قسمت 1 - تجزیه و تحلیل دقیق CPS 230 و مقایسه با استانداردهای موجود

ریسک عملیاتی طی سالهای اخیر موضوعی در صنایع فوق العاده ، بیمه و بانکی بوده است ، زیرا نهادهای تنظیم شده با همه گیر COVID-19 ، ریسک سایبری و فناوری ، ناآرامی ژئوپلیتیکی ، بازارهای بی ثبات و خرابی های سازگار با مشخصات بالا روبرو هستند. بنابراین جای تعجب نیست که APRA با انتشار یک پیش نویس استاندارد محتاطانه ، CPS 230 (مدیریت ریسک عملیاتی) (CPS 230) تمرکز خود را بر مقاومت عملیاتی بر روی مقاومت عملیاتی نشان می دهد.

CPS 230 پیشنهاد شده است که از اول ژانویه 2024 در صنایع بانکی ، بیمه و فوق العاده برای کلیه اشخاص تنظیم شده APRA اعمال شود. اگر به شکل فعلی خود معرفی شود ، در یک استاندارد جدید محتاطانه واحد قابل توجه در رابطه با مدیریت ریسک عملیاتی ، ادغام می شود. و همچنین الزامات به روز شده در رابطه با مدیریت ریسک ارائه دهنده خدمات و برنامه ریزی تداوم مشاغل.

در این بینش ، ما یک مرور کلی از CPS 230 ارائه می دهیم و چه معنایی برای شما خواهد داشت.

پرش به

1. غذای اصلی
2. چرا APRA در حال انتشار یک استاندارد جدید است؟
3. تغییرات کلیدی چیست؟
4. تعامل با سایر استانداردها و راهنمایی ها
5. مراحل بعدی

غذای اصلی

CPS 230 یک رویکرد مبتنی بر اصول را اتخاذ می کند و بسیاری از مفاهیم آشنا را از استانداردهای محتاطانه موجود وارد می کند. با این حال ، اگر به شکل فعلی خود معرفی شود ، تعهدات تجویز و گسترده تری نسبت به خطرات عملیاتی نسبت به آنچه قبلاً دیده بودیم تحمیل می کند.

نکته مهم ، CPS 230:

• الزامات مفصلی را در رابطه با حاکمیت و مدیریت ریسک عملیاتی تحمیل کنید ، که در حال حاضر فقط به معنای کلی در CPS و SPS 220 (مدیریت ریسک) مورد بررسی قرار می گیرد.
• اهمیت اطمینان از درک سازمان ها از مشخصات ریسک عملیاتی خود و تأثیر تصمیمات کلیدی در تجارت و سایر تغییرات مؤثر بر آن پروفایل را تأکید می کند.
• روشن کنید که ، با وجود تأکید CPS و SPS 220 بر اهمیت کارکردهای مستقل ریسک ، مدیریت ارشد مسئولیت پایان به ریسک عملیاتی را دارد و این ملاحظات باید در کل تجارت تعبیه شود.
• تغییر از تمرکز قبلی APRA در بهبودی از اختلال ، به تمرکز گسترده بر اطمینان از این که توانایی عملکرد از طریق اختلال در سطح تحمل از پیش تأیید شده وجود دارد ، مراجعه کنید.
• یک مفهوم بسیار گسترده تر از ترتیبات ارائه دهنده خدمات مواد را معرفی کنید ، که شامل الزامی برای تمرکز بر خطرات ارائه شده توسط ارائه دهندگان خدمات است ، نه فقط به مادی بودن هرگونه خدمات برون سپاری ارائه شده - و الزامی برای نگاه عمیق تر به زنجیره تأمین ((به عنوان مثال برای در نظر گرفتن خطر شخص چهارم) ؛وت
• APRA را در اجرای مدیریت ریسک عملیاتی و همچنین افزایش توانایی نیاز به سازمان های تنظیم شده برای مدیریت خطرات عملیاتی خود به روش های خاص ، افزایش دهید.

در نتیجه ، CPS 230 نیاز به تغییرات قابل توجهی در مدیریت ، انطباق ، تنظیمات پاسخگویی قراردادی و حادثه برای کلیه نهادهای تنظیم شده APRA دارد. برای اطلاعات بیشتر در این مورد ، به قسمت 2 - راهنمای اجرای عملی (PDF) مراجعه کنید.

چرا APRA در حال انتشار یک استاندارد جدید است؟

پیش نویس CPS 230 تلاش برای رفع نقاط ضعف زیر که APRA به عنوان بخشی از نظارت محتاطانه خود مشاهده کرده است:

• خرابی کنترل: بسیاری از وقایع ریسک عملیاتی به دلیل کنترل های ناکارآمد بوجود آمده است ، و در نتیجه اقدامات علیه طیف وسیعی از اشخاص (به عنوان مثال از طریق شرکت های قابل اجرا ، برنامه های اصلاح و نیازهای سرمایه عملیاتی اضافی) انجام می شود.
• تحمل کم برای اختلال: با توجه به اهمیت خدمات مالی اصلی در زندگی روزمره و انتظار اینکه این سرویس ها همیشه در دسترس باشند ، مشتریان تحمل کمتری برای اختلال دارند.
• افزایش اعتماد به ارائه دهندگان خدمات (و غلظت) ارائه دهندگان خدمات: اشخاص تنظیم شده APRA بیشتر به استفاده از ارائه دهندگان خدمات برای حمایت از عملیات تجاری خود متکی هستند. مشکلات در استفاده از ارائه دهندگان خدمات که ممکن است بخشی از یک زنجیره تأمین طولانی و پیچیده شامل "احزاب چهارم" و ارائه دهندگان پایین دست باشد ، می توانند به سرعت در دسترس بودن و سطح خدمات ارائه شده توسط یک نهاد تنظیم شده APRA را تحت تأثیر قرار دهند.

CPS 230 از اصلاحات مشابهی پیروی می کند که توسط همتایان خود در انگلستان (سازمان تنظیم مقررات محتاط) ، کانادا (دفتر اجرای تحریم های مالی) و دیگران انجام می شود و به استانداردهای بین المللی مانند کمیته بازل در زمینه نظارت بر بانکداری در نظر گرفته شده است.

تمرکز APRA بر ریسک عملیاتی همچنین نشان دهنده تمرکز افزایش ASIC بر تأثیرات بالقوه فناوری در بازارهای مالی و خدمات و پروژه اصلی استراتژیک آن در رابطه با ریسک سایبری و مقاومت عملیاتی است ، همانطور که در برنامه شرکت های 2022-26 خود آمده است.

تغییرات کلیدی چیست؟

CPS 230 تعدادی از مفاهیم مشابه را از استانداردهای محتاطانه ای که پیشنهاد می کند جایگزین کند ، انتخاب می کند ، اما همچنین حاوی برخی تغییرات بسیار مهم است. ما برخی از این تغییرات (در مقایسه با نیازهای فعلی) را در زیر بیان کرده ایم.

مدیریت ریسک عملیاتی

موضوع

چه خبر؟

الزامات مبتنی بر نتایج

پیش نویس CPS 230 شامل تعدادی از اصول اصلی اصلی است که به نهادهای تنظیم شده APRA نیاز دارند تا خطرات عملیاتی را مدیریت کنند و این از دیدگاه نتایج ارزیابی می شود. به عنوان مثال ، یک موجودیت تنظیم شده APRA باید:

• عملیات مهم خود را در سطح تحمل از طریق اختلالات شدید حفظ کنید.
• تا حد امکان ، از اختلال در عملیات مهم جلوگیری کنید. وت
• به ارائه دهنده خدمات متکی نیست ، مگر اینکه بتواند اطمینان حاصل کند که با این کار می تواند به طور کامل به تعهدات محتاطانه خود برآورده شود.

مکمل این اصول تعدادی دیگر از الزامات جدید دیگر ، از جمله الزامات برای درک مشخصات ریسک عملیاتی آن ، برای انجام ارزیابی های جامع ریسک قبل از ارائه خدمات مادی به سایر احزاب ، و طراحی و تعبیه کنترل خطر عملیاتی داخلی در کلیه محصولات ، فعالیت های خودفرآیندها و سیستم ها.

هیئت و پاسخگویی مدیریت ارشد

CPS 230 تصریح می کند که هیئت مدیره برای مدیریت ریسک عملیاتی (از جمله تداوم مشاغل و ترتیبات ارائه دهنده خدمات) پاسخگو خواهد بود. تاکنون ، APRA به هیئت مدیره ملزم شده است که در نهایت مسئولیت برخی از امور مربوط به استانداردهای محتاطانه خود را بر عهده بگیرد. تغییر زبان به سمت پاسخگو از نظر انتظار APRA برای تابلوها بسیار ظریف اما مهم است و با نظارت بر نتایج نتایج APRA به دست می آید.

به عنوان بخشی از این ، APRA انتظار دارد که هیئت مدیره نقش ها و مسئولیت های روشنی را برای مدیران ارشد و نظارت بر مدیریت ریسک عملیاتی تعیین کند. در عوض ، مدیریت ارشد باید اطلاعات واضح و جامع را در مورد مشخصات ریسک عملیاتی نهاد و تأثیر مورد انتظار در عملیات مهم هنگام تصمیم گیری در هیئت مدیره ارائه دهد. بر خلاف تکیه بر کارکردهای مدیریت ریسک ، این کشور کاملاً بر روی مدیریت خط تجارت قرار می گیرد تا مسئولیت ریسک عملیاتی را به عهده بگیرد.

قدرت APRA

APRA به خود مجموعه ای از اختیارات جدید در رابطه با نظارت بر مدیریت ریسک عملیاتی داده است (از جمله اختیاراتی برای الزام نهادها به انجام اقدامات خاص در مواردی که نقاط ضعف مادی شناسایی می شود، تنظیم سطوح تحمل و طبقه بندی ارائه دهندگان خدمات به عنوان با اهمیت، از جمله موارد دیگر). برای جزئیات بیشتر به بخش 2 - راهنمای پیاده سازی عملی (PDF) مراجعه کنید.

گزارش APRA

نهادهای تحت نظارت APRA در حال حاضر موظفند حوادث امنیت اطلاعات را در اسرع وقت و حداکثر 72 ساعت پس از آگاهی از این حادثه تحت استاندارد محتاطانه CPS 234 (امنیت اطلاعات) به APRA گزارش دهند. APRA پیشنهاد می کند که باید از حوادث ریسک عملیاتی در همان بازه زمانی مطلع شود (جایی که حادثه احتمالاً تأثیر مالی با اهمیت یا تأثیر با اهمیتی بر توانایی واحد تجاری برای حفظ عملیات حیاتی خود دارد).

تداوم کسب و کار

موضوع

چه خبر؟

این تفاوت چگونه است (با CPS و SPS 232)؟

طرح تداوم کسب و کار (BCP)

پیش نویس CPS 230، نهادهای تحت نظارت APRA را ملزم می کند که یک BCP معتبر حفظ کنند که نحوه حفظ «عملیات حیاتی» خود را در سطوح «تحمل» از طریق اختلالات، از جمله برنامه ریزی بازیابی بلایا برای دارایی های اطلاعاتی حیاتی، تعیین می کند. BCP باید توسط هیئت مدیره تایید شود.

این باید شامل ثبت عملیات بحرانی و سطوح تحمل مرتبط، محرک های شناسایی اختلال و فعال سازی سریع BCP، اقداماتی باشد که واحد تجاری برای حفظ عملیات حیاتی در سطوح تحمل در صورت بروز اختلال، ارزیابی وابستگی های کلیدی مورد نیاز برای حمایت از عملکرد مؤثر انجام می دهد. اجرای BCP و یک استراتژی ارتباطی برای پشتیبانی از اجرای طرح.

متذکر می شویم که APRA در مقاله بحث خود گفته است که نهادهای تحت نظارت نیز ملزم هستند BCP خود را به صورت سالانه به APRA ارسال کنند. به نظر نمی رسد که این نیاز به پیش نویس CPS 230 تبدیل شود، اما این فضا را برای تغییرات پیش نویس در طول فرآیند مشاوره مشاهده کنید.

برای نهادهای تحت نظارت APRA (غیر از بیمه گرهای سلامت خصوصی) 1 الزام به حفظ یک BCP جدید نیست، اگرچه برخی مفاهیم جدید برای محتویات آن معرفی شده اند، از جمله "عملیات حیاتی" و "تحمل ها" همانطور که توضیح داده شد.

برخی دیگر از الزامات تجویز شده برای BCP در CPS 230 (گرچه از آن استفاده می کنند) آورده شده است ، اما APRA در مقاله بحث خود پرچم گذاری کرده است که برای اشخاص تنظیم شده APRA برای تعیین اینکه آیا BCP آنها با توجه به طبیعت مناسب است ، مشخص خواهد شد.، پیچیدگی و اندازه تجارت ، دوباره به رویکرد مبتنی بر اصول خود گره می زند.

شناسایی "عملکرد بحرانی"

اشخاص تنظیم شده با APRA برای تعریف ، شناسایی و حفظ ثبت "عملیات مهم" خود لازم خواهند بود. این فرآیندهای انجام شده توسط یک نهاد تنظیم شده APRA یا ارائه دهنده خدمات آن است که اگر فراتر از سطح تحمل اختلال ایجاد شود (به تصویر زیر مراجعه کنید) ، تأثیر منفی بر سپرده گذاران ، صاحبان سیاست ، ذینفعان یا سایر مشتریان یا نقش آن در سیستم مالی خواهد داشت. بشر

APRA مشخص کرده است که این عملیات شامل پرداخت ، سپرده گذاری و مدیریت ، حضانت ، تسویه حساب ، پاکسازی ، پردازش مطالبات ، مدیریت سرمایه گذاری ، مدیریت صندوق ، استعلام مشتری و سیستم ها و زیرساخت های مورد نیاز برای حمایت از این عملیات است. APRA همچنین ممکن است به یک نهاد تنظیم شده APRA نیاز داشته باشد تا یک عملیات تجاری را بسیار مهم تعریف کند.

مفهوم جدید "عملیات بحرانی" مشابه است ، اگرچه به طور قابل توجهی گسترده تر از نیازهای فعلی است که برای اشخاص تنظیم شده APRA اعمال می شود.

در حال حاضر نهادهای تنظیم شده APRA برای شناسایی "کارکردهای مهم تجاری" خود-عملکردهای مهم تجاری ، منابع و زیرساخت های آنها. این امر در CPS 230 گسترش می یابد تا نیاز به شناسایی "فرآیندهای" هر دو نهاد تنظیم شده APRA و ارائه دهندگان خدمات آن داشته باشد. APRA همچنین نمونه های خاصی را در پیش نویس CPS 230 درج کرده است تا اطمینان حاصل شود که عملیات بحرانی اولیه به طور مداوم در صنعت ضبط می شود.

مفهوم "عملیات بحرانی" همچنین فرآیندهای ارائه دهنده خدمات را ضبط می کند ، به این معنی که این موارد نیز باید به طور خاص در BCP موسسه مورد بررسی قرار گیرد. شرط فعلی در رابطه با ارائه دهندگان خدمات این است که یک موسسه تنظیم شده توسط APRA باید خود را در مورد کفایت BCP ارائه دهنده خدمات و هرگونه وابستگی بین این دو برآورده کند.

تنظیم تحمل

اشخاص تنظیم شده توسط APRA برای تعیین سطح تحمل تأیید شده در هیئت مدیره برای هر عملیات مهم ، این موارد:

• حداکثر مدت زمان موجودیت باعث اختلال در عملیات می شود.
• حداکثر میزان از دست دادن داده ها که در نتیجه اختلال می پذیرد. وت
• حداقل سطوح خدماتی که باید در حین کار در طول یک اختلال حفظ شود.

APRA ممکن است نیاز داشته باشد که سطوح تحمل برای عملیات حیاتی تغییر کند یا ممکن است سطوح تحمل را در جایی که خطر افزایش یافته یا ضعف های مادی را شناسایی می کند، تعیین کند.

الزام جدید برای تعیین سطوح تحمل، تغییر بیشتر به سمت مقررات متمرکز بر نتایج است. نهادهای تحت نظارت APRA در حال حاضر ملزم به انجام تجزیه و تحلیل تأثیر سناریوهای اختلال قابل قبول و دوره زمانی هستند که مؤسسه نمی تواند بدون هر عملیات تجاری حیاتی فعالیت کند. با این حال، الزامات جدید برای تمرکز بر ریسک پذیری مؤسسات برای ایجاد اختلال در کلیه فرآیندها به عنوان بخشی از برنامه های تداوم کسب و کار آنها در نظر گرفته شده است. عدم رعایت سطوح تحمل باید طبق CPS 230 به هیئت مدیره گزارش شود.

تست و بررسی

الزامات تست جدید گنجانده شده است. نهادهای تحت نظارت APRA باید یک برنامه آزمایش سیستماتیک برای BCP خود داشته باشند که تمام عملیات حیاتی را پوشش می دهد و شامل یک تمرین سالانه تداوم کسب وکار است. این برنامه، که باید متناسب با ریسک های بااهمیت واحد تجاری باشد، باید اثربخشی BCP واحد تجاری و توانایی آن را برای برآورده کردن سطوح تحمل در طیفی از سناریوهای شدید اما قابل قبول، آزمایش کند. APRA همچنین ممکن است از نهاد بخواهد در برابر یک سناریوی تعیین شده توسط APRA آزمایش کند.

دامنه الزامات آزمایش از شکل فعلی خود (که فقط مؤسسه را ملزم به «بازبینی و آزمایش» BCP می کند، اما بدون هیچ الزام خاصی در مورد معیارهای آزمایش، گسترش یافته است. این الزامات علاوه بر الزامات فعلی برای بررسی و ممیزی BCP اعمال می شود.

اطلاعیه های APRA

نهادهای تحت نظارت APRA موظفند در صورت فعال کردن BCP خود، در اسرع وقت و ظرف 24 ساعت به APRA اطلاع دهند.

اگرچه بازه زمانی (حداکثر 24 ساعت) با الزامات فعلی یکسان است، اما محرک اعلان به APRA، فعال کردن BCP نهاد است، برخلاف زمانی که واحد با اختلال بزرگی مواجه می شود که می تواند تأثیر با اهمیتی داشته باشد. روی پروفایل ریسک موسسه یا بر سلامت مالی آن تاثیر بگذارد. با توجه به اینکه BCP در صورت بروز اختلال در CPS 230 باید فعال شود، انتظار زیادی برای فعال کردن این تغییر نداریم.

استفاده از ارائه دهندگان خدمات

موضوع

چه خبر؟

این تفاوت چگونه است (با CPS، SPS و HPS 2 231)؟

ارائه دهندگان خدمات مواد

CSP 230 مفهوم "ارائه دهندگان خدمات مادی" را معرفی می کند.

ارائه دهندگان خدمات مادی کسانی هستند که نهاد به آن متکی است که یک عملیات مهم را انجام دهد (به بالا مراجعه کنید) یا آن را در معرض خطر عملیاتی مادی قرار می دهد. آنها شامل اشخاص ثالث و احزاب مرتبط هستند که به دلیل یک یا تعدادی از ترتیبات با موجودیت تنظیم شده APRA ، مادی تلقی می شوند.

APRA به طور خاص اظهار داشته است که این شامل مدیریت ریسک ، خدمات اصلی فناوری ، حسابرسی داخلی ، ارزیابی اعتبار ، مدیریت بودجه و نقدینگی ، کارگزاری وام مسکن ، کارشناسی ، مدیریت مطالبات ، کارگزاری بیمه ، بیمه اتکایی ، مدیریت صندوق ، خدمات حضانت ، مدیریت سرمایه گذاری و ترتیبات است. مروج ، برنامه ریزان مالی و آن دسته از ارائه دهندگان خدمات که دارایی های اطلاعاتی را که تحت CPS 234 به عنوان بحرانی یا حساس طبقه بندی می شوند ، مدیریت می کنند. APRA همچنین ممکن است یک ارائه دهنده خدمات یا نوع ارائه دهنده خدمات را به عنوان ماده طبقه بندی کند.

CPS 230 الزامات مختلف مربوط به ارائه دهندگان خدمات مادی تنظیم شده توسط APRA را معرفی می کند که در زیر توضیح داده شده است.

این تغییر نشان دهنده تغییر از تمرکز فعلی بر برون سپاری و مادی بودن خدمات ارائه شده (به عنوان مثال برون سپاری "فعالیت تجاری مادی") ، به مادی بودن ریسک عملیاتی ناشی از ترتیب ارائه دهنده خدمات است.

تعریف جدید احتمالاً طیف وسیع تری از ارائه دهندگان خدمات را ضبط می کند ، که اعلام می کند APRA نشان دهنده افزایش اعتماد به نفس اشخاص ثالث برای ارائه و انجام عملیات مهم است ، و همچنین این واقعیت که یک ترتیب ارائه دهنده خدمات می تواند یک سازمان تنظیم شده را در معرض خطر قرار دهددرجه بالایی از ریسک حتی در مواردی که ممکن است خدماتی که ارائه می دهد بسیار مهم نباشد. همانطور که با رژیم جدید استمرار کسب و کار ، APRA لیستی از ارائه دهندگان خدمات را در پیش نویس CPS 230 که به نظر می رسد اسیر خواهد شد ، درج کرده است تا اطمینان حاصل شود که این موارد به طور مداوم در سراسر صنعت ضبط می شوند.

سیاست مدیریت ارائه دهنده خدمات و "احزاب چهارم"

نهادهای تنظیم شده نیاز به حفظ "سیاست مدیریت ارائه دهنده خدمات" در هیئت مدیره دارند که چگونگی شناسایی ارائه دهندگان خدمات مادی و مدیریت ترتیبات و همچنین تعدادی دیگر از الزامات خاص را تعیین می کند.

یکی از این شرط ها این است که این خط مشی به چگونگی مدیریت نهاد می تواند خطرات مرتبط با هر "شخص چهارم" یا پیمانکاران فرعی را مدیریت کند. اینها ارائه دهندگان خدمات پایین دست در زنجیره تأمین هستند. هنوز مشخص نیست که آیا APRA انتظار دارد که این شرط به اشخاص چهارم محدود شود یا اینکه آیا ممکن است بیشتر زنجیره ارائه دهندگان خدمات را گسترش دهد یا خیر ، ما انتظار داریم که این موضوع موضوع ارسالی به مشاوره باشد. در صورت عدم توضیح بیشتر در این مورد ، نهادهای تنظیم شده APRA باید این فکر را به این فکر کنند.

اگرچه CPS 231 و SPS 231 در حال حاضر به یک خط مشی نیاز دارند ، با توجه به تعریف ارائه دهندگان خدمات مادی (به بالا مراجعه کنید) و همچنین الزام رسیدگی به ریسک "شخص چهارم" ، نیاز به محتوای سیاست در CPS 230 گسترده تر است.

از نظر احزاب چهارم ، CPS 231 و SPS 231 در حال حاضر نیاز به پیمانکاری فرعی دارند تا در یک قرارداد برون سپاری مورد بررسی قرار گیرند ، با غرامت به این نتیجه که هرگونه قرارداد فرعی توسط یک ارائه دهنده خدمات شخص ثالث بر عهده شخص ثالث استارائه دهنده خدمات (و HPS 231 در این باره ساکت است). پیش نویس CPS 230 با این پیش نویس کمی گیج کننده از بین می رود و در عوض نیاز دارد که ارائه دهندگان خدمات مسئولیت عدم موفقیت یک پیمانکار فرعی را بر عهده بگیرند ، و برای هر یک از نهادهای تنظیم شده APRA در غیر این صورت رویکرد خود را برای مدیریت ریسک شخص چهارم تعیین می کنند.

از نظر عملی ، مدیریت ریسک در این زمینه ممکن است شامل ترکیبی از دقت و دقت در ارائه دهندگان خدمات ، تعهدات گزارشگری ، ورود و اعمال حقوق سیستم های ارائه دهنده خدمات حسابرسی و آزمایش ، گنجاندن ارائه دهندگان خدمات در تمرینات شبیه سازی/سفره و ادامه نیاز است. که اشخاص ثالث در قبال هرگونه اعمال و یا از بین بردن پیمانکاران فرعی خود مسئول هستند. البته چقدر می توان از این نظر به مذاکرات تجاری دست یافت.

توافق نامه ارائه دهنده خدمات

کلیه ارائه دهندگان خدمات باید با توافق رسمی و قانونی الزام آور منصوب شوند. نکته قابل توجه ، این توافق نامه ها باید نیاز به اعلان ارائه دهنده خدمات در مورد استفاده از سایر ارائه دهندگان خدمات مادی (از طریق قراردادهای فرعی یا سایر ترتیبات) داشته باشند تا ارائه دهنده خدمات مسئولیت پیمانکاران فرعی خود ، مقررات زور و حقوق خاتمه را بر عهده بگیرد.

مقررات خاتمه برای مجوزهای RSE باید توانایی متولی را برای خاتمه دادن به ترتیب در جایی که ادامه دارد ، با وظیفه معتمد برای عمل به بهترین منافع مالی ذینفعان مغایرت داشته باشد.

APRA ممکن است در یک آرایش ارائه دهنده خدمات در جایی که نگرانی های احتمالی را افزایش می دهد ، بررسی و ایجاد کند.

CPS 230 نسبت به برخی از الزامات تجویز کننده (اما غیر محتاطانه) که در حال حاضر تحت CPS و SPS 231 اعمال می شود ، مانند الزام توافق نامه برای رسیدگی به قیمت گذاری ، بیمه یا بررسی.

در عوض ، تمرکز APRA به اصطلاحات کلیدی که باید برای پرداختن به خطر عملیاتی ناشی از استفاده از ارائه دهندگان خدمات درج شده باشد ، محدود شده است.

اطلاعیه های APRA

یک نهاد تنظیم شده APRA باید سالانه ثبت نام ارائه دهندگان خدمات مواد خود را به APRA ارسال کند و APRA را اعلام کند:

• در اسرع وقت (و بیش از 20 روز کاری) پس از ورود به یا تغییر مادی ، توافق نامه ای برای ارائه خدمات برای یک عملیات مهم. وت
• قبل از هرگونه توافق نامه خارج از کشور با ارائه دهنده خدمات مادی یا هنگامی که تغییر قابل توجهی در توافق نامه ارائه شده است.

نیاز به ارسال سالانه ثبت نام ارائه دهندگان خدمات به APRA جدید است. APRA امیدوار است که این امر به آن در نظارت بر صنعت کمک کند تا بتواند در جایی که خطر غلظت غلظت "را می بیند (یعنی استفاده بیش از حد از یک ارائه دهنده خدمات واحد) قدم بگذارد.

اعلان ها به APRA که در آن تغییرات مادی انجام می شود (به توافق نامه های ساحلی) یا پیشنهاد شده (به توافق های برون مرزی) نیز جدید است. بیمه گذاران بهداشت خصوصی باید توجه داشته باشند که بازه های زمانی اطلاع رسانی APRA به 20 روز کاری کوتاه می شوند (بر خلاف 28 روز که در حال حاضر تحت HPS 231 اعمال می شود).

در غیر این صورت ، APRA نظارت خود را از توافق های خارج از کشور کاهش داده است. CPS 230 فقط به اشخاص نیاز دارد تا APRA را قبل از ورود به چنین توافق نامه هایی (به جای نیاز فعلی مشورت) به APRA اطلاع دهند.

تعامل با سایر استانداردها و راهنمایی ها

APRA می گوید که CPS 230 "دسترسی و سازگاری این چارچوب را بهبود می بخشد و به دنبال اطمینان از قوانین محتاطانه به راحتی قابل درک ، یافتن و پیمایش است. این ممکن است تا حدی صادق باشد ، اما شایان ذکر است که سایر الزامات نظارتی و راهنمایی های مربوط به ریسک عملیاتی ، همچنان در کنار استاندارد ، از جمله CPS 234 (امنیت اطلاعات) و CPS 226 (حاشیه و کاهش خطر برای غیر متمرکز ، ادامه خواهد یافت. مشتقات پاک شده) ، و همچنین سایر صنعت های متقابل APRA و راهنماهای محتاطانه خاص صنعت.

APRA همچنین خاطرنشان می کند که در این مرحله تغییراتی در سرمایه ریسک عملیاتی برای ADI و بیمه گذاران ارائه نمی دهد. 3 مجوز RSE در رابطه با الزام مالی ریسک عملیاتی به الزامات SPS 114 محدود خواهد شد ، اگرچه باید توجه داشته باشیم که به عنوان بخشی از اختیارات جدید آن تحت پیش نویس CPS 230 ، APRA ممکن است معتمدان را به سرمایه اضافی در قالب ORFR نیاز داشته باشدجایی که مدیریت ریسک عملیاتی آنها دارای نقاط ضعف مادی است. پس از مشاوره خود در مورد تقویت مقاومت مالی در بخش فوق العاده در نوامبر 2021 (به اینجا مراجعه کنید) ، APRA می گوید که اطلاعات بیشتری در مورد تقاطع بین CPS 230 و ORFR ارائه می دهد زیرا هر یک از اصلاحات در طول سال 2022 پیشرفت می کند.

مراحل بعدی

ارسال های کتبی به APRA در پیش نویس CPS 230 ممکن است تا 21 اکتبر 2022 انجام شود. APRA بازخورد خود را در مورد طراحی کلی CPS 230 دعوت کرده است (از جمله رویکرد صنعت متقابل آن ، مباحث آن را پوشش می دهد و تناسب آن همانطور که در مورد قابل توجه و غیر قابل توجه استموسسات مالی قابل توجه) و همچنین الزامات خاص آن.

APRA قصد دارد CPS 230 را در اوایل سال 2023 نهایی کند و پیش نویس راهنمایی در مورد استاندارد را در نیمه اول سال 2023 صادر کند. در حال حاضر هیچ دوره انتقالی ارائه نشده است ، اگرچه APRA بازخورد را در مورد آنچه می تواند یک بازه زمانی معقول برای موسسات برای مذاکره مجدد قراردادها دعوت کرده باشد ، دعوت کرده است. با ارائه دهندگان خدمات موجود.

با توجه به بازه های زمانی تنگ تا تاریخ شروع پیشنهادی (16 ماه) ، نهادهای تنظیم شده APRA باید شروع به بررسی فرآیندهای مدیریت ریسک عملیاتی و ترتیبات خود در برابر پیش نویس CPS 230 کنند-حداقل برای محدود کردن تغییرات مورد نیاز (به قسمت 2-راهنمای اجرای عملی (راهنمای اجرای عملی (مراجعه کنید. PDF)). اگر سازمان شما خدمات را به اشخاص تنظیم شده APRA ارائه می دهد ، باید به دنبال درک پیامدهای تعهدات قراردادی باشید که این نهادهای تنظیم شده برای انطباق CPS 230 تحمیل می کنند.

پانویسها و منابع

1. برای بیمه گذاران بهداشت خصوصی ، تعهدات تداوم تجارت در CPS 230 همه جدید خواهد بود. بیمه گذاران بهداشت خصوصی مشمول تعهدات تداوم مشاغل تحمیل شده به موسسات مالی و مجوزهای RSE به ترتیب تحت CPS 232 و SPS 232 نبودند.
2. بیمه گذاران بهداشت خصوصی در حال حاضر در معرض استانداردهای کمتری تحت HPS 231 نسبت به مواردی که برای موسسات مالی و مجوزهای RSE تحت CPS و SPS 231 اعمال می شود ، مشمول استانداردهای کمتری هستند. بشراین امر به ویژه الزامات جدیدی را برای بیمه گذاران بهداشت خصوصی ، مانند الزام به حسابرسی ترتیبات ارائه دهنده خدمات در برابر سیاست مدیریت ارائه دهنده خدمات نهاد ، به دام می اندازد.
3. همانطور که در APS استاندارد Prudential APS 115 کفایت سرمایه: رویکرد اندازه گیری استاندارد به خطر عملیاتی برای کلیه ADIS غیر از غیر SFI ، پیوست A از APS 110 برای غیر SFI ، GPS استاندارد محتاط 118 سرمایه گذاری کفایت عملیاتی و استاندارد Prudential LPS 118 مشخص شده است. هزینه ریسک عملیاتی کفایت سرمایه برای بیمه گذاران و معادل های آینده برای بیمه گذاران بهداشت خصوصی.

راهنمای اجرای عملی CPS 230

APRA قصد دارد CPS 230 را در اوایل سال 2023 نهایی کند و پیش نویس راهنمایی در مورد استاندارد را در نیمه اول سال 2023 صادر کند. با توجه به بازه های زمانی تنگ پیشنهادی ، اشخاص تنظیم شده APRA باید شروع به بررسی فرآیندهای مدیریت ریسک عملیاتی خود و ترتیبات در برابر پیش نویس CPS 230 کنند. اگر سازمان شما خدمات را به اشخاص تنظیم شده APRA ارائه می دهد ، باید به دنبال درک پیامدهای تعهدات قراردادی باشد که نهادهای تنظیم شده APRA برای انطباق CPS 230 تحمیل می کنند.

راهنمای اجرای عملی ما را در اینجا مشاهده کنید.