Comment satisfaire aux exigences de l'Autorité bancaire européenne en matière de risques liés aux tiers ?

Note de l'éditeur : Dans l'édition de cette semaine de notre série de blogs, Gestion du risque lié aux tiers : How to Stay Off the Regulatory Radar, nous examinons les exigences de l'Autorité bancaire européenne (ABE) relatives aux tiers. N'oubliez pas de consulter tous les blogs de cette série et de télécharger le livre blanc pour un examen complet des exigences.

L'Autorité bancaire européenne (ABE) est une autorité indépendante de l'UE qui s'efforce d'assurer une réglementation et une surveillance efficaces et cohérentes du secteur bancaire européen. Ses objectifs généraux sont de maintenir la stabilité financière dans l'UE et de préserver l'intégrité, l'efficacité et le bon fonctionnement du secteur bancaire.

Début 2019, l'ABE a publié des lignes directrices révisées sur les accords d'externalisation, comprenant des dispositions spécifiques pour les cadres de gouvernance des institutions financières dans le cadre du mandat de l'ABE en ce qui concerne leurs accords d'externalisation et les attentes et processus de surveillance connexes. La recommandation sur l'externalisation vers des prestataires de services de cloud, publiée en décembre 2017, est intégrée dans les lignes directrices. Ces lignes directrices sont conformes aux exigences en matière d'externalisation prévues par la directive sur les services de paiement (DSP2), la directive sur les marchés d'instruments financiers (MiFID II) et le règlement délégué (UE) 2017/565 de la Commission.

L'ABE, reconnaissant le vaste écosystème des services financiers et les différents types de services intégrés utilisés, a consacré 70 pages à la gestion de l'externalisation dans le secteur des services financiers, plus 55 autres pages pour les réponses aux commentaires sur ces lignes directrices.

Les points saillants de ces exigences comprennent un cadre d'externalisation solide qui :

• Distinction entre les externalisations qui sont "critiques ou importantes" et celles qui ne le sont pas
• Effectuer une diligence raisonnable dans le processus de sélection de l'externalisation.
• Permet une évaluation correcte des risques, grâce à laquelle tous les risques opérationnels potentiels sont identifiés, gérés, surveillés et signalés.
• exige des contrats qui définissent les droits d'accès et d'audit pour les banques et leurs régulateurs afin de garantir une surveillance efficace
• Effectuer une évaluation continue et un contrôle permanent, avec des rapports clairs à la direction.
• Met à la disposition des autorités toute la documentation nécessaire à la transparence
• Définit une stratégie de sortie claire en cas de défaillance du prestataire de services.

Répondre aux exigences de l'ABE en matière de risque de tiers avec la plateforme TPRM Prevalent

Prevalent peut vous aider à répondre à ces exigences. Pour les besoins de ce blog, nous avons toutefois résumé certaines exigences de l'ABE et identifié les fonctionnalités de la plateforme de gestion des risques pour les tiersPrevalent qui démontrent l'étendue et la valeur que vous pouvez tirer de notre plateforme TPRM complète. Pour obtenir une liste complète des exigences de l'ABE et savoir comment les capacités de Prevalent y répondent directement, veuillez télécharger le livre blanc intitulé The Third-Party Risk Management Compliance Handbook.

Pour répondre aux exigences de l'ABE, Prevalent:

• Permet aux institutions financières de classer les tiers en fonction de leur importance pour l'organisation, conformément au Titre II - Évaluation des accords d'externalisation, section 4 - Fonctions critiques ou importantes, paragraphe 30.
• unifie et gère le processus d'évaluation des risques liés aux fournisseurs pour répondre aux exigences du titre III - Cadre de gouvernance, section 5 - Dispositif de bonne gouvernance et risque de tiers, paragraphe 32 et du titre III - Cadre de gouvernance, section 5 - Dispositif de bonne gouvernance et risque de tiers, paragraphe 33.
• Fournit une solution complète pour effectuer des évaluations, y compris des questionnaires ; un environnement pour inclure et gérer les preuves documentées en réponse ; des flux de travail pour gérer l'examen et traiter les conclusions ; et des rapports solides pour donner à chaque niveau de gestion les informations dont il a besoin pour examiner correctement la performance du tiers afin de répondre au Titre III - Cadre de gouvernance, section 6 - Dispositions de saine gouvernance et externalisation, paragraphe 40(c) et au Titre III - Cadre de gouvernance, section 13.2 Sécurité des données et des systèmes, paragraphe 82.
• Comprend des rapports efficaces pour satisfaire aux exigences en matière d'audit et de conformité ainsi que pour présenter les résultats au conseil d'administration et à l'encadrement supérieur, conformément au titre III - Cadre de gouvernance, section 10 - Fonction d'audit interne, paragraphe 50, et au titre III - Cadre de gouvernance, section 13.3 - Droits d'accès, d'information et d'audit, paragraphe 87, point b).
• Fournit des référentiels des questionnaires des fournisseurs complétés et validés et des preuves à l'appui pour satisfaire à l'exigence d'audits groupés du Titre III - Cadre de gouvernance, section 13.3 Droits d'accès, d'information et d'audit, paragraphe 91.
• Fournit cyber sécurité et surveillance de l'activité - évaluation continue des réseaux tiers pour identifier les faiblesses potentielles qui peuvent être exploitées par cyber criminels - pour répondre au Titre III - Cadre de gouvernance, section 12.3 - Diligence raisonnable, paragraphes 70 & 71 et au Titre III - Cadre de gouvernance, section 14 Surveillance des fonctions externalisées, paragraphe 100.
• Saisir et auditer les conversations et faire correspondre la documentation ou les preuves aux risques pour satisfaire au titre III - Cadre de gouvernance, section 14 - Surveillance des fonctions externalisées, paragraphe 104.
• Comprend un flux de travail bidirectionnel et des mécanismes de communication partagée pour suivre les résultats et remédier aux problèmes , conformément au titre III - Cadre de gouvernance, 14 - Surveillance des fonctions externalisées, paragraphe 105.

Prochaines étapes

Les directives de l'ABE exigent une gestion et un suivi solides des risques liés aux prestataires de services. Elles précisent qu'une politique de gestion des risques doit être mise en place, comprenant des évaluations fondées sur des contrôles internes et une surveillance continue des accords d'externalisation de tiers. La politique doit être codifiée dans un contrat entre l'institution financière et la relation d'externalisation, avec une documentation et des rapports appropriés pour les efforts de remédiation et les capacités d'audit.

PrevalentLasolution de gestion des risques liés aux tiers d 'EBA fournit un cadre complet pour la mise en œuvre de la gestion, de l'audit et du reporting afin de se conformer aux directives d'externalisation de l'EBA. Contactez-nous dès aujourd'hui pour une démonstration et découvrez comment.