內部控制及其審計

1）目的和範圍

目標：通過降低運營、財務、合規和聲譽風險，確保安全和合法地實現業務目標。
覆蓋範圍：所有領域的處理器和IT控制：付款/卡索,KYC/AML/制裁,反欺詐,RG,數據營銷/出口,DevOps/SRE, DWH/BI, 隱私/GDPR, TPRM。

2）保護原則和模式

三條保護線：1）流程所有者（運營/產品），2）風險/合規/安全（方法，監視），3）獨立內部審計。
基於風險：控制者排列殘余風險優先級。
Evidence-driven：每個控制都具有可測量的標準、數據源和可證明性工件。
自動第一：如果可能,自動和連續控制（CCM）而不是手動控制。

3）風險圖→目標→控制

1.風險註冊：識別原因/事件/後果（財務、玩家、許可證）。
2.控制目標：需要預防/發現/糾正的內容（例如「非法取款」，「未經授權訪問PII」）。
3.控制活動：選擇實現目標的特定策略/過程/自動化。

• 預防：RBAC/ABAC, SoD （4-eyes）,限制和評分,數據驗證,WebAuthn, mTLS。
• 偵探：SIEM/Alerts，偵探，SLA/SLO dashboard，審計記錄（WORM），異常控制。
• 校正：自動鎖定、發行回滾、密鑰旋轉、手動解析和退貨。
• 補償：如果無法進行主要控制-加強措施（補充監測，雙重對賬）。

4）控制目錄（控制庫）

• ID/標題，目標（目標），風險，類型，頻率，所有者（控制所有者），表演者，執行方法（手動/自動/guid），證據來源，KPI/KRI，與策略/程序的通信，依賴系統。
• 狀態：Draft → Active → Monitored → Retired。轉換和更改日誌。

• 「CTRL-PAY-004」-4眼申請付款>X（搶先,每日,所有者：付款頭,事件：申請/記錄,KPI： 100%覆蓋）。
• 「CTRL-DWH-012」-在櫥窗中掩蓋PII（搶先性，永久性，所有者：數據頭，事件：測試查詢，KPI：≥95％的蒙面讀物）。
• 「CTRL-SEC-021」-用於管理控制臺的MFA（搶先性；事件：IdP報告；KPI: 100% adoption).

5） RACI和業主

6）計劃審核和測試

年度計劃以風險為導向（高殘余風險，監管要求，事件，新系統）。

• 設計有效性（DE）：控制是否正確設計以降低風險。
• Operating Effectiveness （OE）：是否在給定頻率下穩定運行。
• Thematic/Process Audit：端到端域驗證（例如KYC/AML或cassouts）。
• Follow-up/Verification：確認CAPA關閉。

方法：walkthrough（跟蹤），訪談，文物/徽標評論，分析，復制（重復執行）。

7）證據和樣本

Evidence視圖：log卸載（簽名/哈希）,IdP/SSO報告,ticket和批準日誌,configies,時間戳截圖,xls/csv從店面,PAM會話記錄。
完整性：WORM拷貝，散列鏈/簽名，指示「ts_utc」。
樣本：統計/註定；大小取決於控制頻率和信心水平。
標準：通過/失敗；允許手動操作的de minimis閾值。

8）不一致性評估和分類

分級：批評/高度/中度/低度。
標準：影響（金錢/PII/許可證），概率，持續時間，可重復性，補償控制。
報告：發現卡（風險，描述，示例，根本原因，影響，所需行動，時限，所有者），跟蹤狀態。

9） CAPA和變更管理

Corrective and Preventive Actions：解決根本原因（root cause）,而不僅僅是癥狀。
S.M.A.R.T.措施：特定，可測量，日期；責任和控制點。
更改咨詢委員會：高風險更改由CAB進行；更新策略/過程/角色。
有效性驗證：在N周/月後重新審核。

10）持續監測（CCM）和分析

CCM候選人：高頻和正式控制-SoD沖突，JIT發行，異常出口，MFA覆蓋，支付限制，制裁命中。
工具：SIEM/UEBA規則，Data/BI儀表板，電路/掩碼驗證器，訪問測試（策略即代碼）。
信號/變量：閾值/行為；SOAR提卡；嚴重偏差的自動單元。
優點：檢測速度快,手動負載減少,可證明性更好。

11）度量（KPI/KRI）

• 關鍵過程控制覆蓋率≥ 95%
• 手動控制器的即時執行≥ 98%
• CAPA按時關閉（High/Critical） ≥ 95%
• MoM ↑自動控制比例

• SoD=0違規行為
• 沒有「purpose」=0的PII訪問
• 泄漏/事件通知≤ 72小時-100%
• Fail-rate操作控制<2%（趨勢下降）

12）頻率和日歷

每天/連續：CCM，反欺詐信號，付款限制，掩蓋。
每周：付款/登記核對、出口管制、差價分析。
每月：MFA/SSO報告，訪問註冊表，供應商監控，KRI趨勢。
每季度：重新認證權利，主題審查，BCP/DR壓力測試。
每年：完整的審計計劃和風險圖更新。

13）與現有策略集成

RBAC/ABAC/Least Privilege，訪問策略和細分是預防性控制的來源。
密碼策略和MFA是管理/關鍵操作的強制性要求。
審計期刊/博客政策-偵探和證據控制。
TPRM和第三方合同-外部控制：SLA，DPA/SCC，審計權。

14）支票單

14.1新控制設計

• 描述了目標和相關風險
• 已定義類型（預防/偵探/糾正）
• 指定所有者/執行者和頻率
• 指定了數據源和evidence格式
• 嵌入度量（KPI/KRI）和Alerta
• 闡明了與政策/程序的關系
• 確定了DE/OE測試計劃

14.2進行審計

• Scope和DE/OE標準一致
• 已獲得工件和可用性列表
• 已商定並記錄了樣本
• 結果和發現被分類
• CAPA、時間表和業主獲得批準
• 報告已發布並報告給Stakeholders

14.3監測和報告（每月）

• 所有關鍵控制的KPI/KRI
• 因故障/誤報而出現的趨勢
• CAPA狀態和逾期
• 自動化/SSM建議

15）類型錯誤以及如何避免它們

沒有目標/度量的控制：正式化目標和KPI/KRI。
無證據的手動控制：標準化形狀/腳本，並將文物存儲在WORM中。
例外情況增加：例外情況登記冊，有到期日期和補償措施。
「在紙上」工作-實際上不是：定期的OE測試和CCM。
未包裹的CAPA：自動升級和每月風險委員會的狀態。

16）實施路線圖

第1周至第2周：更新風險圖,編制控制目錄,指定所有者,批準事件模式。
3-4周：啟動KPI/KRI監視，選擇5-10控制自動化（CCM），批準年度審核計劃。
第2個月：進行1-2次主題審計（高風險），引入SOAR-Alerta，建立董事會報告。
3月+：擴大CCM，進行季度審查，減少手動控制，提高DE/OE覆蓋率和CAPA關閉率。

TL;DR

有效的內部控制=風險卡→目標→與所有者和證據的明確活動,以及定期的DE/OE測試、CAPA和CCM自動化。這使得風險管理可衡量，審計可預測，合規性可證明。