As empresas de serviços financeiros em toda a Austrália são regulamentadas pela Autoridade de Regulamentação Prudencial Australiana (APRA), uma organização governamental cuja principal função é regular e supervisionar as instituições financeiras na Austrália para garantir a estabilidade, segurança e justiça do sistema financeiro.
Devido a isto, as organizações de serviços financeiros são obrigadas a operar em conformidade com as principais normas operacionais da APRA, a CPS 230 para a gestão de risco operacional e a CPS 234 para a segurança da informação, que fornecem as principais diretrizes e melhores práticas para a gestão de riscos operacionais, de fornecedores e cibernéticos. Estas normas obrigatórias foram implementadas para proteger a economia e garantir que as empresas financeiras se mantenham operacionais em caso de crise.
Este blogue explora como as empresas podem implementar processos de melhores práticas para a gestão de riscos operacionais, de terceiros e cibernéticos que se alinhem com os requisitos descritos nas normas da APRA. Explicaremos também como o software GRC oferece estruturas, modelos, formulários e fluxos de trabalho de melhores práticas prontos a usar para permitir que as empresas implementem processos de gestão de risco que se alinhem com as normas da APRA com o mínimo de esforço.
Quais são os requisitos descritos nas normas da APRA?
A APRA CPS 230 para a gestão de risco operacional estabelece que as empresas devem:
Identificar, avaliar e gerir os seus riscos operacionais, com controlos internos, monitorização e correção eficazes.
Gerir eficazmente os riscos associados aos prestadores de serviços, com uma política abrangente de gestão de prestadores de serviços, acordos formais e uma monitorização robusta.
APRA CPS 234 para a segurança da informação estabelece que as empresas devem:
Manter uma capacidade de segurança da informação proporcional à dimensão e à extensão das ameaças aos seus ativos de informação e que permita o funcionamento contínuo e sólido da entidade.
Implementar controlos para proteger os seus ativos de informação proporcionais à criticidade e sensibilidade desses ativos de informação e realizar testes e garantias sistemáticos relativamente à eficácia desses controlos.
Notificar a APRA sobre incidentes materiais de segurança da informação.
Então, como é que as empresas podem implementar processos infalíveis que se alinhem com os requisitos descritos nas normas APRA CPS 230 e CPS 234? Vamos descobrir…
-
Gestão de risco operacional
Para se alinharem com os requisitos de gestão de risco operacional da CPS 230, as empresas financeiras terão de estabelecer uma estrutura robusta de gestão de risco operacional que identifique, avalie e mitigue proativamente os riscos que afetam as operações comerciais. Estes podem variar desde falhas de processo e erros humanos até interrupções tecnológicas e ameaças externas.
As empresas terão de identificar os riscos potenciais e construir um “registo de riscos”, categorizar e classificar cada risco e atribuir a propriedade. Devem ser estabelecidos indicadores-chave de risco para cada risco e devem ser implementados “
Devem ser implementadas revisões de risco regulares para identificar novos riscos e refinar a estratégia de gestão de risco das organizações. As empresas também devem reportar os níveis de risco, permitindo-lhes priorizar a mitigação dos riscos certos para atingir os seus objetivos e objetivos estratégicos.
Como é que o software GRC pode ajudar as empresas a alinhar os processos de gestão de risco com a CPS 230?
As empresas podem automatizar facilmente os seus processos operacionais de gestão de risco utilizando o software GRC para implementar as melhores práticas de gestão de risco empresarial que se alinham com os requisitos de gestão de risco operacional da CPS 230.
As empresas podem identificar os seus riscos críticos e construir um registo de riscos dinâmico e pesquisável dentro da plataforma. Os funcionários simplesmente preenchem formulários online para registar, categorizar e classificar o risco, e para definir os indicadores-chave de risco e atribuir a propriedade. Uma vez estabelecido o registo de riscos, são definidos controlos para cada risco individual para manter os níveis de risco dentro do
O software GRC também pode automatizar o processo de avaliação e monitorização de risco. As empresas podem simplesmente agendar avaliações de risco utilizando a automatização do fluxo de trabalho. O sistema envia uma notificação ao membro da equipa que irá concluir a avaliação de risco, e este preenche os detalhes através de um formulário online com todos os dados a serem enviados diretamente para a plataforma. Os lembretes são enviados automaticamente para as avaliações pendentes. Se os resultados indicarem que os níveis de risco são elevados, são enviadas notificações ao proprietário do risco relevante para que este possa documentar as ações de correção e realizar a análise da causa raiz na plataforma.
As plataformas GRC podem ainda automatizar o processo de monitorização de risco, integrando-se com os seus outros sistemas e fontes de dados através de integrações de API. Os dados de risco relevantes são enviados diretamente para a plataforma e as empresas podem definir regras para detetar níveis de risco elevados e estabelecer a automatização do fluxo de trabalho para notificar o pessoal relevante. Isto elimina a monitorização manual de risco e permite que o pessoal atue mais rapidamente para diminuir o risco.
As ferramentas GRC também garantem a propriedade do risco. A plataforma integra-se com o seu diretório ativo e cada risco e tarefa é atribuído a um proprietário específico. As notificações automatizadas direcionam o pessoal para o seu próprio painel personalizado, onde podem concluir as suas tarefas e ações relacionadas com o risco online. Sempre que o pessoal regista um risco, conclui uma avaliação de risco ou verificação de controlo, ou toma medidas para corrigir um risco, os líderes podem ver qual o membro da equipa que concluiu a tarefa com base no login dos utilizadores.
As plataformas GRC também automatizam a elaboração de relatórios de risco, produzindo relatórios de exposição ao risco e de eficácia do controlo, mapas de calor, análise de gravata borboleta e relatórios do Microsoft Power BI com o toque de um botão. Isto facilita às equipas a análise dos dados de risco e a sua utilização para impulsionar decisões de negócios importantes. O software permite que o programa de gestão de risco seja dimensionado e cresça à medida que a organização se expande, apoiando os esforços de melhoria contínua.
O software GRC alinha automaticamente o programa de gestão de risco de uma organização com os requisitos da CPS 230. Isto deixa as empresas com mais tempo para se dedicarem à identificação e gestão de novos riscos e à implementação de controlos eficazes para reduzir o risco, melhorando os esforços gerais de gestão de risco. Muitas plataformas GRC permitem que as empresas mapeiem os riscos para quaisquer políticas, regulamentos, incidentes ou objetivos estratégicos associados, melhorando ainda mais a supervisão do risco e as operações de negócios.
Muitas plataformas GRC também oferecem funcionalidades de melhores práticas para gerir e resolver incidentes inesperados e automatizar o planeamento da continuidade de negócios, alinhando ainda mais os processos com os requisitos da CPS 230 e garantindo que as empresas podem recuperar rapidamente de interrupções operacionais e tempo de inatividade.
-
Gestão de risco de fornecedores
A CPS 230 exige que as instituições financeiras avaliem e geram os riscos associados a fornecedores terceiros. Estes riscos incluem vulnerabilidades de segurança, não conformidade regulamentar e interrupções de serviço que podem ter impacto na continuidade de negócios e na confiança do cliente.
Para se alinharem com os requisitos da CPS 230, as empresas devem compreender os detalhes críticos sobre cada fornecedor, capturando dados relativos a custos, contrato, contactos-chave, acordos de nível de serviço (SLAs) e indicadores-chave de desempenho (KPIs). Devem realizar avaliações de risco de fornecedores regulares e benchmarking, análise e pesquisa de fornecedores para garantir que estão a trabalhar com fornecedores fiáveis e éticos, tanto antes da integração como durante a relação com o fornecedor. As empresas também devem monitorizar o desempenho do fornecedor em relação aos SLAs e KPIs para garantir que o fornecedor está a ter um desempenho em conformidade com os acordos contratuais e quaisquer problemas devem ser documentados e resolvidos.
As empresas também devem garantir que os fornecedores têm um plano de continuidade de negócios viável que é testado regularmente. Devem também obter a confirmação de que os fornecedores estão a operar em conformidade com quaisquer regulamentos e normas obrigatórias e que têm as certificações adequadas. As empresas devem formalizar o processo de integração e desativação de fornecedores, certificando-se de que é realizada uma due diligence adequada e garantindo que não existem cláusulas inesperadas no contrato e que o período de aviso prévio é cumprido.
Como é que o software GRC pode ajudar as empresas a alinhar a gestão de risco de fornecedores com a CPS 230?
O software GRC pode automatizar totalmente o processo de gestão de risco de fornecedores. Os modelos, fluxos de trabalho e formulários prontos a usar garantem que as empresas podem implementar um programa de gestão de risco de fornecedores de melhores práticas que cumpra os requisitos descritos na CPS 230.
As empresas podem construir um registo de fornecedores centralizado na plataforma. Os funcionários registam os potenciais fornecedores na plataforma utilizando formulários online que capturam informações críticas sobre preço, acordos contratuais, contactos-chave, acordos de nível de serviço (SLAs) e indicadores-chave de desempenho (KPIs).
Podem também utilizar o software para realizar a due diligence do fornecedor e automatizar totalmente o processo de avaliação de risco e integração do fornecedor. As empresas podem configurar um portal de fornecedores externo onde os fornecedores podem concluir as suas avaliações de risco através de formulários online com todos os dados a serem enviados para a plataforma. As avaliações devem incluir questões-chave sobre as práticas de continuidade de negócios, a adesão a regulamentos, normas e certificações, planos de resposta a incidentes, planos de contingência operacional e práticas de cibersegurança. As empresas podem decidir com que frequência querem realizar avaliações de risco de fornecedores e agendá-las no sistema e os fluxos de trabalho automatizados enviam notificações por e-mail aos fornecedores pedindo-lhes que preencham o formulário no portal com todos os dados capturados na plataforma.
Uma plataforma de risco de fornecedores também pode permitir que as empresas monitorizem o desempenho dos fornecedores em relação aos SLAs e KPIs e sinalizem problemas. O sistema pode integrar-se com outros sistemas internos e folhas de cálculo onde as estatísticas de desempenho dos fornecedores são mantidas e puxar os dados para a plataforma e anexá-los ao perfil dos fornecedores, facilitando a monitorização contínua do desempenho. Podem ser definidas regras para notificar o pessoal se um fornecedor não estiver a cumprir os SLAs e KPIs para que o problema possa ser resolvido. O pessoal também pode utilizar a plataforma para registar, escalar e resolver incidentes de fornecedores e realizar a análise da causa raiz para garantir que o desempenho do fornecedor permanece no nível ideal.
Outra característica-chave nas plataformas de gestão de risco de fornecedores é a sua capacidade de se integrar com os fornecedores de inteligência de risco de fornecedores. Isto permite que as empresas puxem dados críticos, benchmarking e análise para cada fornecedor relacionados com a estabilidade financeira, multas, processos judiciais, revisões de desempenho, ponto de vista ético e violações de dados diretamente para a plataforma. As empresas receberão notificações se o seu fornecedor chegar às manchetes, permitindo-lhes abordar o risco imediatamente com o fornecedor e procurar fornecedores alternativos, se necessário.
A centralização dos dados de risco de fornecedores numa única plataforma cria uma visão holística da exposição ao risco de fornecedores, permitindo que as empresas identifiquem os riscos potenciais que podem ter impacto na sua organização e tomem medidas para os mitigar. Também apoia as empresas na automatização de processos-chave em torno das avaliações de risco de fornecedores, monitorização de desempenho, integração e desativação e a recolha de inteligência de risco de fornecedores. A implementação de software de risco de fornecedores permite que as empresas cumpram os requisitos obrigatórios descritos na orientação da CPS 230 relativa à gestão de risco de fornecedores e às relações com fornecedores. Esta abordagem automatizada de melhores práticas prioriza a mitigação de risco e o planeamento de contingência, apoiando os esforços de resiliência e garantindo a conformidade com as diretrizes da CPS 230.
-
Gestão de risco cibernético
Com a maioria das empresas financeiras a depender de uma variedade de sistemas e aplicações digitais para gerir as suas organizações, a gestão de TI, risco cibernético e risco tecnológico é essencial. É também um requisito obrigatório para as entidades regulamentadas pela APRA ao abrigo da CPS 230 e da CPS 234.
Com a CPS 230 a abranger a gestão geral de risco operacional (incluindo as operações digitais) e a CPS 234 a focar-se especificamente no risco de segurança da informação, as empresas financeiras devem implementar estruturas robustas de cibersegurança para alcançar a conformidade com estas normas da APRA. As áreas-chave a gerir incluem as ameaças cibernéticas, as violações de dados e as vulnerabilidades do sistema que podem comprometer os dados financeiros sensíveis.
As empresas devem configurar um registo de risco cibernético e realizar avaliações de risco cibernético regulares e verificações de segurança relacionadas com a integridade dos dados e as vulnerabilidades do sistema de TI para monitorizar os níveis de risco. Devem atribuir a propriedade do risco cibernético e implementar controlos como encriptação, firewalls, autenticação multifator, políticas, processos e formação para manter o risco cibernético dentro de níveis toleráveis. Estes controlos devem ser testados e verificados regularmente para garantir que são eficazes. As empresas também devem alinhar os seus processos com os regulamentos relevantes e as diretrizes de privacidade de dados como Basileia III, RGPD, NIST, NIS2, SOX, ISO 27001, dependendo da organização e dos seus requisitos e certificações regulamentares.
As empresas devem ter processos claros para capturar, escalar e resolver incidentes cibernéticos e realizar a análise da causa raiz para evitar ocorrências futuras. Devem também ter um processo claramente definido para reportar violações de segurança notáveis à APRA dentro dos prazos estipulados. Além disso, as organizações também devem ter programas de continuidade de negócios e resiliência de melhores práticas em vigor para garantir que os sistemas digitais permanecem operacionais em todos os momentos e que os dados são protegidos. Estes planos devem ser atualizados, verificados e testados regularmente em relação a diferentes cenários. As empresas devem monitorizar e proteger cuidadosamente os seus ativos cibernéticos e tomar medidas para garantir que o equipamento está atualizado e adequado para o fim a que se destina e que as licenças e as correções de segurança estão atualizadas.
Como é que o software GRC pode ajudar a alinhar a gestão de risco cibernético com a CPS 234?
O software GRC pode apoiar as empresas na criação de uma estrutura de gestão de risco cibernético de melhores práticas que se alinhe com os requisitos da CPS 230 e da CPS 234.
As empresas podem utilizar a plataforma para construir um registo de risco cibernético digital e pesquisável. Os riscos são priorizados, categorizados e alocados à propriedade, e os indicadores-chave de risco são definidos. O software pode automatizar o processo de avaliação de risco cibernético. Os fluxos de trabalho automatizados permitem que as empresas agendem as suas avaliações antecipadamente, e as notificações são enviadas permitindo que o pessoal preencha formulários online de avaliação de risco cibernético com todos os dados a serem enviados diretamente para a plataforma. Estas ferramentas também podem integrar-se com os seus outros sistemas e fontes de dados através de integrações de API, permitindo-lhe monitorizar os níveis de risco com base nos dados de outros sistemas e definir regras para sinalizar quando os níveis de risco estão a aumentar para notificar o pessoal.
As equipas também podem construir uma biblioteca de controlos cibernéticos na plataforma e mapear os controlos para o risco associado. As empresas também podem agendar e automatizar verificações e testes de controlo utilizando a plataforma. As equipas planeiam o cronograma de verificações e testes de controlo e os fluxos de trabalho automatizados enviam lembretes e permitem que o pessoal preencha os detalhes da verificação na plataforma. As equipas de liderança podem facilmente executar relatórios sobre o estado e a eficácia do controlo. Muitas plataformas de software oferecem estruturas de controlo prontas a usar para certos regulamentos e leis de privacidade de dados, facilitando às empresas a implementação dos controlos relevantes para garantir a conformidade.
Estes sistemas também oferecem capacidades de relato de incidentes de melhores práticas que podem integrar-se com sistemas de emissão de bilhetes internos. A solução permite que o pessoal registe incidentes através de formulários online e utiliza fluxos de trabalho automatizados avançados para triar, escalar, investigar e resolver incidentes e realizar a análise da causa raiz. As equipas de liderança podem executar relatórios sobre o estado e o tipo do incidente para tentar reduzir ocorrências futuras e os incidentes podem ser facilmente mapeados de volta para os riscos de origem. Os fluxos de trabalho também podem ser iniciados para garantir que a APRA é informada sobre incidentes cibernéticos de alto risco quando os critérios cumprem os requisitos.
Muitas plataformas de software também oferecem capacidades de gestão de ativos cibernéticos, permitindo que as equipas registem todos os seus ativos cibernéticos e rastreiem a idade, a utilização e o licenciamento, garantindo que o equipamento está sempre atualizado e as licenças são válidas, melhorando a postura de segurança da informação.
Por que é que o software é fundamental para a conformidade com a APRA
O alinhamento dos processos de gestão de risco com as normas CPS 230 e CPS 234 da APRA é fundamental para que as instituições financeiras garantam a conformidade, mitiguem os riscos e construam a resiliência operacional. A implementação de estruturas de melhores práticas para a gestão de risco operacional, de fornecedores e cibernético utilizando o software GRC garante que as normas da APRA são cumpridas, ao mesmo tempo que fortalece a supervisão do risco e garante a continuidade de negócios.
O software GRC serve como um facilitador poderoso ao automatizar a gestão de riscos, simplificar a resposta a incidentes, garantir a conformidade e fortalecer a cibersegurança e a resiliência. Ao implementar uma solução GRC, as instituições financeiras podem gerir proativamente todos os aspetos do risco utilizando estruturas, modelos, fluxos de trabalho e formulários de melhores práticas que se alinham com os requisitos regulamentares em evolução da APRA.
A conformidade com a APRA CPS 230 e a APRA CPS 234 pode ser grandemente simplificada através da implementação de uma plataforma de software GRC. Uma abordagem orientada pela tecnologia é fundamental para garantir a resiliência a longo prazo e a conformidade com as normas da APRA.
Contacte-nos ou solicite uma demonstração para descobrir como uma plataforma de software pode alinhar os seus processos com as normas da APRA.
