A Auditoria no contexto da desmaterialização das transações

A Auditoria no contexto da
desmaterialização das transações
IPAI 19-11-2015
Objetivos
Enquadramento
Riscos e Controlos
Abordagem de Auditoria
Enquadramento
Source: Getty Images
Desmaterialização transações - Classes
Classe
Objeto
Exemplos
Bem intangível - Ex. Ebook, software
Processo de distribuição - Ex. Download Ebook
Processo
Processo de aquisição - Ex. Compra de produto
Transacional financeiro online
Processo de pagamento - Ex. Pagamento por
Paypal
Retribuição Moeda Virtual
4
Vendas de ebook’s vs físicos (Amazon)
5
Evolução de transações online - Banca
6
Evolução de transações online - Banca
7
Protocolos de comunicação interbancários
Ferramentas
/Aplicativos
utilizados
Fornecedor/
Entidade
reguladora
(SNL)
Protocolos de comunicação
interbancários
Mensagens
Alliance Gateway
Swift (cooperative
society) –
Composta pelas
instituições
financeiras
membro. Sede na
Belgica - regulada
pelas leis Belgas
Objectivo
Estabelecer uma rede
segura,
regras de sintaxe, um
conjunto de
ligações, software e
Swift
hardware para
suportar a transmissão de
mensagens entre
instituições
financeiras.
Disponibiliza acerto de
operações
de bancos centrais em
tempo real,
Target
transferências interII
bancárias de
elevado valor, tal como
outros
pagamentos em Euros.
SEPA
Unificar o mercado
transferências de créditos
em Euros, débito directo,
pagamentos com cartões,
através de standards
técnicos, regulação e base
legal harmonizada
Protocolo
Tipo de
operações
Intervenientes
SWIFTNet Link
Swift Standards/
SwiftNet
Arquitectura
centralizada (SSP)
utilização de Swift
Standards
financeiras
(ordens de
pagamento)
Ordens de
pagamento
individuais
Serviço descentralizado,
Transferências de
utiliza regras de negócio
créditos,
para trocas de
pagamentos via
mensagens do tipo peer
débito directo,
to peer. Implementa
transacções com
ISO 20022 Universal
cartões (POS e
financial industry
ATMs)
message scheme
Instituições
Financeiras
(SAG)
Alliance
WebStation (SAB)
Alliance Access
(SAA)
Principalmente
Bancos e empresas
Participantes
podem escolher
ligação através de
interfaces SWIFT
(SWIFT
WebStation /
WebPlatform) ou
uma ligação segura
à internet.
Banco Central
Europeu (ECB),
Banque de France,
Deutsche
Bundesbank e
Banca d’Italia
Bancos/Bancos
POS/Bancos
ATM/Bancos
N/A
(swift interfaces)
Banco Central
Europeu (ECB)
8
Panorama dos meios de pagamento
9
Moedas Reais e Virtuais
Centralizadas
Virtuais
Distribuidas
Moeda Real
Moeda virtual
Moeda virtual descentralizada
Moeda tradicional e papel moeda.
Detida ou centralmente controlada
e regulada
Não existe entidade de controlo ou
regulação.
Tipicamente designada como de
curso legal, emitida e circulada por
uma autoridade de controlo e é
usada como meio de pagamento no
país de emissão.
Por exemplo MintChip – uma
forma virtual de Dolares
Canadianos emitidos pelo Royal
Canadian Mint. O MintChip está
ainda em fase de deenvolvimento.
Transações são anonimas,
não rastreaveis
e irreversiveis.
EUR USD GBP
AUD JPY CHF
Amazon Coins
World of Warcraft “Gold”
Microsoft Points
Bitcoin
Litecoin
Namecoin
Terracoin
Feathercoin
O que é a Bitcoin?
Há muitas moedas virtuais, mas a mais popular é uma
moeda descentralizada conhecida como Bitcoin
(BTC).
A BTC é open source baseada num sistema peer-topeer que se pensa ter sido inventada por um
programador desconhecido ou grupo de
programadores que usam o pseudónimo “Satoshi
Nakamoto.” A BTC não é emitida por um
governo ou autoridade central. Em vez disso é
baseadoa num esquema criptográfico que tem como
objetivo fornecer segurança, privacidade e confiança
na moeda pelos recetores.
Existem aproximadamente 15 milhões de BTC em
circulação e não mais de 21 milhões serão criadas.
O bloco final de BTC deverá ser criado por volta do
ano 2140.
Valor e volatilidade
No inicio de 2013 uma BTC estava cotada em cerca de 15 USD, tendo atingido o seu pico
máximo de 1.150 USD perto do final de 2013.
O valor flutuou significativamente ao longo do tempo, estando atualmente cotada em
cerca de 335 USD, tendo reagido violentamente a uma serie de eventos, como por
exemplo, o encerramento do site Silk Road, e a proibição do uso por parte do governo da
China.
Numero de transações Bitcoin
Como funciona uma transação Bitcoin
Como funciona uma transação Bitcoin
Public address / "Account Number"
Public Key
ajb342tr8n289fgh
Value
0.0005
2893470gh2934hr89
0.02
254hg7890234h50g78
0.151516
23489h083492gh295
0.959
Private Key
Transactions ledger
[Send 10BTC to jb342tr…]
Bitcoin mining network
Bitcoin network hashrate
7926.83 PetaFLOPS
Top 500 supercomputers
223.54 PetaFLOPS
Riscos e controlos
Desmaterialização transações - Riscos
Classe
Objeto
Processo
Transacional
Retribuição
Riscos - Exemplos
Risco de apropriação, cópia não autorizada,
manipulação do objeto, destruição ou perda do
objeto.
Processo de distribuição – Disponibilidade do canal,
restrição de acesso ao canal.
Processo de aquisição – Autenticidade das
contrapartes, acesso restrito, transações não
registadas, manipulação de transações, transações
duplicadas.
Processo de pagamento – Autenticação, apropriação
fundos, validade da transação e contraparte.
Apropriação indevida de fundos
17
!
Segurança Informação – Riscos e Controlos
Triangulo CIA:
• Confidencialidade
• Integridade
• Disponibilidade
18
!
Segurança Informação – Riscos e Controlos
CIA
Risco
Controlos
Confidencialidade
Perda de privacidade.
Acesso não autorizado a
informação.
Roubo de identidade
Encriptação,
Autenticação,
Controlos de acesso
Integridade
Informação não é
confiavel e exata.
Fraude
Maker/Checker,
Quality Assurance,
Audit Logs
Disponibilidade
Disrupção atividade,
perda de conafiança do
consumidor, perda de
rendimento
Plano de continuidade
de negócio e testes,
Back-up storage,
Capacidade suficiente
Foco
Segurança informação
Controlos
Operacionais
Business Continuity
Planning
19
!
Riscos de Cyber Security - Evolução
20
Riscos dos meios de pagamento
Cost
Speed
Personal Data
Transferred
Data Exposure
HIGH
Credit Card
HIGH
MEDIUM
(3 - 24 hours)
Wire
Transfer
MEDIUM
SLOW
(3 hours - 48 hours)
Digital
Currency
LOW
FAST
(10 minutes)
HIGH
(1) Name
(2) Account Info
(1) Non-parties to transaction
(2) Rogu e em ploy ees at
m erchants
(3) Rogu e em ploy ees at ban ks
Fraud Opportunities
HIGH
(1) Steal the phy sical
card
(2) Steal accoun t info by
seeing or h earing it
(3) Hack the network
MEDIUM
MEDIUM
HIGH
(1) Steal account info
(1) Rogue employees at banks
(1) Name
by seeing or hearing it
(2) The SWIFT network
(2) Account Info
(3) Hack the network
LOW
(1) Public Key
LOW
LOW
No exposure of personal data (1) Hack the network
Developing an Insider Risk Management Program • Digital Currency 101 – Current Issues and Emerging Opportunities
17
!
Riscos das moedas Virtuais
As moedas virtuais têm
caracteristicas que as fazem
susceptiveis a riscos:
Lavagem de
dinheiro
Confiança
meramente
digital
Rapidas,
irreversiveis,
ilimitadas
Não existe
moderador
central
(p2p)
Anónimas
Risco de
valor
elevado
Abordagem de
Auditoria
System Audit - Framework
Controlos Gerais Informaticos
Financial
Statement
Assertions
Significant financial statement line items
Business Operations
Major classes of transaction, business processes and sub-processes
Indirect Entity Level Controls
Risks arising from processing transactions
Financial
reporting
• Accuracy
• Completeness
• Cut-off
• Existence &
Occurrence
• Rights &
Obligations
Process-wide considerations
• Presentation
& Disclosure
Direct Entity Level Controls
• Valuation
Transaction level controls
Automated controls
and procedures
IT-dependent
manual controls
Manual controls
IT General Controls (ITGCs)
Risks arising from the use of IT systems
IT systems and
infrastructure
IT Environment
Financial
data
DF’S
Controlos Gerais Informaticos
1
Governação de
IT
2
Desenvolvimento
aplicacional
3
Manutenção
aplicacional
4
Segurança de
informação
5
Operações
Monitorização
Iniciação,
desenho e
especificação e
autorização
Especificação e
autorização
Gestão das
atividades de
segurança
Gestão de
operações de
informáticas
Informação e
Comunicação
Construção
Construção
Segurança de
dados
Processamento
em batch
Processamento
em tempo real
Ambiente de
Controlos
Teste
Teste
Segurança dos
Sistemas
operacionais
Avaliação de
Riscos
Conversão de
dados
Implementação
Segurança de
rede
Backups
Atividades de
Controlos
Implementação
Documentação e
treino
Segurança física
Recuperação de
desastre
Documentação e
treino
Continuidade de
negócio
26
4
Segurança de
informação
ITGCs
Análise dos domínios / temas – Perspectiva PwC
Diferentes camadas de segurança
Rede externa
Rede interna
Sistema operativo
Aplicação
Base de dados
Gestão das atividades de segurança
Administração de segurança
Segurança física
27
PCI - DSS
Framework
Objectivos de Controlo
Requisitos (High-Level)
Criar e manter uma
rede de dados segura
1. Instalar e manter um firewall devidamente configurada que assegure a proteção dos
dados dos detentores do cartão.
2. Não utilizar os padrão/default (de fábrica) para configurações de passwords ou outros
parâmetros de segurança.
Assegurar a proteção
dos dados do detentor
do cartão
3.Proteger os dados do detentor do cartão
4. Assegurar a encriptação dos dados dos detentores do cartão sempre que estes circulem
em redes publicas ou abertas.
Criar e manter um
programa de gestão de
vulnerabilidade
5.Utilizar e atualizar regularmente o software de antivírus
6.Desenvolver e manter sistemas e aplicações seguros
Implementar fortes
7.Restringir o acesso aos dados dos detentores de cartões numa base need-to-know
medidas de controlo de 8. Assignar um ID único a cada colaborador com acesso à rede
acesso
9.Restringir o acesso físico aos dados dos detentores de cartões.
Monitorizar e testar
regularmente as redes
de dados
10. Registar e monitorizar todos os acessos aos recursos de rede e dados de detentores de
cartões.
11. Testar regularmente a segurança de sistemas e dos processos
Manter uma política de
segurança de
informação efectiva
12. Manter uma política de segurança aplicável que abranja a totalidade dos colaboradores.
Abril 2014
28
Controlos aplicacionais
Objetivos de controlo sobre o processamento de informação
Os objetivos de processamento de informação asseguram que transações
autorizadas são registadas de forma total e exata e que os dados, uma vez registados,
estão protegidos contra alterações não autorizadas.
Totalidade (C)
Exatidão (A)
Validade (V)
Restrição de acessos (R)
Os objetivos de processamento
de informação são utilizados
para avaliar a efetividade do
desenho dos controlos, em
particular dos controlos
aplicacionais, no âmbito de um
processo ou subprocesso de
negócio.
29
Controlos aplicacionais
Objetivos de controlo sobre o processamento de informação
Totalidade
• Todas as transações foram registadas, inseridas e aceitas para processamento uma vez
e apenas uma vez.
• Todas as transações inseridas e aceitas para processamento foram atualizadas.
• Depois de atualizados, os dados continuam corretos e atuais no arquivo e
representam saldos que existem.
Exatidão
• Os elementos de dados mestre foram corretamente registados e inseridos no sistema.
• As mudanças nos dados mestre foram corretamente inseridas.
• Todas as transações inseridas e aceitas para processamento atualizam corretamente o
sistema.
Validade
• As transações foram devidamente autorizadas.
• As transações não são fictícias e dizem respeito à organização.
• As mudanças nos dados permanentes foram autorizadas e, depois de inseridas, não
são alteradas sem autorização.
Restrição
de acessos
• Assegurar a confidencialidade dos dados.
• Proteger os ativos físicos (e.g. datacenter) quanto a desvios ou uso indevido.
• Proteger os ativos lógicos (eletrónicos) quanto a alteração/divulgação não autorizada.
Treinamento sobre Metodologia
30
Controlos aplicacionais
Framework Cobit 4.1
• AC1 Source Data Preparation and Authorisation
• AC2 Source Data Collection and Entry
• AC3 Accuracy, Completeness and Authenticity Checks
• AC4 Processing Integrity and Validity
• AC5 Output Review, Reconciliation and Error Handling
• AC6 Transaction Authentication and Integrity
31
Obrigado
António Loureiro
Risk Assurance - Director
[email protected]
+351 91 660 13 70