GH GambleHub

İç kontroller ve denetimler

1) Amaç ve alan

Amaç: İş hedeflerine güvenli ve yasal olarak ulaşılmasını sağlamak, operasyonel, finansal, uyumluluk ve itibar risklerini azaltmak.
Kapsam: tüm alanlarda süreç ve BT kontrolleri: ödemeler/cassouts, KYC/AML/yaptırımlar, dolandırıcılıkla mücadele, RG, pazarlama/veri ihracatı, DevOps/SRE, DWH/BI, gizlilik/GDPR, TPRM.

2) Koruma ilkeleri ve modeli

Üç savunma hattı: 1) süreç sahipleri (operasyonlar/ürün), 2) risk/uyumluluk/güvenlik (metodoloji, izleme), 3) bağımsız iç denetim.
Risk bazlı: Kontroller artık risk önceliğine göre yapılır.
Kanıta dayalı: Her kontrolün ölçülebilir kriterleri, veri kaynakları ve kanıtlanabilirlik artifaktları vardır.
Automate-first: mümkünse - manuel yerine otomatik ve sürekli kontroller (CCM).

3) Risk haritası - hedefler - kontroller

1. Risk kaydı: Nedenleri/olayları/sonuçları (finans, oyuncular, lisanslar) tanımlayın.
2. Kontrol hedefleri: Önlenmesi/tespit edilmesi/düzeltilmesi gerekenler (örneğin, "fonların yasadışı çekilmesi", "PII'ye yetkisiz erişim").
3. Kontrol faaliyetleri: Hedefe ulaşmak için belirli politikaların/prosedürlerin/otomatiklerin seçilmesi.

Kontrol türleri:
  • Önleyici: RBAC/ABAC, SoD (4-göz), limitler ve puanlama, veri doğrulama, WebAuthn, mTLS.
  • Dedektif: SIEM/uyarılar, mutabakatlar, SLA/SLO panoları, denetim günlükleri (WORM), anomali kontrolü.
  • Düzeltici: otomatik kilitler, geri dönüşleri serbest bırakın, tuş döndürme, manuel ayrıştırma ve geri döndürme.
  • Telafi etme: ana kontrol mümkün değilse - güçlendirme önlemleri (ek izleme, çift doğrulama).

4) Kontrol Kütüphanesi

Her test için aşağıdakiler kaydedilir:
  • Kimlik/Ad, amaç, risk, tür, sıklık, kontrol sahibi, icracı, yürütme yöntemi (manuel/otomatik/kılavuz), kanıt kaynakları, KPI/KRI, politikalar/prosedürler ile iletişim, bağımlı sistemler.
  • States: Draft - Active - Monitored - Retired. Sürüm oluşturma ve kayıt değiştirme.
Kayıt örnekleri (büyütülmüş):
  • 'CTRL-PAY-004' - 4-gözler ödemeler için onaylar> X (önleyici, günlük, Sahibi: Ödemeler Başkanı, Kanıt: uygulamalar/günlükler, KPI: %100 kapsama alanı).
  • 'CTRL-DWH-012' - vitrinlerde PII maskeleme (önleyici, kalıcı, Sahip: Veri Başkanı, Kanıt: test istekleri, KPI: % ≥95 maskeli okuma).
  • 'CTRL-SEC-021' - yönetici konsolları için MFA (önleyici; Kanıt: IdP raporları; KPI: %100 kabul).

5) RACI ve sahipleri

Aktiviteİşletme sahibiSüreç sahibiGüvenlik/Gizlilik/AMLVeri/IT/SREİç denetim
Kontrol tasarımıARCCBEN
YürütmeBENRCRBEN
İzleme/KRICRA/RRBEN
Test (1-2 satır)CRA/RRBEN
Bağımsız denetimBENBENBENBENA/R
CAPA/iyileştirmeARRRC

6) Planlama denetimleri ve testleri

Yıllık plan risk odaklı oluşturulur (yüksek artık risk, düzenleyici gereklilikler, olaylar, yeni sistemler).

Kontrol türleri:
  • Tasarım Etkinliği (DE): Kontrollerin riski azaltmak için doğru şekilde tasarlanıp tasarlanmadığı.
  • İşletim Verimliliği (OE) - Sabit ve belirli bir frekansta çalışıp çalışmadığı.
  • Tematik/Süreç Denetimi: Uçtan uca etki alanı doğrulaması (örn. KYC/AML veya Cassouts).
  • Takip/Doğrulama - CAPA kapanışının onaylanması.

Yaklaşım: Walkthrough (izleme), röportaj, artifact/log incelemesi, analitik, performans (tekrarlama).

7) Kanıt ve örnekler

Kanıt türleri: log yüklemeleri (imza/karma), IdP/SSO raporları, biletler ve onay günlükleri, yapılandırmalar, zaman damgalı ekran görüntüleri, vitrinlerden xls/csv, PAM oturumlarının kayıtları.
Bütünlük: WORM kopyaları, hash zincirleri/imzalar, 'ts _ utc' belirtmek.
Örnekleme: istatistiksel/yargılayıcı; Boyut, kontrol sıklığına ve güven seviyesine bağlıdır.
Kriterler: geçmek/başarısız olmak; Manuel işlemler için de minimis eşiklerine izin verilir.

8) Uygunsuzlukların değerlendirilmesi ve sınıflandırılması

Geçişler: Kritik/Yüksek/Orta/Düşük.
Kriterler: etki (para/PII/lisanslar), olasılık, süre, tekrarlanabilirlik, telafi edici kontroller.
Raporlama: kartı bulma (risk, açıklama, örnekler, kök neden, etki, gerekli eylemler, zamanlama, sahip), izleme durumu.

9) CAPA ve Değişim Yönetimi

Düzeltici ve Önleyici Faaliyetler: Sadece semptomların değil, kök nedenin ortadan kaldırılması.
S.M.A.R.T.measures: spesifik, ölçülebilir, tarihli; Sorumluluk ve kilometre taşları.
Değişim Danışma Kurulu: Yüksek riskli değişiklikler CAB geçer; Politikaları/prosedürleri/rolleri güncellemek.
Performans doğrulama: N hafta/ay sonra yeniden denetim.

10) Sürekli İzleme (CCM) ve Analitik

CCM adayları: yüksek frekanslı ve resmi kontroller - SoD çatışmaları, JIT sorunları, anormal ihracat, MFA kapsamı, ödeme limitleri, yaptırım isabetleri.
Araçlar: SIEM/UEBA kuralları, Veri/BI panoları, devre/maskeleme doğrulayıcıları, erişim testleri (policy-as-code).
Sinyaller/uyarılar: eşik/davranışsal; SOAR biletleri; Kritik sapmalar için otomatik bloklar.
Avantajları: algılama hızı, manuel yükün azaltılması, daha iyi kanıtlanabilirlik.

11) Metrikler (KPI/KRI)

KPI (yürütme):
  • Kritik süreçlerin kontrolleriyle kapsama ≥ %95
  • Manuel kontrollerin zamanında yürütülmesi ≥ %98
  • CAPA zamanında kapandı (Yüksek/Kritik) ≥ %95
  • Otomatik MoM ↑ kontrollerinin paylaşımı
KRI (riskler):
  • SoD bozuklukları = 0
  • PII 'amaç' = 0 olmadan erişir
  • Bildirilen sızıntılar/olaylar ≤ 72 saat - %100
  • Operasyonel kontrollerin başarısızlık oranı <%2 (eğilim azalır)

12) Frekans ve takvim

Günlük/sürekli: CCM, dolandırıcılık karşıtı sinyaller, ödeme limitleri, maskeleme.
Haftalık: ödemelerin/kayıtların uzlaştırılması, ihracat kontrolü, uyarı analizi.
Aylık: MFA/SSO raporları, erişim kaydı, satıcı izleme, KRI eğilimleri.
Üç ayda bir: hakların yeniden belgelendirilmesi, tematik incelemeler, BCP/DR stres testleri.
Yıllık: tam denetim planı ve risk haritası güncellemesi.

13) Mevcut politikalarla entegrasyonlar

RBAC/ABAC/En Az Ayrıcalık, Erişim Politikaları ve Segmentasyon - önleyici kontrollerin kaynağı.
Parola politikası ve MFA, yöneticiler/kritik işlemler için zorunlu gerekliliklerdir.
Denetim günlükleri/log politikası - dedektif ve kanıt kontrolleri.
TPRM ve üçüncü taraf sözleşmeleri - harici kontroller: SLA, DPA/SCC'ler, denetim hakları.

14) Kontrol listeleri

14. 1 Yeni kontrol tasarımı

  • Tanımlanan amaç ve ilişkili risk
  • Tanımlanmış tip (önleyici/dedektif/düzeltici)
  • Sahip/Sanatçı ve Atanan Frekans
  • Belirtilen veri kaynakları ve kanıt formatı
  • Yerleşik metrikler (KPI/KRI) ve uyarılar
  • Politikalara/prosedürlere bağlantılar
  • DE/OE test planı tanımlı

14. 2 Denetim

  • Kapsam ve DE/OE kriterleri kabul edildi
  • Eserler ve erişimler listesi alındı
  • Örnekleme kabul edildi ve düzeltildi
  • Sonuçlar ve bulgular sınıflandırılmış
  • CAPA'lar, son tarihler ve sahipler onaylandı
  • Yayınlanan ve paydaşlara iletilen rapor

14. 3 İzleme ve raporlama (aylık)

  • Tüm kritik kontroller için KPI/KRI
  • Başarısızlık/Yanlış Pozitif Eğilimler
  • CAPA ve Suçluluk Durumu
  • Otomasyon/JMA Önerileri

15) Tipik hatalar ve bunlardan nasıl kaçınılacağı

Hedef/metrik olmadan kontrol: nesnel ve KPI/KRI'yi resmileştirin.
Kanıt olmadan manuel kontroller: Formları/komut dosyalarını standartlaştırın ve eserleri WORM'de saklayın.
İstisnaların büyümesi: Son kullanma tarihi olan istisnaların kaydı ve telafi edici önlemler.
"Kağıt üzerinde" çalışır - gerçekte değil: düzenli OE testleri ve CCM.
Açık CAPA'lar: Aylık risk komitesinde otomatik artış ve durum.

16) Uygulama Yol Haritası

1-2. Haftalar: risk haritasını güncelleyin, bir kontrol kataloğu derleyin, sahipleri atayın, kanıt şablonlarını onaylayın.
3-4. Haftalar: KPI/KRI izlemeye başlayın, otomasyon için 5-10 kontrol seçin (CCM), yıllık denetim planını onaylayın.

2. Ay: 1-2 tematik denetim yapın (yüksek riskli), SOAR uyarılarını uygulayın, yönetim kurulu raporlaması yapın.

Ay 3 +: CCM'yi genişletin, üç aylık incelemeler yapın, manuel kontrolleri azaltın, DE/OE kapsamını ve CAPA kapanış oranını artırın.

TL; DR

Etkili iç kontroller = risk kartı - hedefler - sahibi ve kanıtı olan net faaliyetler, ayrıca düzenli DE/OE testleri, CAPA ve CCM otomasyonu. Bu, risk yönetimini ölçülebilir, denetimi öngörülebilir ve uygunluğu kanıtlanabilir kılar.

Contact

Bizimle iletişime geçin

Her türlü soru veya destek için bize ulaşın.Size yardımcı olmaya her zaman hazırız!

Entegrasyona başla

Email — zorunlu. Telegram veya WhatsApp — isteğe bağlı.

Adınız zorunlu değil
Email zorunlu değil
Konu zorunlu değil
Mesaj zorunlu değil
Telegram zorunlu değil
@
Telegram belirtirseniz, Email’e ek olarak oradan da yanıt veririz.
WhatsApp zorunlu değil
Format: +ülke kodu ve numara (örneğin, +90XXXXXXXXX).

Butona tıklayarak veri işlemenize onay vermiş olursunuz.