Mit dem Standard APRA CPS 230 fügt die australische Aufsichtsbehörde (Australian Prudential Regulation Authority) der immer länger werdenden Liste der globalen Anforderungen an das operationelle Risiko und die Widerstandsfähigkeit hinzu. Australische Banken, Versicherungsgesellschaften und andere Finanzinstitute – einschließlich ausländischer Institute mit Niederlassungen in Australien – haben bis Juli 2025 Zeit, die Vorschriften zu erfüllen.
Während sich andere, im Trend liegende Vorschriften auf eine einzige Disziplin der Widerstandsfähigkeit konzentrieren, vereint APRA CPS 230 die operative Widerstandsfähigkeit, die Geschäftskontinuität und das Risikomanagement für Dritte in einer einzigen Vorschrift. Dieser umfassendere Ansatz erfordert, dass Unternehmen in den Bereichen Enterprise Risk Management, Business Continuity und anderen Risikodisziplinen zusammenarbeiten, um die Anforderungen effektiv zu erfüllen.
Die vier Säulen des APRA CPS 230
APRA CPS 230 legt einen Rahmen für das Risikomanagement fest, der vier Hauptbereiche umfasst:
Operatives Risikomanagement. Die Unternehmen sind für das Management verschiedener operativer Risiken verantwortlich, z. B. in den Bereichen Recht, Regulierung, Compliance, Verhalten, Technologie, Daten und Change Management. Dazu gehören die Aufrechterhaltung der IT-Kapazitäten, die Bewertung der Auswirkungen von Geschäftsentscheidungen auf die operative Belastbarkeit und die Einrichtung, Prüfung und Überwachung interner Kontrollen.
Geschäftskontinuität. Die Unternehmen müssen ein Verzeichnis der kritischen Operationen und der damit verbundenen Toleranzschwellen erstellen und pflegen sowie einen Business-Continuity-Plan mit Strategien zur Aufrechterhaltung dieser Operationen während einer Unterbrechung. Dieser Plan muss jährlich aktualisiert und regelmäßig von der Innenrevision überprüft werden.
Risikomanagement für Dritte. Die Unternehmen müssen eine umfassende Richtlinie für die Verwaltung von Dienstleistern mit Angaben zu den wesentlichen Dienstleistern und den damit verbundenen Risiken unterhalten. Um diese Anforderung zu erfüllen, müssen die Unternehmen vor dem Abschluss von Vereinbarungen eine Due-Diligence-Prüfung durchführen, die Bedingungen in formellen Vereinbarungen festlegen und die Beziehung kontinuierlich überwachen, um die Einhaltung der Vorschriften und ein effektives Risikomanagement sicherzustellen.
Rollen und Verantwortlichkeiten. Der Vorstand ist letztendlich für die Aufsicht über das operative Risikomanagement des Unternehmens verantwortlich, einschließlich der Geschäftskontinuität und der Vereinbarungen mit Dritten. Als Aufsichtsbehörde ist der Vorstand angewiesen, der Geschäftsleitung klare Aufgaben zuzuweisen, um das operationelle Risikoprofil durch effektive interne Kontrollen aufrechtzuerhalten.
Wie Sie sich jetzt auf APRA CPS 230 vorbereiten
Möglicherweise entsprechen Ihre Prozesse bereits einigen Elementen von APRA, aber Sie werden Ihre Prozesse überprüfen müssen, um Ihr Unternehmen auf den besten Weg zu bringen. Hier sind vier Schritte für den Anfang:
1. Führen Sie eine Lückenanalyse durch. Nehmen Sie den Status Ihrer aktuellen Fähigkeiten auf, indem Sie die Richtlinien und Verfahren Ihrer bestehenden Programme für Betriebsrisiken, Geschäftskontinuität und TPRM überprüfen. Vergleichen Sie jeden Punkt des Standards und stimmen Sie mit den Programmverantwortlichen ab, ob zusätzliche Verfeinerungen oder Details erforderlich sind.
2. Koordinieren Sie die verschiedenen Risikodisziplinen. Sie müssen die Bereiche GRC und Business Continuity Management koordinieren, um sich an APRA CSP 230 anzupassen. Legen Sie einen organisatorischen Leiter fest, der das CPS 230 Compliance-Komitee leitet und die Kommunikation zwischen den Teams vorantreibt. Machen Sie dann eine Bestandsaufnahme der bestehenden Programme und Praktiken für das Management von Betriebsrisiken, die Geschäftskontinuität und das Risikomanagement für Dritte, um festzustellen, welche Kontrollen erfüllt werden können und welche weitere Arbeit erfordern. Treffen Sie sich regelmäßig mit dem Ausschuss und dem Vorstand, um über Fortschritte zu berichten und Probleme zu lösen.
3. Legen Sie kritische Geschäftsprozesse fest und unterstützen Sie sie. Identifizieren Sie Ihre kritischen Geschäftsprozesse oder wichtigen Geschäftsdienste mit Hilfe von Führungskräften. Die meisten Unternehmen, unabhängig von ihrer Größe, haben zehn bis zwölf Unternehmen, die für die Bereitstellung von Produkten und Dienstleistungen entscheidend sind. Dann sollten Sie die Toleranzschwellen für die Auswirkungen jedes Prozesses festlegen, um sicherzustellen, dass die Ausfallsicherheitsplaner wissen, welche Zeitrahmen für die Wiederherstellung erforderlich sind und wann ein untragbarer Schaden erreicht ist.
4. Aktualisieren Sie die Richtlinien zur Lieferantenverwaltung. Arbeiten Sie mit Ihrer Rechtsabteilung zusammen, um Richtlinien für das Management von Anbietern oder Lieferanten zu erstellen oder zu überprüfen, und erwägen Sie eine Konsolidierung, wo dies sinnvoll ist. Um APRA gerecht zu werden, müssen Sie über ein formalisiertes Verfahren verfügen, um die von Dienstleistern ausgehenden Risiken zu identifizieren, zu bewerten und zu beurteilen – und sicherstellen, dass diese Dienstleister über Verfahren zur Verwaltung ihrer eigenen Dritten verfügen. Nachdem die Richtlinie festgelegt wurde, führen Sie eine umfassende Überprüfung aller bestehenden Vertragsvorlagen anhand der neuen Richtlinie durch.
Obwohl jeder neue Standard Ängste auslösen kann, muss der Prozess nicht entmutigend sein. Konzentrieren Sie sich auf das, was Sie bereits haben, und arbeiten Sie mit der Geschäftsleitung und dem Abteilungsmanagement zusammen, um den Rest der Teile zusammenzubringen. Letztendlich wird die Einhaltung von APRA 230 Ihrem Unternehmen helfen, besser vorbereitet zu sein, um Ihre Mitarbeiter, Kunden und Ihre Marke zu schützen.
Aktuelle Informationen zu neuen und bestehenden Gesetzen zur betrieblichen Ausfallsicherheit finden Sie in unserem Whitepaper, Operational Resilience: Navigating the Global Regulatory Landscape” herunter und informieren Sie sich über die Beratungsdienste von Riskonnect für Business Continuity & Resilience zur Unterstützung bei der Einhaltung von Vorschriften.