Комплаенс туралы персоналдың хабардар болуы

1) Қамту мақсаты мен аймағы

Комплаенстің тұрақты мәдениетін қалыптастыру, онда әрбір қызметкер «не мүмкін/мүмкін емес» екенін түсінеді, тәуекелдерді тани алады және қалай әрекет етуді біледі (эскалация, көмек арналары). Қамту: барлық функциялар (Операциялар, Төлемдер, RG/AML/KYC/KYB, Маркетинг/Аффилиаттар, Game Ops, Data/Engineering, CS, Қаржы, Legal/DPO, АҚ), мердігерлер мен уақытша қызметкерлер.

2) Бағдарламаның принциптері

Tone from the top: CEO/Exec-тен көпшілік қолдау.
Қарапайымдылығы және қолданылуы: «ертең ауысымда не істеу керек».
Микро-формат: қысқа модульдер 5-10 мин, тұрақтылығы.
Оқшаулау: нарық тілі, жергілікті кейстер/ережелер.
Дәлелділігі: өту журналы, артефактілер, сертификаттау.
Үздіксіздік: «оқу → қабылдау → өлшеу → жақсарту» циклі.

3) Рөлдер және RACI

Owner: Head of Compliance/Compliance Awareness Lead - стратегия, контент, күнтізбе. (A)

L & D/Training Lead: LMS, кесте, кіруді бақылау. (R)

Process Owners (KYC/AML/RG/Payments/Marketing/Game Ops/Data/Legal/InfoSec): сараптама және кейстер. (R)

DPO/Legal: тұжырымдардың дұрыстығы, жекешелігі, оқшаулануы. (C)

Internal Audit: толықтығын/жазбаларын тәуелсіз тексеру. (C)

HR: онбординг/оффбординг, өту тәртібі. (R)

Comms/Brand: визуалды безендіру, науқан. (R)

Exec Sponsor: жария хабарлар, ресурстар, эскалациялар. (I/A)

4) Контент қаңқасы (хабардар болу модульдері)

1. Мінез-құлық кодексі және көмек арналары (whistleblowing, қуғын-сүргінсіз).
2. KYC/KYB және осал ойыншыларды қорғау (әрқайсысының рөлі).
3. AML/санкциялар/PEP (сигналдар, tipping-off тыйым салу, эскалация).
4. RG - жауапты ойын (лимиттер, өзін-өзі жою, дұрыс сценарийлер).
5. GDPR/PII (ең аз, DSAR, «артық бөлінбеу»).
6. PCI/Төлемдер (пан-деректер, токенизация, чат/тикеттердегі тыйым салулар).
7. Маркетинг/Аффилиаттар/Жарнама (жас фильтрлері, тыйым салынған креативтер).
8. Тосын оқиғалар және хабарламалар (қашан және не хабарлау керек, алғашқы қадамдар).
9. Антифишинг/ИБ-гигиена (парольдер, MFA, фишинг-симуляциялар).
10. Мүдделер қақтығысы/сыйлықтар/әдеп.

Әрбір модуль: 5-7 слайд + 2-3 сұрақтың шағын кейсі + «ертең не істеу керек» (ауысымға чек-парақ).

5) Форматтар мен жиіліктер

Онбординг (T + 14 күн): базалық пакет (1-7 модульдер), қысқаша тест ≥ 85%.
Тоқсан сайынғы науқандар: тақырыптық (GDPR-апта, AML-апта...).
Айлық микро-сабақтар: 1 кейспен және 3 сұрақпен 5-10 мин.
Table-top/role-play (тоқсан): функциялар бойынша аралық сценарий.
Фишинг-симуляция (жылына 2-4 рет): басқаннан кейін оқытумен.
Плакаттар/интранет/бот: «3 қадам ережесі», «Тикетте не жазуға болмайды».
Вендорлық воркшоптар: KYC/PSP/ойын провайдерлері - жылына 1-2 рет.

6) Науқандар мен хабарламалар (мысалдар)

GDPR-апта: «Сақтамаймыз - жоғалтпаймыз» → чек парағы: поштада PII жібермеу, скринингтерді бүркемелеу, DSAR ≤ 30 күн.
AML-апта: «Құрылымды байқаңыз - лицензияны сақтаңыз» → чек парағы: velocity/structuring сигналдары, қайда эскалациялау керек.
RG-апта: «Жауапкершілікпен ойнаңыз, ойыншыларға қолдау көрсетіңіз» → CS дұрыс жауаптары, лимиттерді көтергенде әрекет ету тәртібі.
PCI-апта: «PCI сенен басталады» → чат/тикеттердегі тыйым салынған өрістер, қауіпсіз ауыстыру.
Ads/Affiliates-апта: «Айыппұлсыз жарнама» → тыйым салынған креативтер, жас сүзгілері, «уытты» трафикке шағым.

7) Құралдар

LMS: курстар, тестілер, сертификаттар, coverage/on-time есептері.
Коммуникациялық бот (Slack/Teams): аптасына 1-2 сұрақ, ескертулер.
Интранет-хаб: тақырыптар бойынша «1-беттер», FAQ, хабарлама үлгілері.
Плакаттар/скринсейверлер: қысқаша ережелер, хабқа QR.
Фишинг-платформа: симуляциялар, жеке кеңестер.
«Комплаенс сұраңыз» нысаны: жедел жауап/эскалация.

8) Тиімділік метрикасы (KPI/KRI)

Coverage: өзекті курсы бар қызметкерлердің% -ы (мақсаты ≥ 98%).
On-time Completion: мерзімінде аяқтағандардың% -ы (мақсаты ≥ 95%).
Recall: дұрыс жауаптардың үлесі 30 күннен кейін (> 80%).
Behavior change: tipping-off оқиғаларын азайту, CS дұрыс сценарийлерінің үлесі.
Phishing resilience: CTR ↓, имитациялар туралы есептер ↑.
Escalation quality: эскалациядағы артефактілердің толықтығы (үлгі, ID, логи).
Whistleblowing: айналымдар ≠ нөл; реакция мен жабылу уақыты.

9) Чек парақтары

9. 1 Бағдарламаны іске қосар алдында

• «tone from the top» (CEO хатынан/бейнесінен) бекітілді.
• Бір жылға арналған науқан күнтізбесі; олардың иелері тағайындалған.
• Мазмұн оқшауланған; мысалдар - нарықтар мен функциялар бойынша.
• LMS HRIS (онбординг/оффбординг) жүйесіне қосылған.
• coverage/on-time/pass rate есептері теңшелген.
• Плакаттар, 1-беттер, бот- квизалар дайын.

9. 2 Науқан кезінде

• Арналар бойынша ескертулер (чат/пошта/бордтар).
• Сарапшылармен Q & A-сессиясы (30 мин).
• Қысқа сауалнама «Мәнін түсіну» (3 сұрақ).
• Өрісте фидбэк пен сұрақтарды жинау.

9. 3 Науқаннан кейін

• Есеп: coverage/recall/behavior.
• CAPA бос орындар бойынша (скрипттер, макростар, процестер).
• SSS және 1 бетті жаңарту.

10) Сценарийлер (role-play) - жылдам кірістіру

• Ойыншы шығын шегінен асып кетті.
• Дұрыс: "Біз сіз белгілеген лимитке қол жеткізілгенін көріп отырмыз. Жауапты ойын ережелеріне сәйкес, біз сізді қорғау үшін қолжетімділікті уақытша шектейміз. Лимиттерді қалай орнатуға болады.."

• Тексеру нәтижесі.
• Дұрыс: "Төлем қауіпсіздікті стандартты тексеруден өтеді. Ол аяқталған соң хабарлаймыз"

• Клиент сөйлесуге PAN жіберді.
• Дұрыс: "Қауіпсіздік мақсатында картаның нөмірін жібермеңіз. Қорғалған төлем формасын пайдаланыңыз"

• Серіктес 18- үшін агрессивті креативті ұсынады.
• Дұрыс: "Бізге жас сүзгілері мен дұрыс дисклеймерлер қажет. Әйтпесе - бас тарту"

• «талдау үшін» PII толық экспорттауға әріптес сұрауы.
• Дұрыс: "Негіздеме мен азайту қажет. DPO арқылы сұрау салу бойынша агрегаттарды/бүркеншік аттарды ұсынамыз"

11) Коммуникация және «үн»

Exec-тен тоқсан сайынғы бейне: «Неге комплаенс - стратегияның бір бөлігі».
Сәттілік тарихы: «N қызметкері тәуекелді дер кезінде байқады - айыппұлдан құтылды».
Бейдждер/геймификация: квиз үшін ұпай, айдың «Compliance Champion».
Қауіпсіз орта: қателіктер жаза ретінде емес, оқыту ретінде анықталады (қасақана ниеттен басқа).

12) Артефактілер мен ретенция

Өту хаттамалары (LMS), тест нәтижелері, сертификаттар.
Науқан материалдары (слайдтар, жазбалар), Q&A, плакаттар/1-парақтар.
KPI/KRI, CAPA-жоспарлар есептері және олардың орындалу мәртебесі.
Сақтау мерзімі - оқыту/аудит саясаты бойынша (әдетте 5-7 жыл).

13) Мазмұн өзгерістерін басқару

Нұсқалау (vMAJOR. MINOR. PATCH), changelog.
Жаңарту триггерлері: жаңа ережелер/инциденттер/аудит-findings.
Процесс: драфт → Legal/DPO ревью → пилот → релиз → өлшеу.

14) Тәуекелдер және алдын алу

«Оқулық» → кейстерді және бақыланатын мінез-құлық өлшемдерін қосыңыз.
Контентті қайта жүктеу → микро-сабақтар, 1-беттер, кілттің қайталануы.
Локализацияның болмауы → жергілікті мысалдар/тіл/төлем шындығы.
→ жедел желісіне нөл қоңырау шалу үнсіздік қаупі екенін есте сақтаңыз. Сенім мен жасырын арналарды жылжытыңыз.

15) Жылдам бастау (30 күн)

1 апта

1. Иесін тағайындау, KPI мақсаттарын бекіту (coverage ≥ 98%, on-time ≥ 95%).
2. Науқан мен рөлдердің жылдық күнтізбесін қалыптастыру.
3. «tone from the top» (хат/бейне) бағдарламасын дайындау.

2 апта

4. Хаб (интранет) пен LMS өрістету; HRIS/SSO қосыңыз.
5. Базалық курсты жинау (1-6 модульдер) + тест; плакаттар/1-беттер дайындау.
6. № 1 бот-квиз және фишинг-симуляцияны баптау.

3 апта

7. 2-3 командадағы ұшқыш (CS, Payments, Marketing).
8. Фидбэк жинау; скрипттер мен кейстерді түзету.
9. Апталық микро-сабақтарды іске қосу (бір сұрақ бойынша).

4 апта

10. Жаппай іске қосу; күн сайын coverage/on-time бақылау.
11. Басшылыққа есеп беру: алғашқы KPI/оқиғалар-мінез-құлық өзгерістері.
12. v1 жоспары. 1: RG/Ads-кейстер мен локацияларды қосу.

• AML-тренингтер және қызметкерлерді оқыту
• Инциденттік ойнатқыштар мен сценарийлер
• Бұзушылықтар туралы хабарламалар және есептілік мерзімдері
• Дашборд комплаенс және мониторинг
• Реттеуші есептер және деректер форматтары
• Ішкі аудит және сыртқы аудит
• Аудиторлық чеклистер және ревью
• Лицензиялар мен инспекцияларды ұзарту
• Өңірлер бойынша реттеу ережелерінің өзгеруі