內部審計和外部審計

1）目的和領域

確保對運營和合規流程進行系統、獨立和可復制的控制：符合許可證/法律、財務和運營報告的可靠性、風險控制效率（KYC/AML/RG、GDPR/PII 、支付/PCI、遊戲誠信、IB、營銷/分支機構、提供商）。該部分指定了原則，角色，方法，檢查編程，報告格式以及關閉不匹配的順序。

2）原則和「三道防線」

第一行：流程所有者（運營，付款，遊戲提供商，市場/附屬公司，支持服務）-管理日到日風險。
第二行：合規/風險/安全/DPO-政策，監視，咨詢，執行控制。
第三行：內部審計（IA）-對控制是否充分和有效性的獨立評估；向監事會/審計委員會報告。
外部審計（EA）：獨立的第三方-財務報表，認證（ISO/SOC/PCI），監管機構檢查。

原則：獨立性、客觀性、可證明性、保密性、關註風險和價值、透明度和可追溯性。

3） IA vs EA劃分

4）角色和RACI

內部審計（IA Lead）是策略，獨立性，計劃/報告。(A)

Internal Auditors-現場檢查，工作文件，結論。(R)

Process Owners（第一行）-提供數據/工件,CAPA。(R)

Compliance/InfoSec/AML/RG（第二行）-共同審計，方法論。(C/R)

CFO/Controller-fincontur，GL，對賬。(C)

法律/DPO-規範的解釋，PII和背書。(C)

審計委員會-批準IA計劃,接受報告,控制獨立性。(A)

外部審核員/評估員-進行EA；通過NDA訪問人工制品。（合同規定的I/R）

5）以風險為導向的規劃（年度審核計劃）

1.風險登記冊：概率×影響（財務/GGR，許可證，聲譽，玩家安全）。
2.流程圖：付款/PSP，錢包，KYC/AML/KYB，RG，遊戲提供商/RTP，市場/附屬機構，IB/GDPR，事件/通知，監管報告。
3.優先級表格：High/Medium/Low →周期（平方米/半年/年）。
4.Scope：目標，標準，程序，樣本，資源，時間線，依賴性。
5.批準：審計委員會批準年度計劃；S1/S2事件允許臨時發生。

6）方法： 審計階段

A. Predaudit（計劃）：文件查詢，過程理解，控制設計評估，風險評估，測試計劃。
B.現場階段（現場工作）：訪談，步行道，設計/響應性測試，分析程序，文物檢查，樣本。
C.結論和評級：將事實與標準進行比較；findings分類。
D.報告：草案→事實協調→結論→向管理/委員會介紹。
E. CAPA和Follow-up：糾正/預防行動計劃，執行控制，驗證。

7）證據和樣本

證據類型：文件（政客，徽章，字幕），物理（截圖，配置），口頭（訪談），分析（對賬，趨勢）。
質量：充分性（數量）、適當性（相關性）、有效性（來源）。
樣本：隨機，系統的，定向（基於風險的），針對異常；規模由風險和總量決定。
可追蹤性：每個輸出都與測試有關，測試與證明（唯一的ID）有關；「端到端編號」。

8）不一致性分類和評級

批評（S1）：許可證/法律風險/嚴重經濟損失/PII-breach。必須立即采取行動，向委員會/理事會提出報告。
高（S2）：嚴重的控制缺陷；簡短的SLA進行修復。
中度（S3）：有限缺陷；調整計劃。
低（S4）：改進/觀察（優化）。

審核過程評級：具有有效性/成就/成分效應/成就的效率。

9）工作文件及請願書

工作論文：程序，檢查表，樣本，面試協議，證據，計算，結論。
設計標準：索引，版本，所有者，日期，工件超鏈接，更改控制。
隱私和PII：通過RBAC訪問，存儲加密，掩蓋敏感字段。
保留時間：根據政策（通常為5-7年），如果需要許可證/監管機構，則更長。

10）檢查主題（IA目錄）

1.付款/PSP/PCI：auth/decline/chargebacks，PAN別名，訪問日誌，供應商註冊表。
2.KYC/AML/KYB：KYC的完整性和準確性，RER/制裁，SAR/STR時限，調查質量，案件管理。
3.負責任的遊戲（RG）：限制/自我體驗，接觸程序，幹預效率，廣告限制。
4.GDPR/PII/DPO：處理註冊，DSAR，隱私事件，處理者合同。
5.遊戲/誠實提供商：RTP漂移，回合事件，資產負債表同步，RNG/票據轉換。
6.營銷/附屬機構：遵守創意/目標限制，歸屬，合同，付款。
7.事件過程：聲明前時間（TTS），通知監管機構的及時性，文物的完整性。
8.監管報告：計劃，截止日期，DQ，與GL/PSP的對賬。
9.IT 控制/IB：可用性，SOD，更改/版本，審計日誌，備份，DR/BCP演習。

11） IA報告格式（模板）

執行摘要：範圍，目標，排名，關鍵發現和風險。
背景：程序/制度/管轄權，適用要求的期限。
方法論和局限性（如果有）。
關於優先事項的詳細結論：事實→標準→風險→ →建議的影響。
CAPA表：所有者，步驟，時限，成功指標。
附件：樣本、圖表、證據登記冊、詞匯表。

12）與外部審計（EA）的互動)

財務報告：GL的準備，對賬，PSP/銀行/提供商的確認，管理信。
合規性認證/評估：ISO 27001/9001、SOC 2、PCI DSS、行業監管機構檢查。
IA角色：評估前（gap分析），查詢支持，CAPA加速，避免重復。
透明度：一個文物展示、訪問日歷、訪問規則、NDA。
通訊：定期站立「EA readiness」，入口點是Audit Coordinator。

13） CAPA和執行控制

CAPA計劃：具體步驟、指標、所有者、期限、從屬系統/命令。
驗證：實施證明（屏幕、日誌、策略、測試結果）,日期,負責審計師。
升級：S1/S2是委員會的強制性增補；逾期-dashboard的「紅色區域」。
更改風險評估：成功進行CAPA後,審查剩余風險和檢查頻率。

14） Dashbord審計（管理控制）

計劃狀態：按社區和方向完成的百分比。
Findings產品組合：嚴重性和延遲。
CAPA progress：已完成/正在運行/逾期,關閉時間中位數。
過程熱圖：CAPA之前/之後的控制風險/效率。
可重復檢測：系統性問題的指標。

15）道德要求和獨立性

利益沖突：審計員在12個月≤不審計自己以前的業務活動；聲明沖突。
訪問數據：僅以「最起碼必要」的原則進行；禁止個人復制PII。
通訊：中立的措辭，沒有「指責」語氣；事實先於解釋。

16）支票單

開始審計

• 確定目標/標準/界限。
• 請求並收到文物，商定格式/時間表。
• 重申獨立，沒有沖突。
• 已批準測試和抽樣計劃。

現場階段

• 進行步行和關鍵滾動采訪。
• 設計和運營效率測試。
• 建立了帶有ID/鏈接的證據登記冊。
• 過程所有者的中間摘要（決賽中沒有驚喜）。

報告和CAPA

• 事實是一致的，有爭議的時刻已經解決。
• 對調查結果進行分類（S1-S4），評估風險/影響。
• CAPA計劃，包括所有者和時間表。
• follow-up日期已輸入日歷。

17）工件模板（快速插入）

請求列表（PBC）：帶截止日期的文檔/卸載/訪問列表。
測試表：控制→過程→樣本→結果→證明→結論。
Finding Card：代碼,標題,說明,風險,影響,原因（root cause）,推薦,S級,所有者,截止日期。
CAPA Sheet：步驟，度量，確認工件，日期，驗證。

18）頻繁的錯誤以及如何避免錯誤

IA和第二線的融合角色→破壞獨立性。決定：IA直接向委員會報告。
證據可追溯性不足→結論辯護薄弱。解決方案：統一登記冊和編號。
「尋找不匹配」而不是風險和價值評估。解決方案：風險焦點和優先級。
沒有資源的CAPA過熱→延遲。解決方案：SMART目標和WIP限制。
在檢查報告時忽略質量/新鮮度數據。解決方案：DQ支票清單。

19）快速啟動（30天實施）

第1周：批準《國際法院章程》（授權/問責制），進行風險評估，起草年度計劃草案。
第2周：啟動模板（PBC，測試/Finding/CAPA表格），設置證據註冊表和狀態儀表板。
第3周：進行2次「短期」試點審計（例如PSP/PCI和RG/DSAR），發布報告並註冊CAPA。
第4周：對飛行員進行追查，調整方法，將年度計劃提交委員會批準，並商定外部審計/認證的時間表。

• 監管報告和數據格式
• 違規通知和報告時限
• Dashboard complians和監控
• 事件花花公子和劇本
• 危機管理和溝通
• 業務連續性計劃（BCP）/DRP
• 運營審計日誌