GH GambleHub

Аудит AML та звітність

1) Цілі та контекст

Ланцюжок AML в iGaming охоплює: онбординг (KYC/KYB), санкційний/PEP/Adverse Media-скринінг, моніторинг транзакцій і поведінки, ескалацію кейсів і підготовку звітності в FIU (SAR/STR та інші форми). Аудит (зовнішній/внутрішній) перевіряє дизайн і ефективність контролів, доказову базу і своєчасність репортингу.

2) Губернанс і ролі

Борд/Комітет з ризиків: щорічно затверджує EWRA (Enterprise-Wide Risk Assessment), політику і толеранс до ризику.
MLRO (і заступник): власник процедур, якість SAR/STR, контакт з FIU/регулятором.
Compliance Ops/FinCrime: перевірка алертів, ведення кейсів, QA і навчання.
Internal Audit / External Independent Audit: незалежна перевірка дизайну/ефективності контролів.
Data/Tech: володіють TMS (Transaction Monitoring System), моделями і журналами.

3) RBA (Risk-Based Approach) для iGaming

Фактори ризику:
  • Клієнт: вік/гео, РЕР/санкції, SoF/SoW, поведінкові патерни (швидкість дэп/висновків, нетипові суми, мульти-аккаунтинг).
  • Продукт/канал: казино/спорт/лайв, крипто-он/офф-рамп, анонімні гаманці, миттєві виплати.
  • Географія: високий ризик юрисдикцій, коридори переказу коштів.
  • Провайдери/партнери: PSP/афіліати/агрегатори.
  • Транзакції: структурування (smurfing), кругові потоки, посередники (mule).

Підсумок: ризик-швидкість клієнта/транзакції управляє глибиною KYC, частотою рев'ю і чутливістю правил TMS.

4) KYC/KYB, SoF/SoW і рев'ю

KYC: верифікація особи/адреси, вік, зіставлення з санкціями/PEP/Adverse Media.
KYB: бенефіціари (UBO), галузеві ризики, санкції на юрособу/UBO.
SoF/SoW: підтвердження джерела коштів/багатства для high-risk (виписки, дивіденди, дохід, продаж активу).
Рев'ю: періодичне (12-36 міс) і тригерне (стрибок обороту, зміна поведінкового профілю).

5) Санкції/PEP/Adverse Media

Санкції: первинний скринінг при онбордингу і щоденний рескринінг всіх активних клієнтів і одержувачів виплат.
PEP: посилений due diligence і підвищена частота рев'ю.
Adverse Media: негативні публікації з відмивання, шахрайства, корупції; при збігу → посилення заходів/ескалація.

6) Моніторинг транзакцій і поведінковий контроль

Типові червоні прапори:
  • Серії невеликих депозитів → швидка конверсія у виведення (мінімальна ігрова активність).
  • Мульти-акаунтинг: збіги пристроїв/IP/платіжних інструментів.
  • Обертання коштів між гаманцями/картами (кругові маршрути).
  • Використання високоризикових провайдерів/юрисдикцій/проксі.
  • Депозити від третіх осіб, часті chargeback/відмови, різкі спади/зростання GGR по гравцеві.
  • Для спорту: ставки на низькомаржинальні ринки з підозрілою синхронністю (match-fix red flags).

TMS-правила: velocity (N транзакций за X мин), amount spikes, device/IP clustering, geovelocity, no-play withdrawals, split deposits, duplicate instruments.

7) Кейси, ескалація і SAR/STR

Первинна перевірка алерта → збагачення даними (KYC, платежі, історія, афіліат-джерело, пристрої, гео, Adverse Media).
PR (Pre-SAR Review): MLRO-рішення - SAR/STR, моніторити, закрити з приміткою.
SAR/STR: готується за локальними вимогами (опис фактів, суми, учасники, схеми, обґрунтування підозри, додані докази, тимчасова лінія).
Терміни: «без зволікання» згідно з місцевими правилами; фіксуйте TAT і SLA в політиці.
Tipping-off: заборона розкривати клієнту факт подачі SAR/STR.

8) Аудит AML: охоплення та методи

Охоплення: політика/процедури, EWRA, KYC/KYB, SoF/SoW, санкції/PEP/Adverse Media, TMS-моделі та альберти, кейс-менеджмент, SAR/STR-лог, навчання, журналювання, зберігання, треті особи (PSP/KYC), тести на проникнення/доступи.

Методи:
  • Walkthrough та інтерв'ю (MLRO, AML-аналітики, продукт, IT).
  • Док-рев'ю: політика, SOP, логи, звіти, вибірка кейсів (sampling).
  • Тест дизайну/ефективності: контрольні тести (re-performance), backtesting TMS і калібрування.
  • Model Governance: зміни правил/порогів, документація, A/B, періодичний ретюн.
  • Data lineage: трасування полів у звітах до первинних систем.

Виходи: звіт з рейтингом, знахідки (High/Medium/Low), план remediation, терміни і відповідальні.

9) Доказова база та зберігання

Журнали: альберти, кейси, рішення, хто/коли/що змінив (immutability).
Артефакти: скріншоти, виписки, SoF/SoW, хеші файлів, експорт з TMS, листування.
Терміни зберігання: відповідно до локального закону (часто 5 + років після закінчення відносин).
Privacy/DPA: мінімізація PII, правові підстави, DPIA для high-risk контролів.

10) Звітність (зовнішня/внутрішня)

Зовнішня: SAR/STR в FIU; відповіді на запити держорганів; періодичні статистичні форми (за юрисдикцією).
Внутрішня: звіт MLRO борду/комітету - SAR-динаміка, FPR (false positive rate) TMS, coverage санкцій/РЕР, навчання, remediation-статус.

11) Матриця ризиків (RAG)

ЗонаR (критично)A (виправно)G (контроль)
Санкції/РЕРНемає рескринингаНерегулярноЩодня + після змін
TMSНемає правил/тунінгуВисокий FPR/мертві алертиRBA-модель + ретюн + QA
SAR/STRПропуск термінів/якістьНеповні даніSLA/TAT, чек-листи, QA
KYC/KYBРозриви/немає SoF/SoWSpot-дефіцитиРизик-стратифікація + рев'ю
ДоказиНемає іммутабельностіРозрізненоЦентралізований кейс-менеджер
НавчанняОдноразовоНерег. оновленняЩорічно + за ролями/тести

12) Чек-листи

Перед зовнішнім аудитом/перевіркою

  • Актуальний EWRA і матриця ризиків.
  • Політики/SOP: KYC/KYB, SoF/SoW, санкції/PEP/Adverse Media, TMS, SAR/STR.
  • Реєстри алертів/кейсів/SAR, логи змін TMS.
  • Докази за вибіркою кейсів (скани/виписки/скріншоти).
  • Навчання/тести співробітників, журнали доступу.
  • Договори з PSP/KYC-вендорами, звіти SLA.

Операційна зміна (щодня/щотижня)

  • Санкції/PEP/Adverse Media рескринінг.
  • QA 10% закритих кейсів.
  • Моніторинг FPR/TPR, ретюн при дрифті.
  • Контроль термінів SAR/STR і відхилень від SLA.

13) Рекомендовані реєстри (YAML)

13. 1 Реєстр SAR/STR

yaml sar_id: "SAR-2025-118"
customer_id: "C-774102"
trigger: ["rapid_withdrawals","no_play","high_risk_geo"]
amounts:
deposits_total: 18500 withdrawals_total: 17200 timeline:
first_alert_at: "2025-10-21T14:22Z"
escalated_at: "2025-10-22T10:05Z"
filed_at: "2025-10-23T16:40Z"
fiU_ack_ref: "FIU-ACK-5529"
attachments: ["kyc.pdf","flows.png","device_cluster.csv"]
mlro: "a.petrova"
status: "filed"

13. 2 Реєстр санкційних збігів

yaml hit_id: "SAN-2025-311"
subject: { customer_id: "C-660901", name: "Ivan K." }
list: ["OFAC","EU"]
match_score: 92 decision: "false_positive"
analyst: "d.koval"
closed_at: "2025-11-03"
notes: "DOB mismatch; address not matching"

13. 3 Профіль ризику клієнта

yaml customer_id: "C-552201"
risk_score: 78 risk_factors:
geo: "high"
pep: false adverse_media: false product: ["casino","sports"]
payment_methods: ["cards","crypto_onramp"]
behaviour: ["velocity","no_play_withdrawals"]
kyc_level: "enhanced"
review_next: "2026-05-01"
owner: "FinCrimeOps"

13. 4 Зміни TMS-правил

yaml change_id: "TMS-CH-2025-044"
rule: "no_play_withdrawal_v2"
old_threshold: "withdrawal>500 & play<5 spins"
new_threshold: "withdrawal>300 & play<3 spins"
reason: "trend increase; QA findings"
ab_test: true owner: "FinCrime Analytics"
approved_by: ["MLRO","RiskCom"]
effective_from: "2025-11-10"

14) Плейбуки (інциденти)

P-AML-01: Структурування депозитів

Алерт → агрегація по пристрою/картках/IP → SoF запит → ліміт/пауза виплат → SAR при обґрунтованій підозрі → запис до реєстру.

P-AML-02: Збіг щодо санкцій

Автоблок → ручна верифікація (DOB/адреса/біо) → при підтвердженні - закриття рахунку/повідомлення в FIU (якщо потрібно) → документування.

P-AML-03: Без-ігрові висновки

Заморожування виводу → перевірка дистанції між дэп/виводом, крос-гаманці, зв'язку з акаунтами → SoF/пояснення → SAR/закриття.

P-AML-04: Crypto on/off-ramp

Chain-аналіз (ризик-мітки обмінників/міксерів) → SoF (джерело крипто) → ліміти/блокування → SAR/звітність.

P-AML-05: Підозра на «мулів «/афіліат-зв'язки

Кластеризація пристроїв/платежів → зв'язок з джерелом трафіку → пауза нарахувань афіліату → SAR/правові кроки.

15) KPI/метрики

SAR Timeliness (середній TAT) і SLA дотримання.
FPR/TPR TMS, Precision @Top -N за пріоритетними алертами.
Sanctions/PEP Coverage%, щоденний рескрининг%.
QA Pass Rate за закритими кейсами.
Training Completion% за ролями.
Model Change Control Compliance% (зміни зі схваленням/док-базою).

16) Міні-FAQ

Коли подавати SAR/STR? Після формування обґрунтованої підозри та у строки, встановлені локальним правом/регулятором.
Чи можна повідомляти клієнту про SAR? Ні, діє заборона на tipping-off.
Чи потрібно завжди блокувати рахунок? Рішення по RBA: ризик, санкції, загрози виведення коштів і правила локального закону.
Як зменшити FPR? Ретюн правил, поведінкові фічі, сегментація по ризику, періодичний backtesting/QA.

17) Дисклеймер

Вимоги AML/санкцій і формати звітності розрізняються по країнах і оновлюються. Цей матеріал - операційний каркас; точні терміни, форми та адресати звіряйте з локальними нормами та вказівками вашого регулятора/FIU.

18) Висновок

Ефективний AML-контур в iGaming - це не тільки «галочки» KYC, а зв'язка RBA-моделі, живого моніторингу, якісного кейс-менеджменту та дисципліни звітності. Регулярний незалежний аудит, доказова база і чіткі плейбуки перетворюють комплаєнс в стійкий процес, який захищає гравців, бізнес і ліцензію.

Contact

Зв’яжіться з нами

Звертайтеся з будь-яких питань або за підтримкою.Ми завжди готові допомогти!

Розпочати інтеграцію

Email — обов’язковий. Telegram або WhatsApp — за бажанням.

Ваше ім’я необов’язково
Email необов’язково
Тема необов’язково
Повідомлення необов’язково
Telegram необов’язково
@
Якщо ви вкажете Telegram — ми відповімо й там, додатково до Email.
WhatsApp необов’язково
Формат: +код країни та номер (наприклад, +380XXXXXXXXX).

Натискаючи кнопку, ви погоджуєтесь на обробку даних.