GH GambleHub

Audyt wewnętrzny i audyt zewnętrzny

1) Cel i obszar

Zapewnienie systematycznej, niezależnej i powtarzalnej kontroli procesów operacyjnych i zgodności: zgodność z licencjami/przepisami prawa, wiarygodność sprawozdawczości finansowej i operacyjnej, skuteczność kontroli ryzyka (KYC/AML/RG, RODO/PII, płatności/PCI, uczciwość gier, bezpieczeństwo informacji, marketing/podmioty powiązane, dostawcy) Sekcja określa zasady, role, metodologię, programowanie kontrolne, format raportu i procedurę usuwania niezgodności.

2) Zasady i „trzy linie obrony”

1. linia: właściciele procesów (Operacje, Płatności, Dostawcy gier, Marketing/Affiliates, Support Service) - zarządzanie codziennym ryzykiem.

2nd line: Compliance/Risk/Security/DPO - policies, monitoring, consulting, enforcement.
trzecia linia: audyt wewnętrzny - niezależna ocena adekwatności i skuteczności kontroli; składa sprawozdania Radzie Nadzorczej/Komisji Rewizyjnej.
Audyt zewnętrzny: niezależne osoby trzecie - sprawozdawczość finansowa, certyfikacja (ISO/SOC/PCI), inspekcje regulacyjne.

Zasady: niezależność, obiektywność, dowody, poufność, koncentracja na zagrożeniach i wartościach, przejrzystość i identyfikowalność.

3) IA vs EA memoriałowa

KryteriumAudyt wewnętrzny (IA)Audyt zewnętrzny (EA)
OdpowiedzialnośćKomitet Audytu/RadaAkcjonariusze/Regulatorzy/Certyfikat. organy
CelPoprawa procesów i kontroliOpinia/Certyfikat Zgodności
ObjętośćElastyczność oparta na ryzykuUstalone normą/umową
Częstość występowaniaPlan roczny + doraźnyWedług kalendarza raportowania/certyfikacji
WynikSprawozdanie z ratingu i CAPAWniosek/certyfikat/list do kierownictwa

4) Role i RACI

Szef audytu wewnętrznego (IA Lead) - strategia, niezależność, plan/sprawozdawczość. A)

Audytorzy wewnętrzni - kontrole terenowe, dokumenty robocze, wnioski. (R)

Process Owners (1. linia) - dostarczanie danych/artefaktów, CAPA. (R)

Zgodność/InfoSec/AML/RG (druga linia) - współaudyty, metodolodzy. (C/R)

CFO/Controller - obwód finansowy, GL, pojednania. (C)

Legal/DPO - interpretacja norm, PII i zachowanie. (C)

Komitet Audytu - zatwierdza plan oceny skutków, przyjmuje sprawozdania, kontroluje niezależność. A)

Zewnętrzni audytorzy/oceniający - prowadzenie EA; dostęp do artefaktów przez NDA. (Umowa I/R)

5) Roczny plan audytu

1. Rejestr ryzyka: prawdopodobieństwo × wpływ (finanse/GGR, licencje, reputacja, bezpieczeństwo zawodników).
2. Mapa procesu: płatności/PSP, portfel, KYC/AML/KYB, RG, dostawcy gier/RTP, marketing/partnerzy, bezpieczeństwo informacji/RODO, incydenty/powiadomienia, raporty regulacyjne.
3. Macierz priorytetowa: wysoka/średnia/niska → częstotliwość (kwartał/pół roku/rok).
4. Zakres: cele, kryteria, procedury, próbki, zasoby, linia czasu, zależności.
5. zatwierdzenie: Komitet Audytu zatwierdza plan roczny; doraźnie dozwolone w przypadku incydentów S1/S2.

6) Metodologia: etapy audytu

A. Planowanie: żądanie dokumentu, zrozumienie procesu, ocena projektu kontroli, ocena ryzyka, program testowy.
B. Fieldwork: wywiady, walkthrough, badania projektowe/reagowania, procedury analityczne, kontrola artefaktów, pobieranie próbek.
C. Wnioski i ocena: porównanie faktów z kryteriami; klasyfikacja ustaleń.
D. Sprawozdanie: projekt → zatwierdzenie faktów → końcowy → prezentacja dla kierownictwa/komisji.
E. CAPA i działania następcze: plan działań naprawczych/zapobiegawczych, działania następcze, weryfikacja.

7) Dowody i próbki

Rodzaje dowodów: dokumentacja (zasady, dzienniki, bilety), fizyczne (zrzuty ekranu, konfiguracje), ustne (wywiady), analityczne (pojednania, trendy).
Jakość: wystarczalność (objętość), znaczenie, ważność (źródło).
Próbki: losowe, systematyczne, kierowane (oparte na ryzyku), według anomalii; wielkość jest określana przez ryzyko i wielkość populacji ogólnej.
identyfikowalność: każde wyjście jest związane z testem, badanie z dowodami (niepowtarzalny identyfikator); „ciągła numeracja”.

8) Klasyfikacja niezgodności i ratingów

Krytyczne (S1): ryzyko licencji/prawa/znaczące szkody finansowe/naruszenie PII. Konieczne natychmiastowe działania, sprawozdanie dla Komitetu/Rady.
Wysoka (S2): znacząca wada kontrolna; krótki SLA do naprawy.
Medium (S3): ograniczona wada; plan dostosowania.
Niskie (S4): ulepszenia/obserwacje (optymalizacja).

Ocena procesu poddana audytowi: Skuteczna/Ogólnie skuteczna z ulepszeniami/Częściowo skuteczna/Nieskuteczna.

9) Dokumenty robocze i zatrzymanie

Dokumenty robocze: program, listy kontrolne, próbki, protokoły wywiadu, dowody, obliczenia, wnioski.
Standardy redakcyjne: indeks, wersja, właściciel, data, hiperłącza do artefaktów, zmiana kontroli.
Prywatność i PII: dostęp RBAC, zaszyfrowana pamięć masowa, wrażliwe maskowanie pola.
Okresy przechowywania: według zasad (zazwyczaj 5-7 lat) lub dłużej, jeśli wymagają tego licencje/organy regulacyjne.

10) Sprawdź tematy (katalog IA)

1. Płatności/PSP/PCI: auth/decline/chargebacks, aliasing PAN, logi dostępu, rejestr dostawcy.
2. KYC/AML/KYB: kompletność i dokładność KYC, PEP/sankcje, czas SAR/STR, jakość dochodzeń, zarządzanie sprawami.
3. Odpowiedzialne zagranie (RG): ograniczenia/samodzielne wyłączenia, procedury kontaktowe, skuteczność interwencji, ograniczenia w reklamie.
4. RODO/PII/DPO: rejestr przetwarzania, DSAR, incydenty prywatności, umowy z przetwórcą.
5. Dostawcy gier/uczciwość: dryf RTP, okrągłe incydenty, synchronizacja równowagi, RNG/wersioning budowania.
6. Marketing/Partnerzy: przestrzeganie kreatywnych/ukierunkowanych ograniczeń, przypisywanie, umowy, płatności.
7. Procesy incydentalne: czas do zastosowania (TTS), terminowość powiadamiania regulatorów, kompletność artefaktów.
8. Sprawozdawczość regulacyjna: systemy, terminy, DQ, uzgodnienie z GL/PSP.
9. Kontrola IT/bezpieczeństwo informacji: dostęp, SOD, zmiany/wydania, dzienniki audytu, kopie zapasowe, ćwiczenia DR/BCP.

11) Format raportu IA (szablon)

Streszczenie: Zakres, cele, ocena, kluczowe ustalenia i ryzyko.
Kontekst: proces/system/jurysdykcje, okres, mające zastosowanie wymogi.
Metodologia i ograniczenia (jeśli istnieją).
Szczegółowe wnioski dotyczące priorytetu: fakt → kryterium → ryzyko → wpływ → zalecenia.

Tabela CAPA - właściciel, kroki, linie czasowe, wskaźniki sukcesu

Dodatki: próbki, wykresy, rejestr dowodów, słownik.

12) Interakcje z audytem zewnętrznym (EA)

Sprawozdawczość finansowa: przygotowanie GL, pojednanie, potwierdzenia od PSP/banków/dostawców, pisma zarządcze.
Certyfikaty/oceny zgodności: ISO 27001/9001, SOC 2, PCI DSS, inspekcje regulacyjne przemysłu.
Role IA: wstępna ocena (analiza luk), wsparcie zapytań, przyspieszenie CAPA, unikanie powielania.
Przejrzystość: pojedyncza prezentacja artefaktów, kalendarz wizyt, zasady dostępu, NDA.
Komunikacja: regularne standups' EA gotowość ", punkt wejścia - koordynator audytu.

13) CAPA i działania następcze

Plan CAPA: konkretne kroki, metryka, właściciel, termin, systemy/zespoły zależne.
Weryfikacja: dowód wdrożenia (ekrany, dzienniki, zasady, wyniki testów), data, odpowiedzialny audytor.
Eskalacja: S1/S2 - obowiązkowa aktualizacja do Komitetu; opóźnienia - „czerwona strefa” deski rozdzielczej.
Zmiana w ocenie ryzyka: po pomyślnej ocenie ryzyka CAPA - przegląd ryzyka rezydualnego i częstotliwości inspekcji.

14) Deska kontrolna (kontrola zarządzania)

Stan planu:% zakończenie według kwartału i kierunku.
Portfel ustaleń: ze względu na wagę i przestępczość.
Postęp CAPA: zakończony/w toku/wygasł, mediana czasu zamknięcia.
Mapa ciepła procesu: ryzyko/skuteczność kontroli przed/po CAPA.
Powtarzalne wykrywanie: wskaźnik problemów systemowych.

15) Wymogi etyczne i niezależność

Konflikty interesów: audytorzy nie przeprowadzają audytu swoich poprzednich operacji ≤ 12 miesięcy; deklaracja konfliktu.
Dostęp do danych: tylko na zasadzie „minimum konieczne”; osobisty zakaz kopiowania PII.
Komunikacja: język neutralny, brak tonu „oskarżyciela”; fakty przed interpretacjami.

16) Listy kontrolne

Rozpoczęcie audytu

  • Określone cele/kryteria/granice.
  • Wymagane i otrzymane artefakty, uzgodnione formaty/harmonogramy.
  • Niepodległość potwierdzone, żadnych konfliktów.
  • Zatwierdzony program badań i pobierania próbek.

Etap pola

  • Przeprowadzone wywiady Walkthrough i key-roles.
  • Badania konstrukcyjne i eksploatacyjne.
  • Powstaje rejestr dowodów z identyfikatorem/linkami.
  • Pośrednia krótka informacja dla właścicieli procesów (brak niespodzianek w finale).

Raport i CAPA

  • Uzgodnione fakty, rozstrzygnięte punkty sporu.
  • Wnioski sklasyfikowane (S1-S4), ocena ryzyka/wpływu.
  • Plan CAPA z właścicielami i zatwierdzone daty.
  • Daty działań następczych są wymienione w kalendarzu.

17) Wzory artefaktów (szybkie wkładki)

Lista wniosków (PBC): lista dokumentów/przesyłek/dostępu z terminami.
Arkusz testowy: kontrola → procedura → próbka → wynik → dowód → wniosek.
Karta znalezienia: kod, tytuł, opis, ryzyko, wpływ, przyczyna, rekomendacja, poziom S, właściciel, termin.
Arkusz CAPA: krok, metryka, artefakty potwierdzające, data, sprawdzone.

18) Częste błędy i jak ich uniknąć

Połączone role IA i 2. linii → upośledzona niezależność. Decyzja: IA podlega bezpośrednio Komitetowi.
Niewystarczająca identyfikowalność dowodów → słaba ochrona wniosków. Rozwiązanie: pojedynczy rejestr i numeracja.
„Polowanie niezgodności” zamiast oceny ryzyka i wartości. Rozwiązanie: koncentracja ryzyka i ustalanie priorytetów.
Przeciążenie CAPA bez zasobów → opóźnienie. Rozwiązanie: cele SMART i limit WIP.
Ignorowanie danych dotyczących jakości/świeżości podczas sprawdzania raportów. Rozwiązanie: lista kontrolna DQ.

19) Szybki start (30-dniowa realizacja)

Tydzień 1: Zatwierdzenie karty oceny skutków (mandat/odpowiedzialność), przeprowadzenie oceny ryzyka, projekt planu rocznego.
Tydzień 2: tworzenie szablonów (PBC, arkusze Test/Finding/CAPA), tworzenie rejestru dowodów i deski rozdzielczej stanu.
Tydzień 3: Przeprowadzenie 2 audytów pilotażowych w formie krótkiej (np. PSP/PCI i RG/DSAR), raporty emisji, rejestry CAPA.
Tydzień 4: monitorowanie pilotów, dostosowanie metodologii, przedłożenie rocznego planu do zatwierdzenia przez Komitet, uzgodnienie harmonogramu audytów/certyfikacji zewnętrznych.

Sekcje powiązane:
  • Sprawozdania regulacyjne i formaty danych
  • Zawiadomienia o naruszeniach i terminach sprawozdawczych
  • Deska rozdzielcza zgodności i monitorowanie
  • Playbooks incydentów i skryptów
  • Zarządzanie kryzysowe i komunikacja
  • Plan ciągłości działania (BCP )/DRP
  • Dzienniki kontroli transakcji
Contact

Skontaktuj się z nami

Napisz do nas w każdej sprawie — pytania, wsparcie, konsultacje.Zawsze jesteśmy gotowi pomóc!

Telegram
@Gamble_GC
Rozpocznij integrację

Email jest wymagany. Telegram lub WhatsApp są opcjonalne.

Twoje imię opcjonalne
Email opcjonalne
Temat opcjonalne
Wiadomość opcjonalne
Telegram opcjonalne
@
Jeśli podasz Telegram — odpowiemy także tam, oprócz emaila.
WhatsApp opcjonalne
Format: kod kraju i numer (np. +48XXXXXXXXX).

Klikając przycisk, wyrażasz zgodę na przetwarzanie swoich danych.