Os trabalhos de asseguração consistem na avaliação da infraestrutura, sistemas e processos operacionais, incluindo o ambiente de controles internos e execução de procedimentos de auditoria nas empresas que estão ou entrarão em operação no contexto do Open Banking.
Essa avaliação segue rígidos processos de verificação, normatizados em regras específicas aplicáveis a trabalhos de asseguração que não sejam auditorias ou revisões de informações financeiras históricas, com a realização de testes independentes que incluem, dentre outros aspectos, a avaliação da efetividade dos controles internos-chave com emissão de um relatório de asseguração.
A seguir, apresentamos uma visão macro de riscos e controles que devem ser avaliados em operações dessa natureza:
| Risco | Descrição do risco | Controle macro esperado |
| Risco de associação | Associação com parceiros que não possuem estrutura, sistemas e controles com o grau de maturidade requerido para instituições financeiras. | Governança/políticas para associação com parceiros, políticas/processos de avaliação do grau de maturidade do ambiente tecnológico, controles e situação financeira. |
| Sigilo das informações | Utilização das informações transacionadas entre o Banco e os parceiros de forma indevida e não aderente as regras de LGPD, sigilo bancário etc. | Processos/sistemas que assegurem a aderência à LGPD e à Lei de Sigilo Bancário para instituições financeiras e parceiros. |
| Cyber security | Ambientes de tecnologia com fragilidades em seus controles de gestão de acesso, bloqueios de ataques cibernéticos, vírus & threat protection podem expor dados de clientes, bancos e parceiros. | Sistemas atualizados com proteção contra ataques, principalmente nos ambientes tecnológicos de parceiros que atuam em outros segmentos que não o sistema financeiro, testes de invasão recorrentes etc. |
| Processamento das informações | Processamento inadequado de informações por terceiros que não possuam ambiente tecnológico e de controles compatíveis com aqueles requeridos para empresas pertencentes ao sistema financeiro. | Processos recorrentes de verificação dos terceiros envolvidos no processamento das informações. |
| Regulamentar (PLD, CI, dentre outros) | Não aderência as regras e normas aplicáveis para operação no Open Banking, principalmente por envolver parceiros que atuam em outros segmentos que não o financeiro. | Avaliações preventivas (antes da associação) da aderência dos parceiros às regras para operarem no Open Banking, bem como processos rotineiros de verificação de aderência às políticas de PLD, por exemplo. |
| Interface inadequada entre os sistemas operacionais | Sistemas não compatíveis em razão da multipluralidade de informações transacionadas de segmentos diversos (financeiro, seguros, varejo, corretagem etc.) aumentam o risco de captura e tratamento inadequado dos dados compartilhados. | Pré-avaliação da compatibilidade dos sistemas envolvidos, bem como controles preventivos (antes da efetivação das transações) de verificação/confirmação de dados. |
Todas as situações de fragilidades ou aprimoramentos de controles internos serão descritas em um relatório detalhado de recomendações que será disponibilizado no fim do processo.
O trabalho de asseguração é uma excelente opção para empresas operantes do Open Banking devido à sua abrangência e prazo para execução. Ao final, é possível contar com um relatório independente sobre o seu ambiente operacional (sistemas e controles internos) vis a vis, algo determinado pelas regras do regulador e, também, pelo mercado nacional e internacional.
