GH GambleHub

Матрица рисков комплаенса

1) Назначение и охват

Цель: стандартизировать оценку и управление комплаенс-рисками в iGaming, снизить вероятность штрафов/отзывов лицензий и обеспечить устойчивые операции.
Охват: AML/CFT, KYC/KYB, санкции/PEP, платежи и бонус-абуз, Responsible Gaming (RG), защита данных/PII, реклама/маркетинг, партнеры/аффилиаты/провайдеры, регуляторная отчетность.

2) Шкалы и базовая 5×5-матрица

Вероятность (L, 1–5):
  • 1 — крайне редко (≤1/год) · 2 — редко (квартал) · 3 — периодически (месяц) · 4 — часто (неделя) · 5 — очень часто (дни)
Влияние (I, 1–5):
  • Финансы: 1:<€5k · 2:€5–25k · 3:€25–100k · 4:€100–500k · 5:>€500k
  • Регуляторика: 1:нет действий · 2:запрос · 3:предписание · 4:высокий риск штрафа · 5:высокий риск приостановки/отзыва
  • Операции/репутация: 1:минимально · … · 5:массовый негатив/отток

Итоговый балл: R = L × I (1–25)

Зоны и пороги:
  • 1–5 Зеленая — допустимо, мониторинг.
  • 6–10 Желтая — план снижения и владелец.
  • 11–15 Оранжевая — ускоренные CAPA, контроль каждую неделю.
  • 16–25 Красная — немедленная эскалация, инцидент-бридж, уведомления при необходимости.

SLA эскалаций (пример): Желтая — 24 ч · Оранжевая — 4 ч · Красная — 15 мин.

3) Категории комплаенс-рисков (сценарии)

1. AML/CFT: смурфинг, смешивание средств, «мулы», structuring, отмывание через бонусы/кеш-ауты.
2. Санкции/PEP: обход юрисдикционных ограничений, ложные совпадения, просроченные списки.
3. KYC/KYB: синтетики, подделка документов, прокси-пользователи, фиктивные партнеры.
4. Платежный фрод/бонус-абуз: чарджбеки, мультиаккаунтинг, фермы устройств, CPA-фрод аффилиатов.
5. RG (ответственная игра): нарушения лимитов, неотработанные триггеры вредной игровой активности.
6. Защита данных/PII: утечки, неправомерная обработка, нарушение прав субъектов, трансграничные передачи.
7. Реклама/маркетинг: таргетинг на запрещенные аудитории, недобросовестные промо, несоответствие локальным правилам.
8. Вендоры/аутсорс: провалы KYC-провайдеров, хостинг-партнеров, PSP; цепочка субпроцессоров.
9. Регуляторная отчетность: просрочки, неполные отчеты, рассогласование данных.

4) Матрица рисков комплаенса — шаблон представления

КатегорияСценарийLIRЗонаKRI/KPIПорогВладелецДействияSLA
Санкции/PEPРост hit-rate и FPR после обновления списков3412Оранж.Hit-rate %, FPR %>3% hit-rate или FPR>12%Head of ComplianceВторичный провайдер, ручная выборка high-value, настройка правил4 ч
KYCСкачок отказов по liveness4312Оранж.KYC fail %, TATfail%>15% суткиKYC LeadКалибровка порогов, fallback-провайдер, ручные кейсы4 ч
AMLАномальные выводы (одна карта/много акк.)3515Оранж.SAR/STR rate, Velocity>X выводов/карту/суткиAML LeadЗаморозка, EDD, STR, лимиты1 ч
ПлатежиChargeback-rate по региону4416Красн.CBR %, NFD %>1.2%Payments/FRMУжесточение 3DS/AVS, hold, оффбординг схем15 мин
RGПревышение лимитов самоконтроля3412Оранж.% нарушений, TTR>+50% к базеRG OfficerКонтакт игрока, временные лимиты/блок, отчет4 ч
ДанныеPII-инцидент (подтвержден)2510Желт./Оранж.#PII records, MTTR>1000 записейDPOСдерживание, уведомления, CAPA24 ч/4 ч
РекламаЖалоба регулятора на промо248Желт.Жалобы/100k показов>базы ×2Marketing/LegalСнятие креатива, корректировки, отчет24 ч

Если затронуты категории данных, требующие уведомления в 72 ч — немедленная эскалация (красная).

5) Метрики (KRI/KPI) и ориентиры порогов

AML/Санкции/PEP:
  • Hit-rate санкций/PEP на 1k регистраций; пороги: >1.5% (желтая), >3% (оранжевая/красная по контексту)
  • FPR санкций/PEP; пороги: >8% (желтая), >12% (оранжевая)
  • SAR/STR per 10k активных; Time-to-Review (TTR) алерта
KYC/KYB:
  • KYC fail %, Liveness dropout %, avg TAT; пороги: fail%>12% (желтая), >15% (оранжевая)
  • KYB: процент партнеров без актуальных бенефициаров/сканов; пороги: >3% (желтая), >5% (оранжевая)
Платежи/фрод:
  • Chargeback Rate (CBR); пороги: >0.8% (желтая), >1.2% (красная)
  • Net Fraud Loss % от GGR; порог: >0.9% (оранжевая)
RG:
  • Доля самовыключений; жалобы/1000 игроков; TTR по RG-триггерам
Данные/PII:
  • Кол-во критических уязвимостей в backlog; MTTD/MTTR инцидента; запросы субъектов данных в SLA
Реклама/маркетинг:
  • Жалобы/100k показов; доля отклоненных креативов модерацией; нарушения гео/возраста
Вендоры/отчетность:
  • SLA провайдеров комплаенса; просрочки регуляторных отчетов; расхождения отчет-данные DWH

6) Карта контролей и их эффективность

Превентивные: санкционный/PEP-скрининг (онбординг + перед выплатами), 2FA/WebAuthn, лимиты, device-fingerprinting, гео-ограничения, политика рекламы по возрасту/гео, DPIA для новых фич.
Детективные: real-time антифрод-правила, дублирующий провайдер санкций, SIEM/SOAR корреляции, триггеры RG, аудит логов доступа к PII.
Корректирующие: EDD/EDD+, hold/лимиты, заморозка выводов, временное отключение промо, уведомления регуляторам/банкам, CAPA.

Оценка эффективности:
  • Coverage% (охват сценариев), FPR/FNR, Precision/Recall для правил/моделей, TTR/MTTR, доля инцидентов, перешедших границы зон.

7) Риск-аппетит и пороги принятия

Risk Appetite Statement: допустим совокупный риск в зоне желтой при наличии планов снижения; оранжевые/красные — только с временными компенсирующими контролями и планом выхода ≤30 дней.
Decision Gates: выводы high-rollers >X без EDD — запрещены; непрозрачные партнеры — стоп; реклама без age-гарантий — стоп.

8) Эскалации и коммуникации (playbook)

Триггеры: R≥16; PII-инцидент; санкционный кейс high-value; CBR>порога; RG-кластеры риска.
Канал: инцидент-бридж (Compliance+Security+Payments+Legal+PR+Ops).
Шаги: 1) сдерживание 2) подтверждение масштаба 3) обязательные уведомления (по юрисдикции) 4) CAPA-план 5) пост-мортем в 72 ч.

RACI:
  • Responsible: владелец категории (AML/KYC/RG/Privacy/Ads/Payments)
  • Accountable: Head of Compliance
  • Consulted: Legal, DPO, Security, SRE, Finance
  • Informed: C-level, Support/VIP, партнеры/PSP (по необходимости)

9) Реестр рисков — структура записи

ID · Категория · Сценарий · Причины/уязвимости · L · I · R · Зона · KRI/KPI · Порог/условие эскалации · Текущие/планируемые контроли · Владелец (бизн./тех.) · Статус/CAPA · Сроки · Дата пересмотра

Пример:
ID: AML-012Категория: СанкцииСценарий: совпадение PEP у VIP перед кэшаутом
L/I: 3×4=12 (оранжевая)Порог: hit-rate>3% суток → эскалация
Контроли: второй провайдер, ручная верификация, hold T+1
CAPA: настроить fuzzy-matching, обучить группу ручной проверкиСрок: 14 дней

10) Доменные примеры (мини-playbook’и)

A. AML/Санкции

Условие: аномальный рост STR и санкционных хитов.
Действия: включить вторичный провайдер; уточнить списки; снизить чувствительность для низкого риска/усилить для high-risk; провести EDD по кластерам.

B. KYC/KYB

Условие: liveness-fail>15%.
Действия: переключение на fallback; ручной поток для VIP; проверка SDK/камера; временные лимиты.

C. Платежи/бонус-абуз

Условие: CBR>1.2% или всплеск multi-account.
Действия: усилить velocity/девайс-сигнатуры; 3DS обязательный; лимиты на бонусы; пост-кампейн аудит аффилиатов.

D. RG

Условие: триггеры вредной активности у кластера игроков.
Действия: контакт/совет, ограничение депозитов, временная блокировка, документирование действий.

E. Данные/PII

Условие: неподтвержденная утечка.
Действия: containment (ключи/доступы), форензика, DPIA, уведомления (если требуется), обязательный пост-мортем.

F. Реклама

Условие: жалоба на промо несовершеннолетним.
Действия: мгновенный офф, аудит источника/таргета, обновление политик, информирование регулятора при необходимости.

11) Вендоры и третий контур

Перед онбордингом: due diligence, санкции/PEP, SOC2/ISO27001, DPIA/DTIA, DPA/SCCs.
В эксплуатации: мониторинг SLA, инциденты, субпроцессоры, гео локализации данных.
Offboarding: отзыв доступов, удаление/возврат данных, акт закрытия.

12) Встраивание в процессы

CAB/Change-control: изменения в правилах антифрода/комплаенса проходят через CAB с оценкой влияния на KRI/FPR/FNR.
CI/CD: тесты соответствия (policy-as-code) в пайплайнах; «убийственные» правила — только через feature-флаги.
Отчетность: ежедневный снэпшот KRIs; еженедельный риск-комитет; ежемесячные ретро с обновлением матрицы.

13) Чек-лист зрелости матрицы

  • Шкалы L/I утверждены и задокументированы
  • Категории и сценарии покрывают 95% инцидентов прошлого года
  • KRIs автоматизированы (дашборды, алерты, SLA реакций)
  • Есть второй провайдер для санкций/KYC и план переключения
  • RACI понятен, обновлен контакто-лист и шаблоны коммуникаций
  • CAPA-трекер в единой системе и закрывается в срок
  • Ежеквартальный пересмотр risk appetite и порогов

14) Дорожная карта внедрения (пример)

Недели 1–2: инвентаризация рисков, согласование шкал, черновая матрица, назначение владельцев.
Недели 3–4: автоматизация KRIs, интеграция алертов, RACI/эскалации, шаблоны отчетов.
Месяц 2: подключение вторичных провайдеров, SOAR-плейбуки, обучение команд.
Месяц 3+: стресс-тесты, аудит эффективности, корректировка порогов и политик.

TL;DR

Единая 5×5-матрица + измеримые KRIs и четкие пороги → предсказуемые эскалации и быстрые решения. Результат — меньше штрафов и инцидентов, выше устойчивость и соответствие требованиям во всех юрисдикциях.

Contact

Свяжитесь с нами

Обращайтесь по любым вопросам или за поддержкой.Мы всегда готовы помочь!

Начать интеграцию

Email — обязателен. Telegram или WhatsApp — по желанию.

Ваше имя необязательно
Email необязательно
Тема необязательно
Сообщение необязательно
Telegram необязательно
@
Если укажете Telegram — мы ответим и там, в дополнение к Email.
WhatsApp необязательно
Формат: +код страны и номер (например, +380XXXXXXXXX).

Нажимая кнопку, вы соглашаетесь на обработку данных.