As instituições de Serviços Financeiros enfrentam riscos operacionais elevados que podem afetar as operações comerciais e impactar a resiliência. Em resposta a estes desafios, a Autoridade Australiana de Regulação Prudencial (APRA) introduziu o CPS 230, uma nova norma prudencial destinada a melhorar a gestão dos riscos operacionais e aumentar a resiliência empresarial no setor financeiro. Este artigo fornece um guia aprofundado sobre a implementação do CPS 230 da APRA para ajudar uma entidade regulada pela APRA a compreender os seus objetivos, requisitos e marcos-chave para garantir a conformidade até 1 de julho de 2025.
O que é o CPS 230 e quem afeta?
O CPS 230 é um quadro crítico de gestão de risco operacional desenvolvido pela APRA, concebido para reforçar a resiliência das instituições de serviços financeiros australianas. Esta norma prudencial estabelece requisitos para que as entidades gerem e mitiguem riscos operacionais, perturbações de negócio e relações com terceiros, garantindo que têm sistemas e processos robustos para lidar com quaisquer perturbações, falhas ou crises que possam surgir.
A norma afeta uma vasta gama de entidades financeiras reguladas pela APRA, incluindo bancos, cooperativas de crédito, seguradoras, fundos de pensões e outras instituições financeiras. O objetivo do CPS 230 é garantir que estas organizações podem gerir eficazmente os riscos operacionais relacionados com operações críticas, tecnologia e perturbações de negócio que possam afetar negativamente a estabilidade financeira ou minar a confiança dos clientes.
O que é que o CPS230 está a substituir?
Antes do CPS 230, o quadro da APRA para a gestão de riscos CPS relacionados com o risco operacional era em grande parte regido pelo CPS 231, que estava ligado à subcontratação e não era excessivamente prescritivo sobre a resiliência operacional global. Existia também o CPS 232, que se relacionava com a continuidade do negócio, mas não incluía requisitos gerais de resiliência operacional. O CPS-230 introduz uma abordagem mais estruturada à gestão de operações críticas, enfatizando a continuidade do negócio, o risco de terceiros e a resiliência global.
As orientações do APRA CPS 230 fornecem uma abordagem abrangente à gestão do risco operacional, abordando riscos emergentes, particularmente no que diz respeito a perturbações tecnológicas, ameaças de cibersegurança e maior dependência de fornecedores terceiros.
Cronograma de Implementação do CPS 230 e Marcos-Chave
Embora o CPS 230 tenha sido finalizado pela APRA em 2023, a implementação adotou uma abordagem faseada para dar tempo às organizações de ajustarem as suas operações aos novos requisitos.
No entanto, o prazo final para a implementação é 1 de julho de 2025. Até esta data, espera-se que as entidades reguladas tenham implementado quadros de gestão de risco alinhados com a nova norma e tenham implementado planos abrangentes de continuidade de negócio (BCPs) que protejam contra perturbações operacionais, incluindo as relacionadas com ameaças cibernéticas e falhas de terceiros.
O APRA CPS 230 requer conformidade contínua, e as instituições financeiras devem avaliar e atualizar continuamente as suas estratégias de resiliência operacional em linha com os riscos emergentes para se manterem em conformidade.
Considerações-Chave para a Implementação do CPS 230
Ao considerar a implementação de processos alinhados com os requisitos do CPS 230, as organizações devem considerar as seguintes áreas:
Identificar e Proteger Operações Críticas
Um componente central da implementação do CPS230 é a identificação e proteção de operações críticas para garantir que podem continuar numa crise. As instituições financeiras devem avaliar e priorizar os seus serviços críticos, incluindo sistemas bancários centrais, plataformas de pagamento e sistemas de dados de clientes para garantir que estão protegidos contra perturbações.
O objetivo do CPS 230 é garantir que estas operações críticas podem continuar mesmo face a grandes perturbações operacionais ou ciberataques. As instituições terão de avaliar as suas operações críticas e implementar medidas e controlos de resiliência apropriados, tais como cópias de segurança de sistemas, protocolos de cibersegurança e capacidades de resposta a incidentes.
Gestão de Risco de Terceiros
À medida que o setor de serviços financeiros depende cada vez mais de uma rede de fornecedores terceiros, o CPS 230 fornece orientações sobre a gestão de riscos relacionados com relações com terceiros e acordos de prestação de serviços. Para garantir a conformidade com os requisitos do CPS 230, as empresas devem implementar um programa de gestão de risco de terceiros de melhores práticas. Isto envolve a criação de um registo de fornecedores, a realização de avaliações regulares de risco de fornecedores, a realização de verificações de antecedentes e due diligence utilizando fornecedores de inteligência de risco de terceiros, e a monitorização do desempenho em relação a SLAs e KPIs. As empresas devem também garantir que os seus fornecedores e quartas partes têm planos de continuidade de negócio adequados, cumprem quaisquer requisitos de conformidade ou normas exigidas pela organização, e têm processos e controlos de gestão de incidentes implementados para garantir que as perturbações inesperadas são resolvidas antes de afetarem os seus clientes.
Planeamento da Continuidade do Negócio
De acordo com a norma prudencial CPS 230, as instituições são obrigadas a ter planos de continuidade de negócio (BCPs) detalhados e abrangentes que englobem todas as funções críticas. Estes planos devem ser testados e atualizados regularmente para refletir os riscos emergentes e os desenvolvimentos tecnológicos. O objetivo é garantir que as instituições financeiras podem continuar a operar em caso de perturbações importantes, como desastres naturais, ciberataques ou crises financeiras.
A norma salienta a necessidade de estratégias de recuperação eficazes, garantindo que as instituições podem restaurar rapidamente sistemas e serviços críticos para minimizar quaisquer perdas potenciais ou impacto nos clientes. A implementação do CPS 230 requer mais do que um plano de BCM escrito, as organizações devem manter um registo de processos de negócio, realizar avaliações de impacto no negócio, testar os seus planos para identificar lacunas e atualizar os planos regularmente. Devem também ter rotas de escalamento e canais de comunicação claramente definidos para garantir que os planos de BCM podem ser ativados rapidamente.
Quadros de Risco Operacional e Governança
O CPS 230 exige que as instituições financeiras reforcem os seus quadros de risco operacional existentes e estruturas de governança para se alinharem com os novos requisitos. Para muitas organizações, isto significa implementar uma plataforma de software de gestão de riscos para garantir que têm processos de gestão de riscos de melhores práticas implementados. Os processos-chave incluem manter um registo de riscos ativo, realizar avaliações de risco regulares, implementar controlos eficazes e testá-los regularmente, definir um apetite de risco com indicadores-chave de risco e monitorizar os níveis de risco de forma contínua.
As empresas devem também procurar garantir que existe uma clara responsabilização e níveis de tolerância para o risco e estabelecer estruturas de governança de risco apropriadas, tais como comités de risco, que tenham supervisão sobre questões de resiliência operacional. As instituições devem também implementar processos para identificar e mitigar riscos operacionais, garantindo que o pessoal-chave, incluindo o diretor de risco (CRO) e a gestão de topo, tem uma clara compreensão dos seus papéis e responsabilidades na gestão de riscos operacionais.
Atualizar Processos de Gestão de Incidentes
O CPS 230 estipula que as organizações devem ter a capacidade de continuar as operações durante perturbações inesperadas e tempo de inatividade do sistema. Ter um processo de gestão de incidentes de melhores práticas é essencial para garantir que os incidentes são registados, escalados e resolvidos de forma atempada.
O software GRC pode fornecer uma solução de gestão de incidentes de melhores práticas. Os funcionários podem facilmente registar incidentes, perigos potenciais e quase acidentes através de formulários online. Cada incidente é escalado para o stakeholder relevante usando fluxos de trabalho predefinidos. Os fluxos de trabalho de gestão de casos permitem a documentação completa do processo de remediação. Esta evidência de um processo de gestão de incidentes de melhores práticas fornece prova à APRA de que a organização está a capturar e resolver incidentes de forma proativa para prevenir perturbações.
Roteiro de Implementação do CPS 230: Passos e Melhores Práticas
A implementação do CPS 230 não é uma tarefa pequena. As instituições financeiras terão de tomar várias medidas para garantir uma preparação de conformidade adequada, a fim de mitigar eficazmente os riscos operacionais e garantir a resiliência a longo prazo. Aqui está um guia passo a passo e um roteiro para a implementação do CPS 230:
Passo 1: Avaliar e Atualizar o Quadro Atual de Gestão de Risco Operacional
Como ponto de partida, as instituições financeiras devem realizar uma revisão das suas práticas atuais de gestão de risco operacional para identificar quaisquer lacunas entre os seus processos atuais e os requisitos do CPS 230 para avaliar o impacto do CPS 230 nas suas operações. Para aquelas que precisam de fazer melhorias e adaptar o seu quadro de risco operacional, implementar uma plataforma de gestão de risco é uma excelente forma de as empresas implementarem processos de gestão de risco de melhores práticas que cumpram os requisitos do CPS 230. Estas ferramentas permitem às empresas configurar um registo de risco online, automatizar o processo de avaliação de risco, implementar controlos e realizar testes de controlo. As empresas também podem usar estas ferramentas para definir KRIs, monitorizar níveis de risco contra o seu apetite de risco, reportar sobre risco e implementar ações de remediação para reduzir o risco. O uso de uma plataforma de gestão de risco também garantirá a responsabilização pelo risco, pois cada risco tem um proprietário claro e uma rota de escalamento. Todos estes processos fundamentais de gestão de risco ajudarão as empresas a alinhar as suas operações com os requisitos do CPS 230.
Passo 2: Desenvolver e Testar Planos de Continuidade de Negócio
Os planos de continuidade de negócio são essenciais para a conformidade com o CPS 230. As instituições devem garantir que os seus BCPs são abrangentes, cobrem todos os serviços críticos e incluem estratégias claras de recuperação em caso de perturbações operacionais. O teste regular destes planos é crucial para garantir que permanecem eficazes na mitigação de riscos.
Passo 3: Implementar uma Gestão Eficaz do Risco de Terceiros
Outra das principais operações críticas da CPS 230 envolve a implementação de processos de boas práticas para gerir a TPRM. O risco de terceiros é outro aspeto essencial da implementação da CPS 230. As instituições devem estabelecer processos claros para avaliar, integrar, estabelecer acordos contratuais e gerir fornecedores de serviços terceiros, garantindo que estes cumprem os mesmos padrões de resiliência operacional que a própria instituição financeira. As empresas devem realizar avaliações regulares do risco dos fornecedores e utilizar fontes de inteligência de risco para efetuar verificações de antecedentes e monitorizar o desempenho em relação aos SLAs e KPIs. As organizações devem também garantir que os fornecedores e prestadores de serviços materiais têm planos abrangentes de gestão de continuidade de negócio e planos de resposta a incidentes implementados.
Passo 4: Identificar e Priorizar Operações Críticas
Uma vez implementados os processos de boas práticas para a gestão de riscos, continuidade de negócio e risco de fornecedores, as instituições financeiras devem trabalhar para identificar as suas operações críticas e garantir que estão adequadamente protegidas. Os riscos para estes processos devem ser adicionados ao registo de riscos, devem ser implementados controlos e políticas eficazes, e devem ser criados planos de continuidade de negócio. Devem ser realizados testes regulares e análises de lacunas para garantir que quaisquer novos processos ou riscos emergentes são continuamente adicionados e capturados.
Passo 5: Estabelecer Estruturas de Governação e Gestão de Riscos
A CPS 230 exige que as instituições financeiras tenham estruturas robustas de governação e gestão de riscos implementadas. As organizações devem garantir que a gestão de topo, incluindo o conselho de administração, tem visibilidade sobre o seu perfil de risco operacional e que são atribuídas responsabilidades claras para a gestão destes riscos.
Passo 6: Monitorizar e Reportar sobre a Conformidade com a CPS 230
Como parte da gestão da conformidade com a CPS 230, as instituições devem implementar sistemas e processos que as apoiem na monitorização e reporte da sua conformidade contínua com a norma. As empresas podem utilizar software de GRC para configurar um painel de conformidade da CPS 230 para ajudar a acompanhar os indicadores-chave de desempenho e garantir que todos os processos relevantes de gestão de riscos, continuidade de negócio e risco de fornecedores estão a ser seguidos.
Projeto de Orientação CPS 230 para Entidades Reguladas pela APRA
A APRA forneceu um projeto de orientação CPS 230 para ajudar as entidades reguladas pela APRA a compreender os requisitos e expectativas da norma. Esta orientação é um recurso inestimável, fornecendo exemplos práticos e sugestões sobre como implementar as várias disposições da norma.
O projeto de orientação inclui informações sobre estruturas de governação, gestão de riscos operacionais, implementação de controlos, gestão de riscos de terceiros e continuidade de negócio. As entidades reguladas devem rever cuidadosamente a orientação CPS 230 da APRA e integrar as suas recomendações no seu quadro de GRC.
Como Deve Iniciar o Processo de Conformidade com a CPS 230
O primeiro passo na jornada de conformidade é familiarizar a sua organização com os requisitos da CPS 230. As instituições financeiras podem então iniciar as alterações necessárias, implementar mudanças nas suas estruturas de governação e garantir que as medidas de resiliência apropriadas estão em vigor para as operações críticas.
Trabalhar com consultores externos ou fornecedores de software de gestão de riscos especializados em conformidade com a CPS 230 pode ajudar a acelerar o processo e garantir que a sua organização está no caminho certo para cumprir os prazos regulamentares.
Se atualmente está a utilizar processos manuais e recursos como folhas de cálculo e e-mails para gerir riscos, continuidade de negócio e risco de fornecedores, poderá querer implementar uma plataforma de GRC. Estas ferramentas oferecem modelos de boas práticas, estruturas, fluxos de trabalho e formulários para permitir que as empresas implementem facilmente processos alinhados com os requisitos da CPS230.
Estas plataformas podem automatizar avaliações e monitorização de riscos, fornecer uma estrutura para boas práticas de continuidade de negócio e relatórios de incidentes, e ajudar as instituições a gerir as suas relações com terceiros. As empresas podem desenhar um painel de conformidade CPS 230 na plataforma para obter informações em tempo real sobre as suas atividades de gestão de riscos e garantir a adesão ao guia de práticas prudenciais CPG 230.
Ao adotar proativamente a orientação CPS 230 e implementar as melhores práticas, as instituições financeiras podem fortalecer os seus quadros de gestão de risco operacional, melhorar a resiliência do negócio e garantir que permanecem em conformidade com os requisitos da CPS 230.
Conclusão
A implementação da CPS 230 apresenta uma oportunidade significativa para as instituições financeiras melhorarem as suas capacidades de gestão de risco operacional e continuidade de negócio e protegerem as suas organizações contra riscos de fornecedores. Ao compreender os requisitos, aderir ao cronograma de implementação e seguir as melhores práticas recomendadas, as organizações podem garantir a conformidade com a CPS 230 e fortalecer a sua capacidade de resistir a perturbações operacionais num ambiente de risco cada vez mais complexo.
Consulte o nosso site ou descarregue o nosso ebook para obter mais informações sobre como o software de GRC pode apoiar a sua organização na estruturação de processos em conformidade com os requisitos da CPS 230.
Se está pronto para iniciar a sua jornada de implementação de software CPS 230, solicite uma demonstração.
