Technology and Security Risk Services. Novembro, 2003

Transcrição

1 Technology and Security Risk Services Novembro, 2003

2 1. Por que escrevemos o livro? 2. Objetivo do livro 3. Conteúdo do livro 4. Dúvidas

3 Acesso aos sites financeiros cresceu 199% em dois anos; Os sites do setor foram visitados por 2,864 milhões de internautas no mês de Setembro de 2002; O número de usários da Internet no Brasil saltou de 1 para 14 milhões podendo chegar a 35 milhões nos próximos 5 anos; Materiais insuficientes em relação às práticas brasileiras de e-commerce bancário; Necessidade um material que suporte auditoria e compliance nas instituições financeiras.

4 ! Guia para as atividades de Auditoria e Compliance nas instituições financeiras que se utilizam do e-commerce através da Internet ou que pretendem adotar esse meio.

5 Produto Final 1. Introdução 2. Conceito e histórico de e- Commerce utilizando a Internet 3. A ética nas principais transações do e-commerce bancário utilizando a Internet 4. Os principais riscos e ameaças envolvidos na atividade do e- commerce através da Internet 5. Controles de auditoria e compliance para mitigar riscos 6. Glossário 7. Referências Bibliográficas

6 Conceito e histórico de e-commerce utilizando a Internet Objetivos: Descrever o conceito de Internet; Analisar um pouco sua evolução histórica; e Inserir o comércio eletrônico nesse contexto.

7 Internet Fases A Internet cresceu e atualmente, encontra-se em sua terceira fase de expansão: Utilidade Militar Utilidade Acadêmica Utilidade Comercial 1 a Fase 2 a Fase 3 a Fase A Internet de hoje possibilita transmissões mais rápidas e um conteúdo crescente, proporcionando aos seus usuários acesso a uma variedade de informações compartilhadas, inclusive o comércio eletrônico (e-commerce).

8 e-commerce e-business e-commerce Negócios realizados eletronicamente envolvendo entrega de serviços ou mercadorias. e-business A complexa fusão de processos de negócios, aplicações empresariais, estrutura organizacional necessária para criar um modelo de negócio de alta performance.

9 Há um crescimento acentuado no comércio eletrônico no país, visto que os consumidores tendem a comprar on-line: Consumidor Brasil - Por quê compram on-line? Melhor disponibilidade 9% Melhor seleção de itens Mais simples e fácil Custa menos 13% 14% 14% Conveniência de horários 46% Economia de tempo 62% Fonte: Ernst & Young 2001 Global Online Retailing Report 0% 10% 20% 30% 40% 50% 60% 70%

10 Fatores que contribuem para o crescimento do e-commerce bancário Incorporação da Internet por esse setor foi rápida; Número crescente de instituições financeiras que disponibilizam transações bancárias através de seus web sites; Número elevado de usuários que acessam web sites de Bancos para efetuar transações bancárias. )$ " * " $ * $ * $ * $ " ' % ( ) ( %' $% & ((* ((+ $$$ $$ $$ $$* $, -

11 A ética nas principais transações do e-commerce bancário utilizando a Internet Objetivos: Apresentar as transações bancárias realizadas via Internet; Conceituar ética; e Apresentar os padrões de conduta.

12 Através da Internet, é possível realizar transações bancárias envolvendo: Cobrança Conta corrente Conta poupança Controle de Acesso de clientes Aplicações Internet Controle de Acesso de usuários Agendamento Pagamentos Outras operações

13 Essas transações bancárias devem obedecer as normas e padrões de conduta ética. O que é ética? Ética Estudo dos padrões e normas de condutas que regem as relações humanas.

14 Direitos e Obrigações da Instituição Financeira Alguns Exemplos Satisfação do cliente; Reputação no mercado; Propriedade de direito intelectual; Informações claras, precisas e exatas; Respostas às solicitações dos clientes no prazo esperado; Proteção das informações não divulgadas publicamente; Privacidade das informações trafegadas.

15 Direitos e Obrigações do Cliente Alguns Exemplos Disponibilidade do serviço para realização das transações; Privacidade de correspondência e do acesso às informações; Integridade das informações; Garantia de segurança nas transações efetuadas; Ausência de fraudes; Dados pessoais e financeiros mantidos em sigilo; Velocidade na realização das transações.

16 O Acordo de Nível de Serviço (ANS) É a formalização dos padrões de conduta. Aborda: Diretrizes, compromissos, deveres e responsabilidades dos clientes e das instituições financeiras. São divididos em quatro módulos básicos: Segurança das Operações realizadas Serviços disponíveis e Condições de uso Privacidade das informações Uso de informações Pessoais sobre o cliente

17 Principais Riscos e Ameaças Objetivos: Apresentar os principais riscos e ameaças envolvidos na atividade bancária de e-commerce.

18 Muitas pessoas confundem os termos ameaças, vulnerabilidades e riscos, mas existe uma clara distinção entre eles: Ameaça é um perigo (pessoa, evento ou idéia) que explora uma vulnerabilidade possível ao sistema. Vulnerabilidade é a fragilidade que permite que a ameaça concretize-se. Risco é a probabilidade ou grau de criticidade de certas ameaças explorarem vulnerabilidades e comprometerem os sistemas e a informação.

19 As instituições bancárias precisam considerar os riscos bancários tradicionais e também os novos riscos: Liquidez Crédito Estratégico Mercado e Câmbio exterior Riscos Operacional Imagem Legal

20 Torna-se evidente a necessidade de implementação e gerenciamento de controles nesse novo cenário. Mas, o que é um controle? Segundo o COBIT, um controle pode ser definido como: As políticas, procedimentos, práticas e estruturas organizacionais projetadas para fornecer segurança razoável de que os objetivos de negócio serão alcançados e que eventos indesejados serão prevenidos ou detectados e corrigidos.

21 As instituições financeiras devem: Desenvolver sólidas práticas de gerenciamento; Monitorar padrões de desempenho empresarial; Planejar as estratégias de recuperação de incidentes, mediante o uso de controles.

22 Controles de auditoria e compliance para mitigar riscos Objetivo: Apresentar uma visão geral das funções do auditor e do compliance officer.

23 Papel da Auditoria no contexto do comércio eletrônico Assegurar que tanto os clientes como os bancos, empresas ou corporações efetuem suas transações eletrônicas com um nível de risco consideravelmente baixo e dentro das expectativas de ambas as partes.

24 Compliance Definição: Estar em conformidade ; Cumprimento da legislação e regulamentação pertinentes.

25 Papel do Compliance Verificar a conformidade da instituição financeira com, principalmente, os seguintes itens: Externos (leis, regulamentos, normas e procedimentos); Internos (diretrizes, políticas, regulamentos, normas, procedimentos, princípios éticos e de conduta, controles internos, entre outros).

26 Papel do Compliance Officer no contexto do comércio eletrônico Estar atento a todas as regulamentações externas que abordem este assunto; Verificar e auxiliar, se necessário, na implementação de medidas que terão como resultado o seguimento da resolução.

27 Diferenças básicas entre as atividades de Auditoria e Compliance Compliance Preventiva Sistemática Cobertura integral Auto-gerenciamento Auditoria Preventiva / Detectiva Menos freqüente Escopo limitado Aplicado por auditores

28 Guia Genérico de Trabalho para Auditoria Os objetivos deste Guia de Trabalho são: Obter entendimento da linha de produtos do e-commerce através da Internet e fluxo de transações; Assegurar que os controles internos são aplicados;

29 O Guia de Trabalho para Auditoria divide-se da seguinte maneira: Procedimentos Preliminares Produtos e Serviços Implementação Políticas e Procedimentos Controles Operacionais Planejamento da Contingência

30 Guia Genérico de Trabalho para Compliance Objetivo: Verificar como estão sendo aplicados os controles e regras. O guia é dividido em três grandes áreas: Práticas de Privacidade de Negócios e de Informações Integridade das Informações Proteção da Informação

31 Divisão do Guia Genérico de Trabalho para Compliance Práticas de privacidade de Negócios e de Informações A instituição divulga se as práticas de privacidade de negócios e informações para transações de e-commerce estão de acordo com as normas e regulamentações estabelecidas. Integridade das Informações A instituição mantém controles efetivos que asseguram que as transações do cliente usando e-commerce foram completadas corretamente. Proteção da Informação A instituição mantém controles efetivos que asseguram que Informações privadas dos clientes obtidas como resultado de uma operação de e-commerce estão protegidas de usuários que não fazem parte das transações efetuadas.

32 Glossário Referências Bibliográficas

33 ). #

34 Wilson Luiz Gellacic Av. Pres. Juscelino Kubistschek, o andar São Paulo - SP Tel.: (011)