Внутренние контроли и их аудит

1) Назначение и область

Цель: обеспечить достижение бизнес-целей безопасно и законно, снижая операционные, финансовые, комплаенс- и репутационные риски.
Охват: процессные и ИТ-контроли во всех доменах: платежи/кассауты, KYC/AML/санкции, антифрод, RG, маркетинг/экспорты данных, DevOps/SRE, DWH/BI, приватность/GDPR, TPRM.

2) Принципы и модель защиты

Три линии защиты: 1) владельцы процессов (операции/продукт), 2) риск/комплаенс/безопасность (методология, мониторинг), 3) независимый внутренний аудит.
Risk-based: контроли выстраиваются по приоритету остаточного риска.
Evidence-driven: каждый контроль имеет измеримые критерии, источники данных и артефакты доказуемости.
Automate-first: по возможности — автоматические и непрерывные контроли (CCM) вместо ручных.

3) Карта рисков → цели → контроли

1. Риск-реестр: идентифицировать причины/события/последствия (финансы, игроки, лицензии).
2. Цели контроля: что нужно предотвратить/обнаружить/исправить (например, «незаконный вывод средств», «несанкционированный доступ к PII»).
3. Контрольные активности: выбор конкретных политик/процедур/автоматик для достижения цели.

• Превентивные: RBAC/ABAC, SoD (4-eyes), лимиты и скоринг, валидации данных, WebAuthn, mTLS.
• Детективные: SIEM/алерты, reconciliations, дашборды SLA/SLO, аудит-логи (WORM), контроль аномалий.
• Корректирующие: авто-блокировки, откаты релизов, ротация ключей, ручные разборы и возвраты.
• Компенсирующие: если основной контроль невозможен — усиливающие меры (доп. мониторинг, двойная сверка).

4) Каталог контролей (Control Library)

• ID/Название, цель (objective), риск, тип, частота, владелец (control owner), исполнитель, метод исполнения (ручной/авто/гуид), источники доказательств, KPI/KRI, связь с политиками/процедурами, зависимые системы.
• Состояния: Draft → Active → Monitored → Retired. Версионирование и журнал изменений.

• `CTRL-PAY-004` — 4-eyes approve на выплаты > X (превентивный, ежедневный, Owner: Head of Payments, Evidence: заявки/логи, KPI: 100% покрытие).
• `CTRL-DWH-012` — маскирование PII в витринах (превентивный, постоянный, Owner: Head of Data, Evidence: тест-запросы, KPI: ≥95% masked reads).
• `CTRL-SEC-021` — MFA для админ-консолей (превентивный; Evidence: IdP-отчеты; KPI: 100% adoption).

5) RACI и владельцы

6) Планирование аудитов и тестов

Ежегодный план формируется риск-ориентированно (высокий остаточный риск, регуляторные требования, инциденты, новые системы).

• Design Effectiveness (DE): корректно ли спроектирован контроль для снижения риска.
• Operating Effectiveness (OE): работает ли стабильно и в заданной частоте.
• Thematic/Process Audit: сквозная проверка домена (например, KYC/AML или кассауты).
• Follow-up/Verification: подтверждение закрытия CAPA.

Подход: Walkthrough (трассировка), интервью, ревью артефактов/логов, аналитика, реперформанс (повтор исполнения).

7) Доказательства и выборки

Виды evidence: выгрузки логов (подпись/хэш), отчеты IdP/SSO, тикеты и журналы одобрений, конфиги, скриншоты с таймштампами, xls/csv из витрин, записи сессий PAM.
Целостность: WORM-копии, хэш-цепочки/подписи, указание `ts_utc`.
Выборка: статистическая/сужденная; размер зависит от частоты контроля и уровня уверенности.
Критерии: pass/fail; допускаются de minimis пороги для ручных операций.

8) Оценка и классификация несоответствий

Градации: Critical / High / Medium / Low.
Критерии: влияние (деньги/PII/лицензии), вероятность, длительность, повторяемость, компенсирующие контроли.
Отчетность: карточка находки (risk, описание, примеры, первопричина, влияние, требуемые действия, сроки, владелец), статус трекинга.

9) CAPA и управление изменениями

Corrective and Preventive Actions: устранение первопричины (root cause), не только симптомов.
S.M.A.R.T.-меры: конкретные, измеримые, датированные; ответственность и контрольные точки.
Change Advisory Board: изменения высокого риска проходят CAB; обновление политик/процедур/ролей.
Верификация эффективности: повторный аудит через N недель/месяцев.

10) Непрерывный мониторинг (CCM) и аналитика

CCM-кандидаты: высокочастотные и формализуемые контроли — SoD-конфликты, JIT-выдачи, аномальные экспорты, MFA-coverage, платежные лимиты, санкционные хиты.
Инструменты: правила SIEM/UEBA, дашборды Data/BI, валидаторы схем/маскирования, тесты доступа (policy-as-code).
Сигналы/алерты: пороговые/поведенческие; тикеты SOAR; авто-блоки при критических отклонениях.
Преимущества: скорость обнаружения, снижение ручной нагрузки, лучшая доказуемость.

11) Метрики (KPI/KRI)

• Coverage контролями критичных процессов ≥ 95%
• On-time execution ручных контролей ≥ 98%
• CAPA closed в срок (High/Critical) ≥ 95%
• Доля автоматизированных контролей ↑ MoM

• Нарушения SoD = 0
• Доступы к PII без `purpose` = 0
• Утечки/инциденты уведомлены ≤ 72 ч — 100%
• Fail-rate операционных контролей < 2% (тренд снижается)

12) Частота и календарь

Ежедневно/непрерывно: CCM, антифрод-сигналы, лимиты выплат, маскирование.
Еженедельно: сверки платежей/реестров, контроль экспортов, анализ алертов.
Ежемесячно: отчеты MFA/SSO, реестр доступов, вендор-мониторинг, тренды KRI.
Ежеквартально: ре-сертификация прав, тематические обзоры, стресс-тесты BCP/DR.
Ежегодно: полный план аудитов и обновление карты рисков.

13) Интеграции с существующими политиками

RBAC/ABAC/Least Privilege, Политики доступа и сегментация — источник превентивных контролей.
Парольная политика и MFA — обязательные требования для админов/критичных операций.
Аудиторские журналы/политика логов — детективные и доказательные контроли.
TPRM и контракты третьих сторон — внешние контроли: SLA, DPA/SCCs, права аудита.

14) Чек-листы

14.1 Дизайн нового контроля

• Описана цель и связанный риск
• Определен тип (превентивный/детективный/корректирующий)
• Назначены владелец/исполнитель и частота
• Заданы источники данных и формат evidence
• Встроены метрики (KPI/KRI) и алерты
• Прописаны связи с политиками/процедурами
• Определен план тестирования DE/OE

14.2 Проведение аудита

• Scope и критерии DE/OE согласованы
• Список артефактов и доступов получен
• Выборка согласована и зафиксирована
• Результаты и находки классифицированы
• CAPA, сроки и владельцы утверждены
• Отчет выпущен и донесен до стейкхолдеров

14.3 Мониторинг и отчетность (ежемесячно)

• KPI/KRI по всем критичным контролям
• Тренды по сбоям/ложным срабатываниям
• Статус CAPA и просрочки
• Предложения по автоматизации/CCM

15) Типовые ошибки и как их избегать

Контроль без цели/метрики: формализовать objective и KPI/KRI.
Ручные контроли без доказательств: стандартизовать формы/скрипты и хранить артефакты в WORM.
Разрастание исключений: реестр исключений с датой истечения и компенсирующими мерами.
«На бумаге» работает — в реальности нет: регулярные OE-тесты и CCM.
Незакрытые CAPA: автоматическая эскалация и статус на ежемесячном комитете по рискам.

16) Дорожная карта внедрения

Недели 1–2: обновить карту рисков, составить каталог контролей, назначить владельцев, утвердить шаблоны evidence.
Недели 3–4: запустить мониторинг KPI/KRI, выбрать 5–10 контролей для автоматизации (CCM), утвердить годовой план аудитов.
Месяц 2: провести 1–2 тематических аудита (высокий риск), внедрить SOAR-алерты, наладить отчетность борду.
Месяц 3+: расширять CCM, проводить квартальные обзоры, сокращать ручные контроли, повышать долю DE/OE-покрытия и скорость закрытия CAPA.

TL;DR

Эффективные внутренние контроли = риск-карта → цели → четкие активности с владельцем и доказательствами, плюс регулярные DE/OE-тесты, CAPA и CCM-автоматизация. Это делает управление рисками измеримым, аудит — предсказуемым, а соответствие — доказуемым.