La norma APRA CPS 230 es la adición de la Autoridad Australiana de Regulación Prudencial a la lista cada vez mayor de requisitos mundiales relacionados con el riesgo operativo y la resistencia. Los bancos, compañías de seguros y otras instituciones financieras australianas -incluidas las instituciones extranjeras con operaciones en Australia- tienen hasta julio de 2025 para cumplir la normativa.
Mientras que otras normativas de tendencia se centran en una única disciplina de resiliencia, la APRA CPS 230 combina la resiliencia operativa, la continuidad de negocio y la gestión del riesgo de terceros en una sola normativa. Este enfoque más amplio requiere que las organizaciones colaboren en la gestión del riesgo empresarial, la continuidad del negocio y otras disciplinas de riesgo para cumplir eficazmente.
Los cuatro pilares de la APRA CPS 230
La APRA CPS 230 establece un marco de gestión de riesgos que incluye cuatro áreas principales:
Gestión del riesgo operativo. Las empresas son responsables de gestionar diversos riesgos operativos, como los jurídicos, normativos, de cumplimiento, de conducta, tecnológicos, de datos y de gestión del cambio. Esto implica mantener las capacidades informáticas, evaluar el impacto de las decisiones empresariales en la resistencia operativa, y establecer, probar y supervisar los controles internos.
Continuidad empresarial. Las empresas deben establecer y mantener un registro de operaciones críticas y niveles de tolerancia asociados, junto con un plan de continuidad de la actividad que detalle las estrategias para mantener estas operaciones durante la interrupción. Este plan debe actualizarse anualmente y someterse a una revisión periódica por parte de la auditoría interna.
Gestión de riesgos de terceros. Las empresas deben mantener una política exhaustiva de gestión de los proveedores de servicios con detalles sobre quiénes son los proveedores de servicios materiales y los riesgos asociados. Para completar este requisito, las empresas deben llevar a cabo la diligencia debida antes de suscribir acuerdos, especificar las condiciones en los acuerdos formales y supervisar continuamente la relación para garantizar el cumplimiento y la gestión eficaz del riesgo.
Funciones y responsabilidades. El consejo es responsable en última instancia de la supervisión de la gestión del riesgo operativo de la empresa, incluida la continuidad del negocio y los acuerdos con terceros. Como supervisor, el consejo debe establecer funciones claras para que la alta dirección mantenga el perfil de riesgo operativo mediante controles internos eficaces.
Cómo prepararse ahora para el APRA CPS 230
Es posible que tus procesos ya se ajusten a algunos elementos del APRA, pero tendrás que revisarlos para encaminar a tu organización por la mejor vía. Aquí tienes cuatro pasos para empezar:
1. Realiza un análisis de las deficiencias. Comprueba el estado de tus capacidades actuales revisando las políticas y procedimientos de tus programas existentes de riesgo operativo, continuidad de negocio y TPRM. Compara cada punto de la norma y valida con los responsables del programa si se necesita un refinamiento o detalle adicional.
2. Coordinar todas las disciplinas de riesgo. Tendrás que coordinar la GRC y la gestión de la continuidad del negocio para alinearte con la CSP 230 de la APRA. Establece un líder organizativo que dirija el comité de cumplimiento del CPS 230 y encabece la comunicación entre los equipos. A continuación, haz balance de los programas y prácticas existentes de gestión de riesgos operativos, continuidad de negocio y gestión de riesgos de terceros, para ver qué controles pueden cumplirse y cuáles requerirán más trabajo. Reúnete regularmente con el comité y la junta para informar de los progresos y resolver los problemas.
3. Establecer y aprobar los procesos empresariales críticos. Identifica tus procesos empresariales críticos o servicios empresariales importantes con la aportación de los líderes ejecutivos. La mayoría de las organizaciones, independientemente de su tamaño, tendrán entre diez y doce que son fundamentales para la entrega de productos y servicios. Luego querrás identificar los niveles de tolerancia al impacto de cada proceso, para asegurarte de que los planificadores de la resiliencia comprenden los plazos necesarios para la recuperación y cuándo se alcanzaría un daño intolerable.
4. Actualizar las políticas de gestión de proveedores. Trabaja con tu equipo jurídico para crear o revisar las políticas existentes de gestión de vendedores o proveedores, y considera la posibilidad de consolidarlas cuando sea práctico. Para alinearte con la APRA, debes disponer de un proceso formalizado para identificar, valorar y evaluar los riesgos que plantean los proveedores de servicios, y asegurarte de que esos proveedores de servicios disponen de procedimientos para gestionar a sus propios terceros. Una vez establecida la política, lleva a cabo un proceso de revisión exhaustiva de todas las plantillas de contratos existentes comparándolas con la nueva política.
Aunque cualquier nueva norma puede provocar cierta ansiedad, el proceso no tiene por qué ser desalentador. Céntrate en lo que ya tienes y trabaja con el liderazgo y la dirección del departamento para reunir el resto de las piezas. Al final, el cumplimiento de la norma APRA 230 ayudará a tu organización a estar mejor preparada para proteger a tu gente, a tus clientes y a tu marca.
Para obtener la información más reciente sobre la legislación nueva y existente en materia de resiliencia operativa, descarga nuestro libro blanco, Resiliencia operativa: Navigating the Global Regulatory Landscape, y echa un vistazo a los servicios de consultoría de Riskonnect sobre Continuidad y Resiliencia Empresarial para obtener apoyo en materia de cumplimiento.
