<b>Чек-лист compliance-аудита арбитражной команды: что проверить до внешней проверки</b>

<b>Чек-лист compliance-аудита арбитражной команды: что проверить до внешней проверки</b>

Проверку удобно делить на 5 блоков: документы, трафик, данные, выплаты, подрядчики. Если хотя бы в одном блоке есть пробел, риск обычно проявляется не в отчёте, а на этапе блокировки кабинета, заморозки выплат или запроса подтверждающих документов.

— Документы и договорная база: кто владелец кабинета, доменов, пикселей, SDK, аккаунтов в рекламных системах; у всех ролей есть доступы и описанные полномочия; договоры с подрядчиками не конфликтуют с NDA и правами на креативы.
— Трафик и креативы: совпадают ли лендинг, оффер и возрастные/гео-ограничения; нет ли запрещённых обещаний, медицинских или финансовых формулировок без оснований; сохранены ли версии креативов и согласования.
— Данные и трекинг: есть ли политика обработки данных, consent flow, сроки хранения, доступы к CRM и аналитике; передаются ли персональные данные только в объёме, который нужен для воронки.
— Выплаты и KYC/AML: понятен источник средств, маршрут выплат, список бенефициаров и контрагентов; есть ли проверки по санкционным спискам и базовая верификация получателей.
— Подрядчики и субподрядчики: кто реально ведёт залив, кто отвечает за саппорт, кто хранит данные; есть ли перечень гео, где подрядчик не может работать по условиям платформы или договора.

Отдельно проверьте следующее: у каждого ключевого актива должен быть ответственный, резервный доступ и журнал изменений. Для EU-гео дополнительно смотрят на GDPR-цепочку, для РФ — на 149-ФЗ и локальные согласия, для payout-процессов — на AML-логику и документы по контрагентам.

Если аудит можно пройти только «на словах», это не аудит, а устная легенда. Лучше держать чек-лист в одном файле и обновлять его после каждого изменения связки, гео или платёжного маршрута.