Les institutions de services financiers font face à des risques opérationnels accrus qui peuvent affecter les opérations commerciales et impacter la résilience. En réponse à ces défis, l’Autorité australienne de réglementation prudentielle (APRA) a introduit la CPS 230, une nouvelle norme prudentielle visant à améliorer la gestion des risques opérationnels et à renforcer la résilience commerciale dans le secteur financier. Ce blog fournit un guide détaillé sur la mise en œuvre de la CPS 230 pour aider les entités réglementées par l’APRA à comprendre ses objectifs, ses exigences et ses étapes clés afin d’assurer la conformité d’ici le 1er juillet 2025.
Qu’est-ce que la CPS 230 et qui est concerné ?
La CPS 230 est un cadre essentiel de gestion des risques opérationnels développé par l’APRA, conçu pour renforcer la résilience des institutions de services financiers australiennes. Cette norme prudentielle définit les exigences pour que les entités gèrent et atténuent les risques opérationnels, les perturbations commerciales et les relations avec les tiers, en s’assurant qu’elles disposent de systèmes et de processus robustes pour faire face aux perturbations, défaillances ou crises qui pourraient survenir.
La norme impacte un large éventail d’entités financières réglementées par l’APRA, notamment les banques, les coopératives de crédit, les assureurs, les fonds de retraite et autres institutions financières. Le but et l’objectif de la CPS 230 est de s’assurer que ces organisations peuvent gérer efficacement les risques opérationnels liés aux opérations critiques, à la technologie et aux perturbations commerciales qui pourraient avoir un impact négatif sur la stabilité financière ou miner la confiance des clients.
Que remplace la CPS 230 ?
Avant la CPS 230, le cadre de l’APRA pour la gestion des risques CPS liés aux risques opérationnels était largement régi par la CPS 231, qui était liée à l’externalisation et n’était pas très prescriptive concernant la résilience opérationnelle globale. Il y avait aussi la CPS 232 qui concernait la continuité des activités mais qui manquait d’exigences globales en matière de résilience opérationnelle. La CPS-230 introduit une approche plus structurée de la gestion des opérations critiques, mettant l’accent sur la continuité des activités, le risque lié aux tiers et la résilience globale.
Les directives APRA CPS 230 fournissent une approche complète de la gestion des risques opérationnels et traitent des risques émergents, particulièrement en ce qui concerne les perturbations technologiques, les menaces de cybersécurité et la dépendance accrue aux fournisseurs tiers.
Calendrier de mise en œuvre de la CPS 230 et étapes clés
Bien que la CPS 230 ait été finalisée par l’APRA en 2023, la mise en œuvre a adopté une approche progressive pour donner aux organisations le temps d’aligner leurs opérations sur les nouvelles exigences.
Cependant, la date limite ferme pour la mise en œuvre est le 1er juillet 2025. À cette date, les entités réglementées devront avoir mis en place des cadres de gestion des risques conformes à la nouvelle norme et avoir mis en œuvre des plans de continuité d’activité (PCA) complets qui protègent contre les perturbations opérationnelles, y compris celles liées aux menaces cyber et aux défaillances des tiers.
La CPS 230 de l’APRA exige une conformité continue, et les institutions financières doivent évaluer et mettre à jour en permanence leurs stratégies de résilience opérationnelle en fonction des risques émergents pour rester conformes.
Considérations clés pour la mise en œuvre de la CPS 230
Lors de la mise en œuvre des processus conformes aux exigences de la CPS 230, les organisations doivent considérer les domaines suivants :
Identifier et protéger les opérations critiques
Un élément central de la mise en œuvre de la CPS 230 est l’identification et la protection des opérations critiques pour assurer leur continuité en cas de crise. Les institutions financières doivent évaluer et prioriser leurs services critiques, y compris les systèmes bancaires centraux, les plateformes de paiement et les systèmes de données clients pour s’assurer qu’ils sont protégés contre les perturbations.
L’objectif de la CPS 230 est de garantir que ces opérations critiques puissent se poursuivre même en cas de perturbations opérationnelles majeures ou de cyberattaques. Les institutions devront évaluer leurs opérations critiques et mettre en œuvre des mesures de résilience et des contrôles appropriés tels que des sauvegardes de système, des protocoles de cybersécurité et des capacités de réponse aux incidents.
Gestion des risques liés aux tiers
Alors que le secteur des services financiers dépend de plus en plus d’un réseau de fournisseurs tiers, la CPS 230 fournit des directives sur la gestion des risques liés aux relations avec les tiers et aux accords de prestation de services. Pour assurer la conformité aux exigences de la CPS 230, les entreprises doivent mettre en œuvre un programme de gestion des risques liés aux tiers selon les meilleures pratiques. Cela implique la création d’un registre des fournisseurs, la réalisation d’évaluations régulières des risques liés aux fournisseurs, la réalisation de vérifications des antécédents et de due diligence à l’aide de fournisseurs de renseignements sur les risques liés aux tiers, et le suivi des performances par rapport aux SLA et aux KPI. Les entreprises doivent également s’assurer que leurs fournisseurs et leurs parties tierces disposent de plans de continuité d’activité adéquats, respectent toutes les exigences de conformité ou les normes requises par l’organisation, et ont mis en place des processus et des contrôles de gestion des incidents pour s’assurer que les perturbations inattendues sont résolues avant d’impacter leurs clients.
Planification de la continuité d’activité
Selon la norme prudentielle CPS 230, les institutions doivent disposer de plans de continuité d’activité (PCA) détaillés et complets qui englobent toutes les fonctions critiques. Ces plans doivent être régulièrement testés et mis à jour pour refléter les risques émergents et les développements technologiques. L’objectif est de s’assurer que les institutions financières peuvent continuer à fonctionner en cas de perturbations majeures telles que les catastrophes naturelles, les cyberattaques ou les crises financières.
La norme souligne la nécessité de stratégies de reprise efficaces, garantissant que les institutions peuvent rapidement restaurer les systèmes et services critiques pour minimiser les pertes potentielles ou l’impact sur les clients. La mise en œuvre de la CPS 230 nécessite plus qu’un plan BCM écrit, les organisations doivent tenir un journal des processus métier, effectuer des évaluations d’impact sur l’activité, tester leurs plans pour identifier les lacunes et mettre à jour les plans régulièrement. Elles doivent également avoir des voies d’escalade et des canaux de communication clairement définis pour s’assurer que les plans BCM peuvent être activés rapidement.
Cadres et gouvernance des risques opérationnels
La CPS 230 exige que les institutions financières renforcent leurs cadres de risques opérationnels existants et leurs structures de gouvernance pour s’aligner sur les nouvelles exigences. Pour de nombreuses organisations, cela signifie mettre en œuvre une plateforme de gestion des risques pour s’assurer qu’elles disposent des meilleures pratiques de gestion des risques. Les processus clés comprennent la tenue d’un registre des risques actif, la réalisation d’évaluations régulières des risques, la mise en œuvre de contrôles efficaces et leur test régulier, la définition d’un appétit pour le risque avec des indicateurs clés de risque et le suivi continu des niveaux de risque.
Les entreprises doivent également veiller à ce qu’il y ait une responsabilité claire et des niveaux de tolérance pour le risque et établir des structures de gouvernance des risques appropriées, telles que des comités des risques, qui supervisent les questions de résilience opérationnelle. Les institutions doivent également mettre en œuvre des processus d’identification et d’atténuation des risques opérationnels, en s’assurant que le personnel clé, y compris le directeur des risques (CRO) et la direction générale, comprennent clairement leurs rôles et responsabilités dans la gestion des risques opérationnels.
Améliorer les processus de gestion des incidents
La CPS 230 stipule que les organisations doivent avoir la capacité de poursuivre leurs opérations pendant les perturbations et les temps d’arrêt système inattendus. Disposer d’un processus de gestion des incidents selon les meilleures pratiques est essentiel pour s’assurer que les incidents sont enregistrés, escaladés et résolus en temps opportun.
Un logiciel GRC peut fournir une solution de gestion des incidents selon les meilleures pratiques. Les employés peuvent facilement enregistrer les incidents, les dangers potentiels et les quasi-accidents via des formulaires en ligne. Chaque incident est escaladé vers la partie prenante concernée en utilisant des flux de travail prédéfinis. Les flux de travail de gestion des cas permettent une documentation complète du processus de remédiation. Cette preuve d’un processus de gestion des incidents selon les meilleures pratiques fournit la preuve à l’APRA que l’organisation capture et résout proactivement les incidents pour prévenir les perturbations.
Feuille de route de mise en œuvre de la CPS 230 : Étapes et meilleures pratiques
La mise en œuvre de la CPS 230 n’est pas une tâche simple. Les institutions financières devront prendre plusieurs mesures pour assurer une préparation adéquate à la conformité afin d’atténuer efficacement les risques opérationnels et d’assurer une résilience à long terme. Voici un guide étape par étape et une feuille de route pour la mise en œuvre de la CPS 230 :
Étape 1 : Évaluer et mettre à jour le cadre actuel de gestion des risques opérationnels
Pour commencer, les institutions financières doivent effectuer un examen de leurs pratiques actuelles de gestion des risques opérationnels pour identifier les écarts entre leurs processus actuels et les exigences de la CPS 230 afin d’évaluer l’impact de la CPS 230 sur leurs opérations. Pour celles qui doivent apporter des améliorations et adapter leur cadre de risques opérationnels, la mise en œuvre d’une plateforme de gestion des risques est un excellent moyen pour les entreprises de mettre en œuvre des processus de gestion des risques selon les meilleures pratiques qui répondent aux exigences de la CPS 230. Ces outils permettent aux entreprises de mettre en place un registre des risques en ligne, d’automatiser le processus d’évaluation des risques, de mettre en œuvre des contrôles et d’effectuer des tests de contrôle. Les entreprises peuvent également utiliser ces outils pour définir des KRI, surveiller les niveaux de risque par rapport à leur appétit pour le risque, établir des rapports sur les risques et mettre en œuvre des actions correctives pour réduire les risques. L’utilisation d’une plateforme de gestion des risques garantira également la responsabilité en matière de risque car chaque risque a un propriétaire et une voie d’escalade clairs. Tous ces processus fondamentaux de gestion des risques aideront les entreprises à aligner leurs opérations sur les exigences de la CPS 230.
Étape 2 : Développer et tester les plans de continuité d’activité
Les plans de continuité d’activité sont essentiels pour la conformité à la CPS 230. Les institutions doivent s’assurer que leurs PCA sont complets, couvrent tous les services critiques et incluent des stratégies de reprise claires en cas de perturbations opérationnelles. Des tests réguliers de ces plans sont essentiels pour s’assurer qu’ils restent efficaces dans l’atténuation des risques.
Étape 3 : Mettre en œuvre une gestion efficace des risques liés aux tiers
Une autre des principales opérations critiques de la CPS 230 implique la mise en œuvre de processus selon les meilleures pratiques pour gérer le TPRM. Le risque lié aux tiers est un autre aspect essentiel de la mise en œuvre de la CPS 230. Les institutions doivent établir des processus clairs pour évaluer, intégrer, établir des arrangements contractuels et gérer les prestataires de services tiers, en s’assurant qu’ils répondent aux mêmes normes de résilience opérationnelle que l’institution financière elle-même. Les entreprises doivent effectuer des évaluations régulières des risques liés aux fournisseurs et utiliser des sources de renseignements sur les risques pour effectuer des vérifications des antécédents et surveiller les performances par rapport aux SLA et aux KPI. Les organisations doivent également s’assurer que les fournisseurs et les prestataires de services importants disposent de plans complets de gestion de la continuité d’activité et de plans de réponse aux incidents.
Étape 4 : Identifier et prioriser les opérations critiques
Une fois que les meilleures pratiques sont mises en œuvre pour la gestion des risques, la continuité d’activité et le risque lié aux fournisseurs, les institutions financières doivent travailler à identifier leurs opérations critiques et s’assurer qu’elles sont adéquatement protégées. Les risques liés à ces processus doivent être ajoutés au registre des risques, des contrôles et des politiques efficaces doivent être mis en œuvre, et des plans de continuité d’activité doivent être créés. Des tests réguliers et des analyses des écarts doivent être effectués pour s’assurer que tout nouveau processus ou risque émergent est continuellement ajouté et capturé.
Étape 5 : Établir des structures de gouvernance et de gestion des risques
La CPS 230 exige que les institutions financières disposent de structures robustes de gouvernance et de gestion des risques. Les organisations doivent s’assurer que la direction générale, y compris le conseil d’administration, a une visibilité sur leur profil de risque opérationnel et que des responsabilités claires sont attribuées pour la gestion de ces risques.
Étape 6 : Surveiller et rapporter sur la conformité à la CPS 230
Dans le cadre de la gestion de la conformité à la CPS 230, les institutions doivent mettre en œuvre des systèmes et des processus qui les aident à surveiller et à rapporter sur leur conformité continue à la norme. Les entreprises peuvent utiliser un logiciel GRC pour mettre en place un tableau de bord de conformité CPS 230 pour aider à suivre les indicateurs de performance clés et s’assurer que tous les processus pertinents de gestion des risques, de continuité d’activité et de risque lié aux fournisseurs sont suivis.
Projet de directives CPS 230 pour les entités réglementées par l’APRA
L’APRA a fourni un projet de directives CPS 230 pour aider les entités réglementées par l’APRA à comprendre les exigences et les attentes de la norme. Ces directives constituent une ressource inestimable, fournissant des exemples pratiques et des suggestions sur la façon de mettre en œuvre les diverses dispositions de la norme.
Le projet de directives comprend des informations sur les structures de gouvernance, la gestion des risques opérationnels, la mise en œuvre des contrôles et la gestion des risques liés aux tiers et la continuité d’activité. Les entités réglementées doivent examiner attentivement les directives CPS 230 de l’APRA et intégrer ses recommandations dans leur cadre GRC.
Comment commencer le processus de conformité à la CPS 230
La première étape du parcours de conformité consiste à familiariser votre organisation avec les exigences de la CPS 230. Les institutions financières peuvent ensuite initier les modifications nécessaires, mettre en œuvre des changements dans leurs structures de gouvernance et s’assurer que des mesures de résilience appropriées sont en place pour les opérations critiques.
Travailler avec des consultants externes ou des fournisseurs de logiciels de gestion des risques spécialisés dans la conformité à la CPS 230 peut aider à accélérer le processus et à s’assurer que votre organisation est sur la bonne voie pour respecter les délais réglementaires.
Si vous utilisez actuellement des processus manuels et des ressources comme des feuilles de calcul et des e-mails pour gérer les risques, la continuité d’activité et le risque lié aux fournisseurs, vous voudrez peut-être mettre en œuvre une plateforme GRC. Ces outils offrent des modèles, des cadres, des flux de travail et des formulaires selon les meilleures pratiques pour permettre aux entreprises de mettre facilement en œuvre des processus conformes aux exigences de la CPS 230.
Ces plateformes peuvent automatiser les évaluations des risques et la surveillance des risques, fournir un cadre pour les meilleures pratiques en matière de continuité d’activité et de rapport d’incidents, et aider les institutions à gérer leurs relations avec les tiers. Les entreprises peuvent concevoir un tableau de bord de conformité CPS 230 dans la plateforme pour obtenir des informations en temps réel sur leurs activités de gestion des risques et assurer le respect du guide de pratique prudentielle CPG 230.
En adoptant de manière proactive les directives CPS 230 et en mettant en œuvre les meilleures pratiques, les institutions financières peuvent renforcer leurs cadres de gestion des risques opérationnels, améliorer la résilience commerciale et s’assurer qu’elles restent conformes aux exigences de la CPS 230.
Conclusion
La mise en œuvre de la CPS 230 représente une opportunité significative pour les institutions financières d’améliorer leur gestion des risques opérationnels et leurs capacités de continuité d’activité et de protéger leurs organisations contre les risques liés aux fournisseurs. En comprenant les exigences, en respectant le calendrier de mise en œuvre et en suivant les meilleures pratiques recommandées, les organisations peuvent assurer la conformité à la CPS 230 et renforcer leur capacité à faire face aux perturbations opérationnelles dans un environnement de risque de plus en plus complexe.
Consultez notre site web ou téléchargez notre ebook pour plus d’informations sur la façon dont un logiciel GRC peut aider votre organisation à structurer ses processus conformément aux exigences de la CPS 230.
Si vous êtes prêt à commencer votre parcours de mise en œuvre du logiciel CPS 230, demandez une démonstration.
