Listy kontrolne i przeglądy

1) Cel

• porównywalność kontroli między zespołami a okresami;
• kompletność i dowód wyników;
• Przejrzyste zarządzanie łatami (CAPA) i ponowne kontrole

2) Role i RACI

Właściciel: Szef Zgodności/Szef Audytu Wewnętrznego - metodologia, wersje list kontrolnych. A)

Właściciele procesów (pierwsza linia): samoocena, artefakty, CAPA. (R)

Zgodność/InfoSec/AML/RG (2nd line): peer-review, co-audits, interpretacja norm. (R/C)

Audyt wewnętrzny (trzecia linia): niezależne opinie, oceny, działania następcze. (R)

Zarządzanie (Exec Sponsor) -Zaprobaty i zasoby dla agencji CAPA. (A/C)

3) Rodzaje przeglądu

1. Samoocena (SA): miesięcznie/kwartalnie przez właścicieli procesów dla krótkich list kontrolnych.
2. Peer-Review (PR): kontrola krzyżowa przez sąsiedni zespół (brak konfliktu interesów).
3. Przegląd zarządzania (MR): kwartalny - przegląd KPI/KRI, tendencje i otwarte umowy CAPA.
4. Przegląd audytu wewnętrznego (IA): niezależny przegląd planu IA.
5. Gotowość do audytu zewnętrznego (EAR): przygotowanie do certyfikacji/inspekcji (ISO/SOC/PCI/regulator).

4) Ogólne zasady listy kontrolnej

ID: CL- <code >/Version: v <MAJOR. MINOR >/Owner: <role>
Область: <KYC/AML/RG, GDPR/PII, Payments/PCI, Games/Providers, Reporting, Incidents...>
Frequency: M     Q      Ad-hoc
Material: <criteria for High/Medium/Low>
Sampling: <method and size>
Evidence: <list of files/screenshots/logs>
Question List: [X] Yes [] No [] N/A + Comment + Artifact + Severity
Bottom line: Score/Rating/CAPA

• W pełni spełnione (100-90% )/w dużej mierze spełnione (89-75% )/częściowo spełnione (74-50% )/niespełnione (<50%).
• Nasilenie rozbieżności: S1 critical/S2 high/S3 medium/S4 niskie.
• Istotność: efekt pieniężny (GGR/NGR), zasięg klienta/PII, ryzyko licencji/kary, wpływ na integralność gry.

5) Katalog listy kontrolnej (szkielety z punktami kontrolnymi)

CL-KYC-01 - KYC/KYB

• Polityki i poziomy przeglądu są zatwierdzane i aktualizowane.
• Dostawcy KYC posiadają istniejące umowy/DPA.
• SLA weryfikacyjne są spełnione (D-1 metryczne).
• Dokumenty są przechowywane zgodnie z zatrzymaniem; dostęp - RBAC.
• Udokumentowane awarie/eskalacje; odsetek FP jest normalny.
• KYB dla partnerów: bieżące sprawozdania/beneficjenci.

Dowody: przesłania statusu KYC, rejestr DPA, dziennik dostępu, próbka 25 spraw.

CL-AML-02 - AML/CFT

• Zaktualizowana polityka AML i metodologia punktacji ryzyka.
• Kontrole PEP/sankcji na pokładzie oraz okresowe.
• SAR/STRS są wysyłane na czas; są potwierdzenia.
• Jakość dochodzeń: kompletność, czas, zamknięcie.
• Zasady monitorowania obejmują prędkość/strukturyzację/muły.
• Brak testu cipping-off: brak powiadomienia klienta podczas SAR.

Dowody: sprawy SAR/STR, dzienniki kontroli sankcji, sprawozdania dotyczące zamknięcia sprawy.

CL-RG-03 - Odpowiedzialna gra

• Limit/Self Exclusion Register synchronized (Register/Nat. system).
• Wrażliwość wyzwala → kontakt w SLA; szablony komunikacyjne.
• Skuteczność interwencji jest mierzona i analizowana.
• Reklamy/premie spełniają ograniczenia rynkowe.
• Incydenty RG i powiadomienia do regulatora - na czas.

Dowody: dzienniki o wykluczeniu, komunistyczne. wzory, mierniki zasięgu.

CL-PCI-04 - Płatności/PCI

• Aktualizacja segmentacji PWZ i zapasów PAN/CHD.
• Tokenizacja/szyfrowanie w tranzycie/podczas odpoczynku; Klucze kopią.
• Auth-rate/decline/latency by PSP in thresholds; trasy awaryjne.
• Proces obciążenia zwrotnego i podstawa dowodowa dla sporów.
• Luki w skanowaniu ASV zostały ustalone na czas.
• Dzienniki dostępu do obszaru płatności są kompletne i niezmienne.

Dowody: wykresy sieci, raporty ASV, przypadki obciążeń zwrotnych, kluczowa polityka KMS.

CL-GAMES-05 - Dostawcy gier/Integralność

• Umowy i specyfikacje techniczne są aktualne; Wersje RNG/build - w rejestrze.
• Wartości progowe monitorowania i reagowania RTP-dryfu; zamrażanie jest proceduralnie stałe.
• Synchronizacja sald rundy/sesji/portfela.
• Incydenty dostawcy: Timeline, Capture, Player Compensation.
• Raporty do regulatora integralności/RTP - złożone i potwierdzone.

Dowody: Przesyłanie RTP, dzienniki API dostawcy, przykłady biletów zamrożenia.

CL-REP-06 - Sprawozdawczość regulacyjna

• Kalendarz terminów: gotowe/wysłane/przyjęte statusy.
• Schematy danych są zmieniane; pliki są podpisane/z hashami.
• Uzgadnianie: torebka
• Potwierdzenia (identyfikatory/paragony) są przechowywane i związane z artefaktami.
• Localization/language met.

Dowody: deska rozdzielcza, pokwitowania, uzgodnienia SQL.

CL-INC-07 - Incydenty/powiadomienia

• TTS (pierwszy komunikat) w SLA przez S1/S2.
• Powiadomienia DPA/Regulator/PSP/CERT - na czas, z potwierdzeniami.
• Kompletność artefaktów: linia czasu, dzienniki, wiadomości, listy dotknięte.
• Retro ≤ 7 dni, CAPA są zarejestrowane i przemieszczają.
• Gracze otrzymują rekompensatę zgodnie z polityką.

Dowód: dziennik incydentów, strona stanu, pakiety artefaktów.

CL-GDPR-08 - RODO/PII

• Aktualizacja rejestru leczenia (RoPA); podstawy prawne są prawidłowe.
• DSAR są zamknięte ≤ 30 dni; wytłumaczone przestępstwa.
• DPIA są przeznaczone do procesów wysokiego ryzyka.
• Aliasing/maskowanie w przesyłkach i raportach.
• Umowy z przetwórcami i SCC są ważne.

Dowody: RoPA, dziennik DSAR, DPIA, przykłady masek w raportach.

CL-ITGC-09 - Ogólne kontrole IT

• Zarządzanie zmianami: proces PR, testy, zatwierdzenia, rozdzielenie obowiązków.
• Dostęp: RBAC/ABAC, przegląd okresowy, wyłączenie z pokładu ≤ 24 godziny.
• Backup/Restore, DR Okresowe testy
• Dzienniki audytu są niezmienne, obserwuje się zatrzymywanie.
• Obserwowalność: SLO/błędne budżety, wpisy do wskaźników krytycznych.

Dowody: próbki PR, dzienniki IAM, raporty z badań DR, polityka retencji.

6) Metodologia pobierania próbek i dowodów

Rozmiar: Nacisk na zakres i ryzyko (np. min 25, pps/stratyfikacja dla dużych tablic).
Metody: losowe, systematyczne, kierunkowe (anomalie/przypadki marginalne), według okresów szczytowych.
Wystarczalność: co najmniej 2-3 niezależne źródła dla wyjścia kluczowego (dzienniki, zrzuty ekranu, przesyłki, bilety).
Identyfikowalność: dla każdego elementu listy kontrolnej - dowód z identyfikatorem i link w rejestrze.

7) Ocena rubrykatora

Skuteczne - sterowanie jest zaprojektowane i działa stabilnie, nie ma S1/S2 niespójności.
Ogólnie skuteczne (z ulepszeniami) - istnieją S3/S4, ale ryzyko jest pod kontrolą.
Częściowo skuteczny - system S2; wysokie ryzyko resztkowe.
Nieskuteczne - S1/set S2; wymaga natychmiastowego planu naprawy.

8) CAPA - działania następcze

Dla każdego znaleziska: root → action → owner → term → success metric.
Zamknięcie SLA: S1 - ≤ 30 dni; S2 - ≤ 60 dni; S3 - ≤ 90 dni; S4 - w drodze porozumienia.
Weryfikacja: audytor stosuje dowody wdrożenia (ekrany/dzienniki/polityki), zmienia status na Zweryfikowany.
Eskalacja: S1/S2 opóźnienia - do cotygodniowego MR, do kwartału Komisji Rewizyjnej.

9) Artefakty robocze (szablony)

9. 1 Lista kontrolna (arkusz kontrolny)

9. 2 Karta znalezienia

Tytuł kodu Rzeczywiste kryterium Ryzyko/wpływ Przyczyna zalecenia Poziom S.

9. 3 arkusz CAPA

Znalezienie → Kroki → Właściciel → Termin → Metryczny/Próg → Dowody → Stan → Data weryfikacji.

9. 4 Lista PBC (dostarczona przez klienta)

Zapytanie → Format → Źródło → Właściciel → Termin → Data otrzymania → Komentarze.

10) Przegląd deski rozdzielczej

Zakres:% procesów objętych przeglądem w danym okresie.
Ustalenia według dotkliwości: dystrybucja S1-S4.
Progress CAPA: zakończony/w toku/wygasł; mediana czasu zamknięcia.

Powtórne ustalenia: Odsetek powtórzeń w ciągu 12 miesięcy

Terminowość: przestrzeganie harmonogramu SA/PR/MR/IA.
Trend efektywności: Dynamika oceny według obszaru.

11) Kalendarz i częstotliwości

Miesięcznie: SA przez KYC/Płatności/RODO DSAR, incydenty/powiadomienia.
Kwartał: PR przez AML/RG/Providers/Reporting, MR dla wszystkich kierunków.
półroczne/roczne: ocena skutków według obszarów wysokiego ryzyka; EAR przed certyfikatami/inspekcjami.

12) Karty kontrolne „Szybki start” (po 7 punktów)

KYC (7-punkt): Dostawcy polityk/DPA SLA Kolejki> SLA RBAC Zwolnienia/Escalations FP Raport.
AML (7-punkt): listy PEP/terminy sankcji SAR Jakość dochodzeń Prędkość/strukturyzacja Brak wywrotek Szkolenie KPI na tablicy informacyjnej.
RG (7-punkt): Rejestr/synchronizacja Kontakty w SLA Skuteczność Ograniczenia Reklamacje Incydenty Raporty do regulatora.
PCI (7-punkt): Klawisze segmentacji/Rotacja ASV/Dzienniki dostępu wulkanów Tokenizacja obciążeń zwrotnych Fallback PSP.
Gry (7-punkt): RTP-drift Zamrażanie procedury Synchronizacja bilansu Dostawca Incydenty RNG Wersje/Builds Raporty integralności SLA API.
Raportowanie (7-punkt): Schematy kalendarza/wersje Podpis/hash Pojednanie Język/locale Paragony metryczne DQ.
Incydenty (7-punkt): TTS Powiadomienia w czasie Kompletność artefaktów Rekompensata Retro CAPA Deska rozdzielcza.

13) Częste błędy i jak ich uniknąć

Listy kontrolne bez dowodów → wszystkie elementy będą wymagały identyfikatora artefaktu.
Wycena bez istotności → ustalić progi w karcie kontrolnej.
Powielanie SA/PR/IA → spójny kalendarz i pojedynczy rejestr wniosków (PBC).
„Centryzm dokumentu” bez testów operacyjnych → zawsze pobrać próbkę operacji.
Wartości CAPA bez wskaźników → określają wymierne wyniki (na przykład DSAR ≤ 30 dni ≥ 98%).

14) Plan realizacji (30 dni)

Tydzień 1

1. Zatwierdzenie metodologii i skali ratingowej.
2. Utwórz 8 podstawowych list kontrolnych (CL-KYC/AML/RG/PCI/GAMES/REP/INC/RODO).
3. Zarejestruj artefakty i szablony PBC/Finding/CAPA.

Tydzień 2

4. Przeprowadzenie pilotażu SA w 2 procesach i PR w 1 procesie.
5. Skonfiguruj panel przeglądowy i dziennik CAPA.
6. Szkolenie dotyczące „dowodów i próbek”.

Tydzień 3

7. Sesja EAR na temat bliskiej certyfikacji/inspekcji.
8. Uzgodnić harmonogram MR/IA na kwartał.
9. Ustawić progi materiału i rozmiary próbek.

Tydzień 4

10. Zwolnienie v1. 0 listy kontrolnej i karty kalendarzowej.
11. Retro pilot, aktualizacja wersji listy kontrolnej (v1. 1).
12. Włączenie przeglądu w KPI właściciela procesu.

15) Sekcje powiązane

Audyt wewnętrzny i audyt zewnętrzny

Sprawozdania regulacyjne i formaty danych

Zawiadomienia o naruszeniach i terminach sprawozdawczych

Deska rozdzielcza zgodności i monitorowanie

Playbooks incydentów i skryptów

Zarządzanie kryzysowe i komunikacja