Продление лицензий и инспекции

1) Цель и область

Обеспечить своевременное продление действующих лицензий и успешное прохождение плановых/внеплановых инспекций без остановки бизнеса и рисков для бренда/игроков. Охват: B2C/B2B лицензии, игровые/платежные разрешения, RG/AML/GDPR/ИБ-контуры, технические сертификации (RNG/PCI/SOC/ISO), локальные разрешения на рекламу/аффилиаты.

2) Принципы

Нулевой риск просрочки. Дедлайны в календаре, дублирующие напоминания и резервные владельцы.
Один источник истины. Единый реестр требований, версий документов и статусов.
Доказательность. Каждое утверждение подтверждено артефактом (файл/лог/скрин/номер тикета).
Непрерывная готовность. «Всегда готов» к инспекции: дашборд комплаенса, актуальные политики, журналы аудита.
Прозрачное CAPA. Любое замечание регулятора закрывается измеримыми действиями в SLA.

3) Роли и RACI

License Program Owner (Head of Compliance) — стратегия, реестр требований, календарь. (A)

Legal Counsel — юридические формы, аффидевиты, трактовка норм. (R/C)

Finance/CFO — сборы/пошлины, банковские гарантии, отчетность. (R)

AML Officer / RG Lead / DPO / CISO — содержательное соответствие по направлениям. (R)

Payments Lead / Game Providers Ops — доказательства по PSP/PCI и честности игр. (R)

Internal Audit — pre-assessment, независимые ревью, контроль CAPA. (C/R)

Exec Sponsor (CEO/COO) — эскалации S1, взаимодействие высокого уровня. (I/A)

4) Жизненный цикл продления лицензии

T-120…T-90 дней: ревизия требований, аудит готовности (gap-анализ), подтверждение финансовых показателей/структуры владения/бенефициаров.
T-90…T-60: сбор и обновление документов (политики, отчеты, сертификаты), согласование форм, подготовка платежей и гарантий.
T-60…T-30: загрузка пакета в портал/SFTP/почтой, запросы разъяснений, фиксирование квитанций, предварительное бронирование on-site/remote слотов.
T-30…T-0: закрытие вопросов регулятора, подтверждение оплаты, публикация/получение нового сертификата/письма о продлении.
T+: пост-проверка: обновить витрины, статусы на сайте/в кабинетах партнеров, сохранить артефакты, провести ретро.

5) Реестр требований (структура карточки)

LIC-ID: <code >/Jurisdiction: <regulator >/Type: B2C    B2B    other
Valid from <date> to <date >/Renewal Deadline: <date, TZ>
Compliance formulas: GGR/capital/guarantees/technical certs
List of documents: policies/reports/certificates/questionnaires/affidavits
Feed Channel: Portal    API    SFTP    Mail/Format: PDF    CSV    XML    XLSX
Fees/guarantees: amount, currency, invoice, payment terms
Regulator contacts: email/portal ID/phone
Special conditions: localization of language, certification, notary/apostille
Package version: vX. Y/Owner/Reserve/Last Check

6) Документы и доказательства (типовой список)

Корпоративные: уставные документы, структура владения/бенефициары (UBO), Good Standing.
Финансы: аудированная отчетность, подтверждения уплаты сборов/налогов, банковские гарантии/страховки.
Операции/Комплаенс: актуальные политики (KYC/KYB, AML/CFT, RG, GDPR/PII, маркетинг/аффилиаты), журналы обучения персонала.
Техника/ИБ: архитектуры зон, PCI-сегментация, SOC/ISO, пентест-отчеты, уязвимости ASV, журналы изменений/доступов.
Игровая честность: реестр RNG/версий билдов, RTP-отчеты, инциденты провайдеров и freeze-процедуры.
Процессы инцидентов: статус-страница, шаблоны уведомлений, отчеты DPA/регуляторам, журналы MTTA/MTTR/TTS.
Отчеты регуляторам: реестр дедлайнов, квитанции приема, сверки с GL/PSP.

7) Инспекции: форматы и ожидания

Remote review: переписка/портал, видеосессии, демонстрация систем (screen-share), выгрузки логов и конфигураций.
On-site: интервью (Compliance, AML, RG, DPO, Tech/Payments, IA), walkthrough-демо, выборки кейсов (KYC, SAR/STR, DSAR, RG-интервенции, chargebacks), проверка политики доступа, осмотр PCI-зоны/DR-помещений.
Sampling & Evidence: регулятор выбирает выборку; готовность предоставить анонимизированные/псевдонимизированные данные, номера тикетов, скриншоты с временными метками.

8) Чек-листы готовности (сокращенно)

8.1 Общий перед подачей

• Календарь и дедлайн подтверждены; дубликат-напоминание создано (T-90/T-60/T-30).
• Сборы/гарантии оплачены; квитанции и bank advice сохранены.
• Версии политик/процедур — актуальны и подписаны.
• Сертификаты (PCI/SOC/ISO/RNG) действительны на дату продления.
• Пакет локализован (язык, формат), заверения/апостиль выполнены.
• Все формы заполнены без пропусков; контроль «четырех глаз».

8.2 По направлениям

AML/CFT: SAR/STR в срок; PEP/Sanctions журналы; методики скоринга; caseboard KPI.
KYC/KYB: уровни проверки, DPА с провайдерами, очереди ≤ SLA, доказательства отказов/эскалаций.
RG: self-exclusion/лимиты синхронизированы; шаблоны коммуникаций; эффективность интервенций.
GDPR/DPO: RoPA, DSAR ≤ 30 дней, DPIA, договоры с обработчиками/SCC, инциденты и уведомления.
PCI/Payments: сегментация, токенизация, ASV/пентесты, журналы доступа, chargebacks/диспуты, fallback PSP.
Игровая честность: RTP-drift мониторинг, версии RNG/билдов, журналы провайдер-инцидентов.
Отчетность: квитанции регуляторов; сверки GL/PSP; валидаторы схем.
Инциденты: TTS/MTTR в SLA, подтверждения уведомлений, пакеты артефактов.

9) Риски и меры предосторожности

Просрочка продления (S1): триггеры T-90/T-60/T-30, резервный владелец; «план Б» (временное приостановление маркетинга/регистраций в юрисдикции, информирование партнеров).
Неполный пакет/ошибки форм: pre-validation чек-лист + контроль «четырех глаз», пилотная загрузка в песочницу, автоматические линтеры форматов.
Непройденные аудиты/серты: ранний gap-анализ и CAPA с буфером ≥ 30 дней.
Менеджерские изменения/UBO: подготовка аффидевитов/нотариата заранее, трекинг по Legal.
Изменение тех-ландшафта: релиз-ноты для регулятора, карта соответствия «что поменялось и почему безопасно».

10) CAPA по замечаниям инспекции

Finding Card: факт → критерий → риск → влияние → рекомендация → воркплан → владелец → срок → метрика успеха.
SLA закрытия: S1 ≤ 30 дней; S2 ≤ 60; S3 ≤ 90; S4 — по согласованию.
Верификация: доказательства внедрения (скрины/логи/политики/результаты тестов), подпись Internal Audit, статус Verified.
Эскалация: просрочки S1/S2 — на еженедельный Management Review, квартальный отчет Аудит-комитету.

11) Финансы продления

Сборы/пошлины: таблица ставок, курсы валют, счета получателей, дедлайны оплаты.
Гарантии/страхование: суммы, тип (bank guarantee/insurance bond), дата истечения, условия продления.
Бюджет: календарь платежей по юрисдикциям, буфер на внеплановые инспекции/переводы документации.

12) Дашборд «License & Inspections»

License Timeline: срок действия, дедлайны T-90/T-60/T-30, прогресс пакета (% готовности документов).
Inspection Queue: предстоящие визиты/встречи, чек-листы статусов.
Evidence Coverage: доля пунктов с прикрепленными артефактами.
CAPA Progress: выполнено/в работе/просрочено, медиана времени закрытия.
Risk Heatmap: вероятность × влияние по юрисдикциям/направлениям.
Readiness Index: интегральный балл готовности (AML/KYC/RG/GDPR/PCI/Games/Reporting).

13) Шаблоны (быстрые вставки)

A) Cover Letter (продление)

B) Response to Queries (RFI/RFQ)

C) On-site Agenda

D) Post-Inspection Update

14) Управление документами и приватностью

DMS/Repo: структурирование по юрисдикциям, версиям, классам документов; контроль доступа RBAC/ABAC.
PII/конфиденциальность: псевдонимизация/маскирование, отдельная зона хранения чувствительных данных, шифрование at-rest/in-transit.
Журналы доступа: неизменяемые, периодические ревизии.

15) Взаимосвязанные процессы

Регуляторные отчеты и форматы данных — источники выгрузок и квитанции.
Дашборд комплаенса — метрики для инспекции.
Инцидентные плейбуки / Уведомления — доказательства своевременности.
Внутренний/внешний аудит — pre-assessment и готовность к сертификациям.

16) Частые ошибки и как их избежать

Присылают «policy on paper», но нет операционных логов → всегда прикладывать evidence of operation (выборки, логи, тикеты).
Несостыковки дат/таймзон → все таймстемпы в UTC, локаль отдельно.
Истекшие сертификаты (PCI/SOC/ISO) в пакете → буфер 60 дней и напоминания.
Неучтенные изменения в архитектуре → changelog и карта соответствия для регулятора.
Отсутствие резервного владельца → назначить backup-owner по каждой лицензии.

17) План внедрения (30 дней)

Неделя 1

1. Инвентаризация всех лицензий/разрешений и дат истечения.
2. Создание реестра требований и карточек (раздел 5).
3. Настройка календаря дедлайнов и напоминаний (T-90/T-60/T-30).

Неделя 2

4. Gap-анализ готовности по направлениям (AML/KYC/RG/GDPR/PCI/Games/Reporting).
5. Сбор базового пакета документов; выравнивание форматов/локалей.
6. Подготовка шаблонов Cover Letter/On-site Agenda/Response to Queries.

Неделя 3

7. Пилотная «сухая» инспекция (table-top) и исправление пробелов.
8. Настройка дашборда License & Inspections и показателей Readiness Index.
9. Создание CAPA-реестра и маршрутов согласования.

Неделя 4

10. Подача ближайших продлений в «песочницу»/портал (если доступно).
11. Ретро по пилоту, правки в пакетах и чек-листах, утверждение v1.0.
12. Утверждение годового календаря инспекций и назначение резервных владельцев.

• Регуляторные отчеты и форматы данных
• Уведомления о нарушениях и сроки отчетности
• Дашборд комплаенса и мониторинг
• Внутренний аудит и внешний аудит
• Аудиторские чеклисты и ревью
• Кризисное управление и коммуникации