GH GambleHub

Checagens e reverências

1) Destino

Criar um diretório único de checlists e regras de revezamento para Operações e Complaens, que fornece:
  • comparabilidade de verificações entre comandos e períodos;
  • A totalidade e a prova dos resultados;
  • gerenciamento transparente de correções (CAPA) e reexaminações.

2) Papéis e RACI

Owner: Head of Compliance/Head of Internal Audit - metodologia, versões de checlists. (A)

Processs Owners (linha 1): self-assessment, artefatos, CAPA. (R)

Compliance/InfoSec/AML/RG (Linha 2): peer-review, co-auditorias, interpretação das normas. (R/C)

Auditório Internacional (linha 3): reviravoltas independentes, classificações, follow-up. (R)

Gestão (Exec Sponsor): aprovação de conclusões e recursos em CAPA. (A/C)

3) Tipos de revo

1. Self-Assessment (SA): mensalmente/trimestralmente, proprietários de processos de cheques curtos.
2. Peer-Review (PR): verificação cruzada pela equipe ao lado (sem conflito de interesse).
3. Management Review (MR): Uma vez por trimestre - visão KPI/KRI, tendências e CAPs não disponíveis.
4. Internal Auditoria Review (IA): verificação independente do IA.
5. EAR: preparação para certificações/inspeções (ISO/SOC/PCI/Regulador).

4) Regras gerais de checklist

Cada cheque tem código, versão, proprietário, área e seções obrigatórias: 

ID: CL- <code >/Version: v <MAJOR. MINOR >/Owner: <role>
Область: <KYC/AML/RG, GDPR/PII, Payments/PCI, Games/Providers, Reporting, Incidents...>
Frequency: M     Q      Ad-hoc
Material: <criteria for High/Medium/Low>
Sampling: <method and size>
Evidence: <list of files/screenshots/logs>
Question List: [X] Yes [] No [] N/A + Comment + Artifact + Severity
Bottom line: Score/Rating/CAPA
Sistema de avaliação (recomendado):
  • Fully Met (100–90%) / Largely Met (89–75%) / Partially Met (74–50%) / Not Met (<50%).
  • Severity discrepâncias: S1 crítica/S2 alta/S3 média/S4 baixa.
  • Materiais: Efeitos monetários (GGR/NGR), cobertura de clientes/PII, risco de licença/multas, impacto sobre a integridade dos jogos.

5) Catálogo de checlists (esqueletos com pontos de controle)

CL-KYC-01 — KYC/KYB

  • As políticas e níveis de verificação foram aprovados e atualizados.
  • Os provedores da KYC têm contratos/DPA em vigor.
  • SLA de verificação é cumprido (métrica D-1).
  • Os documentos são armazenados de acordo com a retoma; acesso - RBAC.
  • Falhas/escalações documentadas; A FP é normal.
  • KYB para associados: extratos/beneficiários relevantes.

Provas: descarregamentos de status KYC, registro DPA, registro de acesso, sample de 25 malas.

CL-AML-02 — AML/CFT

  • Política atualizada da AML e metodologia de mapeamento de riscos.
  • Verificações de RER/sanções on-boarding e periodicamente.
  • SAR/TR são enviados dentro do prazo; há confirmação do recebimento.
  • Qualidade das investigações: abrangência, timing, encerramento.
  • Monitoring rulas cobrem a velocidade/estruturing/mulas.
  • Teste «no tipping-off»: nenhuma notificação de clientes em SAR.

Provas: malas SAR/TR, logs de verificação de sanções, relatórios de horário de encerramento de casos.

CL-RG-03 - Jogo responsável

  • O registro de limites/auto-exclusões está sincronizado (registro/nac. sistema).
  • Desencadeadores de vulnerabilidade → contato na SLA; modelos de comunicação.
  • A eficácia das intervenções é medida e analisada.
  • Publicidade/bónus correspondem às limitações do mercado.
  • Incidentes RG e notificações ao regulador - dentro do prazo.

Provas: Logi self-exclusion, comunal. modelos, métricas outreach.

CL-PCI-04 - Pagamentos/PCI

  • Segmentação PCI e inventário PAN/CHD atualizado.
  • Toquenização/criptografia em trânsito/at-rest; as chaves estão a correr.
  • Auth-rate/decline/latency por PSP em liminares; rotas fallback.
  • Chargeback processs e base de provas para displays.
  • As vulnerabilidades das raias ASV foram eliminadas dentro do prazo.
  • Os registros de acesso à área de pagamento são completos e imutáveis.

Provas: diagramas de rede, relatórios ASV, malas de chargebacks, políticas-chave do KMS.

CL-GAMES-05 - Provedores de jogos/honestidade

  • Contratos e técnicas. especificações são relevantes; versões RNG/Bilds - no registro.
  • Monitoramento RTP-drivt e liminares de resposta; freeze está fixado procedimentalmente.
  • Sincronizar balanços round/sessão/carteira.
  • Incidentes do provedor: timeline, fixação, compensação aos jogadores.
  • Relatórios ao regulador de honestidade/RTP - entregues e confirmados.

Provas: descarga de RTP, logs de API do provedor, exemplos de tíquetes freeze.

CL-REP-06 - Relatórios regulatórios

  • Calendário de deadline: estatais «pronto/enviado/aceito».
  • Os circuitos de dados são versionizados; arquivos assinados/com hashtags.
  • Reconciliação: carteira ↔ PSP ↔ GL sem discrepância> X%.
  • As confirmações de recebimento (ID/recibos) estão guardadas e relacionadas com os artefatos.
  • A localização/linguagem foi respeitada.

Provas: dashboard de deadline, recibos, comprimidos SQL.

CL-INC-07 - Incidentes/notificações

  • TTS (primeira mensagem) no SLA S1/S2.
  • Notificações DPA/Reguladores/PSP/CERT - dentro do prazo, com confirmações.
  • Totalidade dos artefatos: timeline, logs, mensagens, listas de afetados.
  • Retrô ≤ 7 dias, CAPA registrado e movido.
  • As compensações dos jogadores são feitas de acordo com a política.

Provas: registo de incidentes, página de status, pacotes de artefactos.

CL-GDPR-08 — GDPR/PII

  • O registro de ganho (RoPA) é relevante; os fundamentos legais são corretos.
  • DSAR fecham ≤ 30 dias; Os atrasos foram explicados.
  • DPIA executados para processos de alto risco.
  • Pseudônimo/disfarce em downloads e relatórios.
  • Contratos com processadores e SCC em vigor.

Provas: RoPA, diário DSAR, DPIA, exemplos de máscaras nos relatórios.

CL-ITGC-09 - Controladores gerais de TI

  • Gerenciamento de alterações: processo PR, testes, approvals, separação of duties.
  • Disponíveis: RBAC/ABAC, revisão periódica, off-boarding ≤ 24 h.
  • Cópia de segurança/recuperação, testes periódicos de DR..
  • Os logs de auditoria são inalterados, a retenção é respeitada.
  • Observabilidade: SLO/orçamentos errados, alertas para métricas críticas.

Provas: amostras de PR, logs de IAM, relatórios de testes de DR., políticas de reticência.

6) Técnica de amostras e provas

Tamanho: fique focado no volume de operações e risco (por exemplo, min 25, pps/barateamento para grandes matrizes).
Métodos: aleatório, sistemático, direcionado (anomalias/casos de borda), por períodos de pico.
Suficiente: pelo menos 2 a 3 fontes independentes para a saída chave (logs, capturas de tela, descarga, tíquetes).
Rastreabilidade: cada item do cheque é uma prova com identificação e referência no registro.

7) Classificador de classificação de ciúmes

Efetive - o controle foi projetado e funciona de forma estável, e não há inconsistências S1/S2.
Generally Efetive (com melhorias) - há S3/S4, mas os riscos estão controlados.
Paralally Efetive - S2 do sistema; alto risco residual.
Inefectiva - S1/muitos S2; é preciso um plano de recuperação imediato.

8) CAPA и follow-up

Para cada finding: raiz ação o proprietário uma metrica de sucesso.
SLA encerramento: S1 - ≤ 30 dias; S2 - ≤ 60 dias; S3 - ≤ 90 dias; S4 por acordo.
Verificação: o auditor aplica as provas de implementação (crinques/logs/políticas) e altera o status para Verificed.
Escalação: atrasos S1/S2 - para MR semanal, para o Comitê de Auditoria Trimestral.

9) Artefatos de trabalho (modelos)

9. 1 Checlist (folha de verificação)

'Ponto'Sim/Não/N/A'Comentário'`Severity`«Artefato (ID)».

9. 2 Finding Card

Código Título Fato Critério Risco/Impacto Causa (root causa) Recomendação Nível S.

9. 3 CAPA Sheet

Finding → Passos → Proprietário → Prazo de → de Métrica/limiar → Provas → Status → Data de verificação.

9. 4 folha PBC (Provided By Cliente)

Consulta Formato Origem Responsável Deadline Recebido (data) Comentários.

10) Dashboard revidando

Coverage:% dos processos atendidos durante o período.
Findings by Severity: distribuição S1-S4.
CAPA Progress: concluído/em trabalho/vencido; A mediana da hora de encerramento.
Repeat Findings: proporção de repetições em 12 m.
Timeliness: Cumprimento do cronograma SA/PR/MR/IA.
Efetiveness Trend: dinâmica de classificação por área.

11) Calendário e frequências

Monthly: SA por KYC/Payments/GDPR DSAR, incidentes/notificações.
Quarterly: PR por AML/RG/Providers/Reporting, MR para todas as áreas.
Semi-Anual/Anual: IA por zonas de alto risco; EAR antes das certificações/inspeções.

12) Cheque Card Start Rápido (7 pontos)

KYC (7-point): Política Provedores/DPA SLA Filas> SLA RBAC Falhas/escalação Relatório de FP.
AML (7-point): Listas de RER/sanções SAR Prazo de Investigação de Velocidade/Estruturing No tipping-off Treinamentos Caseboard KPI.
RG (7-point): Registro/sincronização Contatos na SLA Eficiência Limitação Publicidade Queixas Incidentes Relatórios ao regulador.
PCI (7-point): Segmentação chaves/rotação ASV/Wolons Registros de acesso Tocenização de Marcebacks Fallback PSP.
Games (7-point): RTP-drivt Freeze procedimento Balanço-sincronia Incidentes Provedor Versão RNG/Bildos Relatórios de Honestidade SLA API.
Reporting (7-point): Calendário de circuitos/versões Assinatura/hesh Recordation Linguagem/local Recibos de métrica DQ.
Invidents (7-point): TTS Notificações em prazos de totalidade de artefatos Compensação de CAPA Retrô Dashboard.

13) Erros frequentes e como evitá-los

Cheques sem provas → todos os itens exigirão um artefato de ID.
Pontuação sem material → fixe liminares na ficha de cheque.
Duplicação SA/PR/IA → calendário concordado e registro único de solicitação (PBC).
«Documentocentrismo» sem testes de operacionalidade → sempre tirar uma amostra de operações.
CAPA sem métricas → defina resultados mensuráveis (por exemplo, DSAR ≤ 30 dias ≥ 98%).

14) Plano de implementação (30 dias)

Semana 1

1. Aprovar metodologias e escalas de classificação.
2. Criar 8 de cheques básicos (CL-KYC/AML/RG/PCI/GAMES/REP/INC/GDPR).
3. Obter registro de artefatos e modelos PBC/Finding/CAPA.

Semana 2

4. Conduzir piloto SA em 2 processos e PR em 1 processo.
5. Configure o dashboard e revista CAPA.
6. Dar um curso de «provas e amostras».

Semana 3

7. Sessão EAR sobre certificação/inspeção mais próxima.
8. Concordar com o cronograma MR/IA para o trimestre.
9. Fixar liminares e tamanhos de amostras.

Semana 4

10. Soltar v1. 0 diretório de cheques e cartão de calendário.
11. Realizar um piloto retrô, atualizar versões de checlists (v1. 1).
12. Incluir o revezamento no KPI de proprietários de processos.

15) Seções relacionadas

Auditoria interna e auditoria externa

Relatórios regulatórios e formatos de dados

Notificações de violações e prazos de relatórios

Dashboard de complacência e monitoramento

Playbooks e cenários de incidentes

Gestão de crise e comunicações

Contact

Entrar em contacto

Contacte-nos para qualquer questão ou necessidade de apoio.Estamos sempre prontos para ajudar!

Telegram
@Gamble_GC
Iniciar integração

O Email é obrigatório. Telegram ou WhatsApp — opcionais.

O seu nome opcional
Email opcional
Assunto opcional
Mensagem opcional
Telegram opcional
@
Se indicar Telegram — responderemos também por lá.
WhatsApp opcional
Formato: +indicativo e número (ex.: +351XXXXXXXXX).

Ao clicar, concorda com o tratamento dos seus dados.