Les entreprises de services financiers en Australie sont réglementées par l’Autorité australienne de réglementation prudentielle (APRA), une organisation gouvernementale dont le rôle principal est de réglementer et de superviser les institutions financières en Australie pour assurer la stabilité, la sécurité et l’équité du système financier.

En raison de cela, les organisations de services financiers sont obligées d’opérer conformément aux normes opérationnelles clés de l’APRA, CPS 230 pour la gestion des risques opérationnels et CPS 234 pour la sécurité de l’information, qui fournissent des directives clés et des meilleures pratiques pour la gestion des risques opérationnels, des fournisseurs et des cyberrisques. Ces normes obligatoires ont été mises en place pour protéger l’économie et garantir que les entreprises financières puissent rester opérationnelles en cas de crise.

Ce blog explore comment les entreprises peuvent mettre en œuvre des processus de meilleures pratiques pour la gestion des risques opérationnels, des tiers et des cyberrisques qui s’alignent sur les exigences décrites dans les normes APRA. Nous expliquerons également comment le logiciel GRC offre des cadres, des modèles, des formulaires et des flux de travail de meilleures pratiques prêts à l’emploi pour permettre aux entreprises de mettre en œuvre des processus de gestion des risques conformes aux normes APRA avec un minimum d’effort.

Quelles sont les exigences décrites dans les normes APRA ?

La norme APRA CPS 230 pour la gestion des risques opérationnels stipule que les entreprises doivent :

Identifier, évaluer et gérer ses risques opérationnels, avec des contrôles internes, une surveillance et une remédiation efficaces.

Gérer efficacement les risques associés aux prestataires de services, avec une politique complète de gestion des prestataires de services, des accords formels et une surveillance robuste.

La norme APRA CPS 234 pour la sécurité de l’information stipule que les entreprises doivent :

Maintenir une capacité de sécurité de l’information proportionnelle à la taille et à l’étendue des menaces pesant sur ses actifs d’information, et qui permet le fonctionnement continu et sain de l’entité.

Mettre en œuvre des contrôles pour protéger ses actifs d’information proportionnellement à la criticité et à la sensibilité de ces actifs d’information et entreprendre des tests et des assurances systématiques concernant l’efficacité de ces contrôles.

Notifier à l’APRA les incidents de sécurité de l’information importants.

Alors, comment les entreprises peuvent-elles mettre en œuvre des processus infaillibles qui s’alignent sur les exigences décrites dans les normes APRA CPS 230 et CPS 234 ? Découvrons-le…

  1. Gestion des risques opérationnels

Pour s’aligner sur les exigences de gestion des risques opérationnels de la norme CPS 230, les entreprises financières devront établir un cadre robuste de gestion des risques opérationnels qui identifie, évalue et atténue de manière proactive les risques affectant les opérations commerciales. Ceux-ci peuvent aller des défaillances de processus et des erreurs humaines aux perturbations technologiques et aux menaces externes.

Les entreprises devront identifier les risques potentiels et construire un « registre des risques », catégoriser et évaluer chaque risque et attribuer la responsabilité. Des indicateurs clés de risque doivent être établis pour chaque risque et des « contrôles » doivent être mis en place pour maintenir les niveaux de risque dans l’appétence au risque de l’organisation. Des évaluations et des vérifications régulières des risques doivent être mises en œuvre pour surveiller les niveaux de risque de manière régulière et des processus d’escalade doivent être établis pour permettre aux entreprises de traiter les niveaux de risque croissants et de mettre en œuvre des actions correctives.

Des examens réguliers des risques doivent être mis en œuvre pour identifier les nouveaux risques et affiner la stratégie de gestion des risques de l’organisation. Les entreprises doivent également rendre compte des niveaux de risque, leur permettant de prioriser l’atténuation des bons risques pour atteindre leurs objectifs et leurs objectifs stratégiques.

Comment le logiciel GRC peut-il aider les entreprises à aligner les processus de gestion des risques sur la norme CPS 230 ?

Les entreprises peuvent facilement automatiser leurs processus de gestion des risques opérationnels en utilisant un logiciel GRC pour mettre en œuvre les meilleures pratiques de GRE qui s’alignent sur les exigences de gestion des risques opérationnels de la norme CPS 230.

Les entreprises peuvent identifier leurs risques critiques et construire un registre des risques dynamique et consultable dans la plateforme. Le personnel remplit simplement des formulaires en ligne pour enregistrer, catégoriser et évaluer le risque, et pour définir les indicateurs clés de risque et attribuer la responsabilité. Une fois le registre des risques établi, des contrôles sont définis pour chaque risque individuel afin de maintenir les niveaux de risque dans l’appétence au risque de l’organisation. Le système permet aux entreprises d’établir des flux de travail pour initier des vérifications et des tests réguliers des contrôles, en capturant les résultats via des formulaires en ligne.

Le logiciel GRC peut également automatiser le processus d’évaluation et de surveillance des risques. Les entreprises peuvent simplement planifier des évaluations des risques en utilisant l’automatisation des flux de travail. Le système envoie une notification au membre du personnel qui effectuera l’évaluation des risques, et celui-ci remplit les détails via un formulaire en ligne avec toutes les données alimentant directement la plateforme. Des rappels sont automatiquement envoyés pour les évaluations en attente. Si les résultats indiquent que les niveaux de risque sont élevés, des notifications sont envoyées au propriétaire du risque concerné afin qu’il puisse documenter les actions correctives et effectuer une analyse des causes profondes dans la plateforme.

Les plateformes GRC peuvent encore automatiser le processus de surveillance des risques, en s’intégrant à vos autres systèmes et sources de données via des intégrations API. Les données de risque pertinentes sont intégrées de manière transparente dans la plateforme et les entreprises peuvent définir des règles pour détecter les niveaux de risque élevés et établir une automatisation des flux de travail pour notifier le personnel concerné. Cela élimine la surveillance manuelle des risques et permet au personnel d’agir plus rapidement pour réduire le risque.

Les outils GRC assurent également la responsabilité des risques. La plateforme s’intègre à votre annuaire actif et chaque risque et tâche est attribué à un propriétaire spécifique. Des notifications automatisées dirigent le personnel vers son propre tableau de bord personnalisé où il peut effectuer ses tâches et actions liées aux risques en ligne. Chaque fois que le personnel enregistre un risque, effectue une évaluation des risques ou un contrôle, ou prend des mesures pour atténuer un risque, les dirigeants peuvent voir quel membre de l’équipe a effectué la tâche en fonction de la connexion de l’utilisateur.

Les plateformes GRC automatisent également les rapports sur les risques, produisant des rapports sur l’exposition aux risques et l’efficacité des contrôles, des cartes thermiques, des analyses en nœud papillon et des rapports Microsoft Power BI d’un simple clic. Cela permet aux équipes d’analyser facilement les données sur les risques et de les utiliser pour prendre des décisions commerciales importantes. Le logiciel permet au programme de gestion des risques de s’étendre et de croître à mesure que l’organisation se développe, soutenant les efforts d’amélioration continue.

Le logiciel GRC aligne automatiquement le programme de gestion des risques d’une organisation sur les exigences de la norme CPS 230. Cela laisse aux entreprises plus de temps à consacrer à l’identification et à la gestion de nouveaux risques et à la mise en œuvre de contrôles efficaces pour réduire les risques, améliorant ainsi les efforts globaux de gestion des risques. De nombreuses plateformes GRC permettent aux entreprises de cartographier les risques par rapport à toutes les politiques, réglementations, incidents ou objectifs stratégiques associés, améliorant encore la surveillance des risques et les opérations commerciales.

De nombreuses plateformes GRC offrent également des fonctionnalités de meilleures pratiques pour gérer et résoudre les incidents inattendus et automatiser la planification de la continuité des activités, alignant davantage les processus sur les exigences de la norme CPS 230 et garantissant que les entreprises peuvent se remettre rapidement des perturbations opérationnelles et des temps d’arrêt.

  1. Gestion des risques liés aux fournisseurs

La norme CPS 230 exige que les institutions financières évaluent et gèrent les risques associés aux fournisseurs tiers. Ces risques comprennent les vulnérabilités de sécurité, la non-conformité réglementaire et les interruptions de service qui pourraient avoir un impact sur la continuité des activités et la confiance des clients.

Pour s’aligner sur les exigences de la norme CPS 230, les entreprises doivent comprendre les détails critiques de chaque fournisseur en capturant des données concernant les coûts, les contrats, les contacts clés, les accords de niveau de service (SLA) et les indicateurs clés de performance (KPI). Elles doivent effectuer des évaluations régulières des risques liés aux fournisseurs ainsi que des analyses comparatives, des analyses et des recherches sur les fournisseurs pour s’assurer qu’elles travaillent avec des prestataires fiables et éthiques, tant avant l’intégration que pendant la relation avec le fournisseur. Les entreprises doivent également suivre les performances des fournisseurs par rapport aux SLA et aux KPI pour s’assurer que le fournisseur fonctionne conformément aux arrangements contractuels et que tout problème soit documenté et traité.

Les entreprises doivent également s’assurer que les fournisseurs disposent d’un plan de continuité des activités viable qui est régulièrement testé. Elles doivent également obtenir la confirmation que les fournisseurs opèrent conformément à toutes les réglementations et normes obligatoires et disposent des certifications appropriées. Les entreprises doivent formaliser le processus d’intégration et de désengagement des fournisseurs en s’assurant qu’une diligence raisonnable adéquate est effectuée et en veillant à ce qu’il n’y ait pas de clauses inattendues dans le contrat et que le délai de préavis soit respecté.

Comment le logiciel GRC peut-il aider les entreprises à aligner la gestion des risques liés aux fournisseurs sur la norme CPS 230 ?

Le logiciel GRC peut entièrement automatiser le processus de gestion des risques liés aux fournisseurs. Les modèles, flux de travail et formulaires prêts à l’emploi garantissent que les entreprises peuvent mettre en œuvre un programme de gestion des risques liés aux fournisseurs conforme aux meilleures pratiques qui répond aux exigences décrites dans la norme CPS 230.

Les entreprises peuvent créer un registre centralisé des fournisseurs dans la plateforme. Le personnel enregistre les fournisseurs potentiels dans la plateforme à l’aide de formulaires en ligne capturant des informations critiques sur les prix, les accords contractuels, les contacts clés, les accords de niveau de service (SLA) et les indicateurs clés de performance (KPI).

Elles peuvent également utiliser le logiciel pour effectuer une diligence raisonnable des fournisseurs et automatiser entièrement le processus d’évaluation des risques et d’intégration des fournisseurs. Les entreprises peuvent mettre en place un portail externe pour les fournisseurs où ces derniers peuvent remplir leurs évaluations des risques via des formulaires en ligne, toutes les données étant intégrées dans la plateforme. Les évaluations doivent inclure des questions clés sur les pratiques de continuité des activités, le respect des réglementations, des normes et des certifications, les plans de réponse aux incidents, les plans de contingence opérationnelle et les pratiques de cybersécurité. Les entreprises peuvent décider de la fréquence à laquelle elles souhaitent effectuer des évaluations des risques liés aux fournisseurs et les programmer dans le système, et des flux de travail automatisés envoient des notifications par e-mail aux fournisseurs leur demandant de remplir le formulaire dans le portail, toutes les données étant capturées dans la plateforme.

Une plateforme de gestion des risques liés aux fournisseurs peut également permettre aux entreprises de surveiller les performances des fournisseurs par rapport aux SLA et aux KPI, et de signaler les problèmes. Le système peut s’intégrer à d’autres systèmes internes et tableurs où sont conservées les statistiques de performance des fournisseurs, extraire les données dans la plateforme et les joindre au profil des fournisseurs, facilitant ainsi un suivi continu des performances. Des règles peuvent être définies pour avertir le personnel si un fournisseur ne respecte pas les SLA et les KPI, afin que le problème puisse être traité. Le personnel peut également utiliser la plateforme pour enregistrer, escalader et résoudre les incidents liés aux fournisseurs et effectuer une analyse des causes profondes pour garantir que les performances des fournisseurs restent à un niveau optimal.

Une autre fonctionnalité clé des plateformes de gestion des risques liés aux fournisseurs est leur capacité à s’intégrer avec des fournisseurs d’informations sur les risques. Cela permet aux entreprises d’importer directement dans la plateforme des données critiques, des analyses comparatives et des analyses pour chaque fournisseur concernant la stabilité financière, les amendes, les poursuites judiciaires, les évaluations de performance, la position éthique et les violations de données. Les entreprises recevront des notifications si leur fournisseur fait les gros titres, leur permettant de traiter immédiatement le risque avec le fournisseur et de chercher des alternatives si nécessaire.

La centralisation des données sur les risques liés aux fournisseurs dans une seule plateforme crée une vue holistique de l’exposition aux risques des fournisseurs, permettant aux entreprises d’identifier les risques potentiels qui pourraient avoir un impact sur leur organisation et de prendre des mesures pour les atténuer. Cela aide également les entreprises à automatiser les processus clés liés aux évaluations des risques des fournisseurs, au suivi des performances, à l’intégration et à la désactivation, ainsi qu’à la collecte de renseignements sur les risques des fournisseurs. La mise en œuvre d’un logiciel de gestion des risques liés aux fournisseurs permet aux entreprises de répondre aux exigences obligatoires décrites dans les directives CPS 230 concernant la gestion des risques liés aux fournisseurs et les relations avec les fournisseurs. Cette approche automatisée et conforme aux meilleures pratiques donne la priorité à l’atténuation des risques et à la planification des contingences, soutenant les efforts de résilience et assurant la conformité aux directives CPS 230.

  1. Gestion des risques cyber

La plupart des entreprises financières s’appuyant sur une variété de systèmes et d’applications numériques pour gérer leurs organisations, la gestion des risques informatiques, des risques cyber, et des risques technologiques est essentielle. C’est également une exigence obligatoire pour les entités réglementées par l’APRA en vertu du CPS 230 et du CPS 234.

Le CPS 230 couvrant la gestion globale des risques opérationnels (y compris les opérations numériques), et le CPS 234 se concentrant spécifiquement sur le risque lié à la sécurité de l’information, les entreprises financières doivent mettre en place des cadres de cybersécurité robustes pour se conformer à ces normes de l’APRA. Les domaines clés à gérer comprennent les menaces cyber, les violations de données et les vulnérabilités des systèmes qui peuvent compromettre les données financières sensibles.

Les entreprises doivent établir un registre des risques cyber et effectuer régulièrement des évaluations des risques cyber et des contrôles de sécurité liés à l’intégrité des données et aux vulnérabilités des systèmes informatiques pour surveiller les niveaux de risque. Elles doivent attribuer la responsabilité des risques cyber et mettre en place des contrôles tels que le chiffrement, les pare-feu, l’authentification à plusieurs facteurs, des politiques, des processus et des formations pour maintenir les risques cyber à des niveaux tolérables. Ces contrôles doivent être testés et vérifiés régulièrement pour s’assurer de leur efficacité. Les entreprises doivent également aligner leurs processus sur les réglementations pertinentes et les directives de confidentialité des données telles que Bâle III, RGPD, NIST, NIS2, SOX, ISO 27001 en fonction de l’organisation et de ses exigences réglementaires et certifications.

Les entreprises doivent disposer de processus clairs pour capturer, escalader et résoudre les incidents cyber et effectuer une analyse des causes profondes pour prévenir les occurrences futures. Elles doivent également avoir un processus clairement défini pour signaler les violations de sécurité notables à l’APRA dans les délais stipulés. De plus, les organisations doivent également disposer de programmes de continuité d’activité et de résilience conformes aux meilleures pratiques pour garantir que les systèmes numériques restent opérationnels à tout moment et que les données sont protégées. Ces plans doivent être mis à jour, vérifiés et testés régulièrement selon différents scénarios. Les entreprises doivent suivre et sécuriser soigneusement leurs actifs cyber et mettre en place des mesures pour s’assurer que l’équipement est à jour et adapté à l’usage prévu, et que les licences et les correctifs de sécurité sont à jour.

Comment un logiciel GRC peut-il aider à aligner la gestion des risques cyber avec le CPS 234 ?

Un logiciel GRC peut aider les entreprises à créer un cadre de gestion des risques cyber conforme aux meilleures pratiques qui s’aligne sur les exigences du CPS 230 et du CPS 234.

Les entreprises peuvent utiliser la plateforme pour créer un registre des risques cyber numérique et consultable. Les risques sont priorisés, catégorisés et attribués, et les indicateurs clés de risque sont définis. Le logiciel peut automatiser le processus d’évaluation des risques cyber. Des flux de travail automatisés permettent aux entreprises de planifier leurs évaluations à l’avance, et des notifications sont envoyées permettant au personnel de remplir des formulaires d’évaluation des risques cyber en ligne, toutes les données étant directement intégrées dans la plateforme. Ces outils peuvent également s’intégrer à vos autres systèmes et sources de données via des intégrations API, vous permettant de surveiller les niveaux de risque basés sur les données d’autres systèmes et de définir des règles pour signaler lorsque les niveaux de risque augmentent afin d’avertir le personnel.

Les équipes peuvent également créer une bibliothèque de contrôles cyber dans la plateforme et associer les contrôles aux risques correspondants. Les entreprises peuvent également planifier et automatiser les vérifications et les tests des contrôles à l’aide de la plateforme. Les équipes planifient le calendrier des vérifications et des tests des contrôles, et des flux de travail automatisés envoient des rappels et permettent au personnel de compléter les détails de la vérification dans la plateforme. Les équipes de direction peuvent facilement générer des rapports sur l’état et l’efficacité des contrôles. De nombreuses plateformes logicielles offrent des cadres de contrôle prêts à l’emploi pour certaines réglementations et lois sur la confidentialité des données, facilitant ainsi la mise en œuvre des contrôles pertinents pour assurer la conformité.

Ces systèmes offrent également des capacités de signalement d’incidents conformes aux meilleures pratiques qui peuvent s’intégrer aux systèmes de tickets internes. La solution permet au personnel de consigner les incidents via des formulaires en ligne et utilise des flux de travail automatisés avancés pour trier, escalader, enquêter et résoudre les incidents et effectuer une analyse des causes profondes. Les équipes de direction peuvent générer des rapports sur l’état et le type des incidents pour essayer de réduire les occurrences futures, et les incidents peuvent facilement être reliés aux risques d’origine. Des flux de travail peuvent également être initiés pour s’assurer que l’APRA est informée des incidents cyber à haut risque lorsque les critères répondent aux exigences.

De nombreuses plateformes logicielles offrent également des capacités de gestion des actifs cyber, permettant aux équipes d’enregistrer tous leurs actifs cyber et de suivre l’âge, l’utilisation et les licences, garantissant que l’équipement est toujours à jour et que les licences sont valides, améliorant ainsi la posture de sécurité de l’information.

Pourquoi le logiciel est essentiel à la conformité APRA

L’alignement des processus de gestion des risques sur les normes CPS 230 et CPS 234 de l’APRA est crucial pour les institutions financières afin d’assurer la conformité, d’atténuer les risques et de renforcer la résilience opérationnelle. La mise en œuvre de cadres de meilleures pratiques pour la gestion des risques opérationnels, des fournisseurs et des risques cyber à l’aide d’un logiciel GRC garantit le respect des normes de l’APRA tout en renforçant la surveillance des risques et en assurant la continuité des activités.

Le logiciel GRC est un puissant catalyseur qui automatise la gestion des risques, rationalise la réponse aux incidents, assure la conformité et renforce la cybersécurité et la résilience. En mettant en œuvre une solution GRC, les institutions financières peuvent gérer de manière proactive tous les aspects du risque en utilisant les meilleures pratiques, des modèles, des flux de travail et des formulaires qui s’alignent sur les exigences réglementaires en constante évolution de l’APRA.

La conformité aux normes APRA CPS 230 et APRA CPS 234 peut être grandement simplifiée en mettant en œuvre une plateforme logicielle GRC. Une approche axée sur la technologie est essentielle pour assurer une résilience à long terme et la conformité aux normes APRA.

Contactez-nous ou demandez une démonstration pour découvrir comment une plateforme logicielle pourrait aligner vos processus sur les normes APRA.