Las instituciones de servicios financieros se enfrentan a mayores riesgos operativos que pueden afectar a las operaciones empresariales y repercutir en la resiliencia. En respuesta a estos desafíos, la Autoridad de Regulación Prudencial de Australia (APRA) introdujo la CPS 230, un nuevo estándar prudencial destinado a mejorar la gestión de los riesgos operativos y a mejorar la resiliencia empresarial dentro del sector financiero. Este blog proporciona una guía detallada para la implementación de la CPS 230 de la APRA para ayudar a una entidad regulada por la APRA a comprender sus objetivos, requisitos e hitos clave para garantizar el cumplimiento antes del 1 de julio de 2025.

¿Qué es la CPS 230 y a quién afecta?
La CPS 230 es un marco de gestión de riesgos operativos fundamental desarrollado por la APRA, diseñado para fortalecer la resiliencia de las instituciones de servicios financieros australianas. Este estándar prudencial establece los requisitos para que las entidades gestionen y mitiguen los riesgos operativos, las interrupciones empresariales y las relaciones con terceros, garantizando que dispongan de sistemas y procesos sólidos para hacer frente a cualquier interrupción, fallo o crisis que pueda surgir.

El estándar afecta a una amplia gama de entidades financieras reguladas por la APRA, incluidos bancos, cooperativas de crédito, aseguradoras, fondos de jubilación y otras instituciones financieras. El objetivo de la CPS 230 es garantizar que estas organizaciones puedan gestionar eficazmente los riesgos operativos relacionados con las operaciones críticas, la tecnología y las interrupciones empresariales que puedan afectar negativamente a la estabilidad financiera o socavar la confianza de los clientes.

¿Qué sustituye la CPS230?
Antes de la CPS 230, el marco de la APRA para la gestión de riesgos de la CPS en relación con el riesgo operativo se regía en gran medida por la CPS 231, que estaba vinculada a la externalización y no era excesivamente prescriptiva sobre la resiliencia operativa general. También existía la CPS 232, que se refería a la continuidad del negocio, pero carecía de requisitos generales de resiliencia operativa. La CPS-230 introduce un enfoque más estructurado para la gestión de las operaciones críticas, haciendo hincapié en la continuidad del negocio, el riesgo de terceros y la resiliencia general.

La guía de la APRA CPS 230 proporciona un enfoque integral para la gestión del riesgo operativo que aborda los riesgos emergentes, en particular los relacionados con las interrupciones tecnológicas, las amenazas a la ciberseguridad y la mayor dependencia de proveedores externos.

 

Cronograma de implementación de la CPS 230 e hitos clave
Aunque la CPS 230 fue finalizada por la APRA en 2023, la implementación ha adoptado un enfoque gradual para dar a las organizaciones tiempo para ajustar sus operaciones con el fin de alinearse con los nuevos requisitos.

Sin embargo, la fecha límite definitiva para la implementación es el 1 de julio de 2025. Para esta fecha, se espera que las entidades reguladas tengan marcos de gestión de riesgos que se ajusten a la nueva norma y que hayan implementado planes integrales de continuidad del negocio (BCP) que protejan contra las interrupciones operativas, incluidas las relacionadas con las amenazas cibernéticas y los fallos de terceros.

La APRA CPS 230 exige el cumplimiento continuo, y las instituciones financieras deben evaluar y actualizar continuamente sus estrategias de resiliencia operativa en línea con los riesgos emergentes para seguir cumpliendo la normativa.

Consideraciones clave para la implementación de la CPS 230
Al tratar de implementar procesos que se ajusten a los requisitos de la CPS 230, las organizaciones deben tener en cuenta las siguientes áreas:

Identificar y proteger las operaciones críticas
Un componente central de la implementación de la CPS230 es la identificación y protección de las operaciones críticas para garantizar que puedan continuar en una crisis. Las instituciones financieras deben evaluar y priorizar sus servicios críticos, incluidos los sistemas bancarios centrales, las plataformas de pago y los sistemas de datos de los clientes, para garantizar que estén protegidos contra las interrupciones.

El objetivo de la CPS 230 es garantizar que estas operaciones críticas puedan continuar incluso frente a grandes interrupciones operativas o ciberataques. Las instituciones deberán evaluar sus operaciones críticas e implementar medidas y controles de resiliencia adecuados, como copias de seguridad del sistema, protocolos de ciberseguridad y capacidades de respuesta a incidentes.

Gestión del riesgo de terceros
Dado que el sector de los servicios financieros depende cada vez más de una red de proveedores externos, la CPS 230 proporciona orientación sobre la gestión de los riesgos relacionados con las relaciones con terceros y los acuerdos con los proveedores de servicios. Para garantizar el cumplimiento de los requisitos de la CPS 230, las empresas deben implementar un programa de gestión del riesgo de terceros de mejores prácticas. Esto implica la creación de un registro de proveedores, la realización de evaluaciones periódicas del riesgo de los proveedores, la realización de comprobaciones de antecedentes y la diligencia debida utilizando proveedores de inteligencia de riesgo de terceros, y la supervisión del rendimiento con respecto a los SLA y los KPI. Las empresas también deben asegurarse de que sus proveedores y cuartas partes tengan amplios planes de continuidad del negocio, cumplan con los requisitos o normas de cumplimiento exigidos por la organización y dispongan de procesos y controles de gestión de incidentes para garantizar que las interrupciones inesperadas se resuelvan antes de que afecten a sus clientes.

Planificación de la continuidad del negocio
Según el estándar prudencial CPS 230, las instituciones deben contar con planes de continuidad del negocio (BCP) detallados e integrales que abarquen todas las funciones críticas. Estos planes deben probarse y actualizarse periódicamente para reflejar los riesgos emergentes y los avances tecnológicos. El objetivo es garantizar que las instituciones financieras puedan seguir operando en caso de grandes interrupciones, como catástrofes naturales, ciberataques o crisis financieras.

La norma subraya la necesidad de contar con estrategias de recuperación eficaces, garantizando que las instituciones puedan restablecer rápidamente los sistemas y servicios críticos para minimizar cualquier pérdida potencial o impacto en el cliente. La implementación de la CPS 230 requiere algo más que un plan de gestión de la continuidad del negocio por escrito, las organizaciones deben mantener un registro de los procesos empresariales, realizar evaluaciones del impacto en el negocio, probar sus planes para identificar las lagunas y actualizar los planes periódicamente. También deben tener rutas de escalada y canales de comunicación claramente definidos para garantizar que los planes de gestión de la continuidad del negocio puedan activarse rápidamente.

Marcos de riesgo operativo y gobernanza
La CPS 230 exige que las instituciones financieras refuercen sus marcos de riesgo operativo y estructuras de gobernanza existentes para alinearlos con los nuevos requisitos. Para muchas organizaciones, esto significa implementar una plataforma de software de gestión de riesgos para garantizar que cuentan con procesos de gestión de riesgos de mejores prácticas. Los procesos clave incluyen el mantenimiento de un registro de riesgos activo, la realización de evaluaciones de riesgos periódicas, la implementación de controles eficaces y su comprobación periódica, la definición de un apetito de riesgo con indicadores clave de riesgo y la supervisión de los niveles de riesgo de forma continua.

Las empresas también deben tratar de garantizar que existan niveles claros de responsabilidad y tolerancia al riesgo y establecer estructuras de gobernanza del riesgo adecuadas, como los comités de riesgo, que supervisen los asuntos de resiliencia operativa. Las instituciones también deben implementar procesos para identificar y mitigar los riesgos operativos, garantizando que el personal clave, incluido el director de riesgos (CRO) y la alta dirección, tengan una comprensión clara de sus funciones y responsabilidades en la gestión de los riesgos operativos.

Mejorar los procesos de gestión de incidentes
La CPS 230 estipula que las organizaciones deben tener la capacidad de continuar las operaciones durante las interrupciones inesperadas y el tiempo de inactividad del sistema. Disponer de un proceso de gestión de incidentes de mejores prácticas es esencial para garantizar que los incidentes se registren, se escalen y se resuelvan de manera oportuna.

El software GRC puede proporcionar una solución de gestión de incidentes de mejores prácticas. Los empleados pueden registrar fácilmente los incidentes, los peligros potenciales y los cuasi accidentes a través de formularios en línea. Cada incidente se escala a la parte interesada pertinente utilizando flujos de trabajo predefinidos. Los flujos de trabajo de gestión de casos permiten la documentación completa del proceso de remediación. Esta evidencia de un proceso de gestión de incidentes de mejores prácticas proporciona a la APRA la prueba de que la organización está capturando y resolviendo de forma proactiva los incidentes para evitar interrupciones.

Hoja de ruta para la implementación de la CPS 230: pasos y mejores prácticas
La implementación de la CPS 230 no es tarea fácil. Las instituciones financieras deberán tomar varias medidas para garantizar una preparación adecuada para el cumplimiento con el fin de mitigar los riesgos operativos de forma eficaz y garantizar la resiliencia a largo plazo. Aquí tiene una guía paso a paso y una hoja de ruta para la implementación de la CPS 230:

Paso 1: Evaluar y actualizar el marco actual de gestión del riesgo operativo
Como punto de partida, las instituciones financieras deben llevar a cabo una revisión de sus prácticas actuales de gestión del riesgo operativo para identificar cualquier laguna entre sus procesos actuales y los requisitos de la CPS 230 con el fin de evaluar el impacto de la CPS 230 en sus operaciones. Para aquellos que necesitan realizar mejoras y adaptar su marco de riesgo operativo, la implementación de una plataforma de gestión de riesgos es una excelente manera para que las empresas implementen procesos de gestión de riesgos de mejores prácticas que cumplan con los requisitos de la CPS 230. Estas herramientas permiten a las empresas configurar un registro de riesgos en línea, automatizar el proceso de evaluación de riesgos, implementar controles y llevar a cabo pruebas de control. Las empresas también pueden utilizar estas herramientas para establecer KRI, supervisar los niveles de riesgo en relación con su apetito de riesgo, informar sobre el riesgo e implementar acciones de remediación para reducir el riesgo. El uso de una plataforma de gestión de riesgos también garantizará la responsabilidad del riesgo, ya que cada riesgo tiene un propietario claro y una ruta de escalada. Todos estos procesos fundamentales de gestión de riesgos ayudarán a las empresas a alinear sus operaciones con los requisitos de la CPS 230.

Paso 2: Desarrollar y probar los planes de continuidad del negocio
Los planes de continuidad del negocio son esenciales para el cumplimiento de la CPS 230. Las instituciones deben asegurarse de que sus BCP sean integrales, cubran todos los servicios críticos e incluyan estrategias de recuperación claras en caso de interrupciones operativas. La prueba periódica de estos planes es fundamental para garantizar que sigan siendo eficaces en la mitigación de los riesgos.

Paso 3: Implementar una gestión eficaz del riesgo de terceros
Otra de las principales operaciones críticas de la CPS 230 implica la implementación de procesos de mejores prácticas para gestionar la TPRM. El riesgo de terceros es otro aspecto esencial de la implementación de la CPS 230. Las instituciones deben establecer procesos claros para evaluar, incorporar, celebrar acuerdos contractuales y gestionar a los proveedores de servicios externos, garantizando que cumplan las mismas normas de resiliencia operativa que la propia institución financiera. Las empresas deben llevar a cabo evaluaciones periódicas del riesgo de los proveedores y utilizar fuentes de inteligencia de riesgo para llevar a cabo comprobaciones de antecedentes y supervisar el rendimiento con respecto a los SLA y los KPI. Las organizaciones también deben asegurarse de que los proveedores y los proveedores de servicios materiales tengan planes integrales de gestión de la continuidad del negocio y planes de respuesta a incidentes.

Paso 4: Identificar y priorizar las operaciones críticas
Una vez que se implementan los procesos de mejores prácticas para la gestión de riesgos, la continuidad del negocio y el riesgo de los proveedores, las instituciones financieras deben trabajar para identificar sus operaciones críticas y asegurarse de que están adecuadamente protegidas. Los riesgos para estos procesos deben añadirse al registro de riesgos, deben implementarse controles y políticas eficaces y deben crearse planes de continuidad del negocio. Deben llevarse a cabo pruebas periódicas y análisis de las lagunas para garantizar que cualquier nuevo proceso o riesgo emergente se añada y se capture continuamente.

Paso 5: Establecer estructuras de gobernanza y gestión de riesgos
La CPS 230 exige que las instituciones financieras cuenten con estructuras sólidas de gobernanza y gestión de riesgos. Las organizaciones deben asegurarse de que la alta dirección, incluido el consejo de administración, tenga visibilidad de su perfil de riesgo operativo y de que se asignen responsabilidades claras para la gestión de estos riesgos.

Paso 6: Supervisar e informar sobre el cumplimiento de la CPS 230
Como parte de la gestión del cumplimiento de la CPS 230, las instituciones deben implementar sistemas y procesos que les ayuden a supervisar e informar sobre su cumplimiento continuo de la norma. Las empresas pueden utilizar el software GRC para configurar un panel de control de cumplimiento de la CPS 230 que les ayude a realizar un seguimiento de los indicadores clave de rendimiento y a garantizar que se siguen todos los procesos pertinentes de gestión de riesgos, continuidad del negocio y riesgo de los proveedores.

Borrador de la guía de la CPS 230 para las entidades reguladas por la APRA
La APRA ha proporcionado un borrador de la guía de la CPS 230 para ayudar a las entidades reguladas por la APRA a comprender los requisitos y las expectativas de la norma. Esta guía es un recurso invaluable, que proporciona ejemplos prácticos y sugerencias sobre cómo implementar las diversas disposiciones de la norma.

El borrador de la guía incluye información sobre las estructuras de gobernanza, la gestión de los riesgos operativos, la implementación de los controles y el manejo de los riesgos de terceros y la continuidad del negocio. Las entidades reguladas deben revisar cuidadosamente la guía de la CPS 230 de la APRA e integrar sus recomendaciones en su marco GRC.

Cómo debe comenzar el proceso de cumplimiento de la CPS 230
El primer paso en el camino hacia el cumplimiento es familiarizar a su organización con los requisitos de la CPS 230. Las instituciones financieras pueden entonces iniciar las modificaciones necesarias, implementar cambios en sus estructuras de gobernanza y asegurarse de que se han puesto en marcha medidas de resiliencia adecuadas para las operaciones críticas.

Trabajar con consultores externos o proveedores de software de gestión de riesgos que se especialicen en el cumplimiento de la CPS 230 puede ayudar a acelerar el proceso y garantizar que su organización está en camino de cumplir con los plazos reglamentarios.

Si actualmente está utilizando procesos y recursos manuales como hojas de cálculo y correos electrónicos para gestionar el riesgo, la continuidad del negocio y el riesgo de los proveedores, entonces es posible que desee implementar una plataforma GRC. Estas herramientas ofrecen plantillas, marcos, flujos de trabajo y formularios de mejores prácticas para permitir a las empresas implementar fácilmente procesos que se ajusten a los requisitos de la CPS230.

Estas plataformas pueden automatizar las evaluaciones y la supervisión de riesgos, proporcionar un marco para la continuidad del negocio y la notificación de incidentes de mejores prácticas, y ayudar a las instituciones a gestionar sus relaciones con terceros. Las empresas pueden diseñar un panel de control de cumplimiento de la CPS 230 en la plataforma para obtener información en tiempo real sobre sus actividades de gestión de riesgos y garantizar el cumplimiento de la guía de prácticas prudenciales CPG 230.

Al adoptar de forma proactiva la guía de la CPS 230 e implementar las mejores prácticas, las instituciones financieras pueden fortalecer sus marcos de gestión del riesgo operativo, mejorar la resiliencia empresarial y garantizar que siguen cumpliendo con los requisitos de la CPS 230.

Conclusión
La implementación de la CPS 230 presenta una oportunidad significativa para que las instituciones financieras mejoren sus capacidades de gestión del riesgo operativo y de continuidad del negocio y salvaguarden sus organizaciones de los riesgos de los proveedores. Al comprender los requisitos, adherirse al cronograma de implementación y seguir las mejores prácticas recomendadas, las organizaciones pueden garantizar el cumplimiento de la CPS 230 y fortalecer su capacidad para superar las interrupciones operativas en un entorno de riesgo cada vez más complejo.

Consulte nuestro sitio web o descargue nuestro libro electrónico para obtener más información sobre cómo el software GRC puede ayudar a su organización a estructurar los procesos en línea con los requisitos de la CPS 230.

Si está listo para comenzar su viaje de implementación del software CPS 230, solicite una demostración.