A Auditoria no contexto da desmaterialização das transações
Transcrição
A Auditoria no contexto da desmaterialização das transações
A Auditoria no contexto da desmaterialização das transações IPAI 19-11-2015 Objetivos Enquadramento Riscos e Controlos Abordagem de Auditoria Enquadramento Source: Getty Images Desmaterialização transações - Classes Classe Objeto Exemplos Bem intangível - Ex. Ebook, software Processo de distribuição - Ex. Download Ebook Processo Processo de aquisição - Ex. Compra de produto Transacional financeiro online Processo de pagamento - Ex. Pagamento por Paypal Retribuição Moeda Virtual 4 Vendas de ebook’s vs físicos (Amazon) 5 Evolução de transações online - Banca 6 Evolução de transações online - Banca 7 Protocolos de comunicação interbancários Ferramentas /Aplicativos utilizados Fornecedor/ Entidade reguladora (SNL) Protocolos de comunicação interbancários Mensagens Alliance Gateway Swift (cooperative society) – Composta pelas instituições financeiras membro. Sede na Belgica - regulada pelas leis Belgas Objectivo Estabelecer uma rede segura, regras de sintaxe, um conjunto de ligações, software e Swift hardware para suportar a transmissão de mensagens entre instituições financeiras. Disponibiliza acerto de operações de bancos centrais em tempo real, Target transferências interII bancárias de elevado valor, tal como outros pagamentos em Euros. SEPA Unificar o mercado transferências de créditos em Euros, débito directo, pagamentos com cartões, através de standards técnicos, regulação e base legal harmonizada Protocolo Tipo de operações Intervenientes SWIFTNet Link Swift Standards/ SwiftNet Arquitectura centralizada (SSP) utilização de Swift Standards financeiras (ordens de pagamento) Ordens de pagamento individuais Serviço descentralizado, Transferências de utiliza regras de negócio créditos, para trocas de pagamentos via mensagens do tipo peer débito directo, to peer. Implementa transacções com ISO 20022 Universal cartões (POS e financial industry ATMs) message scheme Instituições Financeiras (SAG) Alliance WebStation (SAB) Alliance Access (SAA) Principalmente Bancos e empresas Participantes podem escolher ligação através de interfaces SWIFT (SWIFT WebStation / WebPlatform) ou uma ligação segura à internet. Banco Central Europeu (ECB), Banque de France, Deutsche Bundesbank e Banca d’Italia Bancos/Bancos POS/Bancos ATM/Bancos N/A (swift interfaces) Banco Central Europeu (ECB) 8 Panorama dos meios de pagamento 9 Moedas Reais e Virtuais Centralizadas Virtuais Distribuidas Moeda Real Moeda virtual Moeda virtual descentralizada Moeda tradicional e papel moeda. Detida ou centralmente controlada e regulada Não existe entidade de controlo ou regulação. Tipicamente designada como de curso legal, emitida e circulada por uma autoridade de controlo e é usada como meio de pagamento no país de emissão. Por exemplo MintChip – uma forma virtual de Dolares Canadianos emitidos pelo Royal Canadian Mint. O MintChip está ainda em fase de deenvolvimento. Transações são anonimas, não rastreaveis e irreversiveis. EUR USD GBP AUD JPY CHF Amazon Coins World of Warcraft “Gold” Microsoft Points Bitcoin Litecoin Namecoin Terracoin Feathercoin O que é a Bitcoin? Há muitas moedas virtuais, mas a mais popular é uma moeda descentralizada conhecida como Bitcoin (BTC). A BTC é open source baseada num sistema peer-topeer que se pensa ter sido inventada por um programador desconhecido ou grupo de programadores que usam o pseudónimo “Satoshi Nakamoto.” A BTC não é emitida por um governo ou autoridade central. Em vez disso é baseadoa num esquema criptográfico que tem como objetivo fornecer segurança, privacidade e confiança na moeda pelos recetores. Existem aproximadamente 15 milhões de BTC em circulação e não mais de 21 milhões serão criadas. O bloco final de BTC deverá ser criado por volta do ano 2140. Valor e volatilidade No inicio de 2013 uma BTC estava cotada em cerca de 15 USD, tendo atingido o seu pico máximo de 1.150 USD perto do final de 2013. O valor flutuou significativamente ao longo do tempo, estando atualmente cotada em cerca de 335 USD, tendo reagido violentamente a uma serie de eventos, como por exemplo, o encerramento do site Silk Road, e a proibição do uso por parte do governo da China. Numero de transações Bitcoin Como funciona uma transação Bitcoin Como funciona uma transação Bitcoin Public address / "Account Number" Public Key ajb342tr8n289fgh Value 0.0005 2893470gh2934hr89 0.02 254hg7890234h50g78 0.151516 23489h083492gh295 0.959 Private Key Transactions ledger [Send 10BTC to jb342tr…] Bitcoin mining network Bitcoin network hashrate 7926.83 PetaFLOPS Top 500 supercomputers 223.54 PetaFLOPS Riscos e controlos Desmaterialização transações - Riscos Classe Objeto Processo Transacional Retribuição Riscos - Exemplos Risco de apropriação, cópia não autorizada, manipulação do objeto, destruição ou perda do objeto. Processo de distribuição – Disponibilidade do canal, restrição de acesso ao canal. Processo de aquisição – Autenticidade das contrapartes, acesso restrito, transações não registadas, manipulação de transações, transações duplicadas. Processo de pagamento – Autenticação, apropriação fundos, validade da transação e contraparte. Apropriação indevida de fundos 17 ! Segurança Informação – Riscos e Controlos Triangulo CIA: • Confidencialidade • Integridade • Disponibilidade 18 ! Segurança Informação – Riscos e Controlos CIA Risco Controlos Confidencialidade Perda de privacidade. Acesso não autorizado a informação. Roubo de identidade Encriptação, Autenticação, Controlos de acesso Integridade Informação não é confiavel e exata. Fraude Maker/Checker, Quality Assurance, Audit Logs Disponibilidade Disrupção atividade, perda de conafiança do consumidor, perda de rendimento Plano de continuidade de negócio e testes, Back-up storage, Capacidade suficiente Foco Segurança informação Controlos Operacionais Business Continuity Planning 19 ! Riscos de Cyber Security - Evolução 20 Riscos dos meios de pagamento Cost Speed Personal Data Transferred Data Exposure HIGH Credit Card HIGH MEDIUM (3 - 24 hours) Wire Transfer MEDIUM SLOW (3 hours - 48 hours) Digital Currency LOW FAST (10 minutes) HIGH (1) Name (2) Account Info (1) Non-parties to transaction (2) Rogu e em ploy ees at m erchants (3) Rogu e em ploy ees at ban ks Fraud Opportunities HIGH (1) Steal the phy sical card (2) Steal accoun t info by seeing or h earing it (3) Hack the network MEDIUM MEDIUM HIGH (1) Steal account info (1) Rogue employees at banks (1) Name by seeing or hearing it (2) The SWIFT network (2) Account Info (3) Hack the network LOW (1) Public Key LOW LOW No exposure of personal data (1) Hack the network Developing an Insider Risk Management Program • Digital Currency 101 – Current Issues and Emerging Opportunities 17 ! Riscos das moedas Virtuais As moedas virtuais têm caracteristicas que as fazem susceptiveis a riscos: Lavagem de dinheiro Confiança meramente digital Rapidas, irreversiveis, ilimitadas Não existe moderador central (p2p) Anónimas Risco de valor elevado Abordagem de Auditoria System Audit - Framework Controlos Gerais Informaticos Financial Statement Assertions Significant financial statement line items Business Operations Major classes of transaction, business processes and sub-processes Indirect Entity Level Controls Risks arising from processing transactions Financial reporting • Accuracy • Completeness • Cut-off • Existence & Occurrence • Rights & Obligations Process-wide considerations • Presentation & Disclosure Direct Entity Level Controls • Valuation Transaction level controls Automated controls and procedures IT-dependent manual controls Manual controls IT General Controls (ITGCs) Risks arising from the use of IT systems IT systems and infrastructure IT Environment Financial data DF’S Controlos Gerais Informaticos 1 Governação de IT 2 Desenvolvimento aplicacional 3 Manutenção aplicacional 4 Segurança de informação 5 Operações Monitorização Iniciação, desenho e especificação e autorização Especificação e autorização Gestão das atividades de segurança Gestão de operações de informáticas Informação e Comunicação Construção Construção Segurança de dados Processamento em batch Processamento em tempo real Ambiente de Controlos Teste Teste Segurança dos Sistemas operacionais Avaliação de Riscos Conversão de dados Implementação Segurança de rede Backups Atividades de Controlos Implementação Documentação e treino Segurança física Recuperação de desastre Documentação e treino Continuidade de negócio 26 4 Segurança de informação ITGCs Análise dos domínios / temas – Perspectiva PwC Diferentes camadas de segurança Rede externa Rede interna Sistema operativo Aplicação Base de dados Gestão das atividades de segurança Administração de segurança Segurança física 27 PCI - DSS Framework Objectivos de Controlo Requisitos (High-Level) Criar e manter uma rede de dados segura 1. Instalar e manter um firewall devidamente configurada que assegure a proteção dos dados dos detentores do cartão. 2. Não utilizar os padrão/default (de fábrica) para configurações de passwords ou outros parâmetros de segurança. Assegurar a proteção dos dados do detentor do cartão 3.Proteger os dados do detentor do cartão 4. Assegurar a encriptação dos dados dos detentores do cartão sempre que estes circulem em redes publicas ou abertas. Criar e manter um programa de gestão de vulnerabilidade 5.Utilizar e atualizar regularmente o software de antivírus 6.Desenvolver e manter sistemas e aplicações seguros Implementar fortes 7.Restringir o acesso aos dados dos detentores de cartões numa base need-to-know medidas de controlo de 8. Assignar um ID único a cada colaborador com acesso à rede acesso 9.Restringir o acesso físico aos dados dos detentores de cartões. Monitorizar e testar regularmente as redes de dados 10. Registar e monitorizar todos os acessos aos recursos de rede e dados de detentores de cartões. 11. Testar regularmente a segurança de sistemas e dos processos Manter uma política de segurança de informação efectiva 12. Manter uma política de segurança aplicável que abranja a totalidade dos colaboradores. Abril 2014 28 Controlos aplicacionais Objetivos de controlo sobre o processamento de informação Os objetivos de processamento de informação asseguram que transações autorizadas são registadas de forma total e exata e que os dados, uma vez registados, estão protegidos contra alterações não autorizadas. Totalidade (C) Exatidão (A) Validade (V) Restrição de acessos (R) Os objetivos de processamento de informação são utilizados para avaliar a efetividade do desenho dos controlos, em particular dos controlos aplicacionais, no âmbito de um processo ou subprocesso de negócio. 29 Controlos aplicacionais Objetivos de controlo sobre o processamento de informação Totalidade • Todas as transações foram registadas, inseridas e aceitas para processamento uma vez e apenas uma vez. • Todas as transações inseridas e aceitas para processamento foram atualizadas. • Depois de atualizados, os dados continuam corretos e atuais no arquivo e representam saldos que existem. Exatidão • Os elementos de dados mestre foram corretamente registados e inseridos no sistema. • As mudanças nos dados mestre foram corretamente inseridas. • Todas as transações inseridas e aceitas para processamento atualizam corretamente o sistema. Validade • As transações foram devidamente autorizadas. • As transações não são fictícias e dizem respeito à organização. • As mudanças nos dados permanentes foram autorizadas e, depois de inseridas, não são alteradas sem autorização. Restrição de acessos • Assegurar a confidencialidade dos dados. • Proteger os ativos físicos (e.g. datacenter) quanto a desvios ou uso indevido. • Proteger os ativos lógicos (eletrónicos) quanto a alteração/divulgação não autorizada. Treinamento sobre Metodologia 30 Controlos aplicacionais Framework Cobit 4.1 • AC1 Source Data Preparation and Authorisation • AC2 Source Data Collection and Entry • AC3 Accuracy, Completeness and Authenticity Checks • AC4 Processing Integrity and Validity • AC5 Output Review, Reconciliation and Error Handling • AC6 Transaction Authentication and Integrity 31 Obrigado António Loureiro Risk Assurance - Director [email protected] +351 91 660 13 70