Ішкі аудит және сыртқы аудит

1) Мақсаты және саласы

Операциялар мен Комплаенс процестерін жүйелі, тәуелсіз және қайталанатын бақылауды қамтамасыз ету: лицензияларға/заңдарға сәйкестігі, қаржылық және операциялық есептіліктің сенімділігі, тәуекелдерді бақылау тиімділігі (KYC/AML/RG, GDPR/PII, төлемдер/PCI, ойындардың адалдығы, АҚ, маркетинг/аффилиаттар, провайдерлер). Бөлім принциптерді, рөлдерді, әдіснаманы, тексерулерді бағдарламалауды, есеп форматын және сәйкессіздіктерді жабу тәртібін белгілейді.

2) Қағидаттар және «қорғаудың үш сызығы»

1-ші желі: процестердің иелері (Операциялар, Төлемдер, Ойын провайдерлері, Маркетинг/Аффилиаттар, Қолдау қызметі) - day-to-day тәуекелдерін басқарады.
2-ші желі: Комплаенс/Тәуекел/Қауіпсіздік/DPO - саясат, мониторинг, консультациялар, орындалуын бақылау.
3-ші желі: Ішкі аудит (IA) - бақылаудың барабарлығы мен тиімділігін тәуелсіз бағалау; Бақылау кеңесіне/Аудит-комитетіне есеп береді.
Сыртқы аудит (EA): тәуелсіз үшінші тараптар - қаржылық есептілік, сертификаттау (ISO/SOC/PCI), реттеуіштер инспекциясы.

Қағидаттар: тәуелсіздік, объективтілік, дәлелділік, құпиялылық, тәуекелдер мен құндылықтарға назар аудару, ашықтық және қадағаланушылық.

3) IA vs EA ажырату

4) Рөлдер және RACI

Head of Internal Audit (IA Lead) - стратегия, тәуелсіздік, жоспар/репортинг. (A)

Internal Auditors - далалық тексерулер, жұмыс құжаттары, қорытындылар. (R)

Process Owners (1-ші желі) - деректерді/артефактілерді ұсыну, CAPA. (R)

Compliance/InfoSec/AML/RG (2-ші желі) - ко-аудиттер, әдіснамалар. (C/R)

CFO/Controller - қаржылық бақылау, GL, салыстыру. (C)

Legal/DPO - нормаларды түсіндіру, PII және ретенция. (C)

Audit Committee - IA жоспарын мақұлдайды, есептерді қабылдайды, тәуелсіздікті бақылайды. (A)

External Auditors/Assessors - EA жүргізеді; NDA бойынша артефактілерге қол жеткізу. (келісімшарт бойынша I/R)

5) Тәуекелге бағдарланған жоспарлау (Annual Audit Plan)

1. Тәуекелдер тізілімі: ықтималдық × әсер ету (қаржы/GGR, лицензиялар, бедел, ойыншылардың қауіпсіздігі).
2. Процестер картасы: төлемдер/PSP, әмиян, KYC/AML/KYB, RG, ойын провайдерлері/RTP, маркетинг/аффилиаттар, АҚ/GDPR, инциденттер/хабарламалар, реттеуші есептер.
3. Басымдық матрицасы: High/Medium/Low → кезеңділігі (шаршы/жартыжылдық/жыл).
4. Сатып алу: мақсаттар, критерийлер, рәсімдер, іріктемелер, ресурстар, таймлайн, тәуелділік.
5. Мақұлдау: Аудит-комитет жылдық жоспарды бекітеді; S1/S2 оқыс оқиғалар кезінде ad-hoc рұқсат етіледі.

6) Әдіснама: аудит кезеңдері

A. Предаудит (Planning): құжаттарды сұрау, процесті түсіну, бақылау дизайнын бағалау, тәуекел бағалау, тест бағдарламасы.
B. Далалық кезең (Fieldwork): сұхбат, walkthrough, дизайн/жеделділік тестілері, аналитикалық рәсімдер, артефактілерді инспекциялау, іріктемелер.
C. қорытындылар және рейтинг: фактілерді критерийлермен салыстыру; findings жіктелімі.
D. есеп: жоба → фактілерді келісу → финал → менеджментке/комитетке таныстыру.
E. CAPA және Follow-up: түзету/ескерту іс-қимылдарының жоспары, орындалуын бақылау, верификация.

7) Дәлелдемелер мен іріктемелер

Дәлелдемелердің түрлері: құжаттық (саясаттар, логтар, тикеттер), физикалық (скриншоттар, конфигурациялар), ауызша (сұхбаттар), талдамалық (салыстыру, трендтер).
Сапасы: жеткіліктілігі (көлемі), орындылығы (релеванттылығы), анықтығы (көзі).
Іріктемелер: кездейсоқ, жүйелі, бағытталған (risk-based), аномалиялар бойынша; мөлшері бас жиынтықтың тәуекелімен және көлемімен айқындалады.
Трассалануы: әрбір қорытынды тестпен байланысты, тест - дәлелдемемен (бірегей ID); «толассыз нөмірлеу».

8) Сәйкессіздіктерді жіктеу және рейтингтер

Critical (S1): лицензия/заң тәуекелі/елеулі қаржылық шығын/PII-breach. Дереу әрекет ету, Комитетке/Кеңеске есеп беру талап етіледі.
High (S2): бақылаудың елеулі ақауы; түзетуге арналған қысқа SLA.
Medium (S3): шектеулі ақау; түзетулер жоспары.
Low (S4): жақсарту/қадағалау (оңтайландыру).

Аудиттелетін процестің рейтингі: Effective/Generally Effective with Improvements/Partially Effective/Ineffective.

9) Жұмыс құжаттары және ретенция

Working Papers: бағдарлама, бақылау парақтары, іріктемелер, сұхбат хаттамалары, дәлелдемелер, есептеулер, қорытындылар.
Ресімдеу стандарттары: индекс, нұсқа, иесі, күні, артефактілерге еренсілтемелер, өзгерістерді бақылау.
Құпиялылық және PII: RBAC бойынша қол жеткізу, шифрланған сақтау, сезімтал өрістерді бүркемелеу.
Сақтау мерзімі: саясат бойынша (әдетте 5-7 жыл) немесе, егер лицензиялар/реттегіштер талап етсе, одан да ұзақ.

10) Тексеру тақырыптары (IA каталогы)

1. Төлемдер/PSP/PCI: auth/decline/chargebacks, псевдоним PAN, кіру журналдары, жеткізушілер тізілімі.
2. KYC/AML/KYB: KYC, РЕР/санкциялар, SAR/STR мерзімдерінің толықтығы мен дәлдігі, тергеу сапасы, кейстерді жүргізу.
3. Жауапты ойын (RG): лимиттер/өзін-өзі жою, байланыс рәсімдері, интервенция тиімділігі, жарнамалық шектеулер.
4. GDPR/PII/DPO: өңдеу тізілімі, DSAR, құпиялылық инциденттері, өңдеушілермен шарттар.
5. Ойын провайдерлері/адалдық: RTP drift, раунд инциденттері, балансты үндестіру, RNG/билдтерді нұсқалау.
6. Маркетинг/Аффилиаттар: креативті/мақсатты шектеулерді сақтау, атрибуция, шарттар, төлемдер.
7. Инцидент-процестер: мәлімдеуге дейінгі уақыт (TTS), реттеушілерге уақтылы хабарлау, артефактілердің толықтығы.
8. Реттеуші есептілік: схемалар, мерзім, DQ, GL/PSP салыстыру.
9. АТ-бақылау/ИБ: қолжетімділік, SOD, өзгерістер/релиздер, аудит журналдары, бэкаптар, DR/BCP жаттығулары.

11) Есеп форматы IA (үлгі)

Атқарушылық түйіндеме: көлем, мақсаттар, рейтинг, түйінді қорытындылар және тәуекел.
Контекст: процесс/жүйе/юрисдикция, кезең, қолданылатын талаптар.
Әдіснама және шектеулер (егер болса).
Басымдық бойынша егжей-тегжейлі қорытындылар: факт → критерий → тәуекел → әсер → ұсыныстар.
CAPA кестесі: иесі, қадамдары, мерзімдері, жетістік өлшемдері.
Қосымшалар: іріктемелер, диаграммалар, дәлелдемелер тізілімі, глоссарий.

12) Сыртқы аудитпен өзара іс-қимыл (EA)

Қаржылық есептілік: GL дайындау, салыстырып тексеру, PSP/банктерден/провайдерлерден растау, басқару хаттары.
Сәйкестікті сертификаттау/бағалау: ISO 27001/9001, SOC 2, PCI DSS, реттеушілердің салалық инспекциялары.
IA рөлдері: pre-assessment (gap-талдау), сұрау салуларды сүйемелдеу, CAPA жеделдету, қайталауды болдырмау.
Ашықтық: артефактілердің бірыңғай витринасы, сапарлар күнтізбесі, кіру ережелері, NDA.
Коммуникациялар: «EA readiness» тұрақты стендтері, кіру нүктесі - Audit Coordinator.

13) CAPA және орындалуын бақылау

CAPA-жоспары: нақты қадамдар, метрика, иесі, мерзімі, тәуелді жүйелер/командалар.
Верификация: енгізудің дәлелдері (скрины, логи, саясат, тест нәтижелері), күні, жауапты аудитор.
Эскалация: S1/S2 - Комитетке міндетті апдейт; кешіктірулер - дашбордтың «қызыл аймағы».
Тәуекелді бағалаудың өзгеруі: сәтті CAPA-дан кейін - қалдық тәуекелді және тексеру жиілігін қайта қарау.

14) Аудит дашборды (басқарушылық бақылау)

Жоспардың мәртебесі: тоқсандар мен бағыттар бойынша аяқталу%.
Findings портфелі: күрделілігі және мерзімі өтіп кетуі бойынша.
CAPA progress: орындалды/жұмыста/мерзімі өтіп кетті, жабу уақытының медианы.
Процестердің жылу картасы: CAPA дейін/кейін бақылау тәуекелі/тиімділігі.
Қайталанатын анықтау: жүйелік проблемалардың индикаторы.

15) Этикалық талаптар және тәуелсіздік

Мүдделер қақтығыстары: аудиторлар өздерінің бұрынғы операциялық қызметін 12 айға ≤ аудиттемейді; жанжалдарды мәлімдеу.
Деректерге қол жеткізу: «ең аз қажетті» қағидаты бойынша ғана; PII дербес көшіруге тыйым салу.
Коммуникация: бейтарап тұжырымдар, «айыптау» үнінің болмауы; бұрын түсіндіру фактілері.

16) Чек парақтары

Аудитті бастау

• Мақсаттар/өлшемдер/шекаралар анықталды.
• Артефактілер сұралды және алынды, пішімдер/мерзімдер келісілді.
• Тәуелсіздік расталды, келіспеушіліктер жоқ.
• Тестілеу және іріктеу бағдарламасы бекітілді.

Далалық кезең

• walkthrough және key-roles-пен сұхбат жүргізілді.
• Дизайн және операциялық тиімділік тестілері.
• ID/сілтемелері бар дәлелдемелер тізілімі қалыптастырылды.
• Процесс иелеріне аралық бриф (финалда күтпеген жерден).

Есеп және CAPA

• Фактілер келісілді, даулы жағдайлар шешілді.
• Қорытындылар жіктелген (S1-S4), тәуекел/әсер бағаланған.
• CAPA-жоспар иелерімен және мерзімдерімен бекітілді.
• follow-up күндері күнтізбеге енгізілген.

17) Артефактілердің үлгілері (жылдам кірістіру)

Request List (PBC): мерзімі ұзартылған құжаттар/жүктеулер/рұқсаттар тізбесі.
Test Sheet: бақылау → рәсім → таңдау → нәтиже → дәлел → қорытынды.
Finding Card: код, тақырып, сипаттама, тәуекел, әсер, себеп (root cause), ұсыным, S-деңгейі, иесі, мерзімі.
CAPA Sheet: қадам, метрика, растау артефактілері, күні, тексерілді.

18) Жиі қателер және оларды болдырмау

IA және 2-ші сызықтың жабысқан рөлдері → тәуелсіздік бұзылған. Шешім: IA-ның Комитетке тікелей есептілігі.
Дәлелдердің жеткіліксіз қадағалануы → қорытындылардың әлсіз қорғалуы. Шешім: бірыңғай тізілім және нөмірлеу.
«Сәйкессіздікке аңшылық» тәуекел мен құндылықты бағалаудың орнына. Шешім: тәуекел-фокус және басымдық.
CAPA-ны ресурстарсыз қайта тиеу → мерзімі өткен. Шешім: SMART-мақсаттар және WIP лимиті.
Есептілікті тексеру кезінде сапа/жаңалық деректерін елемеу. Шешім: DQ-чек парағы.

19) Жылдам бастау (30 күнде енгізу)

1-апта: IA хартиясын (мандат/есеп беру) бекiту, тәуекел-бағалау жүргiзу, жылдық жоспардың жобасын жасау.
Апта 2: үлгілерді (PBC, Test/Finding/CAPA sheets) бастау, дәлелдер тізілімін және дашборд мәртебесін теңшеу.
3-апта: «қысқа нысандағы» 2 пилоттық аудит жүргізу (мысалы, PSP/PCI және RG/DSAR), есептерді шығару, CAPA-ны тіркеу.
4-апта: пилоттарды follow-up өткізу, әдіснаманы түзету, жылдық жоспарды Комитеттің бекітуіне шығару, сыртқы аудит/сертификаттау кестесін келісу.

• Реттеуші есептер және деректер форматтары
• Бұзушылықтар туралы хабарламалар және есептілік мерзімдері
• Дашборд комплаенс және мониторинг
• Инциденттік ойнатқыштар мен сценарийлер
• Дағдарыстық басқару және коммуникация
• Бизнестің үздіксіздігі жоспары (BCP )/DRP
• Операциялар аудитінің журналдары