Conformité à la ligne directrice B-10 du BSIF sur la gestion des risques liés aux tiers

En avril 2023, le Bureau du surintendant des institutions financières (BSIF) du gouvernement canadien a finalisé la ligne directrice B-10 sur la gestion des risques liés aux tiers, qui traite des risques opérationnels et financiers associés aux relations avec les vendeurs et les fournisseurs.

La ligne directrice B-10 définit les attentes des institutions financières fédérales (IFF) en matière de gestion des risques liés aux accords avec des tiers. La ligne directrice stipule ce qui suit :

"Le BSIF s'attend à ce que l'IFF gère les risques liés à toutes les ententes avec des tiers et insiste sur le fait que l'IFF demeure responsable des activités, des fonctions et des services qu'elle confie à un tiers.

"À cette fin, les IFF sont tenues de fournir au BSIF, sur demande, des informations relatives à leurs accords commerciaux et stratégiques avec des tiers, à la gestion des risques et aux environnements de contrôle, afin d'appuyer le travail de surveillance et d'examen des autorités de surveillance. Le BSIF s'attend à être rapidement informé des problèmes de fond affectant la capacité de l'IFF à mener à bien des opérations essentielles en raison d'un accord avec un tiers".

La ligne directrice élargit également la définition d'un tiers pour inclure davantage d'entités comme les professionnels indépendants, les courtiers et les services publics, et recommande d'inclure tous les types de tiers dans les évaluations des risques.

Ces nouvelles exigences sont motivées par le passage de l'importance relative à la criticité - lorsqu'un tiers exerce une fonction qui fait partie intégrante de la prestation par l'IFF d'une opération, d'une fonction ou d'un service important, il faut adopter une double approche où le risque et la criticité déterminent la nature et l'étendue des activités de diligence raisonnable.

À cette fin, la ligne directrice reconnaît également que les organisations doivent identifier le type et le niveau de risque découlant de chaque accord avec un tiers (y compris les accords de sous-traitance), de sorte que l'IFF puisse gérer chaque accord avec un tiers avec le niveau d'intensité approprié. Pour ce faire, il faut comprendre le risque et la criticité de chaque accord avec un tiers, ainsi que la taille, la nature, l'étendue, la complexité des opérations et le profil de risque de l'IFF.

Le BSIF reconnaît en outre que la possibilité de gérer le risque lié aux tiers par le biais des modalités d'un contrat peut être limitée dans certains cas. Le BSIF s'attend néanmoins à ce que l'IFF gère le risque, s'il y a lieu, au moyen de la surveillance, de mesures de continuité des activités, de plans d'urgence et d'autres mécanismes de résilience.

Ce billet examine les exigences en matière de gestion du risque de tiers de la ligne directrice B10 du BSIF et identifie les capacités de laplateforme de gestion du risque de tiers Prevalent qui peuvent répondre à ces exigences.

Six résultats attendus

La ligne directrice B-10 présente six résultats que les IFF doivent atteindre grâce à une gestion efficace des risques liés aux tiers. Ces résultats sont censés contribuer à la résilience opérationnelle et financière de l'IFF et aider à préserver sa réputation.

Six résultats escomptés par les IFF en matière de gestion du risque de tiers. Graphique adapté de la ligne directrice B-10 du BSIF.

Mise en correspondance des capacités de Prevalent avec les principes de la ligne directrice B-10 du BSIF

Les six résultats escomptés sont étayés par 11 principes que le BSIF décrit comme les meilleures pratiques en matière de gestion des risques des tiers. Le résumé ci-dessous met en correspondance les capacités de la plateforme de gestion des risques des tiers Prevalent avec ces 11 principes.

REMARQUE : Ce document ne doit pas être considéré comme un guide complet et définitif. Consultez votre auditeur pour obtenir une liste complète des exigences.

Résultat 1 : les structures de gouvernance et de responsabilité sont claires et des stratégies et des cadres de risque complets sont en place.

Principes 1 et 2 : Prevalent s'associe à vous pour mettre en place un programme complet de gestion des risques liés aux tiers (TPRM ) fondé sur des pratiques exemplaires éprouvées et une vaste expérience du monde réel. Nos experts collaborent avec votre équipe pour définir et mettre en œuvre des processus et des solutions TPRM, sélectionner des questionnaires et des cadres d'évaluation des risques et optimiser votre programme afin de couvrir l'ensemble du cycle de vie des risques liés aux tiers, depuis la recherche de fournisseurs et la diligence raisonnable jusqu'à la résiliation et l'intégration.

Résultat 2 : Les risques posés par les tiers sont identifiés et évalués.

Principe 3 : Prevalent commence par centraliser et automatiser la distribution, la comparaison et la gestion des demandes de propositions (RFP) et des demandes d'informations (RFI). Nos solutions fournissent également des informations sur les risques liés à l'activité, à la réputation, aux finances et à la violation des données, afin d'éclairer et de contextualiser les décisions relatives à la sélection des fournisseurs. Prevalent fait ensuite passer chaque fournisseur sélectionné aux phases de diligence raisonnable pour la conclusion de contrats et/ou l'intégration, ce qui permet de faire progresser automatiquement le fournisseur dans le cycle de vie des tiers.

Principe 4 : Ensuite, Prevalent propose une évaluation de la diligence raisonnable précontractuelle avec une notation claire basée sur huit critères pour capturer, suivre et quantifier les risques inhérents pour tous les tiers. À partir de cette évaluation des risques inhérents, votre équipe peut automatiquement classer les fournisseurs par catégories, définir les niveaux appropriés de diligence supplémentaire et déterminer la portée des évaluations continues. La logique de hiérarchisation basée sur des règles permet de classer les fournisseurs en fonction d'une série de considérations liées à l'interaction des données, aux finances, à la réglementation et à la réputation.

Prevalent propose une bibliothèque de plus de 750 modèles prédéfinis pour l'évaluation continue des risques des tiers. Ces modèles sont intégrés aux fonctionnalités natives de cyber, de surveillance des risques commerciaux, financiers et de réputation, qui valident en permanence les résultats de l'évaluation et comblent les lacunes entre les évaluations. Des recommandations de remédiation intégrées garantissent que les tiers traitent les risques en temps voulu et de manière satisfaisante.

Principe 5 : Dans le cadre de l'évaluation des risques inhérents et du processus d'intégration, Prevalent peut identifier les relations de sous-traitance de quatrième et de Nième parties en procédant à une évaluation par questionnaire ou en analysant passivement l'infrastructure publique de la tierce partie. La carte des relations qui en résulte décrit les chemins d'information et les dépendances qui pourraient exposer votre environnement à des risques. Les fournisseurs découverts grâce à ce processus font l'objet d'une surveillance continue afin d'identifier les risques financiers, ESG, cyber, commerciaux et les risques de violation de données, ainsi que pour le dépistage des sanctions/PEP. Cette approche permet d'aborder les risques potentiels de concentration technologique ou géographique.