審計清單和評論

1）任命

• 團隊和周期之間的檢查的可比性；
• 結果的完整性和可靠性；
• 透明修補程序管理（CAPA）和重新檢查。

2）角色和RACI

所有者： 合規之頭/內部審核之頭-方法，支票版本。(A)

Process Owners（第一行）： 自我評估，工件，CAPA。(R)

Compliance/InfoSec/AML/RG（第二行）： 同行審查，共同審計，規範解釋。(R/C)

Internal Audit（第三行）： 獨立評論，排名，倒計時。(R)

管理（Exec Sponsor）： 批準CAPA的結論和資源。(A/C)

3）咆哮的類型

1.Self-Assessment （SA）：每月/每季度由流程所有者進行短期檢查。
2.Peer-Review （PR）：相鄰團隊交叉檢查（無利益沖突）。
3.管理評論（MR）：每季度一次-對KPI/KRI、趨勢和非公開CAPA的審查。
4.內部審核評論（IA）：根據IA計劃進行獨立審核。
5.外部審核就緒性（EAR）：準備認證/檢查（ISO/SOC/PCI/調節器）。

4）通用支票規則

ID: CL- <code >/Version: v <MAJOR. MINOR >/Owner: <role>
Область: <KYC/AML/RG, GDPR/PII, Payments/PCI, Games/Providers, Reporting, Incidents...>
Frequency: M     Q      Ad-hoc
Material: <criteria for High/Medium/Low>
Sampling: <method and size>
Evidence: <list of files/screenshots/logs>
Question List: [X] Yes [] No [] N/A + Comment + Artifact + Severity
Bottom line: Score/Rating/CAPA

• Fully Met (100–90%) / Largely Met (89–75%) / Partially Met (74–50%) / Not Met (<50%).
• Severity不一致：S1 臨界/S2 高/S3 中等/S4低。
• 物質性：現金效應（GGR/NGR），客戶覆蓋/PII，許可/罰款風險，對遊戲誠實性的影響。

5）支票目錄（帶控制點的骨架）

CL-KYC-01 — KYC/KYB

• 驗證政策和級別已獲得批準並具有相關性。
• KYC 提供商有有效合同/DPA。
• 通過驗證遵守SLA（度量D-1）。
• 文件應按照要求保存；訪問-RBAC。
• 已記錄拒絕/升級；FP的份額正常。
• KYB for Partners：當前對賬單/受益人。

證據：KYC狀態卸載，DPA註冊表，訪問日誌，25個案例的樣本。

CL-AML-02 — AML/CFT

• 更新的AML政策和風險評分方法。
• RER檢查/船上和定期制裁。
• SAR/STR按時發送；有錄取確認。
• 調查質量：完整性，時間，關閉。
• 監視規則覆蓋了velocity/structuring/mools。
• 「no tipping-off」測試：SAR沒有客戶通知。

證據：SAR/STR案例、制裁檢查日誌、案件結案時間報告。

CL-RG-03-負責任的遊戲

• 限制/自我排序名冊是同步的（名冊/納茲）。系統）。
• 脆弱性觸發因素→ SLA中的聯系；通信模式。
• 對幹預的有效性進行測量和分析。
• 廣告/獎金符合市場限制。
• RG事件和通知監管機構-按時。

證據：自我釋放的邏輯，公社。模板、指標。

CL-PCI-04-付款/PCI

• PCI細分和PAN/CHD庫存處於最新狀態。
• 過境/恢復中的令牌/加密；按鍵旋轉。
• 門檻中的PSP的Auth-rate/decline/latency；後退路線。
• Chargeback流程和處置的證據基礎。
• 掃描的ASV漏洞已及時消除。
• 支付區訪問日誌是完整且不可變的。

證據：網絡圖、ASV報告、chargebacks案例、KMS關鍵策略。

CL-GAMES-05-遊戲/誠實提供商

• 合同和技術。規格是相關的；RNG/法案版本在註冊表中。
• RTP-drift監測和反應閾值；freeze在程序上是固定的。
• round/session/錢包平衡同步。
• 提供商事件：時間線、固定、玩家補償。
• 向監管機構提交的誠實/RTP報告-已提交並得到確認。

證據：RTP上載，提供商API的邏輯，freeze-ticket示例。

CL-REP-06-監管報告

• 截止日期日歷：「準備/發送/接受」狀態。
• 數據方案已驗證；文件簽名/帶有哈希。
• Reconciliation：錢包↔ PSP ↔ GL沒有差異>X%。
• 接收確認（ID/收據）已保存並與文物相關。
• 符合本地/語言要求。

證據： dashboard截止日期,收據,SQL對賬.

CL-INC-07-事件/通知

• S1/S2 SLA的TTS（第一條消息）。
• DPA/監管機構/PSP/CERT通知-在截止日期，並附有確認。
• 工件的完整性：時間線、日誌、消息、受影響的列表。
• 復古≤ 7天，CAPA註冊並移動。
• 球員補償是根據政策支付的。

證據：事件日誌，狀態頁面，文物包。

CL-GDPR-08 — GDPR/PII

• 處理註冊表（RoPA）是相關的；法律依據是正確的。
• DSAR關閉≤ 30天；逾期已解釋。
• DPIA適用於高風險流程。
• 卸載和報告時假名/掩碼。
• 與處理程序和SCC的合同有效。

證據：RoPA，DSAR雜誌，DPIA，報告中的口罩示例。

CL-ITGC-09-通用IT控制

• 變更管理：公關流程、測試、備考、免責聲明。
• 可用性：RBAC/ABAC，定期修訂，離岸≤ 24小時。
• 備份/恢復,定期DR測試。
• 審計記錄是不可改變的，應遵守。
• 可觀察性：SLO/有缺陷的預算，對關鍵指標的差異。

證據：PR樣本，IAM標誌，DR測試報告，回避政策。

6）樣本和證據技術

大小：專註於操作量和風險（例如,min 25, pps/分層用於大型陣列）。
方法：隨機、系統、定向（異常/邊緣病例），按峰值周期。
充分性：每個關鍵輸出（日誌、截圖、卸載、字幕）至少有2-3個獨立來源。
可追溯性：每個支票項目都是具有ID和註冊表參考的證明。

7）Rubricator收視率咆哮

Effective-控制設計並穩定運行,S1/S2沒有不一致之處。
Generally Effective（有改進）-有S3/S4但風險得到控制。
Partially Effective-系統S2；高殘留風險。
Ineffective-S1/S2集合；需要立即恢復計劃。

8) CAPA и follow-up

對於每個finding：根→操作→所有者→期限→成功指標。
關閉SLA：S1-≤ 30天；S2-≤ 60天；S3-≤ 90天；S4-通過安排。
驗證：審核員應用實施證明（屏幕/標誌/策略）,將狀態更改為「驗證」。
升級：逾期S1/S2-每周MR，每季度審計委員會。

9）工作工件（模板）

9.1 Checlist（檢查表）

9.2 Finding Card

代碼標題事實風險標準/影響原因（root cause） S級推薦。

9.3 CAPA Sheet

Finding →步驟→所有者→期限→度量/閾值→證據→狀態→驗證日期。

9.4個PBC列表（按客戶端提供）

查詢→格式→來源→負責任→截止日期→收到（日期）→評論。

10）Dashbord咆哮

Coverage：在此期間所涵蓋的過程百分比。
Findings by Severity： S1-S4分布。
CAPA Progress：已完成/正在運行/逾期；關閉時間中位數。
Repeat Findings： 12個月內重播的比例。
時限：遵守SA/PR/MR/IA時間表。
效果趨勢：按地區排名的動態。

11）日歷和頻率

每月：SA通過KYC/Payments/GDPR DSAR，事件/通知。
季刊：AML/RG/Providers/Reporting的公關，適用於所有方向的MR。
Semi-Annual/Annual：高風險地區的IA；EAR在認證/檢查之前。

12）快速起步支票卡（每張7點）

KYC （7點）：政策提供商/DPA SLA隊列>SLA RBAC故障/上報報告FP。
AML （7點）：RER 列表/SAR制裁時間表調查質量Velocity/structuring No tipping off Caseboard KPI培訓。
RG （7點）：註冊表/同步聯系人SLA有效性廣告限制投訴事件向監管機構報告。
PCI （7-point）： 分段密鑰/ASV/火山輪換訪問日誌標記化 Chargebacks Fallback PSP。
遊戲（7點）：RTP-drift Freeze程序平衡同步事件提供商版本RNG/廣告牌 SLA API誠信報告。
報告（7-point）：電路日歷/版本簽名/哈希恢復語言/位置收據DQ度量。
Incidents （7-point）： TTS在Retro CAPA Dashbord賠償文物完整期內的通知。

13）頻繁的錯誤以及如何避免錯誤

沒有證據的支票→所有物品都需要ID工件。
無材料評估→將閾值固定在支票卡中。
SA/PR/IA重復→商定的日歷和統一查詢註冊表（PBC）。
沒有可操作性測試的「文檔中心主義」→始終采樣操作。
沒有指標的CAPA →確定可測量的結果（例如，DSAR ≤ 30天≥ 98％）。

14）實施計劃（30天）

第一周

1.批準評級方法和量表。
2.創建8個基本支票單（CL-KYC/AML/RG/PCI/GAMES/REP/INC/GDPR）。
3.建立工件註冊表和PBC/Finding/CAPA模板。

第二周

4.在2個過程中進行SA飛行員，在1個過程中進行PR。
5.通過評論和CAPA日誌自定義行車記錄儀。
6.發出「證據和樣本」培訓。

第3周

7.EAR近距離認證/檢查會議。
8.同意本季度MR/IA時間表。
9.固定材料閾值和樣本大小。

第四周

10.發布v1。0支票目錄和日歷卡。

11.復古飛行員，更新支票版本（v1。1).

12.在KPI中包含評論流程所有者。

15）相關部分

內部審計和外部審計

監管報告和數據格式

違規通知和報告時限

Dashboard complians和監控

事件花花公子和劇本

危機管理和溝通