Denetim kontrol listeleri ve incelemeleri

1) Amaç

• Takımlar ve dönemler arasındaki kontrollerin karşılaştırılabilirliği;
• Bütünlük ve sonuçların kanıtı;
• Yamaların şeffaf yönetimi (CAPA'lar) ve yeniden kontroller

2) Roller ve RACI

Sahibi: Uyum Başkanı/İç Denetim Başkanı - metodoloji, kontrol listelerinin versiyonları. (A)

Süreç Sahipleri (1. satır): öz değerlendirme, eserler, CAPA. (R)

Uyumluluk/InfoSec/AML/RG (2. satır): akran denetimi, ortak denetimler, normların yorumlanması. (R/C)

İç Denetim (3. satır): bağımsız incelemeler, derecelendirmeler, takip. (R)

Yönetim (Exec Sponsoru) - CAPA'ların çıktılarını ve kaynaklarını onaylayın. (A/C)

3) İnceleme türleri

1. Öz Değerlendirme (SA): Kısa kontrol listeleri için süreç sahipleri tarafından aylık/üç aylık.
2. Peer-Review (PR): Komşu bir ekip tarafından çapraz kontrol (çıkar çatışması yok).
3. Yönetim İncelemesi (MR): üç ayda bir - KPI/KRI, eğilimler ve açık CAPA'ların gözden geçirilmesi.
4. İç Denetim İncelemesi (IA): IA Planı Bağımsız İnceleme.
5. Dış Denetim Hazırlığı (EAR): Sertifikalar/denetimler için hazırlık (ISO/SOC/PCI/regülatör).

4) Kontrol listesinin genel kuralları

ID: CL- <code >/Version: v <MAJOR. MINOR >/Owner: <role>
Область: <KYC/AML/RG, GDPR/PII, Payments/PCI, Games/Providers, Reporting, Incidents...>
Frequency: M     Q      Ad-hoc
Material: <criteria for High/Medium/Low>
Sampling: <method and size>
Evidence: <list of files/screenshots/logs>
Question List: [X] Yes [] No [] N/A + Comment + Artifact + Severity
Bottom line: Score/Rating/CAPA

• Tamamen Karşılanmış (%100-90 )/Büyük Ölçüde Karşılanmış (%89-75 )/Kısmen Karşılanmış (%74-50 )/Karşılanmamış (<%50).
• Tutarsızlıkların şiddeti: S1 critical/S2 high/S3 medium/S4 düşük.
• Önemlilik: parasal etki (GGR/NGR), müşteri kapsamı/PII, lisans/ceza riski, oyun bütünlüğü üzerindeki etkisi.

5) Kontrol listesi kataloğu (kontrol noktaları olan iskeletler)

CL-KYC-01 - KYC/KYB

• Politikalar ve inceleme seviyeleri onaylanmış ve günceldir.
• KYC sağlayıcılarının mevcut sözleşmeleri/DPA'ları vardır.
• Doğrulama SLA'ları karşılanır (D-1 metrik).
• Belgeler saklamaya göre saklanır; Erişim - RBAC.
• Başarısızlıklar/tırmanmalar belgelenmiştir; FP oranı normaldir.
• Ortaklar için KYB: mevcut ifadeler/yararlanıcılar.

Kanıt: KYC durum yüklemeleri, DPA kayıt defteri, erişim günlüğü, 25 vaka örneği.

CL-AML-02 - AML/CFT

• Güncellenmiş AML politikası ve risk puanlama metodolojisi.
• Yatılı PEP/yaptırım kontrolleri ve periyodik olarak.
• SARs/STRs zamanında gönderilir; Kabuller var.
• Araştırmaların kalitesi: bütünlük, zamanlama, kapanış.
• İzleme kuralları hız/yapılanma/katırları kapsar.
• devrilme testi yok: SAR sırasında istemci bildirimi yok.

Kanıt: SAR/STR davaları, yaptırım kontrol kayıtları, dava kapatma süresi raporları.

CL-RG-03 - Sorumlu oyun

• Limit/Self Exclusion Register senkronize (Kayıt/Nat. sistem).
• Güvenlik açığı tetikleyicileri - SLA'da temas; İletişim şablonları.
• Müdahale etkinliği ölçülür ve analiz edilir.
• Reklamlar/bonuslar piyasa kısıtlamalarını karşılar.
• RG olayları ve regülatöre bildirimler - zamanında.

Kanıt: kendini dışlama günlükleri, komünist. kalıplar, sosyal yardım metrikleri.

CL-PCI-04 - Ödemeler/PCI

• PCI segmentasyonu ve PAN/CHD envanteri güncel.
• Transit/at-rest tokenization/şifreleme; Anahtarlar kazıyor.
• Eşiklerde PSP tarafından auth-rate/decline/latency; Geri dönüş yolları.
• Geri ödeme süreci ve anlaşmazlıklar için kanıt tabanı.
• ASV taramalarından kaynaklanan güvenlik açıkları zamanında düzeltildi.
• Ödeme alanı erişim günlükleri eksiksiz ve değiştirilemez.

Kanıt: ağ çizelgeleri, ASV raporları, ters ibraz durumları, anahtar KMS politikası.

CL-GAMES-05 - Oyun Sağlayıcıları/Bütünlük

• Sözleşmeler ve teknik özellikler günceldir; RNG/yapı sürümleri - kayıt defterinde.
• RTP-drift izleme ve yanıt eşikleri; Donma prosedürel olarak sabittir.
• Yuvarlak/oturum/cüzdan bakiyelerinin senkronize edilmesi.
• Sağlayıcı Olayları: Zaman Çizelgesi, Yakalama, Oyuncu Tazminatı.
• Bütünlük Düzenleyicisine/RTP'ye Raporlar - gönderildi ve onaylandı.

Kanıtlar: RTP yüklemeleri, sağlayıcı API kayıtları, dondurulmuş bilet örnekleri.

CL-REP-06 - Düzenleyici Raporlama

• Son Tarih Takvimi: Hazır/Gönderilen/Kabul Edilen durumlar.
• Veri şemaları sürümlüdür; dosyalar imzalanmış/karma ile.
• Uzlaşma: çanta ↔ PSP ↔ GL hiçbir tutarsızlık> X %.
• Onaylar (kimlikler/makbuzlar) saklanır ve yapaylarla ilişkilendirilir.
• Yerelleştirme/dil buluştu.

Kanıt: Son tarih panosu, makbuzlar, SQL mutabakatları.

CL-INC-07 - Olaylar/Bildirimler

• S1/S2 tarafından SLA'da TTS (ilk mesaj).
• DPA/Regülatör/PSP/CERT Bildirimleri - zamanında, onaylarla.
• Eserlerin tamlığı: zaman çizelgesi, günlükler, mesajlar, etkilenen listeler.
• Retro ≤ 7 gün, CAPAs kayıtlı ve hareketli.
• Oyuncular politikaya göre telafi edilir.

Kanıt: olay günlüğü, durum sayfası, eser paketleri.

CL-GDPR-08 - GDPR/PII

• Tedavi Kayıt (RoPA) güncel; Yasal dayanaklar doğru.
• DSAR'lar 30 gün ≤ kapalıdır; Suçluluklar açıklandı.
• DPIA'lar yüksek riskli süreçler için tasarlanmıştır.
• Yükleme ve raporlarda aliasing/maskeleme.
• İşlemciler ve SCC ile yapılan sözleşmeler geçerlidir.

Kanıt: RoPA, DSAR dergisi, DPIA, raporlardaki maske örnekleri.

CL-ITGC-09 - Genel BT Kontrolleri

• Değişim yönetimi: PR süreci, testler, onaylar, görevlerin ayrılması.
• Erişimler: RBAC/ABAC, periyodik revizyon, off-boarding ≤ 24 saat.
• Yedekleme/Geri Yükleme, DR Periyodik Testler
• Denetim günlükleri değiştirilemez, tutma gözlemlenir.
• Gözlemlenebilirlik: SLO/hatalı bütçeler, kritik metriklere uyarılar.

Kanıt: PR örnekleri, IAM kayıtları, DR test raporları, saklama politikaları.

6) Örnekleme ve kanıt metodolojisi

Boyut: Kapsam ve riske odaklanma (örn. min 25, büyük diziler için pps/tabakalaşma).
Yöntemler: Rastgele, sistematik, yönlü (anomaliler/marjinal vakalar), pik dönemlere göre.
Yeterlilik: Anahtar çıkışı için en az 2-3 bağımsız kaynak (günlükler, ekran görüntüleri, yüklemeler, biletler).
İzlenebilirlik: Her kontrol listesi öğesi için - ID ile kanıt ve kayıttaki bağlantı.

7) İnceleme derecelendirmeleri rubricator

Etkili - kontrol tasarlanmış ve istikrarlı çalışıyor, S1/S2 tutarsızlıklar yok.
Genellikle Etkili (iyileştirmelerle) - S3/S4 vardır, ancak riskler kontrol altındadır.
Kısmen Etkili - sistem S2; Yüksek kalıntı riski.
Etkisiz - S1/set S2; Acil bir kurtarma planı gerektirir.

8) CAPA и takibi

Her bulgu için: root? Action? Owner? Term? Success metric.
Kapanış SLA: S1 - ≤ 30 gün; S2 - ≤ 60 gün; S3 - ≤ 90 gün; S4 - anlaşma ile.
Doğrulama: Denetçi uygulama kanıtlarını uygular (ekranlar/günlükler/politikalar), durumu Doğrulanmış olarak değiştirir.
Eskalasyon: S1/S2 gecikmeler - haftalık MR'a, Denetim Komitesi'ne üç ayda bir.

9) Çalışma eserleri (şablonlar)

9. 1 Denetim listesi (denetim sayfası)

9. 2 Bulma kartı

Kod Başlığı Gerçek Kriter Risk/etki Kök neden Öneri S seviyesi.

9. 3 CAPA Sayfası

Finding? Adımlar? Sahipler? Son Tarih? Metrik/Eşik? Kanıt? Durum? Doğrulama Tarihi.

9. 4 PBC listesi (Müşteri Tarafından Sağlanan)

Sorgula - Format - Kaynak - Sahip - Son Tarih - Alınan Tarih - Yorumlar.

10) Pano incelemesi

Kapsam: Dönem boyunca inceleme kapsamındaki süreçlerin yüzdesi.
Önem Derecesine Göre Bulgular: S1-S4 dağılımı.
CAPA İlerleme: tamamlanmış/devam etmekte/süresi dolmuş; Ortalama kapanış saati.

Tekrar Bulguları: 12 ayda tekrarların oranı

Zamanlama: SA/PR/MR/IA programına bağlılık.
Etkililik Eğilimi: Alana göre derecelendirme dinamikleri.

11) Takvim ve frekanslar

Aylık: SA by KYC/Payments/GDPR DSAR, olaylar/bildirimler.
Üç ayda bir: AML/RG/Sağlayıcılar/Raporlama tarafından PR, tüm yönler için MR.
Yarı Yıllık/Yıllık: Yüksek riskli alana göre IA; Sertifikalar/denetimler öncesi EAR.

12) Çek kartları "Hızlı başlangıç" (her biri 7 puan)

KYC (7 noktalı): Politika Sağlayıcıları/DPA SLA Kuyrukları> SLA RBAC Feragatnameleri/Escalations FP Raporu.
AML (7 nokta): PEP listeleri/SAR yaptırımları son tarihler Soruşturmaların kalitesi Hız/yapılandırma Devrilme yok Caseboard KPI eğitimleri.
RG (7 punto): Kayıt Defteri/Senkronizasyon SLA'daki Kişiler Etkililik Reklam Kısıtlamaları Şikayetler Olaylar Regülatöre Raporlar.
PCI (7 noktalı): Segmentasyon Anahtarları/ASV Rotasyonu/Volkanlar Erişim Günlükleri Tokenization Chargebacks Fallback PSP.
Oyunlar (7 noktalı): RTP-drift Dondurma prosedürü Denge Senkronizasyonu Sağlayıcı Olayları RNG Sürümleri/SLA API Bütünlük Raporları oluşturur.
Raporlama (7 noktalı): Takvim Şemaları/sürümleri İmza/karma Mutabakat Dili/yerel DQ metrik makbuzları.
Olaylar (7 nokta): Zamanında TTS Bildirimleri Eserlerin Bütünlüğü Tazminat Retro CAPA Dashboard.

13) Sık yapılan hatalar ve bunlardan nasıl kaçınılacağı

Kanıtsız kontrol listeleri - tüm öğeler bir eser kimliği gerektirecektir.
Önemlilik olmadan değerleme - kontrol listesi kartındaki eşikleri düzeltin.
SA/PR/IA çoğaltması - tutarlı bir takvim ve tek bir istek kaydı (PBC).
Operasyonel testler olmadan "belge merkezcilik" - her zaman operasyonların bir örneğini alır.
Metriksiz CAPA'lar ölçülebilir sonuçlar belirtir (örneğin, DSAR 30 gün ≤ ≥ %98).

14) Uygulama planı (30 gün)

Hafta 1

1. Metodoloji ve derecelendirme ölçeklerini onaylayın.
2. 8 temel kontrol listesi oluşturun (CL-KYC/AML/RG/PCI/GAMES/REP/INC/GDPR).
3. Artefaktları ve PBC/Finding/CAPA şablonlarını kaydedin.

2. hafta

4. 2 süreçte SA pilotu ve 1 süreçte PR yapın.
5. İnceleme kontrol panelini ve CAPA günlüğünü ayarlayın.
6. "Kanıt ve örnekler" konusunda eğitim verin.

3. hafta

7. Yakın sertifikasyon/muayene üzerine EAR oturumu.
8. Çeyrek için MR/IA programına katılıyorum.
9. Malzeme eşiklerini ve numune boyutlarını sabitleyin.

4. hafta

10. V1'i serbest bırakın. 0 kontrol listesi dizini ve takvim kartı.
11. Retro pilot, güncelleme kontrol listesi sürümleri (v1. 1).
12. İncelemeyi süreç sahibi KPI'larına dahil edin.

15) İlgili bölümler

İç Denetim ve Dış Denetim

Düzenleyici raporlar ve veri formatları

İhlal Bildirimleri ve Raporlama Süreleri

Uyumluluk panosu ve izleme

Olay oyun kitapları ve komut dosyaları

Kriz yönetimi ve iletişim