Внутрішній аудит і зовнішній аудит

1) Мета і область

Забезпечити системний, незалежний та відтворюваний контроль процесів Операцій та Комплаєнсу: відповідність ліцензіям/законам, надійність фінансової та операційної звітності, ефективність контролю ризиків (KYC/AML/RG, GDPR/PII, платежі/PCI, чесність ігор, ІБ, маркетинг/афіліати, провайдери). Розділ задає принципи, ролі, методологію, програмування перевірок, формат звітів і порядок закриття невідповідностей.

2) Принципи і «три лінії захисту»

1-а лінія: власники процесів (Операції, Платежі, Провайдери ігор, Маркетинг/Афіліати, Служба підтримки) - управляють ризиками day-to-day.
2-а лінія: Комплаєнс/Ризик/Безпека/DPO - політики, моніторинг, консультації, контроль виконання.
3-я лінія: Внутрішній аудит (IA) - незалежна оцінка адекватності та ефективності контролю; підзвітний Наглядовій раді/Аудит-комітету.
Зовнішній аудит (EA): незалежні треті сторони - фінансова звітність, сертифікації (ISO/SOC/PCI), інспекції регуляторів.

Принципи: незалежність, об'єктивність, доказовість, конфіденційність, фокус на ризиках і цінності, прозорість і простежуваність.

3) Розмежування IA vs EA

4) Ролі та RACI

Head of Internal Audit (IA Lead) - стратегія, незалежність, план/репортинг. (A)

Internal Auditors - польові перевірки, робочі документи, висновки. (R)

Process Owners (1-а лінія) - надання даних/артефактів, CAPA. (R)

Compliance/InfoSec/AML/RG (2-а лінія) - ко-аудити, методологи. (C/R)

CFO/Controller - фінконтур, GL, вивірки. (C)

Legal/DPO - трактування норм, PII і ретенція. (C)

Audit Committee - схвалює план IA, приймає звіти, контролює незалежність. (A)

External Auditors/Assessors - проводять EA; доступ до артефактів по NDA. (I/R за контрактом)

5) Ризик-орієнтоване планування (Annual Audit Plan)

1. Реєстр ризиків: ймовірність × вплив (фінанси/GGR, ліцензії, репутація, безпека гравців).
2. Карта процесів: платежі/PSP, гаманець, KYC/AML/KYB, RG, провайдери ігор/RTP, маркетинг/афіліати, ІБ/GDPR, інциденти/повідомлення, регуляторні звіти.
3. Матриця пріоритету: High/Medium/Low → періодичність (кв./півріччя/рік).
4. Скоуп: цілі, критерії, процедури, вибірки, ресурси, таймлайн, залежності.
5. Схвалення: Аудит-комітет затверджує річний план; допускається ad-hoc при S1/S2 інцидентах.

6) Методологія: етапи аудиту

A. Предаудит (Planning): запит документів, розуміння процесу, оцінка дизайну контролю, ризик-оцінка, програма тестів.
Польовий етап (Fieldwork): інтерв'ю, walkthrough, тести дизайну/оперативності, аналітичні процедури, інспекція артефактів, вибірки.
C. Висновки та рейтинг: зіставлення фактів з критеріями; класифікація findings.
D. звіт: проект → узгодження фактів → фінал → презентація менеджменту/комітету.
E. CAPA и Follow-up: план коригувальних/попереджувальних дій, контроль виконання, верифікація.

7) Докази та вибірки

Типи доказів: документальні (політики, логи, тікети), фізичні (скріншоти, конфігурації), усні (інтерв'ю), аналітичні (звірки, тренди).
Якість: достатність (обсяг), доречність (релевантність), достовірність (джерело).
Вибірки: випадкові, систематичні, спрямовані (risk-based), за аномаліями; розмір визначається ризиком і обсягом генеральної сукупності.
Трасування: кожен висновок пов'язаний з тестом, тест - з доказом (унікальний ID); «наскрізна нумерація».

8) Класифікація невідповідностей і рейтинги

Critical (S1): ризик ліцензії/закону/значний фінансовий збиток/PII-breach. Потрібна негайна дія, звіт Комітету/Раді.
High (S2): суттєвий дефект контролю; короткий SLA на виправлення.
Medium (S3): обмежений дефект; план коригувань.
Low (S4): поліпшення/спостереження (оптимізація).

Рейтинг аудіруемого процесу: Effective / Generally Effective with Improvements / Partially Effective / Ineffective.

9) Робочі документи та ретенція

Working Papers: програма, контрольні листи, вибірки, протоколи інтерв'ю, докази, розрахунки, висновки.
Стандарти оформлення: індекс, версія, власник, дата, гіперпосилання на артефакти, контроль змін.
Конфіденційність та PII: доступ по RBAC, зберігання шифроване, маскування чутливих полів.
Терміни зберігання: з політики (зазвичай 5-7 років) або довше, якщо вимагають ліцензії/регулятори.

10) Тематики перевірок (каталог IA)

1. Платежі/PSP/PCI: auth/decline/chargebacks, псевдонімізація PAN, журнали доступу, реєстр постачальників.
2. KYC/AML/KYB: повнота і точність KYC, РЕР/санкції, SAR/STR терміни, якість розслідувань, ведення кейсів.
3. Відповідальна гра (RG): ліміти/самовиключення, процедури контакту, ефективність інтервенцій, рекламні обмеження.
4. GDPR/PII/DPO: реєстр обробок, DSAR, інциденти конфіденційності, договори з обробниками.
5. Провайдери ігор/чесність: RTP drift, інциденти раундів, синхронізація балансів, версіонування RNG/білдів.
6. Маркетинг/Афіліати: дотримання креативних/цільових обмежень, атрибуція, договори, виплати.
7. Інцидент-процеси: час до заяви (TTS), своєчасність повідомлень регуляторам, повнота артефактів.
8. Регуляторна звітність: схеми, дедлайни, DQ, звірка з GL/PSP.
9. ІТ-контролі/ІБ: доступи, SOD, зміни/релізи, журнали аудиту, бекапи, DR/BCP навчання.

11) Формат звіту IA (шаблон)

Виконавче резюме: обсяг, цілі, рейтинг, ключові висновки і ризик.
Контекст: процес/система/юрисдикції, період, застосовні вимоги.
Методологія та обмеження (якщо були).
Детальні висновки щодо пріоритету: факт → критерій → ризик → вплив → рекомендації.
Таблиця CAPA: власник, кроки, терміни, метрики успіху.
Додатки: вибірки, діаграми, реєстр доказів, глосарій.

12) Взаємодія із зовнішнім аудитом (EA)

Фінансова звітність: підготовка GL, вивірки, підтвердження від PSP/банків/провайдерів, управлінські листи.
Сертифікації/оцінки відповідності: ISO 27001/9001, SOC 2, PCI DSS, галузеві інспекції регуляторів.
Ролі IA: pre-assessment (gap-аналіз), супровід запитів, прискорення CAPA, уникнення дублювання.
Прозорість: єдина вітрина артефактів, календар візитів, правила доступу, NDA.
Комунікації: регулярні стендапи «EA readiness», точка входу - Audit Coordinator.

13) CAPA і контроль виконання

CAPA-план: конкретні кроки, метрика, власник, термін, залежні системи/команди.
Верифікація: докази впровадження (скріни, логи, політики, результати тестів), дата, відповідальний аудитор.
Ескалація: S1/S2 - обов'язковий апдейт Комітету; прострочення - «червона зона» дашборду.
Зміна оцінки ризику: після успішного CAPA - перегляд залишкового ризику і частоти перевірок.

14) Дашборд аудиту (управлінський контроль)

Статус плану: % завершення по кварталах і напрямках.
Портфель findings: за серйозністю і простроченням.
CAPA progress: виконано/в роботі/прострочено, медіана часу закриття.
Теплова карта процесів: ризик/ефективність контролів до/після CAPA.
Повторювані виявлення: індикатор системних проблем.

15) Етичні вимоги і незалежність

Конфлікти інтересів: аудитори не аудіюють власну колишню операційну діяльність ≤ 12 міс; декларування конфліктів.
Доступ до даних: тільки за принципом «мінімально необхідного»; заборона на персональне копіювання PII.
Комунікації: нейтральні формулювання, відсутність «обвинувального» тону; факти перш інтерпретацій.

16) Чек-листи

Старт аудиту

• Визначені цілі/критерії/межі.
• Запитані та отримані артефакти, узгоджені формати/терміни.
• Підтверджена незалежність, відсутні конфлікти.
• Затверджено програму тестів і вибірки.

Польовий етап

• Проведені walkthrough і інтерв'ю з key-roles.
• Тести дизайну та операційної ефективності.
• Сформовано реєстр доказів з ID/посиланнями.
• Проміжний бриф власникам процесу (без сюрпризів у фіналі).

Звіт і CAPA

• Факти узгоджені, спірні моменти вирішені.
• Висновки класифіковані (S1-S4), оцінений ризик/вплив.
• CAPA-план з власниками і термінами затверджений.
• Дати follow-up внесені в календар.

17) Шаблони артефактів (швидкі вставки)

Request List (PBC): перелік документів/вивантажень/доступів з дедлайнами.
Test Sheet: контроль → процедура → вибірка → результат → доказ → висновок.
Finding Card: код, заголовок, опис, ризик, вплив, причина (root cause), рекомендація, S-рівень, власник, термін.
CAPA Sheet: крок, метрика, артефакти підтвердження, дата, перевірив.

18) Часті помилки і як їх уникнути

Злиплися ролі IA і 2-ї лінії → порушена незалежність. Рішення: звітність IA безпосередньо Комітету.
Недостатня простежуваність доказів → слабкий захист висновків. Рішення: єдиний реєстр і нумерація.
«Полювання на невідповідності» замість оцінки ризику і цінності. Рішення: ризик-фокус і пріоритизація.
Перевантаження CAPA без ресурсів → прострочення. Рішення: SMART-цілі та ліміт WIP.
Ігнорування даних якості/свіжості при перевірці звітності. Рішення: DQ-чек-лист.

19) Швидкий старт (впровадження за 30 днів)

Тиждень 1: затвердити хартію IA (мандат/підзвітність), провести ризик-оцінку, скласти чернетку річного плану.
Тиждень 2: завести шаблони (PBC, Test/Finding/CAPA sheets), налаштувати реєстр доказів і дашборд статусів.
Тиждень 3: провести 2 пілотних аудиту «короткої форми» (наприклад, PSP/PCI і RG/DSAR), випустити звіти, зареєструвати CAPA.
Тиждень 4: провести follow-up пілотів, відкоригувати методологію, винести річний план на затвердження Комітету, узгодити графік зовнішніх аудитів/сертифікацій.

• Регуляторні звіти та формати даних
• Повідомлення про порушення та терміни звітності
• Дашборд комплаєнсу та моніторинг
• Інцидентні плейбуки та сценарії
• Кризове управління та комунікації
• План безперервності бізнесу (BCP )/DRP
• Журнали аудиту операцій