Ички аудит жана тышкы аудит

1) Максаты жана аймагы

Операциялардын жана Комплаенс процесстерине системалуу, көз карандысыз жана кайталануучу көзөмөлдү камсыз кылуу: лицензияларга/мыйзамдарга шайкештик, финансылык жана операциялык отчеттуулуктун ишенимдүүлүгү, тобокелдиктерди көзөмөлдөөнүн натыйжалуулугу (KYC/AML/RG, GDPR/PII, төлөмдөр/PCI, оюндардын чынчылдыгы, МБ, маркетинг/аффилиаттар, провайдерлер). Бөлүм принциптерди, ролдорду, методологияны, текшерүүлөрдү программалоону, отчеттордун форматын жана карама-каршылыктарды жабуу тартибин белгилейт.

2) Принциптер жана "үч коргоо линиясы"

1-линия: процесстердин ээлери (Операциялар, Төлөмдөр, Оюн провайдерлери, Маркетинг/Аффилиаттар, Колдоо кызматы) - day-to-day тобокелдиктерин башкарышат.
2-линия: Комплаенс/Тобокелдик/Коопсуздук/DPO - саясат, мониторинг, консультациялар, аткарылышын көзөмөлдөө.
3-линия: Ички аудит (IA) - контролдун шайкештигине жана натыйжалуулугуна көз карандысыз баа берүү; Байкоочу кеңешке/Аудит комитетине отчет берет.
Тышкы аудит (EA): көз карандысыз үчүнчү жактар ​ ​ - каржылык отчеттуулук, сертификация (ISO/SOC/PCI), жөнгө салуучу инспекциялар.

Принциптер: көз карандысыздык, объективдүүлүк, далилдүүлүк, купуялуулук, тобокелдиктерге жана баалуулуктарга көңүл буруу, ачыктык жана байкоо жүргүзүү.

3) IA vs EA ажыратуу

4) Ролдору жана RACI

Head of Internal Audit (IA Lead) - стратегия, көз карандысыздык, план/репортаж. (A)

Internal Auditors - талаа текшерүү, иш документтер, корутундулар. (R)

Process Owners (1-линия) - маалыматтарды/экспонаттарды берүү, CAPA. (R)

Compliance/InfoSec/AML/RG (2-линия) - ко-аудиттер, методологдор. (C/R)

CFO/Controller - Financial Control, GL, текшерүү. (C)

Юридикалык/DPO - нормаларды чечмелөө, PII жана ретенция. (C)

Audit Committee - IA планын жактырат, отчетторду кабыл алат, көз карандысыздыкты көзөмөлдөйт. (A)

External Auditors/Assessors - EA өткөрөт; NDA боюнча экспонаттарга жетүү. (I/R келишим боюнча)

5) Тобокелдик-багытталган пландоо (Annual Audit Plan)

1. Тобокелдик реестри: ыктымалдыгы × таасири (финансы/GGR, лицензиялар, репутация, оюнчулардын коопсуздугу).
2. Процесс картасы: төлөмдөр/PSP, капчык, KYC/AML/KYB, RG, оюн провайдерлери/RTP, маркетинг/аффилиаттар, МБ/GDPR, инциденттер/билдирүүлөр, жөнгө салуучу отчеттор.
3. Priority Matrix: High/Medium/Low → жыштыгы (Sq ./жарым жыл/жыл).
4. Сатып алуу: максаттары, критерийлери, жол-жоболору, үлгүлөрү, ресурстары, таймлайн, көз карандылыгы.
5. Бекитүү: Аудит комитети жылдык планды бекитет; S1/S2 окуяларда ad-hoc жол берилет.

6) Методология: аудит этаптары

A. Предаудит (Планнинг): документтерди суроо, процессти түшүнүү, контролдоо дизайнын баалоо, тобокелдик-баалоо, тестирлөө программасы.
B. Талаа этабы (Fieldwork): интервью, walkthrough, дизайн/натыйжалуулук тесттери, аналитикалык жол-жоболор, экспонаттарды текшерүү, үлгү.
C. Корутундулар жана рейтинг: фактыларды критерийлер менен салыштыруу; классификация findings.
D. отчет: долбоор → макулдашуу фактылары → акыркы → менеджментке/комитетке презентация.
E. CAPA жана Follow-up: түзөтүү/эскертүү иш-чараларынын планы, аткарылышын көзөмөлдөө, текшерүү.

7) далилдер жана үлгүлөрү

Далилдердин түрлөрү: даректүү (саясат, логи, тикет), физикалык (скриншот, конфигурация), оозеки (интервью), аналитикалык (салыштыруу, тренд).
Сапаты: жетиштүүлүгү (көлөмү), ылайыктуулугу (актуалдуулугу), ишенимдүүлүгү (булагы).
Үлгүлөр: кокустук, системалуу, багытталган (risk-based), аномалиялар боюнча; өлчөмү жалпы жыйындынын тобокелдиги жана көлөмү менен аныкталат.
Trackable: ар бир жыйынтык тест менен байланышкан, тест - далил менен (уникалдуу ID); "бүтүрүү номери".

8) Дал келбестиктерди классификациялоо жана рейтингдер

Critical (S1): лицензия/мыйзам тобокелдиги/олуттуу каржылык зыян/PII-breach. Токтоосуз аракет, Комитетке/Кеңешке отчет талап кылынат.
High (S2): олуттуу контролдоо кемчилиги; кыска SLA туура.
Medium (S3): чектелген кемчилик; түзөтүү планы.
Low (S4): жакшыртуу/байкоо (оптималдаштыруу).

Аудирленген процесстин рейтинги: Effective/Generally Effective with Improvements/Partially Effective/Ineffective.

9) Иш кагаздары жана ретенция

Working Papers: программа, текшерүү баракчалары, үлгүлөрү, интервью протоколдору, далилдер, эсептөөлөр, корутундулар.
Жасалгалоо стандарттары: индекс, версия, ээси, датасы, артефакттарга гипершилтеме, өзгөрүүлөрдү көзөмөлдөө.
Privacy жана PII: RBAC жетүү, сактоо шифрленген, сезгич талааларды жашыруу.
Сактоо мөөнөтү: саясат боюнча (адатта 5-7 жыл) же лицензия/жөнгө салуучу талап кылынса, андан да көп.

10) Текшерүү темалары (IA каталогу)

1. Төлөмдөр/PSP/PCI: auth/decline/chargebacks, PAN псевдонимизациялоо, кирүү журналдары, жеткирүүчүлөрдүн реестри.
2. KYC/AML/KYB: толук жана тактык KYC, RER/жазалоо, SAR/STR мөөнөтү, сапаттуу тергөө, cases жүргүзүү.
3. Жоопкерчиликтүү оюн (RG): лимиттер/өзүн-өзү четтетүү, байланыш жол-жоболору, интервенциянын натыйжалуулугу, жарнамалык чектөөлөр.
4. GDPR/PII/DPO: иштетүү реестри, DSAR, купуялык окуялар, иштеп чыгуучулар менен келишимдер.
5. Оюн провайдерлери/чынчылдык: RTP drift, раунд окуялары, балансты синхрондоштуруу, RNG/Билд версиясы.
6. Маркетинг/Аффилиаттар: чыгармачылык/максаттуу чектөөлөрдү сактоо, атрибуция, келишимдер, төлөмдөр.
7. Инцидент-процесстер: билдирүүгө чейинки убакыт (TTS), жөнгө салуучу органдарга билдирүүлөрдүн өз убагында болушу, артефакттардын толук болушу.
8. Жөнгө салуучу отчеттуулук: схемалар, мөөнөтү, DQ, GL/PSP менен салыштыруу.
9. IT-Controls/IB: Access, SOD, өзгөртүүлөр/релиздер, аудит журналдары, backaps, DR/BCP машыгуулар.

11) Отчет форматы IA (шаблон)

Аткаруу резюме: көлөм, максаттар, рейтинг, негизги корутундулар жана тобокелдик.
Контекст: процесс/система/юрисдикция, мезгил, колдонулуучу талаптар.
Методология жана чектөөлөр (эгерде болгон болсо).
артыкчылыгы боюнча деталдуу тыянактар: факт → критерий → тобокелдик → таасир → сунуштар.
Таблица CAPA: ээси, кадамдар, мөөнөттөр, ийгиликтин көрсөткүчтөрү.
Тиркемелер: үлгүлөр, диаграммалар, далилдер реестри, глоссарий.

12) Тышкы аудит менен өз ара аракеттенүү (EA)

Финансылык отчеттуулук: GL даярдоо, текшерүү, PSP/банктардан/провайдерлерден тастыктоо, башкаруу каттары.
Сертификация/шайкештик баалоо: ISO 27001/9001, SOC 2, PCI DSS, тармактык жөнгө салуучу текшерүү.
IA ролдору: алдын-ала кароо (gap-талдоо), өтүнүчтөрдү колдоо, CAPA тездетүү, кайталоодон качуу.
Ачык-айкындуулук: артефакттардын бирдиктүү витринасы, сапарлардын календары, кирүү эрежелери, NDA.
Communications: "EA readiness" үзгүлтүксүз стенддери, кирүү чекити - Audit Coordinator.

13) CAPA жана мониторинг жүргүзүү

CAPA-план: конкреттүү кадамдар, метрика, ээси, мөөнөтү, көз каранды системалар/команда.
Текшерүү: киргизүү далилдери (скриншоттор, логилер, саясаттар, тесттердин жыйынтыгы), датасы, жооптуу аудитор.
Эскалация: S1/S2 - Комитетке милдеттүү апдейт; кечигүүлөр - дашборддун "кызыл зонасы".
Тобокелдикти баалоону өзгөртүү: ийгиликтүү CAPA кийин - калдык тобокелдикти жана текшерүү жыштыгын кайра карап чыгуу.

14) Дашборд аудит (башкаруу контролдоо)

Пландын статусу: кварталдар жана багыттар боюнча аяктоо%.
Findings куржунунун: олуттуулук жана кечигүү боюнча.
CAPA progress: аткарылган/жумушта/мөөнөтү өтүп кеткен, медиа жабуу убактысы.
Жылуулук жараяндар картасы: CAPA чейин/кийин тобокелдик/контролдоо натыйжалуулугу.
Кайталануучу аныктоо: системалык көйгөйлөрдүн көрсөткүчү.

15) Этикалык талаптар жана көз карандысыздык

Кызыкчылыктардын кагылышуусу: аудиторлор 12 айга ≤ өздөрүнүн мурдагы операциялык ишмердүүлүгүнө аудит жүргүзбөйт; чыр-чатактарды жарыялоо.
Маалыматтарга жетүү: "минималдуу зарыл" принциби боюнча гана; PII жеке көчүрүүгө тыюу салуу.
Байланыш: бейтарап сөздөр, "айыптоо" үн жоктугу; мурда чечмелөө фактылары.

16) Чек-баракчалар

Аудитти баштоо

• Аныкталган максаттар/критерийлер/чек.
• Артефакттар суралган жана алынган, форматтар/мөөнөттөр макулдашылган.
• Тастыкталган көз карандысыздык, эч кандай чыр-чатактар.
• Тест жана тандоо программасы бекитилген.

Талаа этабы

• walkthrough жана key-roles менен маек өткөрүлдү.
• Дизайн жана иш натыйжалуулугун тесттер.
• ID/шилтемелер менен далилдердин реестри түзүлдү.
• жараянынын ээлерине аралык бриф (акыркы күтүлбөгөн жок).

Отчет жана CAPA

• Фактылар макулдашылган, талаштуу жагдайлар чечилген.
• Корутундулар классификацияланган (S1-S4), тобокелдик/таасир бааланган.
• CAPA планы ээлери жана мөөнөтү менен бекитилген.
• Follow-up даталары календарга киргизилген.

17) Артефакт үлгүлөрү (тез киргизүү)

Request List (PBC): документтердин тизмеси/чыгаруу/мөөнөтү менен жетүү.
Test Sheet: Control → тартиби → тандоо → натыйжасы → далил → жыйынтык.
Finding Card: код, аталышы, баяндамасы, тобокелдик, таасири, себеби (root cause), сунуш, S-деңгээл, ээси, мөөнөтү.
CAPA Sheet: кадам, метрика, тастыктоо экспонаттары, датасы, текшерилет.

18) Көп каталар жана аларды алдын алуу үчүн кантип

ИАнын жана 2-линиянын жабышкан ролдору → көз карандысыздык бузулган. Чечим: IA отчеттуулугу түздөн-түз Комитетке.
далилдердин жетишсиз байкоо → начар корутунду коргоо. Чечим: бирдиктүү реестр жана номерлөө.
Тобокелдикти жана баалуулукту баалоонун ордуна "дал келбестиктерге аңчылык кылуу". Чечим: тобокелдик-фокус жана артыкчылыктуу.
ресурстары жок CAPA ашыкча → кечиктирүү. Чечим: SMART-максаттары жана WIP чеги.
Отчеттуулукту текшерүүдө сапат/жаңылык маалыматтарына көңүл бурбоо. Чечим: DQ чек тизмеси.

19) Тез баштоо (30 күндүн ичинде киргизүү)

1-жума: IA хартиясын (мандат/отчеттуулук) бекитүү, тобокелдик-баалоо жүргүзүү, жылдык пландын долбоорун түзүү.
Апта 2: Шаблондорду (PBC, Test/Finding/CAPA sheets) баштоо, далилдердин реестрин жана dashboard статусун түзүү.
Жума 3:2 пилоттук аудит "кыска" өткөрүү (мисалы, PSP/PCI жана RG/DSAR), отчетторду чыгаруу, CAPA каттоо.
Апта 4: учкучтарды басып өтүү, методологияны оңдоо, жылдык планды Комитеттин бекитүүсүнө алып чыгуу, тышкы аудиттердин/сертификациялоонун графигин макулдашуу.

• Регулятивдик отчеттор жана маалымат форматтары
• Бузуулар жөнүндө билдирүүлөр жана отчеттуулук мөөнөттөрү
• Дашборд комплаенс жана мониторинг
• Окуя ойнотмо жана скрипттер
• Кризистик башкаруу жана коммуникациялар
• Бизнес үзгүлтүксүздүгү планы (BCP )/DRP
• Операцияларды текшерүү журналдары