GH GambleHub

Процедури аудиту та інспекції

1) Навіщо потрібні аудити в iGaming

Аудит - це системна перевірка відповідності продукту і операцій вимогам ліцензій, закону, стандартів і внутрішніх політик.
Цілі: знизити регуляторні та фінансові ризики, довести чесність ігор/платежів/даних, поліпшити процеси і культуру комплаєнсу.

2) Таксономія перевірок (що і хто)

ТипХто проводитьФокусПеріодичність
Внутрішній аудитIn-house Internal Audit/ComplianceПолітики, процеси, SoD, логування, звітністьквартал/півріччя
Зовнішній незалежнийЛабораторії/аудит-фірмиRNG/RTP/волатильність, безпечний. і процесищорічно/при релізі
Регуляторна інспекціяЛіцензіар/наглядПовний зріз: ігри, платежі, RG/AML/Privacyза графіком/раптово
Тематичний аудитПо доменуKYC/AML, RG, Privacy/GDPR, PCI DSSщороку/по зміні
ІТ/безпекаSec/IT AuditДоступи, change-менеджмент, DevOps, DR/BCPщороку/після інциденту

3) Область аудиту (scope)

Ігри: RNG, RTP, контроль версій, незмінні логи.
Платежі: маршрутизація, повернення, chargeback, Net Loss, ліміти.
KYC/AML: процедури, списки санкцій/РЕР, кейси і SAR/STR.
Responsible Gaming: ліміти, тайм-аути, самовиключення, Reality Checks.
Privacy/GDPR/CCPA/LGPD: DPIA, підстави обробки, термін зберігання, права суб'єктів.
Безпека/ІТ: RBAC/ABAC, SoD, журналювання, CI/CD, секрети, DR/BCP.
Маркетинг/CRM/Афіліати: suppression, згоди, договірні заборони.

4) Стандарти та методична база

ISO 19011 - принципи аудиту та проведення (планування → звіт → follow-up).
ISO/IEC 27001/27701 - управління безпекою/приватністю (контрольні заходи).
PCI DSS - якщо обробляєте PAN/карти.
GLI-11/19, ISO/IEC 17025 - у зв'язці з тестовими лабораторіями.
Рамки «трьох ліній захисту» - 1) власники процесів, 2) ризик/комплаєнс, 3) незалежний аудит.

5) Життєвий цикл аудиту

1. Планування: визначення scope/критеріїв, карта ризиків, список артефактів, NDA і доступи.
2. Польові роботи: інтерв'ю, walkthrough, тести контролів, вибірки, інспекція логів/систем.
3. Консолідація: фіксація фактів, рейтинг невідповідностей (High/Med/Low), проект звіту.
4. Звіт: висновки, докази, рекомендації, терміни усунення.
5. CAPA (Corrective and Preventive Actions): план виправлень і запобігання рецидивів.
6. Follow-up: перевірка виконання CAPA, закриття пунктів.

6) Докази та вибірки

Докази (evidence): політики/процедури (останні версії), скріншоти налаштувань, вивантаження журналів (WORM), хеш-суми білдів, тікети change-менеджменту, акти навчання, протоколи інцидентів, DPIA, реєстри згоди, звіти AML/RG.

Вибірка (sampling):
  • RNG/RTP - статистичні вибірки ≥10⁶ результатів (або узгоджений обсяг/період).
  • KYC/AML - випадкова вибірка 60-100 кейсів/період з трасуванням до джерел.
  • Privacy - 20-50 запитів суб'єктів (DSAR), перевірка SLA і повноти відповідей.
  • Payments - 100-200 транзакцій на сценарії (депозит/вивід/chargeback/бонус).
  • RG - 50-100 кейсів лімітів/тайм-аутів/самовиключень + suppression-журнали.

Ланцюжок зберігання (chain of custody): фіксація джерела, часу, контроль цілісності (хеші, підписи).

7) Рейтинги невідповідностей і CAPA

РівеньКритерійТермін закриттяПриклад
HighПорушення закону/ліцензії, ризик шкоди гравцям15-30 днівВідсутність suppression у самовиключених
MediumЗбій контролю/процесу45-60 днівПропуски в RBAC рев'ю
LowДокументообіг/мінорні дефекти90 днівЗастарілий шаблон політики

CAPA-шаблон: опис проблеми → коренева причина → дії (коригувальні/запобіжні) → власник → термін → KPI ефекту → evidence закриття.

8) RACI (ролі та відповідальність)

РольВідповідальність
Audit Lead (Internal/External)План, scope, методика, незалежність
Process OwnersНадання артефактів, виправлення
Compliance/Legal/DPOКритерії, правові рамки, DPIA, регулятори
Security/IT/DevOpsДоступи, журнали, CI/CD, DR, WORM
Data/ML/RiskМетрики RG/AML, моделі та reason-codes
Finance/PaymentsТранзакції, чарджбеки, звіти
Support/CRM/MarketingСкрипти, suppression, згоди

9) Чек-лист готовності до аудиту

Документи та політики

  • Регістр версій політик і процедур (з власниками/датами).
  • DPIA/Records of Processing/ретеншн-матриця даних.
  • Політики RG/KYC/AML/Privacy/Incident/Change/Access/Logging.

Технічні артефакти

  • WORM-сховище логів (ігри/платежі/доступи/зміни).
  • CI/CD-артефакти: SBOM, хеші білдів, підписи, release notes.
  • RBAC/ABAC реєстр, SoD-контроль, результати рев'ю доступів.
  • DR/BCP плани і результати навчань.

Операції

  • Реєстр тренінгів та атестацій персоналу (RG/AML/Privacy).

Журнал інцидентів і пост-моремів.

  • Реєстр запитів суб'єктів даних (DSAR) з SLA.

10) Playbook: інспекція на місці (onsite) і віддалено (remote)

Onsite:

1. Брифінг, узгодження порядку денного та маршруту.

2. Тур робочих місць/серверної (якщо застосовне), перевірка фіз. мір.

3. Інтерв'ю + live-демо контролів, вибірки з прод/реплік.

4. Щоденний wrap-up, попередній зворотний зв'язок.

Remote:
  • Доступ в read-only панелі/дашборди, захищений обмін файлами, запис сесій, time-boxed слоти.
  • Попереднє завантаження артефактів, скрипти відтворення.
Комунікації:
  • Єдина точка контакту, трекінг запитів (ticketing), SLA з надання доказів (зазвичай T + 1/T + 2 робочих дні).

11) Спеціальні сценарії: «dawn raid» та позапланові перевірки

Готовність: правовий бриф, список контактів (Legal/Compliance), правила супроводу аудитора, заборона знищення/зміни даних (legal hold).
Процедура: перевірка мандата/посвідчень, реєстрація копій даних, що вилучаються, присутність Legal, копії журналів цілісності.
Після: внутрішнє розслідування, комунікації борду/партнерам, CAPA.

12) Архітектура комплаєнс-даних і спостережуваності

Compliance Data Lake: централізоване сховище звітів, логів, сертифікатів, DPIA, метрик.
GRC-платформа: реєстр ризиків, контролів, аудитів і CAPA, календар ресертифікацій.
Audit API / Regulator Portal: керований доступ для зовнішніх аудиторів/регулятора.
Іммутабельність: WORM/об'єктне сховище, Merkle-ланцюжки хешів.
Дашборди: RTP-дрейф, Self-Exclusion suppression accuracy, Time-to-Enforce лімітів, KYC SLA.

13) Метрики зрілості аудиту (SLO/KPI)

МетрикаЦільове значення
On-time Evidence Delivery≥ 95% запитів в SLA
High-Findings Closure100% в термін CAPA
Repeat Findings Rate<10% період-до-періоду
RTP Drift Alarms Investigated100% в T + 5 днів
Access Review Coverage100% щокварталу
Training Completion≥ 98% за критичними програмами
Audit Readiness Score≥ 90% (внутр. шкала)

14) Шаблон звіту аудитора (структура)

1. Резюме керівнику (Executive Summary).
2. Область і критерії.
3. Методологія та вибірка.
4. Спостереження/невідповідності (з посиланнями на докази).
5. Оцінка ризику та пріоритети.
6. Рекомендації та план CAPA (узгоджені терміни/власники).
7. Додатки: артефакти, журнали, хеші, скріншоти, реєстр інтерв'ю.

15) Часті помилки і як їх уникнути

Неактуальні політики/версії → централізований регістр, нагадування.
Немає WORM/ланцюжка зберігання → не можна довести факти; Вбудуйте іммутабельність.
Слабкий SoD/RBAC → квартальні рев'ю доступів і журналів.
Відсутність CAPA-дисципліни → власники/терміни/докази закриття.
Нестикування даних (RTP/звіти/каталог) → автоматичні звірки та алерти.
Реакція ad-hoc на інспекції → playbook і тренування (table-top).

16) Дорожня карта впровадження (6 кроків)

1. Політика та методика: прийняти стандарт аудиту, шкалу ризиків, формати звітів.
2. Інвентар контролів: карта процесів і контролів по доменах.
3. Архітектура доказів: WORM, Compliance Data Lake, Audit API.
4. GRC & календар: графік аудитів/ресертифікацій, реєстр CAPA.
5. Навчання/тренування: рольові навчання, «dawn raid» симуляції, table-top.
6. Безперервне поліпшення: моніторинг метрик, ретроспективи, зниження повторних findings.

Підсумок

Процедури аудиту та інспекції - це не разові події, а постійний контур доказової відповідності: чіткий scope, якісні докази, дисципліна CAPA, іммутабельні логи, готовність до візитів регулятора і прозорі метрики. Такий підхід знижує ризики, зміцнює ліцензії і підвищує стійкість продукту і бренду.

Contact

Зв’яжіться з нами

Звертайтеся з будь-яких питань або за підтримкою.Ми завжди готові допомогти!

Розпочати інтеграцію

Email — обов’язковий. Telegram або WhatsApp — за бажанням.

Ваше ім’я необов’язково
Email необов’язково
Тема необов’язково
Повідомлення необов’язково
Telegram необов’язково
@
Якщо ви вкажете Telegram — ми відповімо й там, додатково до Email.
WhatsApp необов’язково
Формат: +код країни та номер (наприклад, +380XXXXXXXXX).

Натискаючи кнопку, ви погоджуєтесь на обробку даних.