Аудиторские чеклисты и ревью

1) Назначение

• сопоставимость проверок между командами и периодами;
• полноту и доказательность результатов;
• прозрачное управление исправлениями (CAPA) и повторными проверками.

2) Роли и RACI

Owner: Head of Compliance / Head of Internal Audit — методология, версии чеклистов. (A)

Process Owners (1-я линия): self-assessment, артефакты, CAPA. (R)

Compliance/InfoSec/AML/RG (2-я линия): peer-review, ко-аудиты, трактовка норм. (R/C)

Internal Audit (3-я линия): независимые ревью, рейтинги, follow-up. (R)

Management (Exec Sponsor): утверждение выводов и ресурсов на CAPA. (A/C)

3) Типы ревью

1. Self-Assessment (SA): ежемесячно/квартально владельцами процессов по коротким чеклистам.
2. Peer-Review (PR): перекрестная проверка соседней командой (без конфликта интересов).
3. Management Review (MR): раз в квартал — обзор KPI/KRI, трендов и незакрытых CAPA.
4. Internal Audit Review (IA): независимая проверка по плану IA.
5. External-Audit Readiness (EAR): подготовка к сертификациям/инспекциям (ISO/SOC/PCI/регулятор).

4) Общие правила чеклиста

ID: CL- <code >/Version: v <MAJOR. MINOR >/Owner: <role>
Область: <KYC/AML/RG, GDPR/PII, Payments/PCI, Games/Providers, Reporting, Incidents...>
Frequency: M     Q      Ad-hoc
Material: <criteria for High/Medium/Low>
Sampling: <method and size>
Evidence: <list of files/screenshots/logs>
Question List: [X] Yes [] No [] N/A + Comment + Artifact + Severity
Bottom line: Score/Rating/CAPA

• Fully Met (100–90%) / Largely Met (89–75%) / Partially Met (74–50%) / Not Met (<50%).
• Severity несоответствий: S1 критическое / S2 высокое / S3 среднее / S4 низкое.
• Материалити: денежный эффект (GGR/NGR), охват клиентов/PII, риск лицензии/штрафов, влияние на честность игр.

5) Каталог чеклистов (скелеты с контрольными пунктами)

CL-KYC-01 — KYC/KYB

• Политика и уровни проверки утверждены и актуальны.
• Провайдеры KYC имеют действующие договоры/DPА.
• SLA по верификации соблюдаются (метрика D-1).
• Документы хранятся в соответствии с ретенцией; доступ — RBAC.
• Отказы/эскалации задокументированы; доля FP в норме.
• KYB для партнеров: актуальные выписки/бенефициары.

Доказательства: выгрузки KYC статусов, реестр DPА, журнал доступа, sample из 25 кейсов.

CL-AML-02 — AML/CFT

• Обновленная политика AML и методика скоринга рисков.
• Проверки PEP/санкции по on-boarding и периодически.
• SAR/STR направляются в сроки; есть подтверждения приема.
• Качество расследований: полнота, тайминг, закрытие.
• Monitoring rules покрывают velocity/structuring/мулы.
• Тест “no tipping-off”: нет уведомлений клиентов при SAR.

Доказательства: кейсы SAR/STR, логи санкционных проверок, отчеты по времени закрытия дел.

CL-RG-03 — Ответственная игра

• Реестр лимитов/самоисключений синхронизирован (реестр/нац. система).
• Триггеры уязвимости → контакт в SLA; шаблоны коммуникаций.
• Эффективность интервенций измеряется и анализируется.
• Реклама/бонусы соответствуют ограничениям рынка.
• RG-инциденты и уведомления регулятору — в срок.

Доказательства: логи self-exclusion, коммуник. шаблоны, метрики outreach.

CL-PCI-04 — Платежи/PCI

• Сегментация PCI и инвентарь PAN/CHD в актуальном состоянии.
• Токенизация/шифрование в транзите/at-rest; ключи ротуются.
• Auth-rate/decline/latency по PSP в порогах; fallback-маршруты.
• Chargeback process и доказательная база для диспутов.
• Уязвимости из ASV сканов устранены в срок.
• Журналы доступа к платежной зоне — полные и неизменяемые.

Доказательства: network-диаграммы, отчеты ASV, кейсы chargebacks, ключевая политика KMS.

CL-GAMES-05 — Провайдеры игр / честность

• Контракты и тех. спецификации актуальны; версии RNG/билдов — в реестре.
• RTP-drift мониторинг и пороги реакции; freeze процедурно закреплен.
• Синхронизация балансов round/session/кошелек.
• Инциденты провайдера: таймлайн, фиксация, компенсации игрокам.
• Отчеты регулятору по честности/RTP — сданы и подтверждены.

Доказательства: выгрузки RTP, логи API провайдера, примеры freeze-тикетов.

CL-REP-06 — Регуляторная отчетность

• Календарь дедлайнов: статусы «готов/отправлен/принят».
• Схемы данных версионированы; файлы подписаны/с хешами.
• Reconciliation: кошелек ↔ PSP ↔ GL без расхождений > X%.
• Подтверждения приема (ID/квитанции) сохранены и связаны с артефактами.
• Локализация/язык соблюдены.

Доказательства: дашборд дедлайнов, квитанции, SQL-сверки.

CL-INC-07 — Инциденты/уведомления

• TTS (первое сообщение) в SLA по S1/S2.
• Уведомления DPA/регуляторам/PSP/CERT — в сроки, с подтверждениями.
• Полнота артефактов: таймлайн, логи, сообщения, списки затронутых.
• Ретро ≤ 7 дней, CAPA зарегистрированы и движутся.
• Компенсации игрокам начислены согласно политике.

Доказательства: журнал инцидентов, статус-страница, пакеты артефактов.

CL-GDPR-08 — GDPR/PII

• Реестр обработок (RoPA) актуален; правовые основания корректны.
• DSAR закрываются ≤ 30 дней; просрочки объяснены.
• DPIA выполнены для высокорисковых процессов.
• Псевдонимизация/маскирование при выгрузках и отчетах.
• Договоры с обработчиками и SCC в силе.

Доказательства: RoPA, журнал DSAR, DPIA, примеры масок в отчетах.

CL-ITGC-09 — Общие ИТ-контроли

• Управление изменениями: PR-процесс, тесты, approvals, separation of duties.
• Доступы: RBAC/ABAC, периодическая ревизия, off-boarding ≤ 24 ч.
• Резервное копирование/восстановление, периодические тесты DR.
• Логи аудита неизменяемы, ретенция соблюдается.
• Наблюдаемость: SLO/ошибочные бюджеты, алерты на критические метрики.

Доказательства: выборки PR, логи IAM, отчеты DR-тестов, политики ретенции.

6) Методика выборок и доказательств

Размер: ориентируйтесь на объем операций и риск (напр., min 25, pps/стратификация для крупных массивов).
Методы: случайная, систематическая, направленная (аномалии/краевые случаи), по периодам пиков.
Достаточность: не менее 2–3 независимых источников на ключевой вывод (логи, скриншоты, выгрузки, тикеты).
Прослеживаемость: каждому пункту чеклиста — доказательство с ID и ссылкой в реестре.

7) Рубрикатор рейтингов ревью

Effective — контроль спроектирован и работает стабильно, несоответствий S1/S2 нет.
Generally Effective (с улучшениями) — есть S3/S4, но риски под контролем.
Partially Effective — системные S2; высокий остаточный риск.
Ineffective — S1/множество S2; требуется немедленный план восстановления.

8) CAPA и follow-up

Для каждого finding: корень → действие → владелец → срок → метрика успеха.
SLA закрытия: S1 — ≤ 30 дней; S2 — ≤ 60 дней; S3 — ≤ 90 дней; S4 — по договоренности.
Верификация: аудитор прикладывает доказательства внедрения (скрины/логи/политики), меняет статус на Verified.
Эскалация: просрочки S1/S2 — в еженедельный MR, на Аудит-комитет ежеквартально.

9) Рабочие артефакты (шаблоны)

9.1 Чеклист (лист проверки)

9.2 Finding Card

Код Заголовок Факт Критерий Риск/влияние Причина (root cause) Рекомендация S-уровень.

9.3 CAPA Sheet

Finding → Шаги → Владелец → Срок → Метрика/порог → Доказательства → Статус → Дата верификации.

9.4 PBC-лист (Provided By Client)

Запрос → Формат → Источник → Ответственный → Дедлайн → Получено (дата) → Комментарии.

10) Дашборд ревью

Coverage: % процессов, охваченных ревью за период.
Findings by Severity: распределение S1–S4.
CAPA Progress: выполнено/в работе/просрочено; медиана времени закрытия.
Repeat Findings: доля повторов за 12 мес.
Timeliness: соблюдение графика SA/PR/MR/IA.
Effectiveness Trend: динамика рейтингов по областям.

11) Календарь и частоты

Monthly: SA по KYC/Payments/GDPR DSAR, инциденты/уведомления.
Quarterly: PR по AML/RG/Providers/Reporting, MR для всех направлений.
Semi-Annual/Annual: IA по зонам высокого риска; EAR перед сертификациями/инспекциями.

12) Чек-карты «Быстрый старт» (по 7 пунктов)

KYC (7-point): Политика Провайдеры/DPА SLA Очереди > SLA RBAC Отказы/эскалации Отчет о FP.
AML (7-point): Списки PEP/санкции SAR сроки Качество расследований Velocity/structuring No tipping-off Тренинги Caseboard KPI.
RG (7-point): Реестр/синхронизация Контакты в SLA Эффективность Ограничения рекламы Жалобы Инциденты Отчеты регулятору.
PCI (7-point): Сегментация Ключи/ротация ASV/вулны Журналы доступа Токенизация Chargebacks Fallback PSP.
Games (7-point): RTP-drift Freeze процедура Баланс-синхроны Инциденты провайдера Версии RNG/билдов Отчеты честности SLA API.
Reporting (7-point): Календарь Схемы/версии Подпись/хеш Reconciliation Язык/локаль Квитанции DQ-метрики.
Incidents (7-point): TTS Уведомления в сроки Полнота артефактов Компенсации Ретро CAPA Дашборд.

13) Частые ошибки и как их избежать

Чеклисты без доказательств → все пункты потребуют артефакт ID.
Оценка без материалити → фиксируйте пороги в карточке чеклиста.
Дублирование SA/PR/IA → согласованный календарь и единый реестр запросов (PBC).
“Документоцентризм” без тестов операционности → всегда брать выборку операций.
CAPA без метрик → задавайте измеримые результаты (например, DSAR ≤ 30 дней ≥ 98%).

14) План внедрения (30 дней)

Неделя 1

1. Утвердить методологию и шкалы рейтингов.
2. Создать 8 базовых чеклистов (CL-KYC/AML/RG/PCI/GAMES/REP/INC/GDPR).
3. Завести реестр артефактов и шаблоны PBC/Finding/CAPA.

Неделя 2

4. Провести пилот SA в 2 процессах и PR в 1 процессе.
5. Настроить дашборд ревью и журнал CAPA.
6. Выдать тренинг по «доказательствам и выборкам».

Неделя 3

7. EAR-сессия по ближайшей сертификации/инспекции.
8. Согласовать график MR/IA на квартал.
9. Зафиксировать пороги материалити и размеры выборок.

Неделя 4

10. Выпустить v1.0 каталога чеклистов и карты календаря.
11. Провести ретро пилота, обновить версии чеклистов (v1.1).
12. Включить ревью в KPI владельцев процессов.

15) Связанные разделы

Внутренний аудит и внешний аудит

Регуляторные отчеты и форматы данных

Уведомления о нарушениях и сроки отчетности

Дашборд комплаенса и мониторинг

Инцидентные плейбуки и сценарии

Кризисное управление и коммуникации