GH GambleHub

Auditoria interna e auditoria externa

1) Alvo e área

Assegurar que os processos de Transacção e Complaens sejam controlados de forma independente e independente: conformidade com as licenças/leis, confiabilidade de relatórios financeiros e operacionais, eficiência no controle de risco (KYC/AML/RG, GDPR/PII, pagamentos/PCI, honestidade de jogos, IB, marketing/afiliações, provedores). A seção especifica os princípios, os papéis, a metodologia, a programação de verificações, o formato dos relatórios e a ordem de encerramento das inconsistências.

2) Princípios e «três linhas de defesa»

Linha 1: Proprietários de processos (Transacções, Pagamentos, Provedores de Jogos, Marketing/Afiliados, Serviço de Suporte) - Gerenciam os riscos do day-to-day.
Linha 2: Complaens/Risco/Segurança/DPO - políticas, monitoramento, consultas, controle de execução.
Linha 3: Auditoria Interna (IA) - avaliação independente da adequação e eficácia do controle; submetido ao Conselho de Supervisão/Comissão de Auditoria.
Auditoria Externa (EA): Terceiros independentes - relatórios financeiros, certificações (ISO/SOC/PCI), inspeções de reguladores.

Princípios: independência, objetividade, prova, privacidade, foco em riscos e valores, transparência e rastreabilidade.

3) Separação de IA vs EA

CritérioAuditoria interna (IA)Auditoria externa (EA)
ResponsabilizaçãoComissão de Auditoria/ConselhoAcionistas/Reguladores/Sertif. órgãos
AlvoMelhoria de processos e controleOpinião/certificado de conformidade
VolumeRisco orientado, flexívelFixo padrão/contrato
FrequênciaPor plano anual + ad-hCalendário de relatórios/certificação
ResultadoRelatório de classificação e CAPAConclusão/certificado/carta à gestão

4) Papéis e RACI

Head of Internal Audit (IA Lead) - estratégia, independência, plano/reportagem. (A)

Auditorias Internacionais - Verificações de campo, documentos de trabalho, conclusões. (R)

Processs Owners (linha 1) - fornecimento de dados/artefatos, CAPA. (R)

Compliance/InfoSec/AML/RG (Linha 2) - para-auditorias, metodologias. (C/R)

CFO/Controlador - Fincontour, GL, alinhamento. (C)

Legal/DPO - interpretação de normas, PII e reticência. (C)

Audit Committee - aprova o plano IA, aceita relatórios, controla a independência. (A)

External Auditores/Assessores - realizam EA; acesso aos artefatos por NDA. (I/R por contrato)

5) Planejamento orientado ao risco (Anual Audit Place)

1. Registro de risco: probabilidade x influência (finanças/GGR, licenças, reputação, segurança dos jogadores).
2. Cartão de processos: pagamentos/PSP, carteira, KYC/AML/KYB, RG, provedores de jogos/RTP, marketing/afiliados, IB/GDPR, incidentes/notificações, relatórios regulatórios.
3. A matriz de prioridade é High/Medium/Low → frequência (quadrados/semestre/ano).
4. Metas, critérios, procedimentos, amostras, recursos, temporizações, dependências.
5. Aprovação: Comissão de Auditoria aprova o plano anual; É permitida uma ad-line em S1/S2 incidentes.

6) Metodologia: etapas de auditoria

A. Preliminar (Planning): solicitação de documentos, compreensão de processo, avaliação de design de controle, avaliação de risco, programa de testes.
B. Fase de campo (Fieldwork): entrevistas, walkthrough, testes de design/agilidade, procedimentos analíticos, inspeção de artefatos, amostra.
C. Conclusões e classificação: comparação de factos com critérios; classificação findings.
D. Relatório: Projeto → alinhamento de factos → final → apresentação ao gestor/comitê.
E. CAPA e Follow-up: plano de ação de ajuste/prevenção, controle de execução, verificação.

7) Provas e amostras

Os tipos de prova são documentários (políticas, logs, tíquetes), físicos (capturas de tela, configurações), orais (entrevistas), analíticos (curtidas, tendências).
Qualidade: capacidade (volume), apropriação (relevância), veracidade (origem).
Amostras: aleatório, sistemático, direcionado (risk-based), por anomalias; o tamanho é definido pelo risco e o volume da totalidade.
Traçabilidade: Cada conclusão está associada a um teste, o teste a uma prova (ID exclusivo); Numeração transversal.

8) Classificação de discrepâncias e classificações

Critical (S1): risco de licença/lei/danos financeiros significativos/PII-breach. O Comité/Conselho precisa de uma ação imediata.
High (S2): defeito de controle significativo; Um SLA curto para correção.
Medium (S3): defeito limitado; O plano de ajuste.
Low (S4): melhorias/observação (otimização).

Classificação de processo auditado: Efetive/Generally Efetive with Improvents/Partially Efetive/Inefectiva.

9) Documentos de trabalho e retenção

Working Papers: programa, folhas de controle, amostras, protocolos de entrevistas, provas, cálculos, conclusões.
Padrão de aparência: índice, versão, proprietário, data, hiperlinks, controle de alterações.
Privacidade e PII: acesso RBAC, armazenamento criptografado, camuflagem de campos sensíveis.
Prazo de armazenamento: por política (normalmente de 5 a 7 anos) ou mais tempo se exigirem licenças/reguladores.

10) Tópicos de verificação (catálogo IA)

1. Pagamentos/PSP/PCI: auth/decline/chargebacks, pseudônimo de PAN, registros de acesso, registro de fornecedores.
2. KYC/AML/KYB: abrangência e precisão do KYC, RER/sanções, SAR/TR prazos, qualidade das investigações, condução das malas.
3. Jogo responsável (RG): limites/auto-exclusão, procedimentos de contato, eficácia de intervenções, restrições publicitárias.
4. GDPR/PII/DPO: registo de remuneração, DSAR, incidentes de privacidade, contratos com processadores.
5. Provedores de jogos/honestidade: RTP drivt, incidentes de rodadas, sincronização de balanços, versionização RNG/bilds.
6. Marketing/afiliados: cumprimento de limitações criativas/metas, atribuição, contratos, pagamentos.
7. Processos de incidente: tempo antes da declaração (TTS), tempo de notificação aos reguladores, abrangência dos artefatos.
8. Relatórios regulatórios: esquemas, deadline, DQ, verificação com GL/PSP.
9. Controladores de TI/IB: disponibilidade, SOD, alterações/lançamentos, revistas de auditoria, bacapes, DR/BCP exercício.

11) Formato de relatório IA (modelo)

Resumo executivo: volume, metas, classificação, conclusões essenciais e risco.
Contexto: processo/sistema/jurisdição, período, requisitos aplicáveis.
Metodologia e restrições (se houve).
As conclusões detalhadas sobre a prioridade são o fato → o critério → o risco → o impacto → recomendação.
Tabela CAPA: proprietário, passos, prazos, métricas de sucesso.
Aplicações: amostras, diagramas, registro de provas, glossário.

12) Interação com auditoria externa (EA)

Relatórios financeiros: elaboração de GL, negociação, confirmação de PSP/bancos/provedores, e-mails de gestão.
Certificações/avaliações de conformidade ISO 27001/9001, SOC 2, PCI DSS, inspeções de reguladores da indústria.
Rolos de IA: pré-assessoria (gap-análise), acompanhamento de consultas, aceleração do CAPA, evitar duplicação.
Transparência: vitrine única de artefatos, calendário de visitas, regras de acesso, NDA.
Comunicações: Estandartes regulares «EA readiness», ponto de entrada - Audit Coordenator.

13) CAPA e controle de execução

Plano CAPA: passos específicos, métrica, proprietário, prazo, sistemas/comandos dependentes.
Comprovação: Provas de implementação (tabuleiros, logs, políticas, resultados de testes), data, auditor responsável.
Escalação: S1/S2 - update obrigatório para o Comitê; O atraso é uma zona vermelha dashbord.
Alteração da avaliação de risco após o sucesso do CAPA - revisão do risco residual e da frequência de inspeções.

14) Auditoria de dashboard (controle de gestão)

Estado do plano:% de conclusão em bairros e áreas.
Carteira de findings: por gravidade e atraso.
CAPA progress: concluído/em trabalho/vencido, a mediana da hora de fechamento.
Mapa térmico de processos: risco/eficiência dos controles antes/depois do CAPA.
Detecção repetida: indicador de problemas do sistema.

15) Exigências éticas e independência

Conflitos de interesse: os auditores não auditam suas próprias operações operacionais anteriores ≤ 12 mil. declaração de conflitos.
Acesso aos dados: somente com o princípio «mínimo necessário»; proibição de cópia pessoal do PII.
Comunicações: termos neutros, falta de tom «acusatório»; Factos antes de interpretações.

16) Folhas de cheque

Início da auditoria

  • Metas/critérios/limites definidos.
  • Os artefatos foram solicitados e recebidos, formatos/prazos negociados.
  • Independência confirmada, sem conflitos.
  • Programa de testes e amostras aprovado.

Etapa de campo

  • Realizado walkthrough e entrevistas com key-roles.
  • Testes de design e eficiência operacional.
  • Um registro de provas com ID/links foi formado.
  • Brife intermediária para os donos do processo (sem surpresas na final).

Relatório e CAPA

  • Os fatos estão alinhados, os pontos controversos são permitidos.
  • As conclusões foram classificadas (S1-S4) e o risco/impacto foi avaliado.
  • Plano CAPA com proprietários e prazos aprovados.
  • As datas folow-up estão no calendário.

17) Modelos de artefato (inserções rápidas)

Lista de documentos/descarregamentos/acessibilidade com deadline.
Teste Sheet: controle → procedimento → amostra → resultado → prova → conclusão.
Finding Card: código, cabeçalho, descrição, risco, influência, causa (root causa), recomendação, nível S, proprietário, prazo.
CAPA Sheet: passo, métrica, artefatos de confirmação, data, verificou.

18) Erros frequentes e como evitá-los

Os papéis do IA e da Linha 2 → quebrados. Decisão: prestação de contas ao IA diretamente ao Comitê.
A falta de rastreabilidade das provas → a fraca defesa das conclusões. Solução: registro único e numeração.
«Caça às discrepâncias» em vez de avaliar o risco e o valor. Solução: foco de risco e priorização.
Superaquecimento CAPA sem recursos → atraso. Solução: Metas SMART e limite de WIP.
Ignorar dados de qualidade/frescura na verificação de relatórios. A solução é folha de cheque DQ.

19) Início rápido (implementação em 30 dias)

Semana 1: aprovar a Carta IA (mandato/responsabilização), fazer uma avaliação de risco e fazer um rascunho do plano anual.
Semana 2: instale os modelos (PBC, Teste/Finding/CAPA sheets), configure o registro de provas e dashboard estatais.
Semana 3: realizar 2 auditorias-piloto de «formulário curto» (como PSP/PCI e RG/DSAR), emitir relatórios, registrar CAPA.
Semana 4: Realizar os pilotos follow-up, ajustar a metodologia, levar o plano anual para aprovação do Comitê, concordar com um cronograma de auditorias/certificações externas.

Seções relacionadas:
  • Relatórios regulatórios e formatos de dados
  • Notificações de violações e prazos de relatórios
  • Dashboard de complacência e monitoramento
  • Playbooks e cenários de incidentes
  • Gestão de crise e comunicações
  • Plano de Continuidade de Negócios (BCP )/DRP
  • Registros de auditoria de operações
Contact

Entrar em contacto

Contacte-nos para qualquer questão ou necessidade de apoio.Estamos sempre prontos para ajudar!

Telegram
@Gamble_GC
Iniciar integração

O Email é obrigatório. Telegram ou WhatsApp — opcionais.

O seu nome opcional
Email opcional
Assunto opcional
Mensagem opcional
Telegram opcional
@
Se indicar Telegram — responderemos também por lá.
WhatsApp opcional
Formato: +indicativo e número (ex.: +351XXXXXXXXX).

Ao clicar, concorda com o tratamento dos seus dados.