Avustralya İhtiyati Düzenleme Otoritesi (APRA), bankaların ellerindeki verileri yönetme biçiminde boşluklar buldu ve daha iyi veri uygulamalarını desteklemek için altı öneri sundu.
Önerileri, finansal kurumlar arasında veri riski yönetiminin durumu hakkında fikir edinmek amacıyla 2019’da çeşitli bankalarla başlatılan çok yıllı bir pilot çalışmanın bulgularını takip ediyor.
APRA, seçilen bankalara, müşteri adı, hesap numarası ve faiz oranı gibi 100 temel veri öğesini belirleyen 100 Kritik Risk Veri Unsuru (CRDE) Pilotu olarak bilinen bir uygulamaya katılmalarını yazdı.
Bunu daha sonra her bankanın veri riski yönetimi çerçevelerini nasıl uyguladığını görmek için veri riski ihtiyati incelemeleri izledi.
Bu haftanın başlarında yayınlanan APRA, “veri uygulamalarında kısmen APRA’nın denetim odağının yönlendirdiği son gelişmelerin olduğunu, ancak ilerlemenin yavaş olduğunu ve veri riski yönetiminde mevcut ve daha iyi uygulamalar arasındaki farkın hala geniş olduğunu” tespit etti.
Veri riskinin yönetimiyle ilgilenen CPG 235 gibi İhtiyatlı Uygulama Kılavuzları ve ihtiyati standartlar, CPS 234 Bilgi Güvenliği ve CPS 230’da “temel risk türü olarak öne çıkan” veriler aracılığıyla, veri riskine odaklanması yıllar geçtikçe artmaktadır. Operasyonel Dayanıklılık.
APRA genellikle veri riski yönetiminin olgunluğunu ve veri güvenliği kontrolünün etkinliğini raporlamaya odaklansa da, “sektördeki müşteri veri sızıntılarına ve kuruluş veri ihlallerine yol açan son siber olaylar, veri depolama, silme ve güvenliğin önemini vurguladı. bunların hepsi veri ortamının ve veri kalitesinin sağlam bir şekilde anlaşılmasını gerektirir.”
“Veriler, bir kuruluşun alması gereken kararların tümü olmasa da birçoğunun anahtarıdır ve bu nedenle çoğu kuruluş için “taç mücevherlerdir”.
Mali ihtiyatlı düzenleyici kurum, “Bir kuruluşun en değerli varlıklarının korunması, hem direktörler hem de üst düzey yöneticiler için yüksek bir öncelik olmalıdır” dedi.
APRA’nın önerdiği bankalar:
- Birleşik bir veri stratejisiyle veri yönetimini oluşturun.
- Veri yaşam döngüsü boyunca kritik veri öğelerinin ve süreçlerinin sahipliğine ilişkin roller ve sorumluluklar konusunda netlik sağlayın.
- Geliştirilmiş platform çözümleri ve eski varlıkların kullanımdan kaldırılması yoluyla teknoloji ve veri mimarisi ortamını basitleştirin.
- Kritik veri öğelerini tanımlayın ve tutarlı bir veri kontrolleri kümesi oluşturun.
- Veri kalitesini izlemek ve iş gereksinimlerine göre hataları zamanında düzeltmek için mekanizmalar oluşturun.
- Veri yönetimi riskini risk yönetimi çerçevelerine entegre edin.
“APRA, 2019’daki 100 CRDE Pilotunun başlangıcından bu yana katılımcıların veri çerçevelerinin artık daha gelişmiş olduğunu gözlemledi” dedi.
APRA, sektör genelinde veri uygulamalarının geliştirilmesini sağlamak için CPS 230 aracılığıyla veri riski yönetimine odaklanmayı sürdürmeyi planlıyor.
“Veri riski, yönetim kurulları ve üst düzey liderlik için operasyonel risk kapsamında daha geniş anlamda önemli bir husustur ve kritik operasyonları ve süreçleri uçtan uca anlamanın doğasında vardır.”
Ancak veri yönetimindeki artışa rağmen APRA, “kurumların veri çerçevelerini etkili bir şekilde yerleştirmeleri için önlerinde hala bir yolculuk olduğunu gözlemlediğini” söyledi.
APRA, veri uygulamalarının tutarlı bir şekilde entegre edilmediğini ve “kurumların veri uygulamalarını geliştirme ile daha iyi karar verme arasındaki bağlantıyı tutarlı bir şekilde kurmadığını” belirtti.
Pilot uygulamadakiler, çeşitli raporlarda “veri yanlışlıklarını ölçmek” konusunda zorluk yaşadı; iyileştirmeler, iş son kullanıcılarının tüm yönlerini hesaba katmıyor ve çözümler her zaman amaca uygun olmuyor.
“Verilerin bir işletme genelinde kullanılabilirliğini sağlamak şeffaflığın artmasına, risklerin yönetilmesine ve verimliliğin artırılmasına yardımcı olur, ancak etkili bir şekilde kullanılması için tutarlı ve doğru olması gerekir; bu, CPG 235’te özetlenenler gibi kontrollerin uygulanmasıyla başarılabilir.
“Bu pilot uygulamaya dahil olan seçilmiş bankaların kaydettiği tüm ilerlemelere rağmen, veri uygulamalarında sektörün dayanıklılığını etkileyen boşluklar devam ediyor.”
APRA, veri riskinin etkili bir şekilde yönetilebilmesi için “kurumların kritik veri öğelerini belirlemeye, veri sorunlarını düzeltmeye, teknoloji platformlarını geliştirmeye, eski mimariyi basitleştirmeye ve verileri daha erişilebilir hale getirmeye odaklanması gerektiğini” söyledi.
“Aslında süreçleri kolaylaştırmak, manuel kontrollerin otomasyonunu artırmak ve veri kalitesini iyileştirmek kuruluşların çıkarınadır; çünkü müşterilerden, müşterilerden ve düzenleyicilerden gelen veri talebinin yalnızca arttığı bir dünyada, kuruluşların bunu karşılamaya gücü yetmez. APRA, “geride bırakılacak” dedi.
APRA ayrıca, pilot uygulamasındaki benzer anketlerin 2022’de belirli hayat sigortacılarına ve emeklilik şirketlerine “yanlış düzenleme başvurularıyla ilgili endişelerin ardından risk uygulamalarını daha iyi anlamak için” gönderildiğini söyledi.