Finanzdienstleistungsunternehmen in ganz Australien werden von der Australian Prudential Regulation Authority (APRA) reguliert, einer staatlich geführten Organisation, deren Hauptaufgabe es ist, die Finanzinstitute in Australien zu regulieren und zu beaufsichtigen, um die Stabilität, Sicherheit und Fairness des Finanzsystems zu gewährleisten.
Aus diesem Grund sind Finanzdienstleistungsunternehmen verpflichtet, im Einklang mit den wichtigsten Betriebsstandards der APRA zu agieren, CPS 230 für das operationelle Risikomanagement und CPS 234 für Informationssicherheit, die wichtige Richtlinien und Best Practices für das Management von operationellen Risiken, Lieferantenrisiken und Cyber-Risiken bieten. Diese verbindlichen Standards wurden eingeführt, um die Wirtschaft zu schützen und sicherzustellen, dass Finanzunternehmen in einer Krise betriebsfähig bleiben können.
Dieser Blogbeitrag untersucht, wie Unternehmen Best-Practice-Prozesse für das operationelle, Drittanbieter- und Cyber-Risikomanagement implementieren können, die den in den APRA-Standards dargelegten Anforderungen entsprechen. Wir werden auch erläutern, wie GRC-Software sofort einsatzbereite Frameworks, Vorlagen, Formulare und Best-Practice-Workflows bietet, um Unternehmen die Implementierung von Risikomanagementprozessen zu ermöglichen, die mit minimalem Aufwand den APRA-Standards entsprechen.
Welche Anforderungen sind in den APRA-Standards dargelegt?
APRA CPS 230 für operationelles Risikomanagement besagt, dass Unternehmen Folgendes tun müssen:
Ihre operationellen Risiken identifizieren, bewerten und managen, mit wirksamen internen Kontrollen, Überwachung und Behebung.
Die mit Dienstleistern verbundenen Risiken effektiv managen, mit einer umfassenden Richtlinie für das Dienstleistermanagement, formalen Vereinbarungen und einer robusten Überwachung.
APRA CPS 234 für Informationssicherheit besagt, dass Unternehmen Folgendes tun müssen:
Eine Informationssicherheitsfähigkeit aufrechterhalten, die dem Umfang und Ausmaß der Bedrohungen ihrer Informationswerte entspricht und die den fortgesetzten ordnungsgemäßen Betrieb der Entität ermöglicht.
Kontrollen zum Schutz ihrer Informationswerte implementieren, die der Kritikalität und Sensibilität dieser Informationswerte entsprechen, und systematische Tests und Zusicherungen hinsichtlich der Wirksamkeit dieser Kontrollen durchführen.
APRA über wesentliche Informationssicherheitsvorfälle benachrichtigen.
Wie können Unternehmen also narrensichere Prozesse implementieren, die den in APRA CPS 230 und CPS 234 dargelegten Anforderungen entsprechen? Finden wir es heraus…
-
Operationelles Risikomanagement
Um den Anforderungen des operationellen Risikomanagements gemäß CPS 230 zu entsprechen, müssen Finanzunternehmen ein robustes Rahmenwerk für das operationelle Risikomanagement etablieren, das Risiken, die den Geschäftsbetrieb beeinflussen, proaktiv identifiziert, bewertet und mindert. Diese können von Prozessfehlern und menschlichen Fehlern bis hin zu Technologieausfällen und externen Bedrohungen reichen.
Unternehmen müssen potenzielle Risiken identifizieren und ein „Risikoregister“ aufbauen sowie jedes Risiko kategorisieren, bewerten und die Verantwortlichkeit zuweisen. Für jedes Risiko sollten wichtige Risikoindikatoren festgelegt und „
Regelmäßige Risikoprüfungen sollten implementiert werden, um neue Risiken zu identifizieren und die Risikomanagementstrategie der Organisation zu verfeinern. Unternehmen sollten auch über Risikostufen berichten, um die Minderung der richtigen Risiken zur Erreichung ihrer Ziele und strategischen Vorgaben zu priorisieren.
Wie GRC-Software Unternehmen dabei helfen kann, Risikomanagementprozesse mit CPS 230 in Einklang zu bringen?
Unternehmen können ihre operationellen Risikomanagementprozesse mithilfe von GRC-Software einfach automatisieren, um Best-Practice-ERM-Praktiken zu implementieren, die den Anforderungen des operationellen Risikomanagements gemäß CPS 230 entsprechen.
Unternehmen können ihre kritischen Risiken identifizieren und ein dynamisches, durchsuchbares Risikoregister innerhalb der Plattform aufbauen. Mitarbeiter füllen einfach Online-Formulare aus, um das Risiko zu erfassen, zu kategorisieren und zu bewerten sowie wichtige Risikoindikatoren zu definieren und die Verantwortlichkeit zuzuweisen. Sobald das Risikoregister eingerichtet ist, werden für jedes einzelne Risiko Kontrollen festgelegt, um die Risikostufen innerhalb der
GRC-Software kann auch den Risikobewertungs- und Risikoüberwachungsprozess automatisieren. Unternehmen können Risikobewertungen einfach mithilfe von Workflow-Automatisierung planen. Das System sendet eine Benachrichtigung an den Mitarbeiter, der die Risikobewertung durchführen wird, und dieser füllt die Details über ein Online-Formular aus, wobei alle Daten direkt in die Plattform eingespeist werden. Erinnerungen werden automatisch für ausstehende Bewertungen gesendet. Wenn die Ergebnisse hohe Risikostufen anzeigen, werden Benachrichtigungen an den zuständigen Risikoeigentümer gesendet, damit dieser Abhilfemaßnahmen dokumentieren und eine Ursachenanalyse in der Plattform durchführen kann.
GRC-Plattformen können den Risikoüberwachungsprozess weiter automatisieren, indem sie sich über API-Integrationen mit Ihren anderen Systemen und Datenquellen verbinden. Die relevanten Risikodaten fließen nahtlos in die Plattform ein, und Unternehmen können Regeln festlegen, um hohe Risikostufen zu erkennen und Workflow-Automatisierung einzurichten, um die relevanten Mitarbeiter zu benachrichtigen. Dies eliminiert die manuelle Risikoüberwachung und ermöglicht es den Mitarbeitern, schneller zu handeln, um das Risiko zu senken.
GRC-Tools stellen auch die Verantwortlichkeit für Risiken sicher. Die Plattform integriert sich in Ihr Active Directory, und jedes Risiko und jede Aufgabe wird einem spezifischen Eigentümer zugewiesen. Automatisierte Benachrichtigungen leiten Mitarbeiter zu ihrem personalisierten Dashboard, wo sie ihre risikobezogenen Aufgaben und Aktionen online erledigen können. Jedes Mal, wenn Mitarbeiter ein Risiko erfassen, eine Risikobewertung oder Kontrollprüfung durchführen oder Maßnahmen zur Risikobehebung ergreifen, können Führungskräfte anhand des Benutzer-Logins sehen, welches Teammitglied die Aufgabe erledigt hat.
GRC-Plattformen automatisieren auch die Risikoberichterstattung und erstellen auf Knopfdruck Berichte über Risikoexposition und Kontrolleffektivität, Heatmaps, Bowtie-Analysen und Microsoft Power BI-Berichte. Dies erleichtert es Teams, Risikodaten zu analysieren und für wichtige Geschäftsentscheidungen zu nutzen. Software ermöglicht es dem Risikomanagementprogramm, mit der Expansion der Organisation zu skalieren und zu wachsen, und unterstützt kontinuierliche Verbesserungsbemühungen.
GRC-Software gleicht das Risikomanagementprogramm einer Organisation automatisch mit den CPS 230-Anforderungen ab. Dies verschafft Unternehmen mehr Zeit, sich der Identifizierung und dem Management neuer Risiken sowie der Implementierung wirksamer Kontrollen zur Risikominderung zu widmen, wodurch die gesamten Risikomanagementbemühungen verbessert werden. Viele GRC-Plattformen ermöglichen es Unternehmen, Risiken mit zugehörigen Richtlinien, Vorschriften, Vorfällen oder strategischen Zielen zu verknüpfen, was die Risikoüberwachung und den Geschäftsbetrieb weiter verbessert.
Viele GRC-Plattformen bieten auch Best-Practice-Funktionalitäten zur Verwaltung und Behebung unerwarteter Vorfälle und zur Automatisierung der Geschäftskontinuitätsplanung, wodurch Prozesse weiter mit den CPS 230-Anforderungen abgestimmt werden und sichergestellt wird, dass Unternehmen sich schnell von Betriebsunterbrechungen und Ausfallzeiten erholen können.
-
Lieferantenrisikomanagement
CPS 230 schreibt vor, dass Finanzinstitute Risiken im Zusammenhang mit Drittanbietern bewerten und managen müssen. Diese Risiken umfassen Sicherheitslücken, Nichteinhaltung von Vorschriften und Dienstunterbrechungen, die die Geschäftskontinuität und das Kundenvertrauen beeinträchtigen könnten.
Um den CPS 230-Anforderungen zu entsprechen, müssen Unternehmen kritische Details zu jedem Lieferanten verstehen und Daten zu Kosten, Verträgen, wichtigen Ansprechpartnern, Service Level Agreements (SLAs) und Key Performance Indicators (KPIs) erfassen. Sie müssen regelmäßige Lieferantenrisikobewertungen sowie Lieferanten-Benchmarking, -Analysen und -Forschung durchführen, um sicherzustellen, dass sie sowohl vor dem Onboarding als auch während der Lieferantenbeziehung mit zuverlässigen, ethischen Anbietern zusammenarbeiten. Unternehmen sollten auch die Lieferantenleistung anhand von SLAs und KPIs verfolgen, um sicherzustellen, dass der Lieferant im Einklang mit den vertraglichen Vereinbarungen handelt, und alle Probleme sollten dokumentiert und behoben werden.
Unternehmen sollten auch sicherstellen, dass Lieferanten einen tragfähigen Geschäftskontinuitätsplan haben, der regelmäßig getestet wird. Sie sollten auch eine Bestätigung einholen, dass Lieferanten gemäß allen verbindlichen Vorschriften und Standards arbeiten und die entsprechenden Zertifizierungen besitzen. Unternehmen sollten den Onboarding- und Offboarding-Prozess für Lieferanten formalisieren, um sicherzustellen, dass eine angemessene Due Diligence durchgeführt wird und dass keine unerwarteten Klauseln im Vertrag enthalten sind und die Kündigungsfrist eingehalten wird.
Wie kann GRC-Software Unternehmen dabei helfen, das Lieferantenrisikomanagement mit CPS 230 in Einklang zu bringen?
GRC-Software kann den Lieferantenrisikomanagementprozess vollständig automatisieren. Die sofort einsatzbereiten Vorlagen, Workflows und Formulare stellen sicher, dass Unternehmen ein Best-Practice-Lieferantenrisikomanagementprogramm implementieren können, das die in CPS 230 dargelegten Anforderungen erfüllt.
Unternehmen können ein zentralisiertes Lieferantenregister in der Plattform aufbauen. Mitarbeiter erfassen potenzielle Lieferanten in der Plattform mithilfe von Online-Formularen, die kritische Informationen zu Preis, vertraglichen Vereinbarungen, wichtigen Ansprechpartnern, Service Level Agreements (SLAs) und Key Performance Indicators (KPIs) erfassen.
Sie können die Software auch nutzen, um die Lieferanten-Due-Diligence durchzuführen und den Lieferantenrisikobewertungs- und Onboarding-Prozess vollständig zu automatisieren. Unternehmen können ein externes Lieferantenportal einrichten, in dem Lieferanten ihre Risikobewertungen über Online-Formulare abschließen können, wobei alle Daten in die Plattform eingespeist werden. Bewertungen sollten wichtige Fragen zu Geschäftskontinuitätspraktiken, Einhaltung von Vorschriften, Standards und Zertifizierungen, Incident-Response-Plänen, operativen Notfallplänen und Cybersicherheitspraktiken umfassen. Unternehmen können entscheiden, wie oft sie Lieferantenrisikobewertungen durchführen möchten und diese im System planen, und automatisierte Workflows senden E-Mail-Benachrichtigungen an Lieferanten, in denen sie aufgefordert werden, das Formular im Portal auszufüllen, wobei alle Daten in der Plattform erfasst werden.
Eine Lieferantenrisikoplattform kann Unternehmen auch ermöglichen, die Lieferantenleistung anhand von SLAs und KPIs zu überwachen und Probleme zu kennzeichnen. Das System kann sich mit anderen internen Systemen und Tabellenkalkulationen integrieren, in denen Lieferantenleistungsstatistiken gespeichert sind, und die Daten in die Plattform ziehen und an das Lieferantenprofil anhängen, was eine kontinuierliche Leistungsüberwachung erleichtert. Es können Regeln festgelegt werden, um Mitarbeiter zu benachrichtigen, wenn ein Lieferant SLAs und KPIs nicht erfüllt, damit das Problem behoben werden kann. Mitarbeiter können die Plattform auch nutzen, um Lieferantenvorfälle zu erfassen, zu eskalieren und zu lösen sowie eine Ursachenanalyse durchzuführen, um sicherzustellen, dass die Lieferantenleistung auf dem optimalen Niveau bleibt.
Ein weiteres wichtiges Merkmal von Lieferantenrisikomanagementplattformen ist ihre Fähigkeit, sich mit Anbietern von Lieferantenrisikoinformationen zu integrieren. Dies ermöglicht es Unternehmen, kritische Daten, Benchmarking und Analysen für jeden Lieferanten bezüglich finanzieller Stabilität, Bußgeldern, Strafverfolgungen, Leistungsbeurteilungen, ethischer Haltung und Datenschutzverletzungen direkt in die Plattform zu ziehen. Unternehmen erhalten Benachrichtigungen, wenn ihr Lieferant in die Schlagzeilen gerät, was es ihnen ermöglicht, das Risiko sofort mit dem Anbieter zu besprechen und bei Bedarf alternative Lieferanten zu suchen.
Die Zentralisierung von Lieferantenrisikodaten in einer Plattform schafft eine ganzheitliche Sicht auf die Lieferantenrisikoexposition, was Unternehmen ermöglicht, potenzielle Risiken zu identifizieren, die ihre Organisation beeinträchtigen könnten, und Schritte zu deren Minderung zu unternehmen. Es unterstützt Unternehmen auch dabei, Schlüsselprozesse rund um Lieferantenrisikobewertungen, Leistungsüberwachung, Onboarding und Offboarding sowie die Sammlung von Lieferantenrisikoinformationen zu automatisieren. Die Implementierung von Lieferantenrisikosoftware ermöglicht es Unternehmen, die in der CPS 230-Leitlinie dargelegten verbindlichen Anforderungen bezüglich des Lieferantenrisikomanagements und der Lieferantenbeziehungen zu erfüllen. Dieser bewährte, automatisierte Ansatz priorisiert die Risikominderung und Notfallplanung, unterstützt Resilienzbestrebungen und gewährleistet die Einhaltung der CPS 230-Richtlinien.
-
Cyber-Risikomanagement
Da die meisten Finanzunternehmen auf eine Vielzahl digitaler Systeme und Anwendungen angewiesen sind, um ihre Organisationen zu betreiben, ist das Management von IT-, Cyber-Risiken und Technologierisiken unerlässlich. Es ist auch eine verbindliche Anforderung für von der APRA regulierte Unternehmen gemäß CPS 230 und CPS 234.
Da CPS 230 das gesamte operationelle Risikomanagement (einschließlich digitaler Operationen) abdeckt und CPS 234 sich speziell auf das Informationssicherheitsrisiko konzentriert, müssen Finanzunternehmen robuste Cybersicherheits-Frameworks implementieren, um die Einhaltung dieser APRA-Standards zu erreichen. Wichtige zu verwaltende Bereiche umfassen Cyber-Bedrohungen, Datenschutzverletzungen und Systemschwachstellen, die sensible Finanzdaten gefährden können.
Unternehmen müssen ein Cyber-Risikoregister einrichten und regelmäßige Cyber-Risikobewertungen sowie Sicherheitsprüfungen in Bezug auf Datenintegrität und IT-Systemschwachstellen durchführen, um die Risikostufen zu überwachen. Sie müssen die Verantwortlichkeit für Cyber-Risiken zuweisen und Kontrollen wie Verschlüsselung, Firewalls, Multi-Faktor-Authentifizierung, Richtlinien, Prozesse und Schulungen implementieren, um Cyber-Risiken innerhalb tolerierbarer Niveaus zu halten. Diese Kontrollen sollten regelmäßig getestet und überprüft werden, um ihre Wirksamkeit sicherzustellen. Unternehmen sollten ihre Prozesse auch an relevante Vorschriften und Datenschutzrichtlinien wie Basel III, DSGVO, NIST, NIS2, SOX, ISO 27001 anpassen, abhängig von der Organisation und ihren regulatorischen Anforderungen und Zertifizierungen.
Unternehmen müssen klare Prozesse zur Erfassung, Eskalation und Behebung von Cyber-Vorfällen haben und eine Ursachenanalyse durchführen, um zukünftige Vorkommnisse zu verhindern. Sie müssen auch einen klar definierten Prozess für die Meldung signifikanter Sicherheitsverletzungen an die APRA innerhalb der festgelegten Fristen haben. Darüber hinaus sollten Organisationen auch Best-Practice-Programme für Geschäftskontinuität und Resilienz implementieren, um sicherzustellen, dass digitale Systeme jederzeit betriebsbereit bleiben und Daten geschützt sind. Diese Pläne sollten regelmäßig aktualisiert, überprüft und gegen verschiedene Szenarien getestet werden. Unternehmen müssen ihre Cyber-Assets sorgfältig verfolgen und sichern und Maßnahmen ergreifen, um sicherzustellen, dass die Ausrüstung aktuell und zweckmäßig ist und dass Lizenzen und Sicherheitspatches auf dem neuesten Stand sind.
Wie kann GRC-Software dabei helfen, das Cyber-Risikomanagement mit CPS 234 in Einklang zu bringen?
GRC-Software kann Unternehmen dabei unterstützen, ein Best-Practice-Framework für das Cyber-Risikomanagement zu erstellen, das den Anforderungen sowohl in CPS 230 als auch in CPS 234 entspricht.
Unternehmen können die Plattform nutzen, um ein digitales, durchsuchbares Cyber-Risikoregister aufzubauen. Risiken werden priorisiert, kategorisiert und die Verantwortlichkeit zugewiesen, und wichtige Risikoindikatoren werden definiert. Die Software kann den Cyber-Risikobewertungsprozess automatisieren. Automatisierte Workflows ermöglichen es Unternehmen, ihre Bewertungen im Voraus zu planen, und Benachrichtigungen werden gesendet, die es den Mitarbeitern ermöglichen, Online-Formulare für Cyber-Risikobewertungen auszufüllen, wobei alle Daten direkt in die Plattform eingespeist werden. Diese Tools können sich auch über API-Integrationen mit Ihren anderen Systemen und Datenquellen integrieren, sodass Sie Risikostufen basierend auf Daten in anderen Systemen überwachen und Regeln festlegen können, um zu kennzeichnen, wann Risikostufen eskalieren, um Mitarbeiter zu benachrichtigen.
Teams können auch eine Bibliothek von Cyber-Kontrollen in der Plattform aufbauen und Kontrollen dem zugehörigen Risiko zuordnen. Unternehmen können auch Kontrollprüfungen und -tests mithilfe der Plattform planen und automatisieren. Teams planen den Zeitplan für Kontrollprüfungen und -tests, und automatisierte Workflows senden Erinnerungen und ermöglichen es den Mitarbeitern, die Details der Prüfung in der Plattform auszufüllen. Führungsteams können problemlos Berichte über den Kontrollstatus und die Wirksamkeit erstellen. Viele Softwareplattformen bieten sofort einsatzbereite Kontroll-Frameworks für bestimmte Vorschriften und Datenschutzgesetze, was es Unternehmen erleichtert, die relevanten Kontrollen zur Sicherstellung der Compliance zu implementieren.
Diese Systeme bieten auch Best-Practice-Funktionen für die Vorfallsberichterstattung, die sich mit internen Ticketsystemen integrieren lassen. Die Lösung ermöglicht es Mitarbeitern, Vorfälle über Online-Formulare zu erfassen und nutzt fortschrittliche automatisierte Workflows, um Vorfälle zu triagieren, zu eskalieren, zu untersuchen und zu lösen sowie eine Ursachenanalyse durchzuführen. Führungsteams können Berichte über den Vorfallsstatus und -typ erstellen, um zukünftige Vorkommnisse zu reduzieren, und Vorfälle können leicht den ursprünglichen Risiken zugeordnet werden. Workflows können auch initiiert werden, um sicherzustellen, dass die APRA über hochriskante Cyber-Vorfälle informiert wird, wenn die Kriterien die Anforderungen erfüllen.
Viele Softwareplattformen bieten auch Funktionen für das Cyber-Asset-Management, die es Teams ermöglichen, alle ihre Cyber-Assets zu erfassen und Alter, Nutzung und Lizenzierung zu verfolgen, wodurch sichergestellt wird, dass die Ausrüstung immer aktuell und die Lizenzen gültig sind, was die Informationssicherheitsposition verbessert.
Warum Software für die APRA-Compliance entscheidend ist
Die Abstimmung von Risikomanagementprozessen mit den APRA-Standards CPS 230 und CPS 234 ist für Finanzinstitute entscheidend, um die Compliance sicherzustellen, Risiken zu mindern und die operationelle Resilienz aufzubauen. Die Implementierung von Best-Practice-Frameworks für das operationelle, Lieferanten- und Cyber-Risikomanagement mithilfe von GRC-Software stellt sicher, dass die APRA-Standards erfüllt werden, während die Risikoüberwachung gestärkt und die Geschäftskontinuität gewährleistet wird.
GRC-Software dient als leistungsstarker Wegbereiter, indem sie das Risikomanagement automatisiert, die Reaktion auf Vorfälle rationalisiert, die Compliance sicherstellt und die Cybersicherheit und Resilienz stärkt. Durch die Implementierung einer GRC-Lösung können Finanzinstitute alle Aspekte des Risikos proaktiv verwalten, indem sie Best-Practice-Frameworks, Vorlagen, Workflows und Formulare verwenden, die mit den sich entwickelnden regulatorischen Anforderungen von APRA übereinstimmen.
Die Einhaltung von APRA CPS 230 und APRA CPS 234 kann durch die Implementierung einer GRC-Software-Plattform erheblich vereinfacht werden. Ein technologieorientierter Ansatz ist der Schlüssel zur Gewährleistung langfristiger Resilienz und Compliance mit den APRA-Standards.
Kontaktieren Sie uns oder fordern Sie eine Demo an, um herauszufinden, wie eine Softwareplattform Ihre Prozesse an die APRA-Standards anpassen kann.
