Fondée en 1970, l'Autorité monétaire de Singapour (MAS) est une banque centrale et un régulateur financier qui assure la surveillance prudentielle de toutes les institutions financières de Singapour - notamment en garantissant la résilience financière et opérationnelle face aux risques. En juillet 2016, la MAS a publié des lignes directrices sur l'externalisation des accords avec des tiers. La MAS a élargi ses directives sur l'externalisation en octobre 2018, puis en août 2022 avec la publication d'un document d'information intitulé Operational Risk Management - Management of Outsourcing and Third Party Arrangements (Gestion des risques opérationnels - Gestion de l'externalisation et des accords avec des tiers). Dans ce document d'information, la MAS :
La figure ci-dessous identifie les types d'approbations requises, les évaluations, les fréquences d'évaluation et les documents de diligence raisonnable qui doivent être fournis à l'appui des évaluations, comme l'explique le document d'information sur la gestion de l'externalisation et des accords avec des tiers.
Courtoisie : Gestion du risque opérationnel - Gestion de l'externalisation et des accords avec des tiers - Observations et attentes des autorités de surveillance à la suite d'inspections thématiques - Document d'information, août 2022
Ce billet examine les principales dispositions du MAS qui régissent les accords d'externalisation et de non-externalisation, et identifie les meilleures pratiques qui peuvent être utilisées pour répondre aux exigences du MAS.
Le document d'information MAS Operational Risk Management - Management of Outsourcing and Third Party Arrangements, chapitre 3, comprend des orientations spécifiques pour les institutions financières dans les domaines généraux suivants du cycle de vie de la gestion du risque de tiers :
La MAS exige des organismes de services financiers qu'ils mettent en place une structure et un cadre de gouvernance, qu'ils définissent une appétence pour le risque et qu'ils établissent des rapports de gestion.
Pour répondre à ces exigences, les organisations de services financiers devraient envisager de définir les critères suivants dans le cadre de leur programme de gestion des risques des tiers :
Pour ce faire, de nombreuses organisations choisissent de s'aligner sur un cadre de gestion des risques reconnu, tel que l'ISO. Si vous cherchez à automatiser le processus de mesure de votre programme de gestion des risques technologiques par rapport à un cadre industriel, assurez-vous de choisir une plateforme d'évaluation qui offre plusieurs options de questionnaires préétablis qui s'alignent sur de multiples cadres.
La liste de contrôle de conformité des tiers du MAS
Téléchargez la liste de contrôle de conformité des tiers de l'Autorité monétaire de Singapour (MAS) pour identifier les principales dispositions de la MAS qui régissent les accords d'externalisation et de non-externalisation.
Les MAS exigent des organismes qu'ils identifient et catégorisent les dépendances des tiers. Il s'agit notamment d'établir un cadre de gestion et de gouvernance, d'identifier et d'inventorier les tiers, de les classer en fonction de leur nature et de leurs caractéristiques de risque, et d'établir des critères pour déterminer les exigences en matière de gouvernance et de diligence raisonnable auxquelles ils doivent être soumis.
Pour répondre à ces exigences, les institutions financières doivent
En ce qui concerne la diligence raisonnable et la réalisation d'examens périodiques, MAS recommande de prendre les résultats générés par l'exercice d'identification et de catégorisation des risques et d'élaborer un plan d'intégration qui facilite les examens continus.
Les évaluations des risques liés aux tiers doivent être menées au début d'une relation afin d'obtenir une image des risques que le tiers présente pour votre organisation, au moment du renouvellement du contrat et à chaque fois qu'il y a un événement contraignant tel qu'une violation, une infraction à la conformité ou une autre défaillance. Parmi les facteurs essentiels de réussite, citons l'accès à une vaste bibliothèque de modèles de questionnaires afin d'assouplir les efforts d'évaluation, ainsi que des recommandations prescriptives de remédiation afin d'obliger les tiers à rendre compte de leurs actes. Dans le cadre de ce processus, veillez à :
Pour permettre une gestion continue des risques, la MAS recommande de déployer des outils et des mécanismes de surveillance des risques adéquats pour gérer les risques liés aux tiers. Surveiller l' Internet et le dark web pour cyber les menaces et les vulnérabilités, ainsi que les sources publiques et privées d'informations sur la réputation, les sanctions et les finances.
Toutes les données de surveillance doivent être mises en corrélation avec les résultats de l'évaluation et centralisées dans un registre des risques unifié pour chaque tiers, afin de rationaliser l'examen des risques, l'établissement de rapports et les initiatives de réponse. Les risques peuvent être classés dans une carte thermique avec des axes de probabilité et d'impact.
Les sources de contrôle doivent comprendre une combinaison de sources cyber et noncyber afin d'obtenir une image complète du risque d'un tiers. En voici quelques exemples :
La plateforme de gestion des risques liés aux tiersPrevalent automatise les flux de travail nécessaires à l'intégration, à l'examen périodique et à la résiliation des accords d'externalisation avec des tiers, qu'ils soient importants ou non, en offrant des fonctionnalités clés à plusieurs équipes pour centraliser la gestion des risques liés aux tiers dans l'ensemble de l'entreprise. La solution offre des fonctionnalités spécifiques qui répondent à toutes les exigences en matière de diligence raisonnable, de l'approbation à la résiliation.
Prevalent aide les organisations financières à renforcer la gouvernance et la surveillance de leurs accords d'externalisation et de non-externalisation :
Pour en savoir plus sur la façon dont Prevalent peut vous aider à répondre aux exigences du MAS Operational Risk Management - Management of Outsourcing and Third-Party Arrangements, téléchargez notre liste de contrôle MAS complète ou demandez une démonstration dès aujourd'hui.
Découvrez les principaux changements apportés au questionnaire standard de collecte d'informations (SIG) pour 2025 et apprenez ce qu'ils...
12/16/2024
Tirez parti de ces bonnes pratiques pour répondre aux exigences du NIS2 en matière de gestion des risques pour les tiers.
12/03/2024
Interrogez vos vendeurs et fournisseurs sur leurs processus de gestion des risques de cybersécurité, de gouvernance et de divulgation des...
10/24/2024