Le 6 juin 2023, le Conseil des gouverneurs du Système fédéral de réserve (le Conseil), la Federal Deposit Insurance Corporation (FDIC) et l'Office of the Comptroller of the Currency (OCC) ont publié des orientations uniformes sur la gestion des risques associés aux relations avec des tiers dans les organisations bancaires. Interagency Guidance on Third-Party Relationships : Risk Management est basé sur les orientations de 2013 et les FAQ de 2020 du site OCC. Elle remplace les orientations existantes de chaque agence sur les relations avec les tiers et s'applique à toutes les organisations bancaires supervisées par les agences.
La conformité totale étant attendue dans un délai de 12 mois, le moment est venu pour les banques réglementées d'examiner les recommandations et de déterminer l'impact sur leurs programmes de gestion des risques des tiers. Ce billet examine les objectifs de la directive et propose des bonnes pratiques pour s'y conformer.
L'objectif de l'Interagency Guidance est d'apporter de l'uniformité et de la cohérence dans la manière dont les organisations bancaires développent et appliquent les principes de gestion des risques dans le cadre des relations avec les tiers. Selon le document, "les orientations finales présentent le point de vue des agences sur les principes sains de gestion des risques pour les organisations bancaires lors de l'élaboration et de la mise en œuvre des pratiques de gestion des risques à tous les stades du cycle de vie des relations avec les tiers".
Les lignes directrices définissent une relation avec un tiers comme "tout accord commercial entre un organisme bancaire et une autre entité, par contrat ou autrement";elles décrivent le cycle de vie de la gestion des risques liés aux tiers et identifient les principes applicables à chaque étape du cycle de vie d'un tiers, comme indiqué ci-dessous :
Source : Conseil d'administration, FDIC et OCC
Chacun des six principes énoncés dans le guide interagences sur les relations avec les tiers correspond à une étape du cycle de vie des tiers. Voici les principales exigences et les meilleures pratiques recommandées pour chaque étape.
Dès le début d'une relation avec un tiers, les lignes directrices recommandent d'évaluer les types et la nature des risques liés à la relation et d'élaborer un plan de gestion de la relation et des risques qui y sont associés. Dans le cadre du processus d'établissement ou d'affinement de votre programme de gestion des risques liés aux tiers, prenez en compte les éléments suivants :
Chacun de ces éléments est essentiel à l'élaboration d'un plan de programme de TPRM complet.
Aligner votre programme de TPRM sur les orientations interagences
Le guide interagences sur les relations avec les tiers : Best Practices Guide examine les exigences que les organisations doivent prendre en compte à chaque étape d'une relation avec un tiers.
Une fois qu'un tiers a été identifié, il est essentiel de procéder à un contrôle préalable approfondi avant de le sélectionner et de conclure un contrat. Le guide interagences sur les relations avec les tiers suggère que la diligence raisonnable devrait inclure l'évaluation de la capacité d'un tiers à effectuer l'activité comme prévu, à adhérer aux politiques, à se conformer à toutes les lois, réglementations et exigences applicables, et à opérer de manière sûre et saine.
Pour réussir cette étape, il faut évaluer et surveiller les tiers en fonction de l'ampleur des menaces qui pèsent sur les actifs informationnels, en saisissant, en suivant et en quantifiant les risques inhérents. Les critères utilisés pour calculer les risques inhérents sont les suivants
À partir de cette évaluation du risque inhérent, votre équipe peut automatiquement classer les tiers, fixer des niveaux appropriés de diligence supplémentaire et déterminer l'étendue des évaluations continues.
Les lignes directrices recommandent de revoir périodiquement les contrats existants, en particulier ceux qui impliquent des activités critiques, afin de s'assurer qu'ils continuent à prendre en compte les contrôles des risques et les protections juridiques pertinents.
Pour répondre à ces exigences, il faut centraliser la distribution, la discussion, la conservation et l'examen des contrats avec des tiers afin que toutes les équipes concernées puissent participer à l'examen des contrats pour s'assurer que les clauses appropriées sont incluses et gérées.
Les pratiques clés à prendre en compte dans la gestion des contrats avec des tiers sont les suivantes :
Une bonne gestion du cycle de vie des contrats permettra à l'organisation d'être efficace :
Les programmes efficaces de gestion des risques des tiers comprennent des évaluations périodiques des contrôles internes par rapport aux cadres normalisés de l'industrie et un suivi continu pour confirmer la qualité et la durabilité des contrôles des tiers.
Pour ce faire, il faut suivre et analyser en permanence les menaces externes qui pèsent sur les tiers en surveillant l'Internet et le dark web pour détecter les menaces et les vulnérabilités ( cyber ), ainsi que les sources publiques et privées d'informations relatives à la réputation, aux sanctions et aux finances.
Les sources de surveillance devraient inclure
Corréler toutes les données de contrôle aux résultats de l'évaluation et les centraliser dans un registre des risques unifié pour chaque tiers, afin de rationaliser l'examen des risques, l'établissement de rapports et les initiatives de réponse.
Les organisations peuvent être exposées à des risques post-contractuels, mais les études montrent que peu d'entre elles gèrent les risques à la fin d'une relation. Le guide interagences indique qu'il est important que la direction mette fin aux relations avec les tiers de manière efficace, que les activités soient transférées à un autre tiers, qu'elles soient reprises en interne ou qu'elles soient interrompues.
Pour rationaliser le processus de retrait des fournisseurs, automatisez l'évaluation des contrats et les procédures de retrait afin de réduire le risque d'exposition post-contractuelle de votre organisation :
Il est pratiquement impossible de répondre efficacement aux exigences du guide si vous utilisez des feuilles de calcul pour collecter, analyser, remédier et rendre compte des contrôles de cybersécurité. Avec la plateforme de gestion des risques des tiersPrevalent , votre institution de services financiers peut automatiser et accélérer ses initiatives de conformité. La plateforme vous permet de :
Pour en savoir plus sur le respect de la directive interagences sur les relations avec les tiers, téléchargez notre guide des meilleures pratiques ou contactez-nous pour planifier une démonstration.
Interrogez vos vendeurs et fournisseurs sur leurs processus de gestion des risques de cybersécurité, de gouvernance et de divulgation des...
10/24/2024
La version finale du NIST CSF 2.0 fournit des orientations améliorées en matière de gestion des risques liés à la cybersécurité de la chaîne d'approvisionnement. Vérifier...
09/25/2024
Découvrez comment l'intégration du cadre de protection de la vie privée du NIST à la gestion des risques des tiers (TPRM) permet aux organisations d'améliorer...
09/12/2024