Las empresas de servicios financieros de toda Australia están reguladas por la Autoridad de Regulación Prudencial de Australia (APRA), una organización impulsada por el gobierno cuya función principal es regular y supervisar las instituciones financieras de Australia para garantizar la estabilidad, la seguridad y la equidad del sistema financiero.

Debido a esto, las organizaciones de servicios financieros están obligadas a operar en consonancia con las normas operativas clave de APRA, CPS 230 para la gestión del riesgo operativo y CPS 234 para la seguridad de la información, que proporcionan directrices clave y mejores prácticas para la gestión de los riesgos operativos, de proveedores y cibernéticos. Estas normas obligatorias se han establecido para proteger la economía y garantizar que las empresas financieras puedan seguir operando en caso de crisis.

Este blog explora cómo las empresas pueden implementar procesos de mejores prácticas para la gestión de riesgos operativos, de terceros y cibernéticos que se ajusten a los requisitos descritos en las normas de APRA. También explicaremos cómo el software GRC ofrece marcos, plantillas, formularios y flujos de trabajo de mejores prácticas listos para usar, para permitir a las empresas implementar procesos de gestión de riesgos que se ajusten a las normas de APRA con el mínimo esfuerzo.

¿Cuáles son los requisitos que se describen en las normas de APRA?

La norma APRA CPS 230 para la gestión del riesgo operativo establece que las empresas deben:

Identificar, evaluar y gestionar sus riesgos operativos, con controles internos, supervisión y medidas correctivas eficaces.

Gestionar eficazmente los riesgos asociados a los proveedores de servicios, con una política integral de gestión de proveedores de servicios, acuerdos formales y una supervisión sólida.

La norma APRA CPS 234 para la seguridad de la información establece que las empresas deben:

Mantener una capacidad de seguridad de la información acorde con el tamaño y el alcance de las amenazas a sus activos de información, y que permita el funcionamiento continuo y sólido de la entidad.

Implementar controles para proteger sus activos de información acordes con la criticidad y la sensibilidad de dichos activos de información, y realizar pruebas y garantías sistemáticas con respecto a la eficacia de dichos controles.

Notificar a APRA los incidentes materiales de seguridad de la información.

Entonces, ¿cómo pueden las empresas implementar procesos infalibles que se ajusten a los requisitos descritos en APRA CPS 230 y CPS 234? Averigüémoslo…

  1. Gestión del riesgo operativo

Para ajustarse a los requisitos de gestión del riesgo operativo de la norma CPS 230, las empresas financieras deberán establecer un marco sólido de gestión del riesgo operativo que identifique, evalúe y mitigue de forma proactiva los riesgos que afecten a las operaciones empresariales. Estos pueden abarcar desde fallos de proceso y errores humanos hasta interrupciones tecnológicas y amenazas externas.

Las empresas deberán identificar los riesgos potenciales y elaborar un «registro de riesgos», así como clasificar y calificar cada riesgo y asignar la propiedad. Se deben establecer indicadores clave de riesgo para cada riesgo y se deben implementar «controles» para mantener los niveles de riesgo dentro del apetito de riesgo de las organizaciones. Se deben implementar evaluaciones y comprobaciones periódicas de los riesgos para supervisar los niveles de riesgo de forma regular y se deben establecer procesos de escalamiento para permitir a las empresas abordar los niveles de riesgo crecientes e implementar acciones correctivas.

Se deben implementar revisiones periódicas de los riesgos para identificar nuevos riesgos y perfeccionar la estrategia de gestión de riesgos de las organizaciones. Las empresas también deben informar sobre los niveles de riesgo, lo que les permite priorizar la mitigación de los riesgos adecuados para alcanzar sus objetivos y objetivos estratégicos.

¿Cómo puede el software GRC ayudar a las empresas a alinear los procesos de gestión de riesgos con la norma CPS 230?

Las empresas pueden automatizar fácilmente sus procesos operativos de gestión de riesgos utilizando el software GRC para implementar las mejores prácticas de ERM que se ajusten a los requisitos de gestión del riesgo operativo de la norma CPS 230.

Las empresas pueden identificar sus riesgos críticos y crear un registro de riesgos dinámico y con capacidad de búsqueda dentro de la plataforma. El personal simplemente completa formularios en línea para registrar, clasificar y calificar el riesgo, y para definir los indicadores clave de riesgo y asignar la propiedad. Una vez que se establece el registro de riesgos, se establecen controles para cada riesgo individual para mantener los niveles de riesgo dentro del apetito de riesgo de las organizaciones. El sistema permite a las empresas establecer flujos de trabajo para iniciar comprobaciones y pruebas de control periódicas, capturando los resultados a través de formularios en línea.

El software GRC también puede automatizar el proceso de evaluación y supervisión de riesgos. Las empresas pueden simplemente programar evaluaciones de riesgos utilizando la automatización del flujo de trabajo. El sistema envía una notificación al miembro del personal que completará la evaluación de riesgos, y este completa los detalles a través de un formulario en línea con todos los datos que se introducen directamente en la plataforma. Se envían recordatorios automáticamente para las evaluaciones pendientes. Si los resultados indican que los niveles de riesgo son altos, se envían notificaciones al propietario del riesgo correspondiente para que pueda documentar las acciones correctivas y realizar un análisis de la causa raíz en la plataforma.

Las plataformas GRC pueden automatizar aún más el proceso de supervisión de riesgos, integrándose con sus otros sistemas y fuentes de datos a través de integraciones de API. Los datos de riesgo relevantes se introducen sin problemas en la plataforma y las empresas pueden establecer reglas para detectar niveles de alto riesgo y establecer la automatización del flujo de trabajo para notificar al personal relevante. Esto elimina la supervisión manual de riesgos y permite al personal actuar más rápido para reducir el riesgo.

Las herramientas GRC también garantizan la propiedad del riesgo. La plataforma se integra con su directorio activo y a cada riesgo y tarea se le asigna un propietario específico. Las notificaciones automatizadas dirigen al personal a su propio panel personalizado donde pueden completar sus tareas y acciones relacionadas con el riesgo en línea. Cada vez que el personal registra un riesgo, completa una evaluación de riesgos o una comprobación de control, o toma medidas para corregir un riesgo, los líderes pueden ver qué miembro del equipo completó la tarea en función del inicio de sesión de los usuarios.

Las plataformas GRC también automatizan la elaboración de informes de riesgos, produciendo informes de exposición al riesgo y eficacia del control, mapas de calor, análisis de diagramas de pajarita e informes de Microsoft Power BI con solo tocar un botón. Esto facilita a los equipos el análisis de los datos de riesgo y su uso para impulsar importantes decisiones empresariales. El software permite que el programa de gestión de riesgos se amplíe y crezca a medida que la organización se expande, lo que respalda los esfuerzos de mejora continua.

El software GRC alinea automáticamente el programa de gestión de riesgos de una organización con los requisitos de la norma CPS 230. Esto deja a las empresas con más tiempo para dedicarlo a identificar y gestionar nuevos riesgos e implementar controles eficaces para reducir el riesgo, mejorando los esfuerzos generales de gestión de riesgos. Muchas plataformas GRC permiten a las empresas asignar riesgos a cualquier política, regulación, incidente u objetivo estratégico asociado, lo que mejora aún más la supervisión de riesgos y las operaciones empresariales.

Muchas plataformas GRC también ofrecen una funcionalidad de mejores prácticas para gestionar y resolver incidentes inesperados y automatizar la planificación de la continuidad del negocio, lo que alinea aún más los procesos con los requisitos de la norma CPS 230 y garantiza que las empresas puedan recuperarse rápidamente de las interrupciones operativas y el tiempo de inactividad.

  1. Gestión del riesgo de proveedores

La norma CPS 230 exige que las instituciones financieras evalúen y gestionen los riesgos asociados a los proveedores externos. Estos riesgos incluyen vulnerabilidades de seguridad, incumplimiento normativo e interrupciones del servicio que podrían afectar a la continuidad del negocio y a la confianza de los clientes.

Para ajustarse a los requisitos de la norma CPS 230, las empresas deben comprender los detalles críticos de cada proveedor, capturando datos sobre los costes, el contrato, los contactos clave, los acuerdos de nivel de servicio (SLA) y los indicadores clave de rendimiento (KPI). Deben realizar evaluaciones periódicas del riesgo de los proveedores y análisis comparativos, análisis e investigaciones de los proveedores para asegurarse de que están trabajando con proveedores fiables y éticos, tanto antes de la incorporación como durante la relación con el proveedor. Las empresas también deben realizar un seguimiento del rendimiento de los proveedores con respecto a los SLA y los KPI para asegurarse de que el proveedor está rindiendo en consonancia con los acuerdos contractuales y cualquier problema debe documentarse y abordarse.

Las empresas también deben asegurarse de que los proveedores tienen un plan de continuidad del negocio viable que se prueba regularmente. También deben obtener la confirmación de que los proveedores están operando de acuerdo con las regulaciones y normas obligatorias y tienen las certificaciones apropiadas. Las empresas deben formalizar el proceso de incorporación y desincorporación de proveedores, asegurándose de que se lleva a cabo la diligencia debida adecuada y asegurándose de que no haya cláusulas inesperadas en el contrato y de que se respete el período de preaviso.

¿Cómo puede el software GRC ayudar a las empresas a alinear la gestión del riesgo de proveedores con la norma CPS 230?

El software GRC puede automatizar completamente el proceso de gestión del riesgo de proveedores. Las plantillas, los flujos de trabajo y los formularios listos para usar garantizan que las empresas puedan implementar un programa de gestión del riesgo de proveedores de mejores prácticas que cumpla con los requisitos descritos en la norma CPS 230.

Las empresas pueden crear un registro de proveedores centralizado en la plataforma. El personal registra a los posibles proveedores en la plataforma utilizando formularios en línea que capturan información crítica sobre el precio, los acuerdos contractuales, los contactos clave, los acuerdos de nivel de servicio (SLA) y los indicadores clave de rendimiento (KPI).

También pueden utilizar el software para llevar a cabo la diligencia debida de los proveedores y automatizar completamente el proceso de evaluación e incorporación del riesgo de los proveedores. Las empresas pueden configurar un portal de proveedores externo donde los proveedores pueden completar sus evaluaciones de riesgos a través de formularios en línea con todos los datos que se introducen en la plataforma. Las evaluaciones deben incluir preguntas clave sobre las prácticas de continuidad del negocio, el cumplimiento de las regulaciones, las normas y las certificaciones, los planes de respuesta a incidentes, los planes de contingencia operativa y las prácticas de ciberseguridad. Las empresas pueden decidir con qué frecuencia quieren llevar a cabo las evaluaciones de riesgos de los proveedores y programarlas en el sistema, y los flujos de trabajo automatizados envían notificaciones por correo electrónico a los proveedores pidiéndoles que completen el formulario en el portal con todos los datos capturados en la plataforma.

Una plataforma de riesgo de proveedores también puede permitir a las empresas supervisar el rendimiento de los proveedores con respecto a los SLA y los KPI y señalar los problemas. El sistema puede integrarse con otros sistemas internos y hojas de cálculo donde se mantienen las estadísticas de rendimiento de los proveedores y extraer los datos en la plataforma y adjuntarlos al perfil de los proveedores, lo que facilita la supervisión continua del rendimiento. Se pueden establecer reglas para notificar al personal si un proveedor no está cumpliendo con los SLA y los KPI para que el problema pueda ser abordado. El personal también puede utilizar la plataforma para registrar, escalar y resolver los incidentes de los proveedores y realizar un análisis de la causa raíz para garantizar que el rendimiento de los proveedores se mantenga en el nivel óptimo.

Otra característica clave de las plataformas de gestión del riesgo de proveedores es su capacidad para integrarse con los proveedores de inteligencia de riesgo de proveedores. Esto permite a las empresas extraer datos críticos, análisis comparativos y análisis para cada proveedor relacionados con la estabilidad financiera, las multas, los enjuiciamientos, las revisiones de rendimiento, el punto de vista ético y las violaciones de datos directamente en la plataforma. Las empresas recibirán notificaciones si su proveedor llega a los titulares, lo que les permitirá abordar el riesgo inmediatamente con el proveedor y buscar proveedores alternativos si es necesario.

La centralización de los datos de riesgo de los proveedores en una sola plataforma crea una visión holística de la exposición al riesgo de los proveedores, lo que permite a las empresas identificar los riesgos potenciales que podrían afectar a su organización y tomar medidas para mitigarlos. También ayuda a las empresas a automatizar los procesos clave en torno a las evaluaciones de riesgos de los proveedores, la supervisión del rendimiento, la incorporación y la desincorporación, y la recopilación de inteligencia de riesgos de los proveedores. La implementación de un software de riesgo de proveedores permite a las empresas cumplir con los requisitos obligatorios descritos en la guía CPS 230 en relación con la gestión del riesgo de proveedores y las relaciones con los proveedores. Este enfoque automatizado de mejores prácticas prioriza la mitigación de riesgos y la planificación de contingencias, lo que respalda los esfuerzos de resiliencia y garantiza el cumplimiento de las directrices de la norma CPS 230.

  1. Gestión del riesgo cibernético

Dado que la mayoría de las empresas financieras dependen de una variedad de sistemas y aplicaciones digitales para dirigir sus organizaciones, la gestión de la TI, el riesgo cibernético y el riesgo tecnológico es esencial. También es un requisito obligatorio para las entidades reguladas por APRA en virtud de las normas CPS 230 y CPS 234.

Dado que la norma CPS 230 cubre la gestión general del riesgo operativo (incluidas las operaciones digitales) y la CPS 234 se centra específicamente en el riesgo de seguridad de la información, las empresas financieras deben implementar marcos de ciberseguridad sólidos para lograr el cumplimiento de estas normas de APRA. Las áreas clave a gestionar incluyen las amenazas cibernéticas, las violaciones de datos y las vulnerabilidades del sistema que pueden comprometer los datos financieros confidenciales.

Las empresas deben establecer un registro de riesgos cibernéticos y llevar a cabo evaluaciones periódicas de riesgos cibernéticos y comprobaciones de seguridad relacionadas con la integridad de los datos y las vulnerabilidades del sistema de TI para supervisar los niveles de riesgo. Deben asignar la propiedad del riesgo cibernético e implementar controles como el cifrado, los cortafuegos, la autenticación multifactor, las políticas, los procesos y la formación para mantener el riesgo cibernético dentro de los niveles tolerables. Estos controles deben probarse y comprobarse regularmente para garantizar su eficacia. Las empresas también deben alinear sus procesos con las regulaciones pertinentes y las directrices de privacidad de datos como Basilea III, GDPR, NIST, NIS2, SOX, ISO 27001 dependiendo de la organización y sus requisitos y certificaciones regulatorias.

Las empresas deben tener procesos claros para capturar, escalar y resolver los incidentes cibernéticos y realizar un análisis de la causa raíz para evitar que se produzcan en el futuro. También deben tener un proceso claramente definido para informar a APRA sobre las violaciones de seguridad notables dentro de los plazos estipulados. Además, las organizaciones también deben tener programas de continuidad del negocio y resiliencia de mejores prácticas para garantizar que los sistemas digitales permanezcan operativos en todo momento y que los datos estén protegidos. Estos planes deben actualizarse, comprobarse y probarse regularmente con diferentes escenarios. Las empresas deben realizar un seguimiento y asegurar cuidadosamente sus activos cibernéticos y tomar medidas para garantizar que el equipo esté actualizado y sea adecuado para su propósito y que las licencias y los parches de seguridad estén actualizados.

¿Cómo puede el software GRC ayudar a alinear la gestión del riesgo cibernético con la norma CPS 234?

El software GRC puede ayudar a las empresas a crear un marco de gestión del riesgo cibernético de mejores prácticas que se ajuste a los requisitos de las normas CPS 230 y CPS 234.

Las empresas pueden utilizar la plataforma para crear un registro de riesgos cibernéticos digital y con capacidad de búsqueda. Los riesgos se priorizan, se clasifican y se asigna la propiedad, y se definen los indicadores clave de riesgo. El software puede automatizar el proceso de evaluación del riesgo cibernético. Los flujos de trabajo automatizados permiten a las empresas programar sus evaluaciones por adelantado, y se envían notificaciones que permiten al personal completar los formularios de evaluación del riesgo cibernético en línea con todos los datos que se introducen directamente en la plataforma. Estas herramientas también pueden integrarse con sus otros sistemas y fuentes de datos a través de integraciones de API, lo que le permite supervisar los niveles de riesgo en función de los datos de otros sistemas y establecer reglas para señalar cuándo los niveles de riesgo están aumentando para notificar al personal.

Los equipos también pueden crear una biblioteca de controles cibernéticos en la plataforma y asignar controles al riesgo asociado. Las empresas también pueden programar y automatizar las comprobaciones y pruebas de control utilizando la plataforma. Los equipos planifican el programa de comprobaciones y pruebas de control y los flujos de trabajo automatizados envían recordatorios y permiten al personal completar los detalles de la comprobación en la plataforma. Los equipos de liderazgo pueden ejecutar fácilmente informes sobre el estado y la eficacia del control. Muchas plataformas de software ofrecen marcos de control listos para usar para ciertas regulaciones y leyes de privacidad de datos, lo que facilita a las empresas la implementación de los controles relevantes para garantizar el cumplimiento.

Estos sistemas también ofrecen capacidades de informes de incidentes de mejores prácticas que pueden integrarse con los sistemas de emisión de tickets internos. La solución permite al personal registrar los incidentes a través de formularios en línea y utiliza flujos de trabajo automatizados avanzados para clasificar, escalar, investigar y resolver los incidentes y realizar un análisis de la causa raíz. Los equipos de liderazgo pueden ejecutar informes sobre el estado y el tipo de incidente para tratar de reducir las futuras ocurrencias y los incidentes se pueden asignar fácilmente a los riesgos de origen. También se pueden iniciar flujos de trabajo para garantizar que APRA esté informada sobre los incidentes cibernéticos de alto riesgo cuando los criterios cumplan con los requisitos.

Muchas plataformas de software también ofrecen capacidades de gestión de activos cibernéticos, lo que permite a los equipos registrar todos sus activos cibernéticos y realizar un seguimiento de la antigüedad, el uso y las licencias, lo que garantiza que el equipo esté siempre actualizado y que las licencias sean válidas, lo que mejora la postura de seguridad de la información.

Por qué el software es clave para el cumplimiento de APRA

La alineación de los procesos de gestión de riesgos con las normas CPS 230 y CPS 234 de APRA es fundamental para que las instituciones financieras garanticen el cumplimiento, mitiguen los riesgos y desarrollen la resiliencia operativa. La implementación de marcos de mejores prácticas para la gestión de riesgos operativos, de proveedores y cibernéticos utilizando el software GRC garantiza que se cumplan las normas de APRA al tiempo que se fortalece la supervisión de riesgos y se garantiza la continuidad del negocio.

El software GRC actúa como un poderoso facilitador al automatizar la gestión de riesgos, optimizar la respuesta a incidentes, garantizar el cumplimiento normativo y fortalecer la ciberseguridad y la resiliencia. Al implementar una solución GRC, las instituciones financieras pueden gestionar de forma proactiva todos los aspectos del riesgo utilizando marcos de trabajo, plantillas, flujos de trabajo y formularios de buenas prácticas que se ajustan a los requisitos normativos en evolución de APRA.

El cumplimiento de APRA CPS 230 y APRA CPS 234 puede simplificarse enormemente implementando una plataforma de software GRC. Un enfoque impulsado por la tecnología es clave para garantizar la resiliencia a largo plazo y el cumplimiento de los estándares de APRA.

Póngase en contacto con nosotros o solicite una demostración para descubrir cómo una plataforma de software podría alinear sus procesos con los estándares de APRA.