Finanzdienstleistungsinstitute sehen sich erhöhten operationale Risiken gegenüber, die Geschäftsabläufe beeinträchtigen und die Resilienz beeinflussen können. Als Reaktion auf diese Herausforderungen hat die Australian Prudential Regulation Authority (APRA) CPS 230 eingeführt, einen neuen Aufsichtsstandard, der darauf abzielt, das Management operationale Risiken zu verbessern und die Geschäftsresilienz im Finanzsektor zu stärken. Dieser Blog bietet einen ausführlichen Leitfaden zur APRA CPS 230 Implementierung, um einem von der APRA regulierten Unternehmen zu helfen, dessen Ziele, Anforderungen und wichtige Meilensteine zu verstehen, um die Einhaltung bis zum 1. Juli 2025 sicherzustellen.

Was ist CPS 230 und wen betrifft es?
CPS 230 ist ein kritisches Rahmenwerk für das operationale Risikomanagement, das von der APRA entwickelt wurde, um die Resilienz australischer Finanzdienstleistungsinstitute zu stärken. Dieser Aufsichtsstandard legt Anforderungen für Unternehmen fest, um operationale Risiken, Geschäftsunterbrechungen und Beziehungen zu Dritten zu managen und zu mindern, um sicherzustellen, dass sie robuste Systeme und Prozesse implementiert haben, um auf auftretende Störungen, Ausfälle oder Krisen reagieren zu können.

Der Standard betrifft eine breite Palette von Finanzunternehmen, die von der APRA reguliert werden, einschließlich Banken, Kreditgenossenschaften, Versicherungen, Pensionsfonds und anderer Finanzinstitute. Ziel und Zweck von CPS 230 ist es, sicherzustellen, dass diese Organisationen operationale Risiken im Zusammenhang mit kritischen Operationen, Technologie und Geschäftsunterbrechungen, die die Finanzstabilität negativ beeinflussen oder das Kundenvertrauen untergraben könnten, effektiv managen können.

Was ersetzt CPS230?
Vor CPS 230 wurde das Rahmenwerk der APRA für das CPS-Risikomanagement in Bezug auf operationale Risiken weitgehend durch CPS 231 geregelt, das mit Outsourcing verbunden war und nicht übermäßig präskriptiv in Bezug auf die gesamte operationale Resilienz war. Es gab auch CPS 232, das sich auf die Geschäftskontinuität bezog, aber die Anforderungen an die gesamte operationale Resilienz fehlten. CPS-230 führt einen strukturierteren Ansatz für das Management kritischer Operationen ein, wobei die Geschäftskontinuität, das Drittparteienrisiko und die gesamte Resilienz betont werden.

Die APRA CPS 230-Leitlinie bietet einen umfassenden Ansatz für das operationale Risikomanagement und adressiert aufkommende Risiken, insbesondere in Bezug auf technologische Störungen, Cybersicherheitsbedrohungen und die zunehmende Abhängigkeit von Drittanbietern.

 

CPS 230 Implementierungszeitplan und wichtige Meilensteine
Obwohl CPS 230 bereits 2023 von der APRA finalisiert wurde, erfolgt die Implementierung schrittweise, um Organisationen Zeit zu geben, ihre Abläufe an die neuen Anforderungen anzupassen.

Die harte Frist für die Implementierung ist jedoch der 1. Juli 2025. Bis zu diesem Datum wird von regulierten Unternehmen erwartet, dass sie Risikomanagement-Rahmenwerke implementiert haben, die dem neuen Standard entsprechen, und umfassende Business Continuity Pläne (BCPs) implementiert haben, die vor operationale Störungen schützen, einschließlich solcher, die mit Cyber-Bedrohungen und Ausfällen von Drittanbietern zusammenhängen.

APRA CPS 230 erfordert eine fortlaufende Einhaltung, und Finanzinstitute müssen ihre operationale Resilienzstrategien kontinuierlich bewerten und aktualisieren, im Einklang mit aufkommenden Risiken, um konform zu bleiben.

Wichtige Überlegungen zur CPS 230 Implementierung
Bei der Implementierung von Prozessen, die den CPS 230-Anforderungen entsprechen, sollten Organisationen die folgenden Bereiche berücksichtigen:

Kritische Operationen identifizieren und schützen
Ein zentraler Bestandteil der CPS230-Implementierung ist die Identifizierung und der Schutz kritischer Operationen, um sicherzustellen, dass sie in einer Krise fortgesetzt werden können. Finanzinstitute müssen ihre kritischen Dienste, einschließlich Kernbankensysteme, Zahlungsplattformen und Kundendatensysteme, bewerten und priorisieren, um sicherzustellen, dass sie vor Störungen geschützt sind.

Das Ziel von CPS 230 ist es, sicherzustellen, dass diese kritischen Operationen auch bei größeren operationale Störungen oder Cyberangriffen fortgesetzt werden können. Institute müssen ihre kritischen Operationen bewerten und geeignete Resilienzmaßnahmen und Kontrollen wie System-Backups, Cybersicherheitsprotokolle und Incident-Response-Fähigkeiten implementieren.

Drittparteien-Risikomanagement
Da der Finanzdienstleistungssektor zunehmend auf ein Netzwerk von Drittanbietern angewiesen ist, bietet CPS 230 Leitlinien für das Management von Risiken im Zusammenhang mit Drittbeziehungen und Dienstleistervereinbarungen. Um die Einhaltung der CPS 230-Anforderungen sicherzustellen, sollten Unternehmen ein Best-Practice-Programm für das Drittparteien-Risikomanagement implementieren. Dies beinhaltet den Aufbau eines Anbieterregisters, die Durchführung regelmäßiger Anbieter-Risikobewertungen, die Durchführung von Hintergrundprüfungen und Due Diligence unter Verwendung von Drittanbieter-Risikoinformationsanbietern sowie die Überwachung der Leistung anhand von SLAs und KPIs. Unternehmen müssen auch sicherstellen, dass ihre Anbieter und vierten Parteien über ausreichende Business Continuity Pläne verfügen, alle von der Organisation geforderten Compliance-Anforderungen oder Standards erfüllen und über Incident-Management-Prozesse und -Kontrollen verfügen, um sicherzustellen, dass unerwartete Störungen behoben werden, bevor ihre Kunden betroffen sind.

Geschäftskontinuitätsplanung
Gemäß dem Aufsichtsstandard CPS 230 müssen Institute detaillierte und umfassende Geschäftskontinuitätspläne (BCPs) vorweisen, die alle kritischen Funktionen umfassen. Diese Pläne müssen regelmäßig getestet und aktualisiert werden, um aufkommende Risiken und technologische Entwicklungen widerzuspiegeln. Ziel ist es, sicherzustellen, dass Finanzinstitute auch bei größeren Störungen wie Naturkatastrophen, Cyberangriffen oder Finanzkrisen weiter operieren können.

Der Standard betont die Notwendigkeit effektiver Wiederherstellungsstrategien, um sicherzustellen, dass Institute kritische Systeme und Dienste schnell wiederherstellen können, um potenzielle Verluste oder Auswirkungen auf Kunden zu minimieren. Die Implementierung von CPS 230 erfordert mehr als einen schriftlichen BCM-Plan; Organisationen müssen ein Geschäftsprozessprotokoll führen, Business Impact Assessments durchführen, ihre Pläne testen, um Lücken zu identifizieren, und Pläne regelmäßig aktualisieren. Sie müssen auch klar definierte Eskalationswege und Kommunikationskanäle haben, um sicherzustellen, dass BCM-Pläne schnell aktiviert werden können.

Rahmenwerke für operationale Risiken und Governance
CPS 230 verlangt von Finanzinstituten, ihre bestehenden Rahmenwerke für operationale Risiken und Governance-Strukturen zu stärken, um den neuen Anforderungen zu entsprechen. Für viele Organisationen bedeutet dies die Implementierung einer Risikomanagement-Softwareplattform, um sicherzustellen, dass sie Best-Practice-Risikomanagementprozesse implementiert haben. Zu den Schlüsselprozessen gehören die Führung eines aktiven Risikoregisters, die Durchführung regelmäßiger Risikobewertungen, die Implementierung effektiver Kontrollen und deren regelmäßige Tests, die Definition einer Risikobereitschaft mit wichtigen Risikoindikatoren und die kontinuierliche Überwachung der Risikostufen.

Unternehmen sollten auch sicherstellen, dass es eine klare Verantwortlichkeit und Toleranzstufen für Risiken gibt und geeignete Risikogovernance-Strukturen, wie Risikokomitees, einrichten, die die Aufsicht über operationale Resilienzangelegenheiten haben. Institute müssen auch Prozesse zur Identifizierung und Minderung operationale Risiken implementieren, um sicherzustellen, dass Schlüsselpersonal, einschließlich des Chief Risk Officers (CRO) und des Senior Managements, ein klares Verständnis ihrer Rollen und Verantwortlichkeiten im Management operationale Risiken hat.

Incident-Management-Prozesse aktualisieren
CPS 230 schreibt vor, dass Organisationen die Fähigkeit haben müssen, den Betrieb während unerwarteter Störungen und Systemausfallzeiten aufrechtzuerhalten. Ein Best-Practice-Incident-Management-Prozess ist unerlässlich, um sicherzustellen, dass Vorfälle zeitnah protokolliert, eskaliert und gelöst werden.

GRC-Software kann eine Best-Practice-Incident-Management-Lösung bieten. Mitarbeiter können Vorfälle, potenzielle Gefahren und Beinaheunfälle einfach über Online-Formulare protokollieren. Jeder Vorfall wird über vordefinierte Workflows an den relevanten Stakeholder eskaliert. Fallmanagement-Workflows ermöglichen eine vollständige Dokumentation des Behebungsprozesses. Dieser Nachweis eines Best-Practice-Incident-Management-Prozesses liefert der APRA den Beweis, dass die Organisation Vorfälle proaktiv erfasst und löst, um Störungen zu verhindern.

CPS 230 Implementierungs-Roadmap: Schritte und Best Practices
Die Implementierung von CPS 230 ist keine leichte Aufgabe. Finanzinstitute müssen mehrere Schritte unternehmen, um eine angemessene Compliance-Vorbereitung sicherzustellen, um operationale Risiken effektiv zu mindern und langfristige Resilienz zu gewährleisten. Hier ist ein Schritt-für-Schritt-Leitfaden und eine Roadmap zur CPS 230 Implementierung:

Schritt 1: Aktuelles Rahmenwerk für das operationale Risikomanagement bewerten und aktualisieren
Als Ausgangspunkt sollten Finanzinstitute eine Überprüfung ihrer aktuellen Praktiken im Bereich des operationale Risikomanagements durchführen, um Lücken zwischen ihren aktuellen Prozessen und den CPS 230-Anforderungen zu identifizieren und die Auswirkungen von CPS 230 auf ihre Operationen zu bewerten. Für diejenigen, die Verbesserungen vornehmen und ihr Rahmenwerk für operationale Risiken anpassen müssen, ist die Implementierung einer Risikomanagement-Plattform eine hervorragende Möglichkeit für Unternehmen, Best-Practice-Risikomanagementprozesse zu implementieren, die den CPS 230-Anforderungen entsprechen. Diese Tools ermöglichen es Unternehmen, ein Online-Risikoregister einzurichten, den Risikobewertungsprozess zu automatisieren, Kontrollen zu implementieren und Kontrolltests durchzuführen. Unternehmen können diese Tools auch nutzen, um KRIs festzulegen, Risikostufen im Verhältnis zu ihrer Risikobereitschaft zu überwachen, über Risiken zu berichten und Abhilfemaßnahmen zur Risikominderung zu implementieren. Die Verwendung einer Risikomanagement-Plattform stellt auch die Verantwortlichkeit für Risiken sicher, da jedes Risiko einen klaren Eigentümer und Eskalationsweg hat. All diese grundlegenden Risikomanagementprozesse werden Unternehmen helfen, ihre Abläufe an die CPS 230-Anforderungen anzupassen.

Schritt 2: Geschäftskontinuitätspläne entwickeln und testen
Geschäftskontinuitätspläne sind für die Einhaltung von CPS 230 unerlässlich. Institute müssen sicherstellen, dass ihre BCPs umfassend sind, alle kritischen Dienste abdecken und klare Wiederherstellungsstrategien für den Fall operationale Störungen enthalten. Regelmäßige Tests dieser Pläne sind entscheidend, um sicherzustellen, dass sie bei der Risikominderung wirksam bleiben.

Schritt 3: Effektives Drittparteien-Risikomanagement implementieren
Eine weitere der wichtigsten kritischen Operationen von CPS 230 beinhaltet die Implementierung von Best-Practice-Prozessen zur Verwaltung des TPRM. Das Drittparteienrisiko ist ein weiterer wesentlicher Aspekt der CPS 230-Implementierung. Institute sollten klare Prozesse für die Bewertung, das Onboarding, vertragliche Vereinbarungen und das Management von Drittanbietern festlegen, um sicherzustellen, dass diese die gleichen operationale Resilienzstandards wie das Finanzinstitut selbst erfüllen. Unternehmen sollten regelmäßige Anbieter-Risikobewertungen durchführen und Risikoinformationsquellen nutzen, um Hintergrundprüfungen durchzuführen und die Leistung anhand von SLAs und KPIs zu überwachen. Organisationen sollten auch sicherstellen, dass Anbieter und wesentliche Dienstleister über umfassende Geschäftskontinuitätsmanagementpläne und Incident-Response-Pläne verfügen.

Schritt 4: Kritische Operationen identifizieren und priorisieren
Sobald Best-Practice-Prozesse für Risikomanagement, Geschäftskontinuität und Anbieter-Risiko implementiert sind, müssen Finanzinstitute daran arbeiten, ihre kritischen Operationen zu identifizieren und sicherzustellen, dass diese angemessen geschützt sind. Risiken für diese Prozesse sollten dem Risikoregister hinzugefügt, effektive Kontrollen und Richtlinien implementiert und Geschäftskontinuitätspläne erstellt werden. Regelmäßige Tests und Gap-Analysen sollten durchgeführt werden, um sicherzustellen, dass neue Prozesse oder aufkommende Risiken kontinuierlich hinzugefügt und erfasst werden.

Schritt 5: Governance- und Risikomanagementstrukturen etablieren
CPS 230 verlangt, dass Finanzinstitute robuste Governance- und Risikomanagementstrukturen implementiert haben. Organisationen sollten sicherstellen, dass das Senior Management, einschließlich des Vorstands, Einblick in ihr operationale Risikoprofil hat und dass klare Verantwortlichkeiten für das Management dieser Risiken zugewiesen werden.

Schritt 6: CPS 230 Compliance überwachen und berichten
Als Teil des CPS 230 Compliance-Managements sollten Institute Systeme und Prozesse implementieren, die sie bei der Überwachung und Berichterstattung ihrer fortlaufenden Einhaltung des Standards unterstützen. Unternehmen können GRC-Software verwenden, um ein CPS 230 Compliance-Dashboard einzurichten, um wichtige Leistungsindikatoren zu verfolgen und sicherzustellen, dass alle relevanten Risikomanagement-, Geschäftskontinuitäts- und Anbieter-Risikoprozesse eingehalten werden.

Entwurf der CPS 230-Leitlinie für von der APRA regulierte Unternehmen
Die APRA hat einen Entwurf der CPS 230-Leitlinie bereitgestellt, um von der APRA regulierten Unternehmen zu helfen, die Anforderungen und Erwartungen des Standards zu verstehen. Diese Leitlinie ist eine unschätzbare Ressource, die praktische Beispiele und Vorschläge zur Implementierung der verschiedenen Bestimmungen des Standards bietet.

Der Entwurf der Leitlinie enthält Einblicke in Governance-Strukturen, das Management operationale Risiken, die Implementierung von Kontrollen sowie den Umgang mit Drittparteienrisiken und Geschäftskontinuität. Regulierte Unternehmen sollten die CPS 230-Leitlinie der APRA sorgfältig prüfen und deren Empfehlungen in ihr GRC-Rahmenwerk integrieren.

Wie Sie den CPS 230 Compliance-Prozess beginnen sollten
Der erste Schritt auf dem Weg zur Compliance ist es, Ihre Organisation mit den CPS 230-Anforderungen vertraut zu machen. Finanzinstitute können dann die notwendigen Änderungen einleiten, Anpassungen an ihren Governance-Strukturen vornehmen und sicherstellen, dass geeignete Resilienzmaßnahmen für kritische Operationen vorhanden sind.

Die Zusammenarbeit mit externen Beratern oder Anbietern von Risikomanagement-Software, die auf die CPS 230-Compliance spezialisiert sind, kann den Prozess beschleunigen und sicherstellen, dass Ihre Organisation die regulatorischen Fristen einhält.

Wenn Sie derzeit manuelle Prozesse und Ressourcen wie Tabellenkalkulationen und E-Mails zur Verwaltung von Risiken, Geschäftskontinuität und Anbieter-Risiken verwenden, dann sollten Sie eine GRC-Plattform implementieren. Diese Tools bieten Best-Practice-Vorlagen, Rahmenwerke, Workflows und Formulare, um Unternehmen die einfache Implementierung von Prozessen zu ermöglichen, die den CPS230-Anforderungen entsprechen.

Diese Plattformen können Risikobewertungen und die Risikoüberwachung automatisieren, ein Rahmenwerk für Best-Practice-Geschäftskontinuität und Incident-Reporting bieten und Institutionen bei der Verwaltung ihrer Drittbeziehungen unterstützen. Unternehmen können in der Plattform ein CPS 230 Compliance-Dashboard entwerfen, um Echtzeit-Einblicke in ihre Risikomanagementaktivitäten zu erhalten und die Einhaltung des Aufsichtspraxisleitfadens CPG 230 sicherzustellen.

Durch die proaktive Übernahme der CPS 230-Leitlinie und die Implementierung von Best Practices können Finanzinstitute ihre Rahmenwerke für das operationale Risikomanagement stärken, die Geschäftsresilienz verbessern und sicherstellen, dass sie den CPS 230-Anforderungen weiterhin entsprechen.

Fazit
Die Implementierung von CPS 230 bietet Finanzinstituten eine bedeutende Gelegenheit, ihre Fähigkeiten im Bereich des operationale Risikomanagements und der Geschäftskontinuität zu verbessern und ihre Organisationen vor Anbieter-Risiken zu schützen. Indem sie die Anforderungen verstehen, den Implementierungszeitplan einhalten und die empfohlenen Best Practices befolgen, können Organisationen die CPS 230-Compliance sicherstellen und ihre Fähigkeit stärken, operationale Störungen in einem zunehmend komplexen Risikoumfeld zu überstehen.

Besuchen Sie unsere Website oder laden Sie unser E-Book herunter, um weitere Informationen darüber zu erhalten, wie GRC-Software Ihre Organisation unterstützen kann, Prozesse gemäß den CPS 230-Anforderungen zu strukturieren.

Wenn Sie bereit sind, Ihre CPS 230 Software-Implementierungsreise zu beginnen, fordern Sie eine Demo an.