Внутрішні контролі та їх аудит

1) Призначення та область

Мета: забезпечити досягнення бізнес-цілей безпечно і законно, знижуючи операційні, фінансові, комплаєнс- і репутаційні ризики.
Охоплення: процесні та ІТ-контролі у всіх доменах: платежі/касаути, KYC/AML/санкції, антифрод, RG, маркетинг/експорти даних, DevOps/SRE, DWH/BI, приватність/GDPR, TPRM.

2) Принципи та модель захисту

Три лінії захисту: 1) власники процесів (операції/продукт), 2) ризик/комплаєнс/безпека (методологія, моніторинг), 3) незалежний внутрішній аудит.
Risk-based: контролі вибудовуються за пріоритетом залишкового ризику.
Evidence-driven: кожен контроль має вимірні критерії, джерела даних і артефакти доказовості.
Automate-first: по можливості - автоматичні і безперервні контролі (CCM) замість ручних.

3) Карта ризиків → цілі → контролі

1. Ризик-реєстр: ідентифікувати причини/події/наслідки (фінанси, гравці, ліцензії).
2. Цілі контролю: що потрібно запобігти/виявити/виправити (наприклад, «незаконне виведення коштів», «несанкціонований доступ до PII»).
3. Контрольні активності: вибір конкретних політик/процедур/автоматик для досягнення мети.

• Превентивні: RBAC/ABAC, SoD (4-eyes), ліміти і скоринг, валідації даних, WebAuthn, mTLS.
• Детективні: SIEM/алерти, reconciliations, дашборди SLA/SLO, аудит-логи (WORM), контроль аномалій.
• Коригувальні: авто-блокування, відкати релізів, ротація ключів, ручні розбори і повернення.
• Компенсуючі: якщо основний контроль неможливий - посилюючі заходи (доп. моніторинг, подвійна звірка).

4) Каталог контролів (Control Library)

• ID/Назва, мета (objective), ризик, тип, частота, власник (control owner), виконавець, метод виконання (ручний/авто/гуїд), джерела доказів, KPI/KRI, зв'язок з політиками/процедурами, залежні системи.
• Стани: Draft → Active → Monitored → Retired. Версіонування та журнал змін.

• 'CTRL-PAY-004'- 4-eyes approve на виплати> X (превентивний, щоденний, Owner: Head of Payments, Evidence: заявки/логи, KPI: 100% покриття).
• 'CTRL-DWH-012'- маскування PII у вітринах (превентивний, постійний, Owner: Head of Data, Evidence: тест-запити, KPI: ≥95% masked reads).
• 'CTRL-SEC-021'- MFA для адмін-консолей (превентивний; Evidence: IdP-звіти; KPI: 100% adoption).

5) RACI і власники

6) Планування аудитів і тестів

Щорічний план формується ризик-орієнтовано (високий залишковий ризик, регуляторні вимоги, інциденти, нові системи).

• Design Effectiveness (DE): чи коректно спроектований контроль для зниження ризику.
• Operating Effectiveness (OE): чи працює стабільно і в заданій частоті.
• Thematic/Process Audit: наскрізна перевірка домену (наприклад, KYC/AML або касаути).
• Follow-up/Verification: підтвердження закриття CAPA.

Підхід: Walkthrough (трасування), інтерв'ю, рев'ю артефактів/логів, аналітика, реперформанс (повтор виконання).

7) Докази та вибірки

Види evidence: вивантаження логів (підпис/хеш), звіти IdP/SSO, тікети і журнали схвалень, конфіги, скріншоти з таймштампами, xls/csv з вітрин, записи сесій PAM.
Цілісність: WORM-копії, хеш-ланцюжки/підписи, вказівка'ts _ utc'.
Вибірка: статистична/суджена; розмір залежить від частоти контролю і рівня впевненості.
Критерії: pass/fail; допускаються de minimis пороги для ручних операцій.

8) Оцінка та класифікація невідповідностей

Градації: Critical / High / Medium / Low.
Критерії: вплив (гроші/PII/ліцензії), ймовірність, тривалість, повторюваність, компенсуючі контролі.
Звітність: картка знахідки (risk, опис, приклади, першопричина, вплив, необхідні дії, терміни, власник), статус трекінгу.

9) CAPA та управління змінами

Corrective and Preventive Actions: усунення першопричини (root cause), не тільки симптомів.
S.M.A.R.T.-заходи: конкретні, вимірні, датовані; відповідальність і контрольні точки.
Change Advisory Board: зміни високого ризику проходять CAB; оновлення політик/процедур/ролей.
Верифікація ефективності: повторний аудит через N тижнів/місяців.

10) Безперервний моніторинг (CCM) та аналітика

CCM-кандидати: високочастотні і формалізовані контролі - SoD-конфлікти, JIT-видачі, аномальні експорти, MFA-coverage, платіжні ліміти, санкційні хіти.
Інструменти: правила SIEM/UEBA, дашборди Data/BI, валідатори схем/маскування, тести доступу (policy-as-code).
Сигнали/алерти: порогові/поведінкові; тікети SOAR; авто-блоки при критичних відхиленнях.
Переваги: швидкість виявлення, зниження ручного навантаження, краща доказовість.

11) Метрики (KPI/KRI)

• Coverage контролями критичних процесів ≥ 95%
• On-time execution ручних контролів ≥ 98%
• CAPA closed вчасно (High/Critical) ≥ 95%
• Частка автоматизованих контролів ↑ MoM

• Порушення SoD = 0
• Доступи до PII без'purpose'= 0
• Витоки/інциденти повідомлені ≤ 72 год - 100%
• Fail-rate операційних контролів <2% (тренд знижується)

12) Частота і календар

Щодня/безперервно: CCM, антифрод-сигнали, ліміти виплат, маскування.
Щотижня: звірки платежів/реєстрів, контроль експортів, аналіз алертів.
Щомісяця: звіти MFA/SSO, реєстр доступів, вендор-моніторинг, тренди KRI.
Щоквартально: ре-сертифікація прав, тематичні огляди, стрес-тести BCP/DR.
Щороку: повний план аудитів і оновлення карти ризиків.

13) Інтеграції з існуючими політиками

RBAC/ABAC/Least Privilege, Політики доступу та сегментація - джерело превентивних контролів.
Парольна політика і MFA - обов'язкові вимоги для адмінів/критичних операцій.
Аудиторські журнали/політика логів - детективні та доказові контролі.
TPRM і контракти третіх сторін - зовнішні контролі: SLA, DPA/SCCs, права аудиту.

14) Чек-листи

14. 1 Дизайн нового контролю

• Описана мета і пов'язаний ризик
• Визначено тип (превентивний/детективний/коригуючий)
• Призначені власник/виконавець і частота
• Задані джерела даних і формат evidence
• Вбудовані метрики (KPI/KRI) і алерти
• Прописані зв'язки з політиками/процедурами
• Визначено план тестування DE/OE

14. 2 Проведення аудиту

• Scope і критерії DE/OE узгоджені
• Список артефактів і доступів отримано
• Вибірка узгоджена і зафіксована
• Результати та знахідки класифіковані
• CAPA, терміни і власники затверджені
• Звіт випущений і донесений до стейкхолдерів

14. 3 Моніторинг та звітність (щомісяця)

• KPI/KRI за всіма критичними контролями
• Тренди по збоям/помилковим спрацьовуванням
• Статус CAPA і прострочення
• Пропозиції по автоматизації/ССМ

15) Типові помилки і як їх уникати

Контроль без мети/метрики: формалізувати objective і KPI/KRI.
Ручні контролі без доказів: стандартизувати форми/скрипти і зберігати артефакти в WORM.
Розростання винятків: реєстр винятків з датою закінчення та компенсуючими заходами.
«На папері» працює - в реальності немає: регулярні OE-тести і CCM.
Незакриті CAPA: автоматична ескалація і статус на щомісячному комітеті з ризиків.

16) Дорожня карта впровадження

Тижні 1-2: оновити карту ризиків, скласти каталог контролів, призначити власників, затвердити шаблони evidence.
Тижні 3-4: запустити моніторинг KPI/KRI, вибрати 5-10 контролів для автоматизації (CCM), затвердити річний план аудитів.
Місяць 2: провести 1-2 тематичних аудиту (високий ризик), впровадити SOAR-алерти, налагодити звітність борду.
Місяць 3 +: розширювати CCM, проводити квартальні огляди, скорочувати ручні контролі, підвищувати частку DE/OE-покриття і швидкість закриття CAPA.

TL; DR

Ефективні внутрішні контролі = ризик-карта → цілі → чіткі активності з власником і доказами, плюс регулярні DE/OE-тести, CAPA і CCM-автоматизація. Це робить управління ризиками вимірним, аудит - передбачуваним, а відповідність - доказовим.