Осведомленность персонала о комплаенсе

1) Цель и зона охвата

Сформировать устойчивую культуру комплаенса, при которой каждый сотрудник понимает «что можно/нельзя», умеет распознавать риски и знает, как действовать (эскалации, каналы помощи). Охват: все функции (Операции, Платежи, RG/AML/KYC/KYB, Маркетинг/Аффилиаты, Game Ops, Data/Engineering, CS, Финансы, Legal/DPO, ИБ), подрядчики и временные работники.

2) Принципы программы

Tone from the top: публичная поддержка от CEO/Exec.
Простота и применимость: «что делать завтра на смене».
Микро-формат: короткие модули 5–10 мин, регулярность.
Локализация: язык рынка, локальные кейсы/правила.
Доказательность: журнал прохождений, артефакты, сертификация.
Непрерывность: цикл «учись → примени → измерь → улучшай».

3) Роли и RACI

Owner: Head of Compliance / Compliance Awareness Lead — стратегия, контент, календарь. (A)

L&D / Training Lead: LMS, расписание, контроль посещаемости. (R)

Process Owners (KYC/AML/RG/Payments/Marketing/Game Ops/Data/Legal/InfoSec): экспертиза и кейсы. (R)

DPO/Legal: корректность формулировок, приватность, локализация. (C)

Internal Audit: независимая проверка полноты/записей. (C)

HR: онбординг/оффбординг, дисциплина прохождений. (R)

Comms/Brand: оформление визуала, кампании. (R)

Exec Sponsor: публичные сообщения, ресурсы, эскалации. (I/A)

4) Каркас контента (модули осведомленности)

1. Кодекс поведения и каналы помощи (whistleblowing, без репрессий).
2. KYC/KYB и защита уязвимых игроков (роль каждого).
3. AML/санкции/PEP (сигналы, запрет tipping-off, эскалации).
4. RG — ответственная игра (лимиты, самоисключение, корректные скрипты).
5. GDPR/PII (минимизация, DSAR, «не делиться лишним»).
6. PCI/Платежи (пан-данные, токенизация, запреты в чате/тикетах).
7. Маркетинг/Аффилиаты/Реклама (возрастные фильтры, запрещенные креативы).
8. Инциденты и уведомления (когда и что сообщать, первые шаги).
9. Антифишинг/ИБ-гигиена (пароли, MFA, фишинг-симуляции).
10. Конфликты интересов/подарки/этика.

Каждый модуль: 5–7 слайдов + мини-кейс 2–3 вопроса + «что делать завтра» (чек-лист на смену).

5) Форматы и частоты

Онбординг (T+14 дней): базовый пакет (модули 1–7), краткий тест ≥ 85%.
Ежеквартальные кампании: тематические (GDPR-неделя, AML-неделя…).
Месячные микро-уроки: 5–10 мин с 1 кейсом и 3 вопросами.
Table-top/role-play (квартал): сквозной сценарий по функциям.
Фишинг-симуляции (2–4 раза/год): с обучением после клика.
Плакаты/интранет/бот: «Правило 3 шагов», «Что нельзя писать в тикете».
Вендорские воркшопы: KYC/PSP/провайдеры игр — 1–2 раза/год.

6) Кампании и месседжи (примеры)

GDPR-неделя: «Не храним — не теряем» → чек-лист: не отправлять PII в почте, маскировка скринов, DSAR ≤ 30 дней.
AML-неделя: «Замечай структуру — спасай лицензию» → чек-лист: velocity/structuring сигналы, куда эскалировать.
RG-неделя: «Играй ответственно, поддерживай игроков» → корректные ответы CS, порядок действий при бричах лимитов.
PCI-неделя: «PCI начинается с тебя» → запрещенные поля в чате/тикетах, безопасные замены.
Ads/Affiliates-неделя: «Реклама без штрафов» → запрещенные креативы, возрастные фильтры, жалоба на «токсичный» трафик.

7) Инструменты

LMS: курсы, тесты, сертификаты, отчеты coverage/on-time.
Коммуникационный бот (Slack/Teams): квизы 1–2 вопроса в неделю, напоминания.
Интранет-хаб: «1-страничники» по темам, FAQ, шаблоны сообщений.
Плакаты/скринсейверы: краткие правила, QR на хаб.
Фишинг-платформа: симуляции, персональные подсказки.
Форма «Спросить комплаенс»: быстрый ответ/эскалация.

8) Метрики эффективности (KPI/KRI)

Coverage: % сотрудников с актуальным курсом (цель ≥ 98%).
On-time Completion: % завершивших в срок (цель ≥ 95%).
Recall: доля верных ответов через 30 дней (> 80%).
Behavior change: снижение инцидентов tipping-off, доля корректных скриптов CS.
Phishing resilience: CTR ↓, отчеты об имитациях ↑.
Escalation quality: полнота артефактов в эскалациях (шаблон, ID, логи).
Whistleblowing: обращения ≠ ноль; время реакции и закрытия.

9) Чек-листы

9.1 Перед запуском программы

• Утвержден «tone from the top» (письмо/видео от CEO).
• Календарь кампаний на год; владельцы тем назначены.
• Контент локализован; примеры — по рынкам и функциям.
• LMS подключена к HRIS (онбординг/оффбординг).
• Настроены отчеты coverage/on-time/pass rate.
• Готовы плакаты, 1-страничники, боты-квизы.

9.2 Во время кампании

• Напоминания по каналам (чат/почта/борды).
• Q&A-сессия с экспертами (30 мин).
• Короткий опрос «Пойми суть» (3 вопроса).
• Сбор фидбэка и вопросов «в поле».

9.3 После кампании

• Отчет: coverage/recall/behavior.
• CAPA по пробелам (скрипты, макросы, процессы).
• Обновление FAQ и 1-страничников.

10) Сценарии (role-play) — быстрые вставки

• Игрок превысил лимит потерь.
• Правильно: «Мы видим, что установленный вами лимит достигнут. По правилам ответственной игры мы временно ограничим доступ, чтобы защитить вас. Вот как можно настроить лимиты…»

• Вывод на проверке.
• Правильно: «Платеж проходит стандартную проверку безопасности. Мы уведомим, как только она завершится.»

• Клиент прислал PAN в чат.
• Правильно: «В целях безопасности не присылайте номер карты. Пожалуйста, используйте защищенную платежную форму.»

• Партнер предлагает агрессивный креатив для 18-.
• Правильно: «Нам нужны возрастные фильтры и корректные дисклеймеры. Иначе — отказ.»

• Запрос коллеги на полный экспорт PII «для анализа».
• Правильно: «Нужны основания и минимизация. Предоставим агрегаты/псевдонимы по запросу через DPO.»

11) Коммуникации и «тон»

Ежеквартальное видео от Exec: «Почему комплаенс — часть стратегии».
Истории успеха: «Сотрудник N вовремя заметил риск — избежали штрафа».
Бейджи/геймификация: очки за квизы, «Compliance Champion» месяца.
Безопасная среда: ошибки разбираются как обучение, не как наказание (кроме злого умысла).

12) Артефакты и ретенция

Протоколы прохождений (LMS), результаты тестов, сертификаты.
Материалы кампаний (слайды, записи), Q&A, плакаты/1-страничники.
Отчеты KPI/KRI, CAPA-планы и статус их выполнения.
Срок хранения — по политике обучения/аудита (обычно 5–7 лет).

13) Управление изменениями контента

Версионирование (vMAJOR.MINOR.PATCH), changelog.
Триггеры обновления: новые правила/инциденты/аудит-findings.
Процесс: драфт → Legal/DPO ревью → пилот → релиз → измерение.

14) Риски и профилактика

«Галочное обучение» → добавляйте кейсы и наблюдаемые метрики поведения.
Перегруз контентом → микро-уроки, 1-страничники, повторение ключевого.
Отсутствие локализации → локальные примеры/язык/платежные реалии.
Ноль обращений на горячую линию → помните: это риск молчания. Продвигайте доверие и анонимные каналы.

15) Быстрый старт (30 дней)

Неделя 1

1. Назначить владельца, утвердить цели KPI (coverage ≥ 98%, on-time ≥ 95%).
2. Сформировать годовой календарь кампаний и ролей.
3. Подготовить «tone from the top» (письмо/видео).

Неделя 2

4. Развернуть хаб (интранет) и LMS; подключить HRIS/SSO.
5. Собрать базовый курс (модули 1–6) + тест; подготовить плакаты/1-страничники.
6. Настроить бота-квизы и фишинг-симуляцию №1.

Неделя 3

7. Пилот на 2–3 командах (CS, Payments, Marketing).
8. Собрать фидбэк; скорректировать скрипты и кейсы.
9. Запустить еженедельные микро-уроки (по одному вопросу).

Неделя 4

10. Массовый запуск; контроль coverage/on-time ежедневно.
11. Отчет в руководству: первые KPI/инциденты-изменения поведения.
12. План v1.1: добавление RG/Ads-кейсов и локализаций.

• AML-тренинги и обучение сотрудников
• Инцидентные плейбуки и сценарии
• Уведомления о нарушениях и сроки отчетности
• Дашборд комплаенса и мониторинг
• Регуляторные отчеты и форматы данных
• Внутренний аудит и внешний аудит
• Аудиторские чеклисты и ревью
• Продление лицензий и инспекции
• Изменения регуляторных правил по регионам