La norme APRA CPS 230 est l’ajout de l’Autorité de régulation prudentielle australienne à la liste toujours croissante des exigences mondiales en matière de risque opérationnel et de résilience. Les banques, compagnies d’assurance et autres institutions financières australiennes – y compris les institutions étrangères ayant des activités en Australie – ont jusqu’à juillet 2025 pour se mettre en conformité.
Alors que d’autres réglementations en vogue se concentrent sur une seule discipline de résilience, l’APRA CPS 230 combine la résilience opérationnelle, la continuité des activités et la gestion des risques de tiers en une seule réglementation. Cette approche plus large exige des organisations qu’elles collaborent avec la gestion des risques de l’entreprise, la continuité des activités et d’autres disciplines liées aux risques afin de se conformer efficacement à la réglementation.
Les quatre piliers de l’APRA CPS 230
L’APRA CPS 230 établit un cadre de gestion des risques qui comprend quatre domaines principaux :
Gestion du risque opérationnel. Les entreprises sont responsables de la gestion de divers risques opérationnels tels que les risques juridiques, réglementaires, de conformité, de conduite, de technologie, de données et de gestion du changement. Cela implique de maintenir les capacités informatiques, d’évaluer l’impact des décisions commerciales sur la résilience opérationnelle, et d’établir, de tester et de surveiller les contrôles internes.
Continuité des activités. Les entreprises sont tenues d’établir et de tenir à jour un registre des opérations critiques et des niveaux de tolérance associés, ainsi qu’un plan de continuité des activités détaillant les stratégies de maintien de ces opérations en cas d’interruption. Ce plan doit être mis à jour annuellement et faire l’objet d’un examen régulier par l’audit interne.
Gestion des risques pour les tiers. Les entreprises doivent mettre en place une politique globale de gestion des prestataires de services, avec des détails sur l’identité des prestataires de services importants et les risques associés. Pour satisfaire à cette exigence, les entreprises doivent faire preuve de diligence raisonnable avant de conclure des accords, en préciser les termes dans des accords formels et surveiller en permanence la relation afin de garantir la conformité et une gestion efficace des risques.
Rôles et responsabilités. Le conseil d’administration est responsable en dernier ressort de la supervision de la gestion des risques opérationnels de l’entreprise, y compris la continuité des activités et les accords avec des tiers. En tant que superviseur, le conseil d’administration est tenu de définir clairement les rôles de l’encadrement supérieur afin de maintenir le profil de risque opérationnel grâce à des contrôles internes efficaces.
Comment se préparer dès maintenant à l’APRA CPS 230
Il se peut que vos processus soient déjà alignés sur certains éléments de l’APRA, mais vous devrez les revoir pour mettre votre organisation sur la meilleure voie. Voici quatre étapes pour commencer :
1. Effectuez une analyse des lacunes. Faites le point sur vos capacités actuelles en examinant les politiques et les procédures de vos programmes existants en matière de risque opérationnel, de continuité des activités et de gestion des risques technologiques. Comparez chaque élément de la norme et validez avec les responsables du programme si des précisions ou des détails supplémentaires sont nécessaires.
2. Coordonner l’ensemble des disciplines liées au risque. Vous devrez assurer la coordination entre la GRC et la gestion de la continuité des activités pour vous aligner sur la norme CSP 230 de l’APRA. Désignez un responsable organisationnel pour diriger le comité de conformité CPS 230 et assurer la communication entre les équipes. Ensuite, faites le point sur les programmes et pratiques existants en matière de gestion des risques opérationnels, de continuité des activités et de gestion des risques des tiers, afin de déterminer les contrôles qui peuvent être effectués et ceux qui nécessiteront un travail plus approfondi. Rencontrez régulièrement le comité et le conseil d’administration pour rendre compte des progrès accomplis et résoudre les problèmes.
3. Établir et approuver les processus opérationnels essentiels. Identifiez vos processus commerciaux critiques ou vos services commerciaux importants avec l’aide des cadres dirigeants. La plupart des organisations, quelle que soit leur taille, en comptent dix à douze qui sont essentielles à la fourniture de produits et de services. Vous devrez ensuite identifier les niveaux de tolérance d’impact pour chaque processus afin de vous assurer que les planificateurs de la résilience comprennent les délais requis pour la reprise et le moment où un dommage intolérable serait atteint.
4. Mettre à jour les politiques de gestion des fournisseurs. Travaillez avec votre équipe juridique pour créer ou réviser les politiques existantes de gestion des vendeurs ou des fournisseurs et envisagez une consolidation lorsque c’est possible. Pour vous aligner sur l’APRA, vous devez disposer d’un processus formalisé d’identification, d’appréciation et d’évaluation des risques posés par les prestataires de services, et veiller à ce que ces derniers aient mis en place des procédures de gestion de leurs propres tiers. Une fois la politique établie, procédez à un examen complet de tous les modèles de contrats existants en les comparant à la nouvelle politique.
Si toute nouvelle norme peut susciter une certaine anxiété, le processus n’a pas besoin d’être dautant. Concentrez-vous sur ce que vous avez déjà et travaillez avec la direction et la gestion du département pour rassembler le reste des pièces. En fin de compte, la conformité à l’APRA 230 aidera votre organisation à mieux se préparer à protéger son personnel, ses clients et sa marque.
Pour obtenir les dernières informations sur les législations nouvelles et existantes en matière de résilience opérationnelle, téléchargez notre livre blanc, Résilience opérationnelle : Naviguer dans le paysage réglementaire mondial, et consultez les services de conseil de Riskonnect en matière de continuité des activités et de résilience pour obtenir un soutien en matière de conformité.
