Внутренний аудит и внешний аудит

1) Цель и область

Обеспечить системный, независимый и воспроизводимый контроль процессов Операций и Комплаенса: соответствие лицензиям/законам, надежность финансовой и операционной отчетности, эффективность контроля рисков (KYC/AML/RG, GDPR/PII, платежи/PCI, честность игр, ИБ, маркетинг/аффилиаты, провайдеры). Раздел задает принципы, роли, методологию, программирование проверок, формат отчетов и порядок закрытия несоответствий.

2) Принципы и «три линии защиты»

1-я линия: владельцы процессов (Операции, Платежи, Провайдеры игр, Маркетинг/Аффилиаты, Служба поддержки) — управляют рисками day-to-day.
2-я линия: Комплаенс/Риск/Безопасность/DPO — политики, мониторинг, консультации, контроль исполнения.
3-я линия: Внутренний аудит (IA) — независимая оценка адекватности и эффективности контроля; подотчетен Наблюдательному совету/Аудит-комитету.
Внешний аудит (EA): независимые третьи стороны — финансовая отчетность, сертификации (ISO/SOC/PCI), инспекции регуляторов.

Принципы: независимость, объективность, доказательность, конфиденциальность, фокус на рисках и ценности, прозрачность и прослеживаемость.

3) Разграничение IA vs EA

4) Роли и RACI

Head of Internal Audit (IA Lead) — стратегия, независимость, план/репортинг. (A)

Internal Auditors — полевые проверки, рабочие документы, выводы. (R)

Process Owners (1-я линия) — предоставление данных/артефактов, CAPA. (R)

Compliance/InfoSec/AML/RG (2-я линия) — ко-аудиты, методологи. (C/R)

CFO/Controller — финконтур, GL, выверки. (C)

Legal/DPO — трактовка норм, PII и ретенция. (C)

Audit Committee — одобряет план IA, принимает отчеты, контролирует независимость. (A)

External Auditors/Assessors — проводят EA; доступ к артефактам по NDA. (I/R по контракту)

5) Риск-ориентированное планирование (Annual Audit Plan)

1. Реестр рисков: вероятность × влияние (финансы/GGR, лицензии, репутация, безопасность игроков).
2. Карта процессов: платежи/PSP, кошелек, KYC/AML/KYB, RG, провайдеры игр/RTP, маркетинг/аффилиаты, ИБ/GDPR, инциденты/уведомления, регуляторные отчеты.
3. Матрица приоритета: High/Medium/Low → периодичность (кв./полугодие/год).
4. Скоуп: цели, критерии, процедуры, выборки, ресурсы, таймлайн, зависимости.
5. Одобрение: Аудит-комитет утверждает годовой план; допускается ad-hoc при S1/S2 инцидентах.

6) Методология: этапы аудита

A. Предаудит (Planning): запрос документов, понимание процесса, оценка дизайна контроля, риск-оценка, программа тестов.
B. Полевой этап (Fieldwork): интервью, walkthrough, тесты дизайна/оперативности, аналитические процедуры, инспекция артефактов, выборки.
C. Выводы и рейтинг: сопоставление фактов с критериями; классификация findings.
D. Отчет: проект → согласование фактов → финал → презентация менеджменту/комитету.
E. CAPA и Follow-up: план корректирующих/предупредительных действий, контроль исполнения, верификация.

7) Доказательства и выборки

Типы доказательств: документальные (политики, логи, тикеты), физические (скриншоты, конфигурации), устные (интервью), аналитические (сверки, тренды).
Качество: достаточность (объем), уместность (релевантность), достоверность (источник).
Выборки: случайные, систематические, направленные (risk-based), по аномалиям; размер определяется риском и объемом генеральной совокупности.
Трассируемость: каждый вывод связан с тестом, тест — с доказательством (уникальный ID); «сквозная нумерация».

8) Классификация несоответствий и рейтинги

Critical (S1): риск лицензии/закона/значительный финансовый ущерб/PII-breach. Требуется немедленное действие, отчет Комитету/Совету.
High (S2): существенный дефект контроля; короткий SLA на исправление.
Medium (S3): ограниченный дефект; план корректировок.
Low (S4): улучшения/наблюдения (оптимизация).

Рейтинг аудируемого процесса: Effective / Generally Effective with Improvements / Partially Effective / Ineffective.

9) Рабочие документы и ретенция

Working Papers: программа, контрольные листы, выборки, протоколы интервью, доказательства, расчеты, выводы.
Стандарты оформления: индекс, версия, владелец, дата, гиперссылки на артефакты, контроль изменений.
Конфиденциальность и PII: доступ по RBAC, хранение шифрованное, маскирование чувствительных полей.
Сроки хранения: по политике (обычно 5–7 лет) или дольше, если требуют лицензии/регуляторы.

10) Тематики проверок (каталог IA)

1. Платежи/PSP/PCI: auth/decline/chargebacks, псевдонимизация PAN, журналы доступа, реестр поставщиков.
2. KYC/AML/KYB: полнота и точность KYC, PEP/санкции, SAR/STR сроки, качество расследований, ведение кейсов.
3. Ответственная игра (RG): лимиты/самоисключения, процедуры контакта, эффективность интервенций, рекламные ограничения.
4. GDPR/PII/DPO: реестр обработок, DSAR, инциденты конфиденциальности, договоры с обработчиками.
5. Провайдеры игр/честность: RTP drift, инциденты раундов, синхронизация балансов, версионирование RNG/билдов.
6. Маркетинг/Аффилиаты: соблюдение креативных/целевых ограничений, атрибуция, договоры, выплаты.
7. Инцидент-процессы: время до заявления (TTS), своевременность уведомлений регуляторам, полнота артефактов.
8. Регуляторная отчетность: схемы, дедлайны, DQ, сверка с GL/PSP.
9. ИТ-контроли/ИБ: доступы, SOD, изменения/релизы, журналы аудита, бэкапы, DR/BCP учения.

11) Формат отчета IA (шаблон)

Исполнительное резюме: объем, цели, рейтинг, ключевые выводы и риск.
Контекст: процесс/система/юрисдикции, период, применимые требования.
Методология и ограничения (если были).
Подробные выводы по приоритету: факт → критерий → риск → влияние → рекомендации.
Таблица CAPA: владелец, шаги, сроки, метрики успеха.
Приложения: выборки, диаграммы, реестр доказательств, глоссарий.

12) Взаимодействие с внешним аудитом (EA)

Финансовая отчетность: подготовка GL, выверки, подтверждения от PSP/банков/провайдеров, управленческие письма.
Сертификации/оценки соответствия: ISO 27001/9001, SOC 2, PCI DSS, отраслевые инспекции регуляторов.
Роли IA: pre-assessment (gap-анализ), сопровождение запросов, ускорение CAPA, избегание дублирования.
Прозрачность: единая витрина артефактов, календарь визитов, правила доступа, NDA.
Коммуникации: регулярные стендапы «EA readiness», точка входа — Audit Coordinator.

13) CAPA и контроль исполнения

CAPA-план: конкретные шаги, метрика, владелец, срок, зависимые системы/команды.
Верификация: доказательства внедрения (скрины, логи, политики, результаты тестов), дата, ответственный аудитор.
Эскалация: S1/S2 — обязательный апдейт Комитету; просрочки — «красная зона» дашборда.
Изменение оценки риска: после успешного CAPA — пересмотр остаточного риска и частоты проверок.

14) Дашборд аудита (управленческий контроль)

Статус плана: % завершения по кварталам и направлениям.
Портфель findings: по серьезности и просрочкам.
CAPA progress: выполнено/в работе/просрочено, медиана времени закрытия.
Тепловая карта процессов: риск/эффективность контролей до/после CAPA.
Повторяемые выявления: индикатор системных проблем.

15) Этические требования и независимость

Конфликты интересов: аудиторы не аудируют собственную прежнюю операционную деятельность ≤ 12 мес; декларирование конфликтов.
Доступ к данным: только по принципу «минимально необходимого»; запрет на персональное копирование PII.
Коммуникации: нейтральные формулировки, отсутствие «обвинительного» тона; факты прежде интерпретаций.

16) Чек-листы

Старт аудита

• Определены цели/критерии/границы.
• Запрошены и получены артефакты, согласованы форматы/сроки.
• Подтверждена независимость, отсутствуют конфликты.
• Утверждена программа тестов и выборки.

Полевой этап

• Проведены walkthrough и интервью с key-roles.
• Тесты дизайна и операционной эффективности.
• Сформирован реестр доказательств с ID/ссылками.
• Промежуточный бриф владельцам процесса (без сюрпризов в финале).

Отчет и CAPA

• Факты согласованы, спорные моменты разрешены.
• Выводы классифицированы (S1–S4), оценен риск/влияние.
• CAPA-план с владельцами и сроками утвержден.
• Даты follow-up внесены в календарь.

17) Шаблоны артефактов (быстрые вставки)

Request List (PBC): перечень документов/выгрузок/доступов с дедлайнами.
Test Sheet: контроль → процедура → выборка → результат → доказательство → вывод.
Finding Card: код, заголовок, описание, риск, влияние, причина (root cause), рекомендация, S-уровень, владелец, срок.
CAPA Sheet: шаг, метрика, артефакты подтверждения, дата, проверил.

18) Частые ошибки и как их избежать

Слипшиеся роли IA и 2-й линии → нарушена независимость. Решение: отчетность IA напрямую Комитету.
Недостаточная прослеживаемость доказательств → слабая защита выводов. Решение: единый реестр и нумерация.
«Охота на несоответствия» вместо оценки риска и ценности. Решение: риск-фокус и приоритизация.
Перегруз CAPA без ресурсов → просрочки. Решение: SMART-цели и лимит WIP.
Игнорирование данных качества/свежести при проверке отчетности. Решение: DQ-чек-лист.

19) Быстрый старт (внедрение за 30 дней)

Неделя 1: утвердить хартию IA (мандат/подотчетность), провести риск-оценку, составить черновик годового плана.
Неделя 2: завести шаблоны (PBC, Test/Finding/CAPA sheets), настроить реестр доказательств и дашборд статусов.
Неделя 3: провести 2 пилотных аудита «короткой формы» (например, PSP/PCI и RG/DSAR), выпустить отчеты, зарегистрировать CAPA.
Неделя 4: провести follow-up пилотов, откорректировать методологию, вынести годовой план на утверждение Комитета, согласовать график внешних аудитов/сертификаций.

• Регуляторные отчеты и форматы данных
• Уведомления о нарушениях и сроки отчетности
• Дашборд комплаенса и мониторинг
• Инцидентные плейбуки и сценарии
• Кризисное управление и коммуникации
• План непрерывности бизнеса (BCP) / DRP
• Журналы аудита операций