Обізнаність персоналу про комплаєнс

1) Мета і зона охоплення

Сформувати стійку культуру комплаєнсу, при якій кожен співробітник розуміє «що можна/не можна», вміє розпізнавати ризики і знає, як діяти (ескалації, канали допомоги). Охоплення: всі функції (Операції, Платежі, RG/AML/KYC/KYB, Маркетинг/Афіліати, Game Ops, Data/Engineering, CS, Фінанси, Legal/DPO, ІБ), підрядники Тимчасові працівники

2) Принципи програми

Tone from the top: публічна підтримка від CEO/Exec.
Простота і застосовність: «що робити завтра на зміні».
Мікро-формат: короткі модулі 5-10 хв, регулярність.
Локалізація: мова ринку, локальні кейси/правила.
Доказовість: журнал проходжень, артефакти, сертифікація.
Безперервність: цикл «вчись → застосуй → виміряй → покращуй».

3) Ролі та RACI

Owner: Head of Compliance/Compliance Awareness Lead - стратегія, контент, календар. (A)

L&D / Training Lead: LMS, розклад, контроль відвідуваності. (R)

Process Owners (KYC/AML/RG/Payments/Marketing/Game Ops/Data/Legal/InfoSec): експертиза і кейси. (R)

DPO/Legal: коректність формулювань, приватність, локалізація. (C)

Internal Audit: незалежна перевірка повноти/записів. (C)

HR: онбординг/оффбординг, дисципліна проходжень. (R)

Comms/Brand: оформлення візуала, кампанії. (R)

Exec Sponsor: публічні повідомлення, ресурси, ескалації. (I/A)

4) Каркас контенту (модулі обізнаності)

1. Кодекс поведінки і канали допомоги (whistleblowing, без репресій).
2. KYC/KYB і захист вразливих гравців (роль кожного).
3. AML/санкції/PEP (сигнали, заборона tipping-off, ескалації).
4. RG - відповідальна гра (ліміти, самовиключення, коректні скрипти).
5. GDPR/PII (мінімізація, DSAR, «не ділитися зайвим»).
6. PCI/Платежі (пан-дані, токенізація, заборони в чаті/тікетах).
7. Маркетинг/Афіліати/Реклама (вікові фільтри, заборонені креативи).
8. Інциденти і повідомлення (коли і що повідомляти, перші кроки).
9. Антифішинг/ІБ-гігієна (паролі, MFA, фішинг-симуляції).
10. Конфлікти інтересів/подарунки/етика.

Кожен модуль: 5-7 слайдів + міні-кейс 2-3 питання + «що робити завтра» (чек-лист на зміну).

5) Формати і частоти

Онбординг (T + 14 днів): базовий пакет (модулі 1-7), короткий тест ≥ 85%.
Щоквартальні кампанії: тематичні (GDPR-тиждень, AML-тиждень...).
Місячні мікро-уроки: 5-10 хв з 1 кейсом і 3 питаннями.
Table-top/role-play (квартал): наскрізний сценарій за функціями.
Фішинг-симуляції (2-4 рази/рік): з навчанням після кліка.
Плакати/інтранет/бот: «Правило 3 кроків», «Що не можна писати в тікеті».
Вендорські воркшопи: KYC/PSP/провайдери ігор - 1-2 рази/рік.

6) Кампанії та меседжі (приклади)

GDPR-тиждень: «Не зберігаємо - не втрачаємо» → чек-лист: не відправляти PII в пошті, маскування скринів, DSAR ≤ 30 днів.
AML-тиждень: «Помічай структуру - рятуй ліцензію» → чек-лист: velocity/structuring сигнали, куди ескалувати.
RG-тиждень: «Грай відповідально, підтримуй гравців» → коректні відповіді CS, порядок дій при бричах лімітів.
PCI-тиждень: «PCI починається з тебе» → заборонені поля в чаті/тікетах, безпечні заміни.
Ads/Affiliates-тиждень: «Реклама без штрафів» → заборонені креативи, вікові фільтри, скарга на «токсичний» трафік.

7) Інструменти

LMS: курси, тести, сертифікати, звіти coverage/on-time.
Комунікаційний бот (Slack/Teams): квізи 1-2 питання на тиждень, нагадування.
Інтранет-хаб: «1-сторінкові» за темами, FAQ, шаблони повідомлень.
Плакати/скрінсейвери: короткі правила, QR на хаб.
Фішинг-платформа: симуляції, персональні підказки.
Форма «Запитати комплаєнс»: швидка відповідь/ескалація.

8) Метрики ефективності (KPI/KRI)

Coverage: % співробітників з актуальним курсом (мета ≥ 98%).
On-time Completion: % тих, що завершили вчасно (мета ≥ 95%).
Recall: частка вірних відповідей через 30 днів (> 80%).
Behavior change: зниження інцидентів tipping-off, частка коректних скриптів CS.
Phishing resilience: CTR ↓, звіти про імітації ↑.
Escalation quality: повнота артефактів в ескалаціях (шаблон, ID, логи).
Whistleblowing: звернення ≠ нуль; час реакції і закриття.

9) Чек-листи

9. 1 Перед запуском програми

• Затверджений «tone from the top» (лист/відео від CEO).
• Календар кампаній на рік; власники тем призначені.
• Контент локалізовано; приклади - по ринках і функціях.
• LMS підключена до HRIS (онбординг/оффбординг).
• Налаштовані звіти coverage/on-time/pass rate.
• Готові плакати, 1-сторінкові, боти-квізи.

9. 2 Під час кампанії

• Нагадування по каналах (чат/пошта/борди).
• Q & A-сесія з експертами (30 хв).
• Коротке опитування «Зрозумій суть» (3 питання).
• Збір фідбека і питань «в полі».

9. 3 Після кампанії

• Звіт: coverage/recall/behavior.
• CAPA по пробілах (скрипти, макроси, процеси).
• Оновлення FAQ і 1-сторінків.

10) Сценарії (role-play) - швидкі вставки

• Гравець перевищив ліміт втрат.
• Правильно: "Ми бачимо, що встановлений вами ліміт досягнутий. За правилами відповідальної гри ми тимчасово обмежимо доступ, щоб захистити вас. Ось як можна налаштувати ліміти.."

• Висновок на перевірці.
• Правильно: "Платіж проходить стандартну перевірку безпеки. Ми повідомимо, як тільки вона завершиться"

• Клієнт надіслав PAN в чат.
• Правильно: "З метою безпеки не надсилайте номер картки. Будь ласка, використовуйте захищену платіжну форму"

• Партнер пропонує агресивний креатив для 18-.
• Правильно: "Нам потрібні вікові фільтри і коректні дисклеймери. Інакше - відмова"

• Запит колеги на повний експорт PII «для аналізу».
• Правильно: "Потрібні підстави і мінімізація. Надамо агрегати/псевдоніми за запитом через DPO"

11) Комунікації і «тон»

Щоквартальне відео від Exec: «Чому комплаєнс - частина стратегії».
Історії успіху: «Співробітник N вчасно помітив ризик - уникнули штрафу».
Бейджі/гейміфікація: очки за квізи, «Compliance Champion» місяця.
Безпечне середовище: помилки розбираються як навчання, не як покарання (крім злого умислу).

12) Артефакти і ретенція

Протоколи проходжень (LMS), результати тестів, сертифікати.
Матеріали кампаній (слайди, записи), Q&A, плакати/1-сторінки.
Звіти KPI/KRI, CAPA-плани та статус їх виконання.
Термін зберігання - з політики навчання/аудиту (зазвичай 5-7 років).

13) Управління змінами контенту

Версіонування (vMAJOR. MINOR. PATCH), changelog.
Тригери оновлення: нові правила/інциденти/аудит-findings.
Процес: драфт → Legal/DPO рев'ю → пілот → реліз → вимір.

14) Ризики та профілактика

«Галочне навчання» → додавайте кейси і спостережувані метрики поведінки.
Перевантаження контентом → мікро-уроки, 1-сторінкові, повторення ключового.
Відсутність локалізації → локальні приклади/мова/платіжні реалії.
Нуль звернень на гарячу лінію → пам'ятайте: це ризик мовчання. Просувайте довіру і анонімні канали.

15) Швидкий старт (30 днів)

Тиждень 1

1. Призначити власника, затвердити цілі KPI (coverage ≥ 98%, on-time ≥ 95%).
2. Сформувати річний календар кампаній і ролей.
3. Підготувати «tone from the top» (лист/відео).

Тиждень 2

4. Розгорнути хаб (інтранет) і LMS; підключити HRIS/SSO.
5. Зібрати базовий курс (модулі 1-6) + тест; підготувати плакати/1-сторінки.
6. Налаштувати бота-квізи та фішинг-симуляцію № 1.

Тиждень 3

7. Пілот на 2-3 командах (CS, Payments, Marketing).
8. Зібрати фідбек; скорегувати скрипти і кейси.
9. Запустити щотижневі мікро-уроки (з одного питання).

Тиждень 4

10. Масовий запуск; контроль coverage/on-time щодня.
11. Звіт до керівництва: перші KPI/інциденти-зміни поведінки.
12. План v1. 1: додавання RG/Ads-кейсів і локалізацій.

• AML-тренінги та навчання співробітників
• Інцидентні плейбуки та сценарії
• Повідомлення про порушення та терміни звітності
• Дашборд комплаєнсу та моніторинг
• Регуляторні звіти та формати даних
• Внутрішній аудит і зовнішній аудит
• Аудиторські чеклісти і рев'ю
• Продовження ліцензій та інспекції
• Зміни регуляторних правил по регіонах