Demandez une démo

Directives MAS sur l'externalisation et la gestion des risques liés aux tiers

L'Autorité monétaire de Singapour (MAS) a établi des exigences détaillées pour la gestion des relations d'externalisation et de non-externalisation avec des tiers. Découvrez comment vous pouvez simplifier les audits de la MAS grâce à ces bonnes pratiques.
Par :
Scott Lang
,
VP, Marketing produit
06 mars 2023
Partager :
Mas de conformité 0323

Fondée en 1970, l'Autorité monétaire de Singapour (MAS) est une banque centrale et un régulateur financier qui assure la surveillance prudentielle de toutes les institutions financières de Singapour - notamment en garantissant la résilience financière et opérationnelle face aux risques. En juillet 2016, la MAS a publié des lignes directrices sur l'externalisation des accords avec des tiers. La MAS a élargi ses directives sur l'externalisation en octobre 2018, puis en août 2022 avec la publication d'un document d'information intitulé Operational Risk Management - Management of Outsourcing and Third Party Arrangements (Gestion des risques opérationnels - Gestion de l'externalisation et des accords avec des tiers). Dans ce document d'information, la MAS :

  • Publication d'exigences détaillées sur la manière d'améliorer la surveillance et la gouvernance des tiers ; et
  • Établissement d'orientations complètes sur la conduite d'une diligence raisonnable tout au long du cycle de vie des accords d'externalisation.

La figure ci-dessous identifie les types d'approbations requises, les évaluations, les fréquences d'évaluation et les documents de diligence raisonnable qui doivent être fournis à l'appui des évaluations, comme l'explique le document d'information sur la gestion de l'externalisation et des accords avec des tiers.

Exemple de cas MAS 3

Courtoisie : Gestion du risque opérationnel - Gestion de l'externalisation et des accords avec des tiers - Observations et attentes des autorités de surveillance à la suite d'inspections thématiques - Document d'information, août 2022

Ce billet examine les principales dispositions du MAS qui régissent les accords d'externalisation et de non-externalisation, et identifie les meilleures pratiques qui peuvent être utilisées pour répondre aux exigences du MAS.

Directives MAS sur l'externalisation et la non-externalisation

Le document d'information MAS Operational Risk Management - Management of Outsourcing and Third Party Arrangements, chapitre 3, comprend des orientations spécifiques pour les institutions financières dans les domaines généraux suivants du cycle de vie de la gestion du risque de tiers :

  • Gouvernance et contrôle de la gestion
  • Identification et catégorisation des risques
  • Diligence raisonnable (y compris l'embarquement et les examens périodiques)
  • Gestion et surveillance continues des risques

Gouvernance et supervision de la gestion

La MAS exige des organismes de services financiers qu'ils mettent en place une structure et un cadre de gouvernance, qu'ils définissent une appétence pour le risque et qu'ils établissent des rapports de gestion.

Pour répondre à ces exigences, les organisations de services financiers devraient envisager de définir les critères suivants dans le cadre de leur programme de gestion des risques des tiers :

  • Gouverner les politiques, les normes, les systèmes et les processus pour protéger les données.
  • Rôles et responsabilités clairs (par exemple, RACI) pour tous les membres de l'équipe.
  • Notation et seuils de risque en fonction de la tolérance au risque de votre organisation.
  • Méthodes d'évaluation et de surveillance basées sur la criticité des tiers
  • Cartographie de quatrième partie pour déterminer les dépendances en amont
  • Sources de données de surveillance continue (par exemple, cyber, commerciales, financières, de réputation) afin de fournir un aperçu constant des risques émergents.
  • Indicateurs clés de performance (KPI) et indicateurs clés de risque (KRI) contractuels à mesurer.
  • Exigences en matière de réponse aux incidents pour se préparer à d'éventuelles perturbations
  • Établir des rapports pour répondre aux besoins de multiples parties prenantes internes (et externes)
  • Stratégies d'atténuation des risques et de remédiation, y compris l'applicabilité des contrôles compensatoires

Pour ce faire, de nombreuses organisations choisissent de s'aligner sur un cadre de gestion des risques reconnu, tel que l'ISO. Si vous cherchez à automatiser le processus de mesure de votre programme de gestion des risques technologiques par rapport à un cadre industriel, assurez-vous de choisir une plateforme d'évaluation qui offre plusieurs options de questionnaires préétablis qui s'alignent sur de multiples cadres.

La liste de contrôle de conformité des tiers du MAS

Téléchargez la liste de contrôle de conformité des tiers de l'Autorité monétaire de Singapour (MAS) pour identifier les principales dispositions de la MAS qui régissent les accords d'externalisation et de non-externalisation.

Lire la suite
Liste de contrôle de conformité des mas en vedette

Identification et catégorisation des risques

Les MAS exigent des organismes qu'ils identifient et catégorisent les dépendances des tiers. Il s'agit notamment d'établir un cadre de gestion et de gouvernance, d'identifier et d'inventorier les tiers, de les classer en fonction de leur nature et de leurs caractéristiques de risque, et d'établir des critères pour déterminer les exigences en matière de gouvernance et de diligence raisonnable auxquelles ils doivent être soumis.

Pour répondre à ces exigences, les institutions financières doivent

  • Établir un profil complet du fournisseur qui comprend des informations démographiques, la propriété, la performance financière, les scores CPI, les déclarations sur l'esclavage moderne, des informations sur l'industrie et l'entreprise, et cartographier les relations potentiellement risquées avec des tiers. Cela permet de centraliser les informations sur les tiers et de disposer d'une source unique de vérité pour la gestion des fournisseurs tout au long du cycle de vie de leurs relations.
  • Effectuer des évaluations des risques inhérents à leurs tiers afin de les classer, fixer des niveaux appropriés de diligence supplémentaire et déterminer l'étendue des évaluations continues pour tous les tiers. Les critères peuvent être les suivants
  • Criticité pour les performances et les opérations de l'entreprise
  • Lieu(x) et considérations juridiques ou réglementaires connexes
  • Niveau de dépendance à l'égard des quatrièmes parties (pour éviter le risque de concentration)
  • Exposition aux processus opérationnels ou de contact avec les clients

Due Diligence (Onboarding et révision périodique)

En ce qui concerne la diligence raisonnable et la réalisation d'examens périodiques, MAS recommande de prendre les résultats générés par l'exercice d'identification et de catégorisation des risques et d'élaborer un plan d'intégration qui facilite les examens continus.

Les évaluations des risques liés aux tiers doivent être menées au début d'une relation afin d'obtenir une image des risques que le tiers présente pour votre organisation, au moment du renouvellement du contrat et à chaque fois qu'il y a un événement contraignant tel qu'une violation, une infraction à la conformité ou une autre défaillance. Parmi les facteurs essentiels de réussite, citons l'accès à une vaste bibliothèque de modèles de questionnaires afin d'assouplir les efforts d'évaluation, ainsi que des recommandations prescriptives de remédiation afin d'obliger les tiers à rendre compte de leurs actes. Dans le cadre de ce processus, veillez à :

  • Examiner les réponses et la documentation de l'évaluation par un tiers par rapport aux protocoles de test établis afin de valider la mise en place des contrôles indiqués.
  • Mettez les réponses en rapport avec le cadre de contrôle choisi par votre organisation.
  • Élaborer des plans de remédiation et en assurer le suivi jusqu'à leur achèvement.

Gestion et surveillance continues des risques

Pour permettre une gestion continue des risques, la MAS recommande de déployer des outils et des mécanismes de surveillance des risques adéquats pour gérer les risques liés aux tiers. Surveiller l' Internet et le dark web pour cyber les menaces et les vulnérabilités, ainsi que les sources publiques et privées d'informations sur la réputation, les sanctions et les finances.

Toutes les données de surveillance doivent être mises en corrélation avec les résultats de l'évaluation et centralisées dans un registre des risques unifié pour chaque tiers, afin de rationaliser l'examen des risques, l'établissement de rapports et les initiatives de réponse. Les risques peuvent être classés dans une carte thermique avec des axes de probabilité et d'impact.

Les sources de contrôle doivent comprendre une combinaison de sources cyber et noncyber afin d'obtenir une image complète du risque d'un tiers. En voici quelques exemples :

  • Cyber: Forums criminels ; pages en oignon ; forums d'accès spéciaux du Dark Web ; flux de menaces ; sites de collage d'informations d'identification divulguées ; communautés de sécurité ; dépôts de code ; bases de données de vulnérabilités ; et bases de données de violations de données.
  • Les affaires : Activités de fusion et d'acquisition, actualités commerciales et mises à jour opérationnelles.
  • Réputation : Nouvelles négatives ; et personnes politiquement exposées (PEP).
  • Réglementation et droit : Listes de sanctions mondiales, listes d'application de la loi et dépôts de plaintes auprès des tribunaux.
  • Financier : Performances financières ; notes de crédit ; fonds d'actionnaires ; propriété effective.

Comment Prevalent aide à répondre aux exigences du MAS en matière de gestion des risques liés aux tiers

La plateforme de gestion des risques liés aux tiersPrevalent automatise les flux de travail nécessaires à l'intégration, à l'examen périodique et à la résiliation des accords d'externalisation avec des tiers, qu'ils soient importants ou non, en offrant des fonctionnalités clés à plusieurs équipes pour centraliser la gestion des risques liés aux tiers dans l'ensemble de l'entreprise. La solution offre des fonctionnalités spécifiques qui répondent à toutes les exigences en matière de diligence raisonnable, de l'approbation à la résiliation.

Prevalent aide les organisations financières à renforcer la gouvernance et la surveillance de leurs accords d'externalisation et de non-externalisation :

  • Mise en place d'un programme complet, agile et mature de gestion des risques liés aux tiers, fondé sur les meilleures pratiques éprouvées du secteur financier.
  • Centralisation des profils de tiers pour un inventaire unique des accords d'externalisation et de non-externalisation à l'échelle de l'entreprise
  • Automatiser l'identification et l'évaluation des tiers critiques en fonction de leur criticité pour l'organisation.
  • Évaluer et surveiller en permanence les risques liés à la cybersécurité, aux affaires, aux finances et à la réputation.
  • Mesurer les indicateurs clés de performance (KPI) et les indicateurs clés de risque (KRI)
  • Fournir des recommandations de remédiation afin de réduire le risque résiduel pour les tiers.
  • Incluant des modèles pour simplifier les rapports d'audit des cadres réglementaires et de sécurité à destination de multiples parties prenantes internes et externes.

Pour en savoir plus sur la façon dont Prevalent peut vous aider à répondre aux exigences du MAS Operational Risk Management - Management of Outsourcing and Third-Party Arrangements, téléchargez notre liste de contrôle MAS complète ou demandez une démonstration dès aujourd'hui.

Tags :
Partager :
Leadership scott lang
Scott Lang
VP, Marketing produit

Scott Lang a 25 ans d'expérience dans le domaine de la sécurité. Il dirige actuellement la stratégie de marketing des produits pour les solutions de gestion des risques des tiers de Prevalent, où il est responsable du contenu des produits, des lancements, des messages et de la mise en œuvre. Avant de rejoindre Prevalent, Scott était directeur principal du marketing produit chez BeyondTrust, leader de la gestion des accès privilégiés, et avant cela, directeur du marketing des solutions de sécurité chez Dell, anciennement Quest Software.

Postes connexes
  • Prêt pour une démonstration ?
  • Planifiez une démonstration gratuite et personnalisée de la solution pour voir si Prevalent est fait pour vous.
  • Demander une démo