Comment répondre aux exigences de conformité de la Financial Conduct Authority (FCA) en matière de cloud computing et de services informatiques tiers

Note de l'éditeur : Dans l'édition de cette semaine de notre série de blogs, Gestion des risques liés aux tiers : Comment rester à l'écart du radar réglementaire, nous examinons les directives FG 16/5 de la Financial Conduct Authority (FCA) pour les entreprises qui externalisent vers le cloud ou d'autres services informatiques tiers. N'oubliez pas de consulter tous les blogs de cette série et de télécharger le livre blanc pour un examen complet des exigences.

La Financial Conduct Authority (FCA ) est un organisme de réglementation du Royaume-Uni, indépendant du gouvernement britannique, qui réglemente les entreprises financières fournissant des services aux consommateurs et maintient l'intégrité des marchés financiers au Royaume-Uni.

En juillet 2018, la FCA a publié ses orientations finalisées, FG 16/5 Guidance for firms outsourcing to the 'cloud' and other third-party IT services, pour aider les entreprises financières à superviser efficacement tous les aspects du cycle de vie des accords d'externalisation. Cela comprend :

• Prendre la décision d'externaliser et sélectionner un prestataire de services
• Réaliser des évaluations de risques appropriées pour tous les accords d'externalisation.
• surveiller en permanence les activités externalisées, et identifier et gérer les risques

Le guide 16/5 de la FCA a ajouté des contrôles spécifiques au cloud en alignement avec les exigences générales de la FCA en matière d'externalisation qui se trouvent dans les sections sur les systèmes et les contrôles (SYSC) du manuel de la FCA pour les entreprises réglementées de manière appropriée, et exige également une cohérence avec le GDPR. Bien que ces orientations ne soient pas contraignantes et qu'elles visent à illustrer les moyens par lesquels les entreprises peuvent se conformer aux règles pertinentes, les entreprises doivent les considérer dans le contexte de leurs obligations générales en vertu du système réglementaire. Le fait de se conformer à ces orientations indiquera généralement la conformité aux exigences réglementaires de la FCA en matière d'externalisation.

Répondre aux exigences de conformité de la FCA en matière de services informatiques en nuage et de services informatiques tiers

Le guide FCA FG 16/5 aide les entreprises à superviser efficacement tous les aspects du cycle de vie des accords d'externalisation. Pour les besoins de ce blog, nous avons résumé certaines exigences de la FCA et identifié les fonctionnalités de la plateforme de gestion des risques des tiersPrevalent qui démontrent l'étendue et la valeur que vous pouvez tirer de notre plateforme TPRM complète. Pour une liste complète des exigences de la FCA et la façon dont les capacités de Prevalent y correspondent directement, veuillez télécharger le livre blanc, The Third-Party Risk Management Compliance Handbook.

Selon le FCA FG 16/5, une externalisation efficace des services informatiques par des tiers comprend :

• Identifier et gérer de manière appropriée les risques opérationnels liés au recours à des tiers, notamment en procédant à une vérification préalable avant de décider d'externaliser.
• Réaliser et documenter une évaluation des risques pour identifier les risques pertinents et définir les mesures à prendre pour les atténuer.
• s'assurer que le personnel dispose des compétences et des ressources suffisantes pour superviser et tester les activités externalisées ; identifier, surveiller et atténuer les risques
• Effectuer une évaluation des risques de sécurité qui inclut le fournisseur de services et les actifs technologiques administrés par l'entreprise.

Prevalent Aide à l'évaluation et à la surveillance des tiers conformément aux directives de la FCA

La FCA considère l'utilisation appropriée de l'externalisation vers le cloud et d'autres services informatiques tiers comme un moyen pour les entreprises d'accroître leur flexibilité et de permettre l'innovation. D'autre part, la FCA reconnaît que l'externalisation vers le cloud peut également introduire des risques qui doivent être correctement identifiés, surveillés et atténués. Ceci est réalisé par une évaluation adéquate des risques.

Le service d'évaluationPrevalent automatise le cycle de vie de la gestion des risques liés aux fournisseurs, notamment la collecte, l'analyse et la correction des risques liés aux tiers. Il offre aux professionnels de la sécurité, de la confidentialité et de la gestion des risques une solution unique pour gérer le processus d'évaluation des risques liés aux fournisseurs de services informatiques et déterminer la conformité aux exigences en matière de sécurité informatique, de réglementation et de confidentialité des données. Avec des flux de travail de remédiation bidirectionnels, des rapports en direct et un tableau de bord facile à utiliser pour plus d'efficacité, la solution garantit que les risques sont identifiés et transmis aux canaux appropriés.

Prevalent Cyber & Business Monitoring offre aux entreprises la possibilité de se faire une idée des vulnérabilités potentielles d'un fournisseur de services ou des risques commerciaux pertinents avant de conclure un contrat ou pendant un accord commercial défini. La solution associe l'analyse des vulnérabilités en mode natif à de multiples sources externes de renseignements sur les menaces afin de fournir des informations approfondies sur les risques des fournisseurs de services. En outre, est unique en ce qu'elle offre une surveillance des risques commerciaux qui s'appuie sur des analystes humains pour interpréter les risques opérationnels, de marque, réglementaires, juridiques et financiers potentiels. cyber cyber cyber Prevalent

Ces capacités sont centralisées dans la plateforme de gestion des risques des tiersPrevalent qui comprend des rapports efficaces pour satisfaire aux exigences d'audit et de conformité ainsi que pour présenter les résultats au conseil d'administration et à la direction générale. L'ensemble du profil de risque peut être visualisé dans la console centralisée de reporting en direct, et les rapports peuvent être téléchargés et exportés pour déterminer le statut de conformité. Les rapports peuvent être téléchargés et exportés pour déterminer l'état de conformité. Les capacités de reporting approfondi comprennent des filtres et des graphiques interactifs à cliquer. La solution comprend un référentiel complet de toute la documentation recueillie et examinée au cours du processus de diligence.

PrevalentLa plateforme de gestion des risques des tiers de la FCA fournit un cadre complet pour la mise en œuvre de la gestion des politiques, de l'audit et de la production de rapports, comme l'exige le guide FCA FG 16/5.

Contactez-nous dès aujourd'hui pour une démonstration afin de voir comment.

Notre série continue...

Le blog de la semaine prochaine examine les considérations de gestion des risques liés aux tiers inhérentes au règlement général sur la protection des données (RGPD).