Як формується бюджет на ліцензування та аудит

Вступ: навіщо потрібен «контур відповідності»

Ліцензування та аудит - це не разова «плата за вхід», а постійний контур управління ризиками: юридична чистота, прозорість грошових потоків, захист даних і чесність ігор. Грамотний бюджет ділить витрати на CAPEX (разові) і OPEX (повторювані), враховує юрисдикційні вимоги, технічну готовність і календар контрольних точок (подача, пред-аудит, видача, нагляд, продовження).

Структура бюджету: з чого він складається

1) Ліцензування (юрисдикції та типи)

Реєстраційні та державні мита (application fee, license fee).

Юридичний супровід (файлінг, корпоративна структура, KID/KYB, договори).

Корпоративні послуги (номінальні директори/секретарі, офіс, бухгалтерія).

Фінансові вимоги (статутний капітал, гарантійні депозити/страхування).

Локальні ролі (MLRO/AML-офіцер, ДПО, відповідальна особа RG).

Переклади та нотаріат (статут, політики, договори, сертифікати).

2) Аудити та сертифікації

Ігровий аудит (RNG/математика, RTP, інтеграційні тести).

Платіжний/процесинговий (доріжка транзакцій, джерела засобів, SoF/KYC).

Інформаційна безпека (ISO 27001/ISMS; при роботі з картками - PCI DSS).

Конфіденційність і дані (GDPR/UK GDPR, DPIA, privacy-by-design).

Операційний комплаєнс (SLA/інциденти, журнал змін, журнал доступу).

Відповідальна гра (RGS-політики, тригери, звітність, self-exclusion).

3) Технічна підготовка до аудитів

Інфраструктура (segregation середовищ, логи/observability, backup/DRP).

Документація (ISMS, політики доступу, SDLC/CI-CD, change management).

Тестові стенди і пісочниці (ігрові, платіжні, KYC).

Ліцензії на софт (WAF, SIEM, DLP, сканери вразливостей, HSM при PCI).

4) Нагляд і продовження (surveillance)

Річні інспекції/моніторинги, періодичні pen-tests/scan-reports.

Звітність регуляторам (статистика ігор, RG/AML-івенти).

Підтримка персоналу (навчання, сертифікація, ротація змін в live).

CAPEX vs OPEX: Як ділити витрати

CAPEX (разово): application fees, початкові аудити (RNG/ISO/PCI), розробка відсутніх політик/процесів, закупівля HSM/обладнання, інтеграційні роботи.

OPEX (повторювані): річні ліцензії, surveillance/наглядові аудити, зарплати MLRO/AML/DPO, ретести ігор/провайдерів, підтримка ISMS/PCI, страховки, бухгалтерія та корпоративне обслуговування.

Орієнтири за діапазонами витрат (наближені)

💡 Діапазони наведені як орієнтири для планування; фактичні суми залежать від юрисдикції, масштабу, провайдерів і поточної регуляторики.

Юридичний супровід заявки: від $20k до $120k + (структура, файл, Q&A з регулятором).

Гос. мита (подача/річна): від $25k до $500k + (сильно розрізняється за ліцензією та обсягом вертикалей).

RNG/ігровий аудит одного тайтла/пакета: $5k- $25k за тайтл/реліз; пакетно - дешевше.

Інтеграційний аудит платформи/казино: $30k–$150k.

ISO 27001 (підготовка + сертифікація): $40k- $200k (включаючи консультантів/сертифікаційний орган).

PCI DSS (якщо застосовується): $30k- $150k + (залежить від рівня, обсягу TPV і периметра).

GDPR/DPIA і privacy-аудит: $10k- $50k (без урахування постійного DPO).

Корпоративні послуги/бухгалтерія/офіс: $12k- $60k на рік.

Штат комплаєнсу (MLRO/AML/DPO/RG): $180k- $600k на рік сукупно (залежно від країни і seniority).

Pen-tests/ASV-скани/ретести: $10k- $60k на рік.

Календар робіт: з чого будується таймлайн і кеш-план

1. Pre-gap аналіз (2-4 тижні): карта вимог, аналіз розривів, бюджет-скелет.

2. Підготовка (4-12 тижнів): політики/процеси, техроботи, збір доказових артефактів.

3. Подача і Q&A (4-16 тижнів): відповіді регулятору, коригування.

4. Первинні аудити (2-8 тижнів): RNG/інтеграція/ISO/PCI.

5. Видача/умовний дозвіл: усунення умов, запуск звітності.

6. Surveillance (квартально/півріччя/рік): наглядові аудити, продовження і ретести.

Приклад: кошторис 12-місячного циклу для онлайн-оператора (умовний mid-size)

(USD; округлено для зручності планування)

CAPEX (перші 6-9 місяців):

Юристи та корпоративна структура: $70,000
Мита подачі та первинна ліцензія: $180,000
Підготовка ISMS + ISO 27001 сертифікація: $95,000
Інтеграційний аудит платформи і RNG-пакет (10 тайтлів): $110,000
PCI DSS (якщо зберігаєте/обробляєте PAN): $80,000
Техпідготовка (SIEM/WAF/сканери/лог-архівація): $60,000
Разом CAPEX: $595,000

OPEX (рік):

Річна ліцензія/збори: $150,000
Наглядові аудити/ретести/pen-tests: $70,000
Штат комплаєнсу (MLRO/AML/DPO/RG): $360,000
Корпоративне обслуговування/бухгалтерія/офіс: $36,000
Консультанти/переклади/нотаріат (буфер): $24,000
Разом OPEX (рік): $640,000

Резерв на непередбачене (10-15% CAPEX + OPEX): ~$123,000–$184,000

Повний річний контур (з резервом 12%): $1. 39 млн ($595k + $640k + $147k)

💡 Примітка: якщо платежі винесені до PSP без зберігання карт і периметр «полегшений», блок PCI може скоротитися до щорічних ASV-сканів і SAQ - економія до $60-80k.

Що здорожує проект (і як уникнути перевитрати)

Роздутий периметр аудиту. Мінімізуйте сферу дії ISO/PCI: micro-segmentation, out-of-scope для зайвих систем.

Немає «власника вимог». Призначте єдину роль (Compliance PMO) і квартальний план релізів політик/процесів.

Пізній збір артефактів. Ведіть «реєстр доказів» (evidence log) з посиланнями: політики, журнали, звіти, скріни.

Дублюючі аудити провайдерів. Узгодьте «взаємозалік» артефактів (SOC 2/ISO від партнерів/хостингу).

Single-threaded офісери. Закладайте бюджет на заміну/аутсорс (хвороби/відпустки), щоб не зрушувати дедлайни.

Кошторис для B2B-студії/провайдера (відмінності)

Менше платіжного периметра, але більше частка ігрових аудитів (RNG/RTP/сертифікація під кожну країну).

ISO 27001 залишається ключовим (доступ до даних операторів, вихідні/білди).

OPEX-плече - ретести при оновленнях, управління релізним циклом (кожен реліз = потенційний ретест).

Впроваджуйте сертифіковану математику: повторювані шаблони правил, бібліотека перевірок, «заморожування» ядра.

Кошторис для платіжного/оркестратора (фінтех)

PCI DSS/карткові інтеграції, AML/SoF-політики, незалежні перевірки антифроду.

Окремий рядок - резерв під ризик/chargeback і страхування профвідповідальності.

Підвищене навантаження на логування/forensics (SIEM, ретенція логів, кейси розслідувань).

Управлінські KPI для бюджету комплаєнсу

Cost of Compliance/Net Revenue,% - частка контурних витрат до чистої виручки.

Audit Pass Rate,% і середній час закриття CAPA (corrective actions).

Scope Reduction Index - скільки систем виведено з периметра.

Evidence Readiness SLA - частка артефактів, готових «за запитом» в 48 годин.

RG/AML-інциденти - частота/серйозність, тренд після впровадження заходів.

Документи та артефакти, які завжди запитують

Корпоративні документи, бенефіціари, джерела коштів.

Політики: ISMS, доступ/шифрування, логування, SDLC/CI-CD, управління вразливостями, BCM/DRP.

Договори з провайдерами (PSP, KYC, хостинг), SLA і звітність.

Карта потоків даних (Data Map), DPIA, записи за згодою/правам суб'єктів.

Протоколи Responsible Gaming (тригери, самовиключення, ліміти).

Ігрова математика/RNG-звіти, сертифікація провайдерів контенту.

Журнали інцидентів, зміни конфігурацій, результати тестів/pen-tests.

Чек-лист швидкого старту (оператор)

Gap-аналіз вимог юрисдикції і карта артефактів.
Бюджет CAPEX/OPEX + резерв 10-15%.
Призначений Compliance PMO, квартальні віхи.
Договір з акредитованим аудитором (RNG/ISO/PCI).
ISMS-пакет: політики, ризик-реєстр, плани навчань.
Архітектура з мінімальним периметром аудиту.
План ретестів при релізах і change-freeze вікна.
Календар нагляду/подовження на 12-24 місяці.

Бюджет на ліцензування та аудит - це портфель керованих зобов'язань, а не просто «витрати на папірці». Діліть витрати на разові і регулярні, звужуйте периметр аудиту, вибудовуйте доказову базу і календар нагляду. Так ви перетворите комплаєнс з гальма релізів в актив, який знижує вартість капіталу, прискорює угоди і захищає виручку.