providers, Reporting, Incidents...>
Frequency: M     Q      Ad-hoc
Material: <criteria for High/Medium/Low>
Sampling: <method and size>
Evidence: <list of files/screenshots/logs>
Question List: [X] Yes [] No [] N/A + Comment + Artifact + Severity
Bottom line: Score/Rating/CAPA

• Fully Met (100–90%) / Largely Met (89–75%) / Partially Met (74–50%) / Not Met (<50%).
• Severity айырмачылыктар: S1/S2 жогорку/S3 орточо/S4 төмөн.
• Материалдар: акча таасири (GGR/NGR), кардарларды камтуу/PII, лицензия/айып салуу коркунучу, оюндардын чынчылдыгына таасир этүү.

5) Чеклисттердин каталогу (текшерүү пункттары бар скелеттер)

CL-KYC-01 — KYC/KYB

• Текшерүү саясаты жана деңгээли бекитилген жана актуалдуу.
• KYC провайдерлери жарактуу келишимдер/DPA бар.
• SLA текшерүү сакталат (D-1 метрика).
• Документтер ретенцияга ылайык сакталат; кирүү - RBAC.
• Баш тартуу/эскалация документтештирилген; FP үлүшү нормалдуу.
• KYB өнөктөштөр үчүн: учурдагы көчүрмөлөр/бенефициарлар.

Далилдер: KYC статусу, DPA реестри, кирүү журналы, 25 учурларда sample.

CL-AML-02 — AML/CFT

• Жаңыланган AML саясаты жана тобокелдиктерди эсептөө ыкмасы.
• On-boarding жана мезгил-мезгили менен PER/жаза текшерүү.
• SAR/STR убагында жөнөтүлөт; кабыл алуунун ырастоосу бар.
• тергөө сапаты: толук, убакыт, жабуу.
• Мониторинг rules velocity/structuring/mules камтыйт.
• Test "no tipping-off": эч кандай кардарлардын билдирүүлөр SAR.

Далилдер: SAR/STR учурлары, санкциялык текшерүүлөрдүн логдору, иштин жабылуу убактысы боюнча отчеттор.

CL-RG-03 - Жооптуу оюн

• Чектердин/өзүн-өзү жокко чыгаруулардын реестри синхрондоштурулган (реестр/улуттук. система).
• Триггерлер аялуу → SLA байланыш; байланыш үлгүлөрү.
• Интервенциянын натыйжалуулугу өлчөнөт жана талданат.
• Жарнама/бонустар рыноктун чектөөлөрүнө туура келет.
• RG-окуялар жана жөнгө билдирүүлөр - өз убагында.

Далилдер: өз алдынча exclusion, communic. шаблондор, outreach метриктер.

CL-PCI-04 - Төлөмдөр/PCI

• PCI сегменттөө жана учурдагы абалда PAN/CHD жабдуулар.
• Токенизациялоо/транзиттик шифрлөө/at-rest; ачкычтар айланат.
• босогосунда PSP боюнча Auth-rate/decline/latency; fallback жолдору.
• Chargeback жараяны жана талаш-тартыштар үчүн далил базасы.
• ASV сканерлеринин кемчиликтери өз убагында жоюлду.
• Төлөм аймагына кирүү журналдары - толук жана өзгөрүлбөгөн.

Далилдер: тармактык диаграммалар, ASV отчеттор, chargebacks учурларда, KMS негизги саясаты.

CL-GAMES-05 - Оюн провайдерлери/чынчылдык

• Келишимдер жана техникалык. өзгөчөлүктөрү актуалдуу болуп саналат; RNG/имараттардын версиялары - реестрде.
• RTP-drift мониторинг жана жооп босогосу; freeze жол-жобосу бекитилген.
• тегерек/сессия/капчык баланстарын синхрондоштуруу.
• Провайдердин окуялары: таймлайн, фиксация, оюнчуларга компенсация.
• чынчылдык жөнгө/RTP отчеттор - кабыл алынган жана тастыкталган.

Далилдер: RTP жүктөө, провайдердин API логдору, freeze-билеттердин мисалдары.

CL-REP-06 - Регулятивдик отчеттуулук

• Мөөнөт календары: "даяр/жөнөтүлгөн/кабыл алынган" статустары.
• Маалыматтар схемалары версияланган; файлдар кол коюлган/хэштер менен.
• Reconciliation: капчык, PSP, GL айырмачылыктар жок> X%.
• кабыл ырастоо (ID/дүмүрчөктөр) сакталган жана экспонаттар менен байланышкан.
• Локализация/тил сакталган.

Далил: dashboard мөөнөтү, дүмүрчөктөр, SQL-текшерүү.

CL-INC-07 - Окуялар/эскертүүлөр

• TTS (биринчи билдирүү) SLA боюнча S1/S2.
• DPA/жөнгө салуучу/PSP/CERT билдирүүлөр - өз убагында, ырастоо менен.
• Артефакттардын толуктугу: таймлайн, логиндер, билдирүүлөр, тийген тизмелер.
• Retro ≤ 7 күн, CAPA катталган жана көчүп.
• Оюнчулар үчүн компенсация саясатка ылайык эсептелет.

Далилдер: окуя журналы, статус-бет, артефакттардын пакеттери.

CL-GDPR-08 — GDPR/PII

• Иштеп чыгуу реестри (RoPA) актуалдуу болуп саналат; укуктук негиздер туура.
• DSAR 30 күнгө ≤ жабылат; кечигүүлөр түшүндүрүлдү.
• DPIA жогорку тобокелдик жараяндар үчүн жасалган.
• Псевдонимизация/маскировка при разгрузке и отчетах.
• Иштеп чыгуучулар жана SCC менен келишимдер күчүндө.

Далилдер: RoPA, DSAR журналы, DPIA, отчеттордо маска мисалдары.

CL-ITGC-09 - Жалпы IT контролдоо

• Өзгөрүүлөрдү башкаруу: PR-процесс, тесттер, аппровалс, duties бөлүү.
• Жеткиликтүү: RBAC/ABAC, мезгил-мезгили менен текшерүү, off-boarding ≤ 24 саат.
• Камдык/калыбына келтирүү, мезгил-мезгили менен DR тесттер.
• Аудит Логдор өзгөрүүсүз, Retention сакталат.
• Байкоо: SLO/туура эмес бюджеттер, критикалык көрсөткүчтөр боюнча алерт.

Далилдер: PR үлгүлөрү, IAM Логи, DR-тест отчеттору, Retenia саясаты.

6) Тандоо жана далилдер ыкмасы

Өлчөм: операциялардын көлөмүнө жана тобокелдикке көңүл буруңуз (мисалы, min 25, pps/ири массивдер үчүн стратификация).
Ыкмалар: кокустук, системалуу, багытталган (аномалиялар/региондук учурлар), чоку мезгилдери боюнча.
Жетиштүүлүк: негизги жыйынтыкка кеминде 2-3 көз карандысыз булак (логилер, скриншоттор, жүктөөлөр, билеттер).
Байкоо жүргүзүү: чеклисттин ар бир пунктуна - ID жана реестрдеги шилтеме менен далил.

7) Review рейтинги рубрикатор

Effective - контролдоо иштелип чыккан жана туруктуу иштейт, эч кандай карама- S1/S2 жок.
Generally Effective (жакшыртуулар менен) - S3/S4 бар, бирок тобокелдиктер көзөмөлдө.
Partially Effective - системалуу S2; жогорку калдык тобокелдик.
Ineffective - S1/S2 көптүгү; тез арада калыбына келтирүү планы талап кылынат.

8) CAPA и follow-up

Ар бир finding үчүн: тамыры → иш-аракет → ээси → мөөнөтү → ийгиликтин метрикасы.
SLA жабуу: S1 - ≤ 30 күн; S2 - ≤ 60 күн; S3 - ≤ 90 күн; S4 - макулдашуу боюнча.
Текшерүү: аудитор киргизүү далилдерин (скриншотторду/логини/саясатты) тиркейт, статусун Verified өзгөртөт.
Эскалация: кечиктирилген S1/S2 - жума сайын MR, чейрек сайын Аудит комитетине.

9) Жумушчу экспонаттар (үлгүлөрү)

9. 1 Текшерүү тизмеси (текшерүү барагы)

9. 2 Finding Card

Kod аталышы Факт Критерийлер Тобокелдик/таасир Себеп (root cause) Сунуш S-деңгээл.

9. 3 CAPA Sheet

Finding → Кадамдар → Ээси → Мөөнөтү → Метрика/Босого → Далилдер → Статус → Текшерүү күнү.

9. 4 PBC тизмеси (Provided By Client)

Суроо → Формат → Булак → Жооптуу → Мөөнөт → Кабыл алынган (Дата) → Комментарийлер.

10) Dashbord review

Coverage:% жараяндар мезгил ичинде күркүрөп камтылган.
Findings by Severity: S1-S4 бөлүштүрүү.
CAPA Progress: аткарылган/жумушта/мөөнөтү өтүп кеткен; медиа жабуу убактысы.
Repeat Findings: 12 ай үчүн кайталоо үлүшү.
Timeliness: SA/PR/MR/IA графигин сактоо.
Effectiveness Trend: аймактар боюнча рейтингдердин динамикасы.

11) Календарь жана жыштык

Monthly: KYC/Payments/GDPR DSAR боюнча SA, окуялар/билдирүүлөр.
Quarterly: AML/RG/Providers/Reporting боюнча PR, бардык багыттар үчүн MR.
Жарым-Annual/Annual: IA жогорку тобокелдик зоналары боюнча; EAR күбөлөндүрүү/текшерүү алдында.

12) "Тез старт" чек-карталары (7 пункттан)

KYC (7-пункту): Камсыз кылуу саясаты/DPA SLA кезек> SLA RBAC каталар/FP отчетту күчөтүү.
AML (7-пункту): RER тизмелери/SAR жазалардын мөөнөтү Сапаттуу тергөө Velocity/structuring No tipping-off тренингдер Caseboard KPI.
RG (7-пункту): Реестр/синхрондоштуруу Байланыш SLA натыйжалуулугун чектөө жарнама даттануулар Окуялар жөнгө отчеттор.
PCI (7-пункту): Segmentation Keys/айлануу ASV/Wooln Access журналдары Токенизациялоо Chargebacks Fallback PSP.
Games (7-пункту): RTP-drift Freeze жол-жобосу Баланстык-синхрондор Провайдер окуялары RNG версиялары/имараттар Чынчылдык отчеттору SLA API.
Отчет (7-пункту): Календарь Схемалар/нускалары Колтамга/хеш Reconciliation Тил/жергиликтүү DQ-метрика.
Incidents (7-пункту): TTS эскертүүлөр убагында толук артефакттар Retro CAPA Dashboard ордун толтуруу.

13) Көп каталар жана аларды алдын алуу үчүн кантип

Чеклистер эч кандай далил → бардык пункттар артефакт ID талап кылат.
Материалсыз баа → Чеклисттин картасына босоголорду бекитиңиз.
SA/PR/IA → макулдашылган календары жана бирдиктүү суроо реестри (PBC) кайталоо.
"Документ-центризм" операциялык тесттери жок → ар дайым операциялардын үлгүсүн алуу.
метр жок CAPA → өлчөнгөн натыйжаларды (мисалы, DSAR ≤ 30 күн ≥ 98%).

14) Ишке ашыруу планы (30 күн)

1-жума

1. Методология жана рейтингдердин шкаласы бекитилсин.
2. 8 негизги текшерүү түзүү (CL-KYC/AML/RG/PCI/GAMES/REP/INC/GDPR).
3. Артефакттардын реестрин жана PBC/Finding/CAPA үлгүлөрүн түзүү.

Жума 2

4. SA пилоттук 2 жараяндар жана PR 1 жараяндар өткөрөт.
5. Dashboard ревью жана CAPA журналын орнотуу.
6. "Далилдер жана тандоолор" боюнча тренинг берүү.

Жума 3

7. жакынкы тастыктоо/текшерүү боюнча EAR сессиясы.
8. MR/IA графигин кварталга макулдашуу.
9. Материалдын босогосун жана үлгүлөрүн бекитүү.

4-жума

10. v1 бошотуу. 0 чеклист каталогу жана календардык карта.
11. Ретро учкучту өткөрүү, чеклисттердин версияларын жаңыртуу (v1. 1).
12. Процесс ээлеринин KPIсине ревю киргизүү.

15) Байланыштуу бөлүмдөр

Ички аудит жана тышкы аудит

Регулятивдик отчеттор жана маалымат форматтары

Бузуулар жөнүндө билдирүүлөр жана отчеттуулук мөөнөттөрү

Дашборд комплаенс жана мониторинг

Окуя ойнотмо жана скрипттер

Кризистик башкаруу жана коммуникациялар