Как формируется бюджет на лицензирование и аудит

Введение: зачем нужен «контур соответствия»

Лицензирование и аудит — это не разовая «плата за вход», а постоянный контур управления рисками: юридическая чистота, прозрачность денежных потоков, защита данных и честность игр. Грамотный бюджет делит затраты на CAPEX (разовые) и OPEX (повторяющиеся), учитывает юрисдикционные требования, техническую готовность и календарь контрольных точек (подача, пред-аудит, выдача, надзор, продления).

Структура бюджета: из чего он состоит

1) Лицензирование (юрисдикции и типы)

Регистрационные и государственные пошлины (application fee, license fee).

Юридическое сопровождение (файлинг, корпоративная структура, KID/KYB, договоры).

Корпоративные услуги (номинальные директора/секретари, офис, бухгалтерия).

Финансовые требования (уставной капитал, гарантийные депозиты/страхование).

Локальные роли (MLRO/AML-офицер, ДПО, ответственное лицо RG).

Переводы и нотариат (устав, политики, договоры, сертификаты).

2) Аудиты и сертификации

Игровой аудит (RNG/математика, RTP, интеграционные тесты).

Платёжный/процессинговый (дорожка транзакций, источники средств, SoF/KYC).

Информационная безопасность (ISO 27001/ISMS; при работе с картами — PCI DSS).

Конфиденциальность и данные (GDPR/UK GDPR, DPIA, privacy-by-design).

Операционный комплаенс (SLA/инциденты, журнал изменений, журнал доступа).

Ответственная игра (RGS-политики, триггеры, отчётность, self-exclusion).

3) Техническая подготовка к аудитам

Инфраструктура (segregation сред, логи/observability, backup/DRP).

Документация (ISMS, политики доступа, SDLC/CI-CD, change management).

Тестовые стенды и песочницы (игровые, платёжные, KYC).

Лицензии на софт (WAF, SIEM, DLP, сканеры уязвимостей, HSM при PCI).

4) Надзор и продления (surveillance)

Годовые инспекции/мониторинги, периодические pen-tests/scan-reports.

Отчётность регуляторам (статистика игр, RG/AML-ивенты).

Поддержание персонала (обучение, сертификация, ротация смен в live).

CAPEX vs OPEX: как делить расходы

CAPEX (разово): application fees, первоначальные аудиты (RNG/ISO/PCI), разработка недостающих политик/процессов, закупка HSM/оборудования, интеграционные работы.

OPEX (повторяющиеся): годовые лицензии, surveillance/надзорные аудиты, зарплаты MLRO/AML/DPO, ретесты игр/провайдеров, поддержка ISMS/PCI, страховки, бухгалтерия и корпоративное обслуживание.

Ориентиры по диапазонам расходов (приближённые)

💡 Диапазоны приведены как ориентиры для планирования; фактические суммы зависят от юрисдикции, масштаба, провайдеров и текущей регуляторики.

Юридическое сопровождение заявки: от $20k до $120k+ (структура, файл, Q&A с регулятором).

Гос.пошлины (подача/годовая): от $25k до $500k+ (сильно различается по лицензии и объёму вертикалей).

RNG/игровой аудит одного тайтла/пакета: $5k–$25k за тайтл/релиз; пакетно — дешевле.

Интеграционный аудит платформы/казино: $30k–$150k.

ISO 27001 (подготовка + сертификация): $40k–$200k (включая консультантов/сертификационный орган).

PCI DSS (если применимо): $30k–$150k+ (зависит от уровня, объёма TPV и периметра).

GDPR/DPIA и privacy-аудит: $10k–$50k (без учёта постоянного DPO).

Корпоративные услуги/бухгалтерия/офис: $12k–$60k в год.

Штат комплаенса (MLRO/AML/DPO/RG): $180k–$600k в год совокупно (в зависимости от страны и seniority).

Pen-tests/ASV-сканы/ретесты: $10k–$60k в год.

Календарь работ: из чего строится таймлайн и кэш-план

1. Pre-gap анализ (2–4 недели): карта требований, анализ разрывов, бюджет-скелет.

2. Подготовка (4–12 недель): политики/процессы, техработы, сбор доказательных артефактов.

3. Подача и Q&A (4–16 недель): ответы регулятору, корректировки.

4. Первичные аудиты (2–8 недель): RNG/интеграция/ISO/PCI.

5. Выдача/условное разрешение: устранение условий, запуск отчётности.

6. Surveillance (квартально/полугодие/год): надзорные аудиты, продления и ретесты.

Пример: смета 12-месячного цикла для онлайн-оператора (условный mid-size)

(USD; округлено для удобства планирования)

CAPEX (первые 6–9 месяцев):

Юристы и корпоративная структура: $70,000
Пошлины подачи и первичная лицензия: $180,000
Подготовка ISMS + ISO 27001 сертификация: $95,000
Интеграционный аудит платформы и RNG-пакет (10 тайтлов): $110,000
PCI DSS (если храните/обрабатываете PAN): $80,000
Техподготовка (SIEM/WAF/сканеры/лог-архивация): $60,000
Итого CAPEX: $595,000

OPEX (год):

Годовая лицензия/сборы: $150,000
Надзорные аудиты/ретесты/pen-tests: $70,000
Штат комплаенса (MLRO/AML/DPO/RG): $360,000
Корпоративное обслуживание/бухгалтерия/офис: $36,000
Консультанты/переводы/нотариат (буфер): $24,000
Итого OPEX (год): $640,000

Резерв на непредвиденное (10–15% CAPEX+OPEX): ~$123,000–$184,000

Полный годовой контур (с резервом 12%): $1.39 млн ($595k + $640k + $147k)

💡 Примечание: если платежи вынесены к PSP без хранения карт и периметр «облегчен», блок PCI может сократиться до ежегодных ASV-сканов и SAQ — экономия до $60–80k.

Что удорожает проект (и как избежать перерасхода)

Раздутый периметр аудита. Минимизируйте сферу действия ISO/PCI: micro-segmentation, out-of-scope для лишних систем.

Нет «владельца требований». Назначьте единую роль (Compliance PMO) и квартальный план релизов политик/процессов.

Поздний сбор артефактов. Ведите «реестр доказательств» (evidence log) с ссылками: политики, журналы, отчёты, скрины.

Дублирующиеся аудиты провайдеров. Согласуйте «взаимозачёт» артефактов (SOC 2/ISO от партнёров/хостинга).

Single-threaded офисеры. Закладывайте бюджет на замену/аутсорс (болезни/отпуска), чтобы не сдвигать дедлайны.

Смета для B2B-студии/провайдера (отличия)

Меньше платёжного периметра, но больше доля игровых аудитів (RNG/RTP/сертификация под каждую страну).

ISO 27001 остаётся ключевым (доступ к данным операторов, исходники/билды).

OPEX-плечо — ретесты при обновлениях, управление релизным циклом (каждый релиз = потенциальный ретест).

Внедряйте сертифицируемую математику: повторяемые шаблоны правил, библиотека проверок, «заморозка» ядра.

Смета для платёжного/оркестратора (финтех)

PCI DSS/карточные интеграции, AML/SoF-политики, независимые проверки антифрода.

Отдельная строка — резерв под риск/chargeback и страхование профответственности.

Повышенная нагрузка на логирование/forensics (SIEM, ретенция логов, кейсы расследований).

Управленческие KPI для бюджета комплаенса

Cost of Compliance / Net Revenue, % — доля контурных затрат к чистой выручке.

Audit Pass Rate, % и среднее время закрытия CAPA (corrective actions).

Scope Reduction Index — сколько систем выведено из периметра.

Evidence Readiness SLA — доля артефактов, готовых «по запросу» в 48 часов.

RG/AML-инциденты — частота/серьёзность, тренд после внедрения мер.

Документы и артефакты, которые всегда спрашивают

Корпоративные документы, бенефициары, источники средств.

Политики: ISMS, доступ/шифрование, логирование, SDLC/CI-CD, управление уязвимостями, BCM/DRP.

Договоры с провайдерами (PSP, KYC, хостинг), SLA и отчётность.

Карта потоков данных (Data Map), DPIA, записи по согласиям/правам субъектов.

Протоколы Responsible Gaming (триггеры, самоисключения, лимиты).

Игровая математика/RNG-отчёты, сертификация провайдеров контента.

Журналы инцидентов, изменения конфигураций, результаты тестов/pen-tests.

Чек-лист быстрого старта (оператор)

Gap-анализ требований юрисдикции и карта артефактов.
Бюджет CAPEX/OPEX + резерв 10–15%.
Назначен Compliance PMO, квартальные вехи.
Договор с аккредитованным аудитором (RNG/ISO/PCI).
ISMS-пакет: политики, риск-реестр, планы обучений.
Архитектура с минимальным периметром аудита.
План ретестов при релизах и change-freeze окна.
Календарь надзора/продлений на 12–24 месяца.

Бюджет на лицензирование и аудит — это портфель управляемых обязательств, а не просто «расходы на бумажки». Делите затраты на разовые и регулярные, сужайте периметр аудита, выстраивайте доказательную базу и календарь надзора. Так вы превратите комплаенс из тормоза релизов в актив, который снижает стоимость капитала, ускоряет сделки и защищает выручку.