A norma APRA CPS 230 é o acréscimo da Australian Prudential Regulation Authority à lista cada vez maior de requisitos globais relacionados com o risco operacional e a resiliência. Os bancos australianos, as companhias de seguros e outras instituições financeiras – incluindo instituições estrangeiras com operações na Austrália – têm até julho de 2025 para cumprir a legislação.
Enquanto outras regulamentações de tendência se concentram numa única disciplina de resiliência, a APRA CPS 230 combina resiliência operacional, continuidade de negócios e gestão de riscos de terceiros numa única regulamentação. Esta abordagem mais alargada exige que as organizações colaborem entre a gestão de riscos empresariais, a continuidade do negócio e outras disciplinas de risco para cumprirem eficazmente.
Os quatro pilares da APRA CPS 230
A APRA CPS 230 estabelece um quadro de gestão de riscos que inclui quatro áreas principais:
Gestão do risco operacional. As empresas são responsáveis pela gestão de vários riscos operacionais, como os riscos legais, regulamentares, de conformidade, de conduta, tecnológicos, de dados e de gestão da mudança. Isto implica a manutenção das capacidades de TI, a avaliação do impacto das decisões comerciais na resiliência operacional e o estabelecimento, teste e monitorização dos controlos internos.
Continuidade das actividades. As empresas são obrigadas a estabelecer e manter um registo das operações críticas e dos níveis de tolerância associados, juntamente com um plano de continuidade das actividades que descreva em pormenor as estratégias para manter essas operações durante uma perturbação. Este plano deve ser atualizado anualmente e submetido a uma revisão regular pela auditoria interna.
Gestão de riscos de terceiros. As empresas devem manter uma política abrangente de gestão de prestadores de serviços, com pormenores sobre quem são os prestadores de serviços relevantes e os riscos associados. Para cumprir este requisito, as empresas devem efetuar as devidas diligências antes de celebrar acordos, especificar os termos em acordos formais e monitorizar continuamente a relação para garantir a conformidade e uma gestão eficaz dos riscos.
Funções e responsabilidades. O conselho de administração é responsável, em última instância, pela supervisão da gestão do risco operacional da empresa, incluindo a continuidade das actividades e os acordos com terceiros. Enquanto supervisor, o conselho de administração deve definir claramente as funções da direção para manter o perfil de risco operacional através de controlos internos eficazes.
Como te preparares agora para o APRA CPS 230
Os teus processos podem já estar alinhados com alguns elementos da APRA, mas terás de rever os teus processos para colocar a tua organização no melhor caminho. Aqui tens quatro passos para começar:
1. Realiza uma análise das lacunas. Faz o ponto de situação das tuas capacidades actuais, revendo as políticas e procedimentos dos teus programas de risco operacional, continuidade do negócio e TPRM existentes. Compara cada item do padrão e valida com os líderes do programa se é necessário um refinamento ou detalhe adicional.
2. Coordena todas as disciplinas de risco. Terás de coordenar o GRC e a gestão da continuidade das actividades para alinhar com o APRA CSP 230. Estabelece um líder organizacional para dirigir o comité de conformidade CPS 230 e liderar a comunicação entre as equipas. Em seguida, faz um balanço dos programas e práticas existentes de gestão do risco operacional, continuidade do negócio e gestão do risco de terceiros para ver quais os controlos que podem ser cumpridos e quais os que exigem mais trabalho. Reúne-se regularmente com a comissão e o conselho de administração para informar sobre os progressos realizados e resolver problemas.
3. Estabelece e aprova os processos críticos da empresa. Identifica os teus processos empresariais críticos ou serviços empresariais importantes com o contributo dos líderes executivos. A maior parte das organizações, independentemente da sua dimensão, tem dez a doze que são fundamentais para o fornecimento de produtos e serviços. Em seguida, convém identificar os níveis de tolerância ao impacto para cada processo, de modo a garantir que os responsáveis pelo planeamento da resiliência compreendem os prazos necessários para a recuperação e quando se atingem danos intoleráveis.
4. Actualiza as políticas de gestão de fornecedores. Trabalha com a tua equipa jurídica para criar ou rever as políticas de gestão de vendedores ou fornecedores existentes e considera a consolidação sempre que possível. Para se alinhar com a APRA, tem de ter um processo formalizado para identificar, avaliar e avaliar os riscos colocados pelos fornecedores de serviços – e garantir que esses fornecedores de serviços têm procedimentos em vigor para gerir os seus próprios terceiros. Após a definição da política, efectua um processo de revisão exaustiva de todos os modelos de contrato existentes em relação à nova política.
Embora qualquer nova norma possa provocar alguma ansiedade, o processo não precisa de ser assustador. Concentra-te no que já tens e trabalha com a liderança e a gestão do departamento para juntar o resto das peças. No final, a conformidade com a APRA 230 ajudará a tua organização a estar melhor preparada para proteger os teus colaboradores, clientes e marca.
Para obter as informações mais recentes sobre a legislação de resiliência operacional nova e existente, faz o download do nosso white paper, Resiliência operacional: Navigating the Global Regulatory Landscape, e consulta os serviços de consultoria de Continuidade de Negócio e Resiliência da Riskonnect para obteres apoio em matéria de conformidade.