Аудиторлық чеклистер және ревью

1) Мақсаты

• командалар мен кезеңдер арасындағы тексерулердің салыстырмалылығы;
• нәтижелердің толықтығы мен дәлелділігі;
• түзетулерді (CAPA) және қайта тексерулерді мөлдір басқару.

2) Рөлдер және RACI

Owner: Head of Compliance/Head of Internal Audit - әдіснама, чеклистердің нұсқалары. (A)

Process Owners (1-ші желі): self-assessment, артефакттар, CAPA. (R)

Compliance/InfoSec/AML/RG (2-ші желі): peer-review, ко-аудиттер, нормаларды түсіндіру. (R/C)

Internal Audit (3-ші желі): тәуелсіз ревю, рейтингтер, follow-up. (R)

Management (Exec Sponsor): CAPA-да қорытындылар мен ресурстарды бекіту. (A/C)

3) Ревью түрлері

1. Self-Assessment (SA): ай сайын/тоқсан сайын қысқа чектлистер бойынша процестердің иелері.
2. Peer-Review (PR): көрші командамен (мүдделер қайшылығынсыз) айқаспалы тексеру.
3. Management Review (MR): тоқсанына бір рет - KPI/KRI, трендтер мен жабылмаған CAPA шолуы.
4. Internal Audit Review (IA): IA жоспары бойынша тәуелсіз тексеру.
5. External-Audit Readiness (EAR): сертификаттауға/инспекциялауға дайындық (ISO/SOC/PCI/реттеуші).

4) Чеклистің жалпы ережелері

ID: CL- <code >/Version: v <MAJOR. MINOR >/Owner: <role>
Область: <KYC/AML/RG, GDPR/PII, Payments/PCI, Games/Providers, Reporting, Incidents...>
Frequency: M     Q      Ad-hoc
Material: <criteria for High/Medium/Low>
Sampling: <method and size>
Evidence: <list of files/screenshots/logs>
Question List: [X] Yes [] No [] N/A + Comment + Artifact + Severity
Bottom line: Score/Rating/CAPA

• Fully Met (100–90%) / Largely Met (89–75%) / Partially Met (74–50%) / Not Met (<50%).
• Severity сәйкессіздіктер: S1 сыни/S2 жоғары/S3 орташа/S4 төмен.
• Материалдар: ақшалай әсер (GGR/NGR), клиенттерді/PII қамту, лицензия/айыппұл тәуекелі, ойындардың адалдығына әсер ету.

5) Чеклистер каталогы (бақылау пункттері бар скелеттер)

CL-KYC-01 — KYC/KYB

• Тексеру саясаты мен деңгейлері бекітілген және өзекті.
• KYC провайдерлерінің қолданыстағы шарттары/DPA бар.
• Верификация бойынша SLA сақталады (D-1 метрикасы).
• Құжаттар ретенцияға сәйкес сақталады; қатынау - RBAC.
• Істен шығулар/эскалациялар құжатталған; нормадағы FP үлесі.
• Әріптестер үшін KYB: өзекті үзінділер/бенефициарлар.

Дәлелдемелер: KYC мәртебесін түсіру, DPA тізілімі, қол жеткізу журналы, 25 кейстен sample.

CL-AML-02 — AML/CFT

• Жаңартылған AML саясаты және тәуекелдерді бағалау әдістемесі.
• ӨР/on-boarding бойынша санкцияларды тексеру және кезең-кезеңімен.
• SAR/STR мерзімінде жіберіледі; қабылдауды растау бар.
• Тергеу сапасы: толықтығы, тайминг, жабылуы.
• Monitoring rules velocity/structuring/қашырларды жабады.
• «no tipping-off» тесті: SAR кезінде клиенттердің хабарламалары жоқ.

Дәлелдемелер: SAR/STR кейстері, санкциялық тексерулердің логтары, істердің жабылу уақыты бойынша есептер.

CL-RG-03 - Жауапты ойын

• Лимиттер/өздігінен алып тастаулар тізілімі үндестірілген (тізілім/ұлттық. жүйе).
• Уязвимость триггерлері → SLA контактісі; коммуникация үлгілері.
• Интервенцияның тиімділігі өлшенеді және талданады.
• Жарнама/бонустар нарықтың шектеулеріне сәйкес келеді.
• RG-инциденттер және реттеушіге хабарламалар - мерзімінде.

Дәлелдер: логи self-exclusion, коммуник. үлгілер, outreach өлшемдері.

CL-PCI-04 - Төлемдер/PCI

• PCI сегментациясы және PAN/CHD мүкәммалы өзекті жағдайда.
• Транзиттегі токенизация/шифрлау/at-rest; кілттер айналуда.
• табалдырықтағы PSP бойынша Auth-rate/decline/latency; fallback бағыттары.
• Chargeback процесі және пікірталастар үшін дәлелдеу базасы.
• ASV сканеріндегі осалдықтар мерзімінде жойылды.
• Төлем аймағына кіру журналдары - толық және өзгермейтін.

Дәлелдер: network диаграммалары, ASV есептері, chargebacks кейстері, KMS негізгі саясаты.

CL-GAMES-05 - Ойын провайдерлері/адалдық

• Келісімшарттар және техникалық. ерекшеліктер өзекті; RNG/билдтердің нұсқалары - тізілімде.
• RTP-drift мониторинг және реакция шегі; freeze рәсімдік бекітілген.
• round/session/әмиян баланстарын үндестіру.
• Провайдердің оқиғалары: таймлайн, фиксация, ойыншыларға өтемақы.
• Реттеушіге адалдық бойынша есептер/RTP - тапсырылды және расталды.

Дәлелдемелер: RTP түсіру, провайдердің API логтары, freeze-тикеттер мысалдары.

CL-REP-06 - Реттеушілік есептілік

• Мерзім күнтізбесі: «дайын/жіберілді/қабылданды» мәртебелері.
• Деректер схемалары нұсқаланған; файлдарға қол қойылды/хэштері бар.
• Reconciliation:> X% айырмашылықтары жоқ әмиян, PSP, GL.
• Қабылдауды растау (ID/түбіртектер) сақталған және артефактілермен байланысты.
• Локализация/тіл сақталды.

Дәлелдер: дашборд дедлайндар, түбіртектер, SQL-салыстыру.

CL-INC-07 - Инциденттер/хабарламалар

• TTS (бірінші хабар) S1/S2 бойынша SLA.
• DPA/реттеуіштер/PSP/CERT хабарламалары - мерзімінде, растамалармен.
• Артефактілердің толықтығы: таймлайн, логтар, хабарламалар, қозғалған тізімдер.
• Ретро ≤ 7 күн, CAPA тіркелген және қозғалыс.
• Ойыншыларға өтемақы саясатқа сәйкес есептелген.

Дәлелдемелер: инциденттер журналы, мәртебе-бет, артефактілер пакеті.

CL-GDPR-08 — GDPR/PII

• Өңдеулер тізілімі (RoPA) өзекті; құқықтық негіздер дұрыс.
• DSAR 30 күнге ≤ жабылады; мерзімін өткізіп алу түсіндірілді.
• DPIA жоғары тәуекелді процестер үшін орындалған.
• Түсіру және есеп беру кезінде бүркемелеу/бүркемелеу.
• Өңдеушілермен және SCC-мен шарттар күшінде.

Дәлелдемелер: RoPA, DSAR журналы, DPIA, есептердегі маска мысалдары.

CL-ITGC-09 - Жалпы АТ-бақылау

• Өзгерістерді басқару: PR-процесс, тесттер, approvals, separation of duties.
• Қол жетімділік: RBAC/ABAC, мерзімді тексеру, off-boarding ≤ 24 сағ.
• Резервтік көшірме/қалпына келтіру, мерзімді DR тестілері.
• Аудит логтары өзгермейді, ретенция сақталады.
• Бақылау қабілеті: SLO/қате бюджеттер, сыни өлшемдерге тәуекелдер.

Дәлелдемелер: PR іріктемелері, IAM логтары, DR-тест есептері, ретенция саясаты.

6) Іріктеу және дәлелдеу әдістемесі

Өлшемі: операциялар көлемі мен тәуекелге бағдарланыңыз (мысалы, min 25, pps/ірі массивтер үшін стратификация).
Әдістер: кездейсоқ, жүйелі, бағытталған (аномалиялар/шеткі жағдайлар), шыңдар кезеңдері бойынша.
Жеткіліктілігі: негізгі қорытындыға кемінде 2-3 тәуелсіз дереккөз (логтар, скриншоттар, түсірулер, тикеттер).
Қадағалануы: чеклистің әрбір тармағына - ID және тізілімде сілтеме бар дәлелдеме.

7) Ревью рейтингі айдары

Effective - бақылау жобаланған және тұрақты жұмыс істейді, сәйкессіздіктер S1/S2 жоқ.
Generally Effective (жақсартумен) - S3/S4 бар, бірақ тәуекелдер бақылауда.
Partially Effective - жүйелік S2; жоғары қалдық тәуекел.
Ineffective - S1/S2 жиыны; дереу қалпына келтіру жоспары талап етіледі.

8) CAPA и follow-up

Әрбір finding үшін: түбір → әрекет → иесі → мерзімі → жетістіктің метрикасы.
SLA жабу: S1 - ≤ 30 күн; S2 - 60 күнге ≤; S3 - 90 күнге ≤; S4 - уағдаластық бойынша.
Верификация: аудитор енгізудің дәлелдерін (скрины/логи/саясат) береді, мәртебесін Verified-ке өзгертеді.
Эскалация: S1/S2 мерзімін өткізіп алу - апта сайын MR, Аудит комитетіне тоқсан сайын.

9) Жұмыс артефактілері (шаблондар)

9. 1 Чек парағы (тексеру парағы)

9. 2 Finding Card

Код Тақырып Факт Өлшем Тәуекел/әсер Себеп (root cause) Ұсыным S-деңгейі.

9. 3 CAPA Sheet

Finding → Қадамдар → Иесі → Мерзімі → Метрика/шегі → Дәлелдер → Мәртебесі → Верификация күні.

9. 4 PBC парағы (Provided By Client)

Сұрау → Формат → Дереккөз → Жауапты → Мерзім → Алынды (күні) → Түсініктемелер.

10) Дашборд ревью

Coverage: кезең ішінде ревьпен қамтылған процестер%.
Findings by Severity: S1-S4 бөлу.
CAPA Progress: орындалды/жұмыста/мерзімі өтіп кетті; жабу уақытының медианы.

Repeat Findings: 12 ай ішінде қайталау үлесі

Timeliness: SA/PR/MR/IA графигін сақтау.
Effectiveness Trend: облыстар бойынша рейтингтер динамикасы.

11) Күнтізбе және жиіліктер

Monthly: KYC/Payments/GDPR DSAR бойынша SA, инциденттер/хабарламалар.
Quarterly: барлық бағыттар үшін AML/RG/Providers/Reporting, MR бойынша PR.
Semi-Annual/Annual: жоғары тәуекел аймақтары бойынша IA; EAR сертификаттау/инспекциялау алдында.

12) «Быстрый старт» чек-картасы (7 пункттен)

KYC (7-point): Провайдерлер/DPA SLA кезек саясаты> SLA RBAC Істен шығу/эскалация FP туралы есеп.
AML (7-point): РЕР тізімдері/SAR санкциялары мерзімдері Тексеру сапасы Velocity/structuring No tipping-off тренингтер Caseboard KPI.
RG (7-point): Тізілім/үндестіру SLA-дағы байланыстар Жарнаманы шектеу тиімділігі Шағымдар Инциденттер Реттеушіге есептер.
PCI (7-point): Сегментация Кілттер/ASV/Vulna айналымы Қатынау журналдары Chargebacks Fallback PSP токенизациясы.
Games (7-point): RTP-drift Freeze рәсімі Баланс-синхрондар Провайдер оқиғалары RNG/билдтер нұсқалары SLA API адалдық есептері.
Reporting (7-point): Күнтізбе Схемалар/нұсқалар Қолы/хеш Reconciliation Тіл/жергілікті DQ-метрика түбіртегі.
Incidents (7-point): TTS Мерзімінде хабарламалар Өтемақы артефактілерінің толықтығы Ретро CAPA Дашборд.

13) Жиі қателер және оларды болдырмау

Дәлелсіз чеклистер → барлық тармақтар ID артефактісін талап етеді.
Материалсыз бағалау → Чектлист карточкасындағы табалдырықтарды белгілеңіз.
SA/PR/IA → келісілген күнтізбе мен бірыңғай сұрау тізілімін (PBC) қайталау.
«Құжатцентризм» операциялық тестісіз → әрқашан операциялардың іріктемесін алу.
CAPA метрикасыз → өлшенетін нәтижелерді беріңіз (мысалы, DSAR ≤ 30 күн ≥ 98%).

14) Енгізу жоспары (30 күн)

1 апта

1. Әдіснама және рейтингтер шкаласы бекітілсін.
2. 8 базалық чеклисті құру (CL-KYC/AML/RG/PCI/GAMES/REP/INC/GDPR).
3. Артефактілер тізілімін және PBC/Finding/CAPA үлгілерін жасау.

2 апта

4. SA пилотын 2 процесте және PR 1 процесте жүргiзу.
5. Дашборд пен CAPA журналын баптау.
6. «Дәлелдер мен іріктемелер» бойынша тренинг беру.

3 апта

7. Жақын арадағы сертификаттау/инспекциялау бойынша EAR-сессиясы.
8. Тоқсанға арналған MR/IA кестесiн келiсу.
9. Материалдар табалдырығын және іріктеме өлшемдерін бекіту.

4 апта

10. v1 шығару. 0 чеклистер каталогы және күнтізбе картасы.
11. Ретро пилотты жүргізу, чеклистердің нұсқаларын жаңарту (v1. 1).
12. Процесс иелерінің KPI жүйесіне жаңару қосу.

15) Байланысты бөлімдер

Ішкі аудит және сыртқы аудит

Реттеуші есептер және деректер форматтары

Бұзушылықтар туралы хабарламалар және есептілік мерзімдері

Дашборд комплаенс және мониторинг

Инциденттік ойнатқыштар мен сценарийлер

Дағдарыстық басқару және коммуникация