Чӣ гуна буҷети иҷозатномадиҳӣ ва аудит ташкил карда мешавад

Муқаддима: чаро ба шумо "контури мувофиқат" лозим аст

Иҷозатномадиҳӣ ва аудит як "пардохти ҳаққи қабул" нест, балки ҷараёни идомаи идоракунии хавфҳо: тозагии ҳуқуқӣ, шаффофияти гардиши пули нақд, ҳифзи маълумот ва тамомияти бозӣ. Буҷети босалоҳият хароҷотро ба CAPEX (яквақта) ва OPEX (такроран) тақсим мекунад, талаботи юрисдиксионӣ, омодагии техникӣ ва тақвими нуқтаҳои назоратиро (пешниҳод, санҷиши пешакӣ, барориш, назорат, таҷдид) ба назар мегирад.

Сохтори буҷет: он аз чӣ иборат аст

1) Иҷозатномадиҳӣ (қаламравҳо ва намудҳо)

Бақайдгирӣ ва боҷҳои давлатӣ (ҳаққи дархост, ҳаққи иҷозатнома).

Дастгирии ҳуқуқӣ (пешниҳод, сохтори корпоративӣ, KID/KYB, шартномаҳо).

Хизматрасониҳои корпоративӣ (директорон/котибони номӣ, офис, баҳисобгирӣ).

Талаботи молиявӣ (сармояи оинномавӣ, пасандозҳои кафолат/суғурта).

Нақшҳои маҳаллӣ (корманди MLRO/AML, DPO, масъули RG).

Тарҷумаҳо ва нотариусҳо (қонунҳо, сиёсатҳо, шартномаҳо, шаҳодатномаҳо).

2) Аудит ва сертификатсия

Аудити бозӣ (RNG/математика, RTP, санҷишҳои ҳамгироӣ).

Пардохт/коркард (пайгирии транзаксия, манбаъҳои маблағ, СО/KYC).

Амнияти иттилоотӣ (ISO 27001/ISMS; ҳангоми кор бо кортҳо - PCI DSS).

Махфият ва маълумот (GDPR/UK GDPR, DPIA, тарроҳии махфият).

Мутобиқати амалиётӣ (SLA/ҳодисаҳо, сабти тағирот, сабти дастрасӣ).

Бозии масъулиятнок (сиёсати RGS, триггерҳо, гузоришдиҳӣ, худдорӣ).

3) Омодагии техникӣ ба аудит

Инфраструктура (ҷудокунии муҳитҳо, гузоришҳо/мушоҳидаҳо, нусхабардорӣ/DRP).

Ҳуҷҷатгузорӣ (ISMS, сиёсати дастрасӣ, SDLC/CI-CD, идоракунии тағирот).

Стендҳои санҷишӣ ва қуттиҳо (бозӣ, пардохт, KYC).

Литсензияҳои нармафзор (WAF, SIEM, DLP, сканерҳои осебпазирӣ, HSM барои PCI).

4) Назорат ва тамдиди

Санҷишҳо/мониторинги солона, санҷишҳои даврии қалам/скан-ҳисоботҳо.

Ҳисобот ба танзимгарон (омори бозӣ, рӯйдодҳои RG/AML).

Нигоҳдории кадрҳо (таълим, сертификатсия, гардиши бастҳо дар зинда).

CAPEX vs OPEX: Чӣ гуна хароҷотро тақсим кардан мумкин аст

CAPEX (як маротиба): ҳаққи довталабӣ, аудити аввалия (RNG/ISO/PCI), таҳияи сиёсат/равандҳои гумшуда, хариди HSM/таҷҳизот, корҳои ҳамгироӣ.

OPEX (такроршаванда): литсензияҳои солона, аудити назоратӣ/назоратӣ, маоши MLRO/AML/DPO, санҷишҳои бозӣ/провайдерҳо, дастгирии ISMS/PCI, суғурта, баҳисобгирӣ ва хидматрасонии корпоративӣ.

Нишондиҳандаҳои басомади ҷараён (тахминӣ)

💡 Диапазонҳо ҳамчун нуқтаҳои истинод барои банақшагирӣ дода мешаванд; маблағи воқеӣ аз доираи салоҳият, миқёс, провайдерҳо ва танзими ҷорӣ вобаста аст.

Дастгирии ҳуқуқии ариза: аз $20k то $120k + (сохтор, файл, саволҳо ва саволҳо бо танзимкунанда).

Давлат. боҷҳо (пешниҳоди/солона): аз $25к то $500к + (аз рӯи иҷозатнома ва ҳаҷми амудӣ хеле фарқ мекунад).

Аудити RNG/бозии як унвон/баста: $5k- $25k барои як унвон/нашр; баста - арзонтар.

Платформаи/Аудити ҳамгироии казино: $30к- $150к.

ISO 27001 (тайёрӣ + сертификатсия): $40к- $200к (бо назардошти мушовирон/мақомоти сертификатсия).

PCI DSS (агар лозим бошад): $30к- $150к + (аз сатҳ, ҳаҷми TPV ва периметр вобаста аст).

GDPR/DPIA ва аудити махфият: $10к- $50к (ба истиснои DPO доимӣ).

Хизматрасониҳои корпоративӣ/баҳисобгирӣ/офис: $12к- $60к дар як сол.

Кормандони мутобиқат (MLRO/AML/DPO/RG): ҷамъи $180 - $600к дар як сол (вобаста ба кишвар ва собиқаи корӣ).

Санҷишҳои қалам/ASV-скан/тестҳо: $10к- $60к дар як сол.

Тақвими корӣ: аз он нақшаи ҷадвал ва кэш сохта мешавад

1. Таҳлили пеш аз фосила (2-4 ҳафта): харитаи талабот, таҳлили холигӣ, скелети буҷавӣ.

2. Тайёрӣ (4-12 ҳафта): сиёсатҳо/равандҳо, корҳои техникӣ, ҷамъоварии артефактҳои ба далелҳо асосёфта.

3. Пешниҳод ва саволҳо ва саволҳо (4-16 ҳафта): посухҳои танзимкунанда, тасҳеҳот.

4. Санҷишҳои ибтидоӣ (2-8 ҳафта): RNG/ҳамгироӣ/ISO/PCI.

5. Барориш/иҷозати шартӣ: бартараф кардани шартҳо, роҳандозии ҳисобот.

6. Назорат (семоҳа/нимсола/сол): аудити назоратӣ, навсозӣ ва санҷишҳо.

Мисол: сметаи сикли 12-моҳа барои оператори онлайн (шарти миёнаи миёна)

(ДОЛЛАРИ ИМА; барои банақшагирии осон мудаввар карда шудааст)

CAPEX (6-9 моҳи аввал):

Ҳуқуқшиносон ва сохтори корпоративӣ: $70,000
Ҳаққи пешниҳоди ҳуҷҷатҳо ва иҷозатномаи аввалия: $180,000
Омодасозии ISMS + ISO 27001 сертификатсия: $95,000
Аудити ҳамгироии платформа ва бастаи RNG (10 унвон): $110,000
PCI DSS (агар нигоҳдорӣ/коркарди PAN): $80,000
Омодагии техникӣ (SIEM/WAF/сканерҳо/бойгонии журнал): $60,000
Ҷамъи CAPEX: $595,000

OPEX (сол):

Литсензияи солона/пардохтҳо: $150,000
Аудити назоратӣ/санҷишҳо/санҷишҳои қалам: $70,000
Кормандони мувофиқат (MLRO/AML/DPO/RG): $360,000
Хадамоти корпоративӣ/баҳисобгирӣ/офис: $36,000
Мушовирон/Тарҷумаҳо/Нотариусҳо (Буфер): $24,000
Ҷамъи OPEX (сол): $640,000

Ҳолатҳои фавқулодда (10-15% CAPEX + OPEX): ~ $123,000 - $184,000

Контури пурраи солона (бо захираи 12%): $1. 39 миллион ($595k + $640k + $147k)

💡 Эзоҳ: Агар пардохтҳо ба PSP бидуни нигоҳдории кортҳо анҷом дода шаванд ва периметри "осон" карда шавад, блоки PCI метавонад ба сканҳои солонаи ASV ва SAQ кам карда шавад - пасандозҳо то 60-80 доллар.

Чӣ лоиҳаро гаронтар мекунад (ва чӣ гуна бояд аз ҳад зиёд пардохт нашавад)

Периметри аудити хунгард. Ҳаҷми ISO/PCI-ро кам кунед: микро-сегментатсия, берун аз миқёс барои системаҳои нолозим.

Ягон "соҳиби талабот вуҷуд надорад. "PMO-и ягонаи мутобиқат ва нақшаи барориши ҳар семоҳа/равандро таъин кунед.

Ҷамъоварии артефактҳои дер. "Сабти далелҳо" -ро бо истинодҳо нигоҳ доред: сиёсатҳо, маҷаллаҳо, гузоришҳо, скриншотҳо.

Аудити такрории провайдер. Дар бораи "ҷуброн" -и артефактҳо розӣ шавед (SOC 2/ISO аз шарикон/хостинг).

Афсарони яктарафа. Буҷа барои иваз/аутсорсинг (беморӣ/рухсатӣ), то мӯҳлатҳоро иваз накунад.

Студияи B2B/Сметаи хароҷоти провайдер (Фарқиятҳо)

Периметри камтар пардохт, аммо ҳиссаи бештари аудитивҳои бозӣ (RNG/RTP/сертификатсия барои ҳар як кишвар).

ISO 27001 калид боқӣ мемонад (дастрасӣ ба маълумоти оператор, манбаъҳо/сохтан).

Фишанги OPEX - санҷишҳо ҳангоми навсозӣ, идоракунии сикли озод (ҳар як озодкунӣ = санҷиши эҳтимолӣ).

Татбиқи математикаи тасдиқшаванда: қолабҳои қоидаҳои такрорӣ, китобхонаи тасдиқкунӣ, ядро.

Сметаи пардохт/оркестр (fintech)

Интегратсияи PCI DSS/корт, сиёсати AML/So

Хатти алоҳида захира барои суғуртаи хавф/пардохт ва масъулияти касбӣ мебошад.

Афзоиши сарборӣ ба воридшавӣ/криминалистика (SIEM, нигоҳдорӣ, парвандаҳои тафтишотӣ).

Идоракунии KPI барои буҷаи мувофиқат

Арзиши мувофиқат/даромади холис,% - ҳиссаи хароҷоти контурӣ ба даромади холис.

Меъёри гузариши аудит,% ва амалҳои ислоҳӣ.

Индекси коҳиши миқёс - чӣ қадар системаҳо аз периметр гирифта шудаанд.

Далелҳои омодагии SLA - ҳиссаи артефактҳои "талабот" дар 48 соат.

Ҳодисаҳои RG/AML - басомад/вазнинӣ, тамоюл пас аз татбиқи тадбирҳо.

Ҳуҷҷатҳо ва артефактҳо, ки ҳамеша мепурсанд

Ҳуҷҷатҳои корпоративӣ, баҳрабардорон, манбаъҳои маблағ.

Сиёсатҳо: ISMS, дастрасӣ/рамзгузорӣ, воридшавӣ, SDLC/CI-CD, идоракунии осебпазирӣ, BCM/DRP.

Созишномаҳо бо провайдерҳо (PSP, KYC, хостинг), SLA ва ҳисоботдиҳӣ.

Харитаи маълумот, DPIA, сабти розигӣ/ҳуқуқи мавзӯъ.

Протоколҳои масъули бозӣ (триггерҳо, худдорӣ, маҳдудиятҳо).

Ҳисоботи математикаи бозӣ/RNG, сертификатсияи провайдерҳои мундариҷа.

Гузоришҳои ҳодиса, тағироти конфигуратсия, натиҷаҳои санҷиш/санҷишҳои қалам.

Рӯйхати санҷиши зуд (оператор)

Таҳлили холигии талаботҳои юрисдиксия ва харитаи артефактҳо.
Буҷаи CAPEX/OPEX + 10-15% захира.
Мувофиқати PMO, марҳилаҳои семоҳа.
Шартномаи аккредитатсияшудаи аудитор (RNG/ISO/PCI).

Бастаи ISMS: сиёсатҳо, бақайдгирии хатарҳо, нақшаҳои омӯзишӣ.

Меъморӣ бо периметри ҳадди аққали аудит.
Нақшаи бозсозӣ ва равзанаи яхкуниро озод кунед.
тақвими назорат/тамдиди 12-24 моҳ.

Буҷаи иҷозатномадиҳӣ ва аудит як портфели ӯҳдадориҳои идорашаванда аст, на танҳо "хароҷот барои коғаз. "Хароҷотро ба як вақт ва мунтазам тақсим кунед, периметри аудитро танг кунед, пойгоҳи далелҳо ва тақвими назоратӣ созед. Ҳамин тавр, шумо мутобиқатро аз тормози озодкунӣ ба дороие табдил медиҳед, ки арзиши сармояро паст мекунад, амалиётро суръат мебахшад ва даромадро ҳифз мекунад.