GH GambleHub

Controladores internos e sua auditoria

1) Destino e área

O objetivo é assegurar que os objetivos de negócios sejam alcançados de forma segura e legal, reduzindo os riscos operacionais, financeiros, complexos e de reputação.
Abrangência: processos e controles de TI em todos os domínios: pagamentos/cassautas, KYC/AML/sanções, antifrode, RG, marketing/exportação de dados, DevOps/SRE, DWH/BI, privacidade/GDPR, TPRM.

2) Princípios e modelo de proteção

Três linhas de proteção: 1) donos de processos (transações/produto), 2) risco/complacência/segurança (metodologia, monitoramento), 3) auditoria interna independente.
Risk-based: os controladores são alinhados de acordo com a prioridade de risco residual.
Evidence-driven: Cada controle tem critérios mensuráveis, fontes de dados e artefatos de provabilidade.
Automate-first: Se possível, controladores automáticos e contínuos (CCM) em vez de manuais.

3) Mapa de risco → metas → controladores

1. Registro de risco: identificar causas/eventos/consequências (finanças, jogadores, licenças).
2. Objetivos de controle: o que deve ser evitado/detectado/corrigido (por exemplo, «retirada ilegal de fundos», «acesso não autorizado a PII»).
3. Atividades de controle: escolha de políticas/procedimentos/automação específicas para atingir o objetivo.

Tipos de controle:
  • Preventivo: RBAC/ABAC, SoD (4-eyes), limites e compilação, validação de dados, WebAuthn, mTLS.
  • Detetives: SIEM/alertas, reconciações, dashboards SLA/SLO, auditoria-logs (WORM), controle de anomalias.
  • Reguladores: bloqueios automáticos, reversões de lançamentos, rotação de chaves, análises manuais e devoluções.
  • Compensadores: se o controle principal não for possível, medidas de reforço (monitoramento suplementar, duplo monitoramento).

4) Diretório de controle (Controle da Biblioteca)

Cada controle registra:
  • ID/Nome, alvo (objectiva), risco, tipo, frequência, proprietário (controle owner), executor, método de execução (manual/auto/guid), fontes de prova, KPI/KRI, comunicação com políticas/procedimentos, sistemas dependentes.
  • Estados: Draft → Ativo → Monitored → Retired. Versioning e registro de alterações.
Exemplos de registros (amplo):
  • 'CTRL-PAY-004' - 4-eyes applove para pagamentos> X (preventivo, diário, Owner: Head of Payments, Evidence: inscrições/logs, KPI: 100% cobertura).
  • 'CTRL-DWH-012' - Camuflagem PII em vitrines (preventiva, permanente, Owner: Head of Data, Evidence: testes, KPI: ≥95% masked reads).
  • 'CTRL-SEC-021' - MFA para consoles admins (preventivo; Evidence: relatórios IDP; KPI: 100% adoption).

5) RACI e proprietários

AtividadeBusiness OwnerProcess OwnerSecurity/Privacy/AMLData/IT/SREInternal Audit
Design de controleARCCI
ExecuçãoIRCRI
Monitoramento/KRICRA/RRI
Testes (linha 1-2)CRA/RRI
Auditoria independenteIIIIA/R
SARAH/RemunçãoARRRC

6) Planejamento de auditorias e testes

O plano anual é formado por riscos orientados (alto risco residual, exigências regulatórias, incidentes, novos sistemas).

Tipos de verificação:
  • Design Effectiveness (DE): se o controle foi projetado corretamente para reduzir o risco.
  • Operating Effectiveness (OE): se funciona de forma estável e em uma frequência específica.
  • Thematic/Processs Audit: Verificação de domínio completa (por exemplo, KYC/AML ou caixa).
  • Follow-up/Verification: confirmação do encerramento do CAPA.

Abordagem: Walkthrough (rastreamento), entrevista, revezamento de artefatos/logs, analista, recondicionamento (repetição de execução).

7) Provas e amostras

Tipos de evidence: descarga de logs (assinatura/hash), relatórios de IdP/SSO, tíquetes e registros de aprovações, configs, capturas de tela com temporizadores, xls/csv de vitrines, gravações de sessões PAM.
Integridade: cópias WORM, cadeias de hash/assinaturas, especificação «ts _ utc».
Amostra estatística/destino; o tamanho depende da frequência de controle e do nível de confiança.
Critérios: pass/fail; são permitidos liminares de minimis para operações manuais.

8) Avaliação e classificação de inconsistências

Gradações: Critical/High/Medium/Low.
Critérios: impacto (dinheiro/PII/licenças), probabilidade, duração, repetibilidade, compensação dos controles.
Relatório: cartão de descoberta (risk, descrição, exemplos, causa primária, efeitos, ações necessárias, prazos, proprietário), status de rastreamento.

9) CAPA e gerenciamento de alterações

Corrective and Preventive Action: eliminação de causas primárias, não apenas sintomas.
S.M.A.R.T.D. medidas específicas, mensuráveis, datadas; responsabilidade e pontos de controlo.
Mudança Advisory Board: Alterações de alto risco são feitas por FAB; atualização de políticas/procedimentos/papéis.
Verificação de eficácia: reavaliação em N semanas/meses.

10) Monitoramento contínuo (CCM) e analista

Candidatos CCM: controladores de alta frequência e formalizados - conflitos SoD, emitências JIT, exportações anormais, MFA-coverage, limites de pagamento, sucessos de sanções.
Ferramentas: regras SIEM/UEBA, dashboards Data/BI, validadores de circuitos/camuflagem, testes de acesso (policy-as-código).
Sinais/alertas: liminares/comportamentos; tíquetes SOAR; Blocos de auto para desvios críticos.
Vantagens: velocidade de detecção, redução da carga manual, melhor provabilidade.

11) Métricas (KPI/KRI)

KPI (execução):
  • Coverage controladores de processos críticos ≥ 95%
  • On-time execute controladores manuais ≥ 98%
  • CAPA closed no prazo (High/Critical) ≥ 95%
  • Proporção de controladores automatizados ↑ MoM
KRI (riscos):
  • Violações SoD = 0
  • Acessíveis ao PII sem 'purpose' = 0
  • Fugas/incidentes notificados ≤ 72 h - 100%
  • Controladores operacionais fail-rate <2% (tendência em declínio)

12) Frequência e calendário

Diariamente/ininterruptamente: CCM, antifrod, limites de pagamento, camuflagem.
Todos os dias: verificação de pagamentos/registros, controle de exportação, análise de alertas.
Mensalmente: relatórios MFA/SSO, registro de acessibilidade, monitoramento de venda, tendências KRI.
Trimestralmente: e-certificação de direitos, revisões temáticas, testes de estresse BCP/DR..
Todos os anos: plano completo de audiências e atualização do mapa de risco.

13) Integração com as políticas existentes

RBAC/ABAC/Least Privilege, Políticas de Acesso e Segmentação são uma fonte de controle preventivo.
Política de senhas e MFA são requisitos obrigatórios para almirantes/operações críticas.
Registos de auditoria/política de logs - inspeções de investigação e provas.
TPRM e contratos de terceiros - controladores externos: SLA, DPA/SCCs, direitos de auditoria.

14) Folhas de cheque

14. 1 Design de um novo controle

  • Objetivo descrito e risco associado
  • Tipo definido (preventivo/detetive/corretivo)
  • Dono/executor designados e frequência
  • Fontes de dados definidas e formato de evidence
  • Métricas incorporadas (KPI/KRI) e alertas
  • Vínculos de políticas/procedimentos definidos
  • Plano de teste definido DE/OE

14. 2 Auditoria

  • Scope e os critérios DE/OE estão alinhados
  • Lista de artefatos e acessíveis recebidos
  • Amostra concordada e registrada
  • Resultados e descobertas classificados
  • CAPA, prazos e proprietários aprovados
  • Relatório liberado e relatado antes dos steakholders

14. 3 Monitoramento e relatórios (mensais)

  • KPI/KRI para todos os controles críticos
  • Tendências de falhas/falhas
  • Status da CAPA e vencimentos
  • Sugestões de automação/CVM

15) Erros típicos e como evitá-los

Controle sem alvo/métrica: formalizar objectiva e KPI/KRI.
Controladores manuais sem provas: normalizar formulários/script e armazenar artefatos no WORM.
Aumento de exceções: registro de exceções com data de vencimento e medidas compensatórias.
«Em papel» funciona - na realidade não, testes OE regulares e CCM.
CAPA não aberto: escalação automática e status no comitê de risco mensal.

16) Mapa de trânsito de implementação

Semanas 1-2: atualizar o mapa de risco, listar os controladores, designar os proprietários, aprovar os modelos de evidence.
Semanas 3-4: iniciar o monitoramento KPI/KRI, selecionar 5-10 controladores para automação (CCM) e aprovar um plano anual de auditorias.
Mês 2: realizar 1-2 auditorias temáticas (alto risco), implementar alertas SOAR, processar o bordão.
Mês 3 +: expandir CCM, realizar revisões trimestrais, reduzir controles manuais, aumentar a participação de revestimento DE/OE e taxa de fechamento de CAPA.

TL; DR

Controladores internos eficientes = cartões de risco → metas → atividades claras com proprietário e provas, além de testes regulares DE/OE, CAPA e automação CCM. Isso torna a gestão de riscos mensurável, a auditoria previsível e a conformidade provável.

Contact

Entrar em contacto

Contacte-nos para qualquer questão ou necessidade de apoio.Estamos sempre prontos para ajudar!

Iniciar integração

O Email é obrigatório. Telegram ou WhatsApp — opcionais.

O seu nome opcional
Email opcional
Assunto opcional
Mensagem opcional
Telegram opcional
@
Se indicar Telegram — responderemos também por lá.
WhatsApp opcional
Formato: +indicativo e número (ex.: +351XXXXXXXXX).

Ao clicar, concorda com o tratamento dos seus dados.