En avril 2023, le Bureau du surintendant des institutions financières (BSIF) du gouvernement canadien a finalisé la ligne directrice B-10 sur la gestion des risques liés aux tiers, qui traite des risques opérationnels et financiers associés aux relations avec les vendeurs et les fournisseurs.
La ligne directrice B-10 définit les attentes des institutions financières fédérales (IFF) en matière de gestion des risques liés aux accords avec des tiers. La ligne directrice stipule ce qui suit :
"Le BSIF s'attend à ce que l'IFF gère les risques liés à toutes les ententes avec des tiers et insiste sur le fait que l'IFF demeure responsable des activités, des fonctions et des services qu'elle confie à un tiers.
"À cette fin, les IFF sont tenues de fournir au BSIF, sur demande, des informations relatives à leurs accords commerciaux et stratégiques avec des tiers, à la gestion des risques et aux environnements de contrôle, afin d'appuyer le travail de surveillance et d'examen des autorités de surveillance. Le BSIF s'attend à être rapidement informé des problèmes de fond affectant la capacité de l'IFF à mener à bien des opérations essentielles en raison d'un accord avec un tiers".
La ligne directrice élargit également la définition d'un tiers pour inclure davantage d'entités comme les professionnels indépendants, les courtiers et les services publics, et recommande d'inclure tous les types de tiers dans les évaluations des risques.
Ces nouvelles exigences sont motivées par le passage de l'importance relative à la criticité - lorsqu'un tiers exerce une fonction qui fait partie intégrante de la prestation par l'IFF d'une opération, d'une fonction ou d'un service important, il faut adopter une double approche où le risque et la criticité déterminent la nature et l'étendue des activités de diligence raisonnable.
À cette fin, la ligne directrice reconnaît également que les organisations doivent identifier le type et le niveau de risque découlant de chaque accord avec un tiers (y compris les accords de sous-traitance), de sorte que l'IFF puisse gérer chaque accord avec un tiers avec le niveau d'intensité approprié. Pour ce faire, il faut comprendre le risque et la criticité de chaque accord avec un tiers, ainsi que la taille, la nature, l'étendue, la complexité des opérations et le profil de risque de l'IFF.
Le BSIF reconnaît en outre que la possibilité de gérer le risque lié aux tiers par le biais des modalités d'un contrat peut être limitée dans certains cas. Le BSIF s'attend néanmoins à ce que l'IFF gère le risque, s'il y a lieu, au moyen de la surveillance, de mesures de continuité des activités, de plans d'urgence et d'autres mécanismes de résilience.
Ce billet examine les exigences en matière de gestion du risque de tiers de la ligne directrice B10 du BSIF et identifie les capacités de laplateforme de gestion du risque de tiers Prevalent qui peuvent répondre à ces exigences.
La ligne directrice B-10 présente six résultats que les IFF doivent atteindre grâce à une gestion efficace des risques liés aux tiers. Ces résultats sont censés contribuer à la résilience opérationnelle et financière de l'IFF et aider à préserver sa réputation.
Six résultats escomptés par les IFF en matière de gestion du risque de tiers. Graphique adapté de la ligne directrice B-10 du BSIF.
Les six résultats escomptés sont étayés par 11 principes que le BSIF décrit comme les meilleures pratiques en matière de gestion des risques des tiers. Le résumé ci-dessous met en correspondance les capacités de la plateforme de gestion des risques des tiers Prevalent avec ces 11 principes.
REMARQUE : Ce document ne doit pas être considéré comme un guide complet et définitif. Consultez votre auditeur pour obtenir une liste complète des exigences.
Principes 1 et 2 : Prevalent s'associe à vous pour mettre en place un programme complet de gestion des risques liés aux tiers (TPRM ) fondé sur des pratiques exemplaires éprouvées et une vaste expérience du monde réel. Nos experts collaborent avec votre équipe pour définir et mettre en œuvre des processus et des solutions TPRM, sélectionner des questionnaires et des cadres d'évaluation des risques et optimiser votre programme afin de couvrir l'ensemble du cycle de vie des risques liés aux tiers, depuis la recherche de fournisseurs et la diligence raisonnable jusqu'à la résiliation et l'intégration.
Principe 3 : Prevalent commence par centraliser et automatiser la distribution, la comparaison et la gestion des demandes de propositions (RFP) et des demandes d'informations (RFI). Nos solutions fournissent également des informations sur les risques liés à l'activité, à la réputation, aux finances et à la violation des données, afin d'éclairer et de contextualiser les décisions relatives à la sélection des fournisseurs. Prevalent fait ensuite passer chaque fournisseur sélectionné aux phases de diligence raisonnable pour la conclusion de contrats et/ou l'intégration, ce qui permet de faire progresser automatiquement le fournisseur dans le cycle de vie des tiers.
Principe 4 : Ensuite, Prevalent propose une évaluation de la diligence raisonnable précontractuelle avec une notation claire basée sur huit critères pour capturer, suivre et quantifier les risques inhérents pour tous les tiers. À partir de cette évaluation des risques inhérents, votre équipe peut automatiquement classer les fournisseurs par catégories, définir les niveaux appropriés de diligence supplémentaire et déterminer la portée des évaluations continues. La logique de hiérarchisation basée sur des règles permet de classer les fournisseurs en fonction d'une série de considérations liées à l'interaction des données, aux finances, à la réglementation et à la réputation.
Prevalent propose une bibliothèque de plus de 750 modèles prédéfinis pour l'évaluation continue des risques des tiers. Ces modèles sont intégrés aux fonctionnalités natives de cyber, de surveillance des risques commerciaux, financiers et de réputation, qui valident en permanence les résultats de l'évaluation et comblent les lacunes entre les évaluations. Des recommandations de remédiation intégrées garantissent que les tiers traitent les risques en temps voulu et de manière satisfaisante.
Principe 5 : Dans le cadre de l'évaluation des risques inhérents et du processus d'intégration, Prevalent peut identifier les relations de sous-traitance de quatrième et de Nième parties en procédant à une évaluation par questionnaire ou en analysant passivement l'infrastructure publique de la tierce partie. La carte des relations qui en résulte décrit les chemins d'information et les dépendances qui pourraient exposer votre environnement à des risques. Les fournisseurs découverts grâce à ce processus font l'objet d'une surveillance continue afin d'identifier les risques financiers, ESG, cyber, commerciaux et les risques de violation de données, ainsi que pour le dépistage des sanctions/PEP. Cette approche permet d'aborder les risques potentiels de concentration technologique ou géographique.
La liste de vérification de la conformité des tiers B-10 du BSIF
Apprenez comment satisfaire aux exigences d'évaluation et de surveillance par des tiers dans la ligne directrice B-10 du BSIF.
Principe 6 : Prevalent centraliser la distribution, la discussion, la conservation et la révision des contrats fournisseurs qui définissent les droits et les responsabilités de chaque partie. Il offre également des fonctionnalités de workflow pour automatiser le cycle de vie des contrats, de l'entrée à la sortie.
Principe 7 : De plus, Prevalent offre une plateforme centralisée et collaborative pour effectuer des évaluations de la protection de la vie privée et atténuer les risques liés à la protection de la vie privée, qu'ils soient internes ou de tiers, afin de s'assurer que des mesures appropriées sont prises pour protéger la confidentialité, l'intégrité et la disponibilité des dossiers et des données.
Principe 8 : Prevalent automatise l'audit de conformité de la gestion des risques des tiers en recueillant des informations sur les risques des fournisseurs, en quantifiant les risques, en recommandant des mesures correctives et en générant des rapports pour des dizaines de réglementations gouvernementales et de cadres industriels. Prevalent met automatiquement en correspondance les informations recueillies à partir des évaluations basées sur les contrôles avec les normes ISO 27001, NIST, GDPR, CoBiT 5, SSAE 18, SIG, SIG Lite, SOX, NYDFS et d'autres cadres réglementaires, ce qui vous permet de visualiser et de répondre rapidement aux exigences de conformité importantes.
Principe 9 : Prevalent automatise l'évaluation, la surveillance continue, l'analyse et la remédiation de la résilience et de la continuité des activités des tiers. - tout en mettant automatiquement en correspondance les résultats avec les cadres de contrôle NIST, ISO et autres, afin de s'assurer que les tiers peuvent assurer leurs opérations en cas de perturbation et qu'ils ont activé un plan de continuité des activités et de reprise après sinistre.
Principe 10 : Prevalent suit et analyse en permanence les menaces externes pour les tiers. La solution surveille l'Internet et le dark web à la recherche de cyber menaces et vulnérabilités, ainsi que les sources publiques et privées d'informations relatives à la réputation, aux sanctions et aux finances. Toutes les données de surveillance sont corrélées aux résultats des évaluations et centralisées dans un registre de risques unifié pour chaque fournisseur, ce qui rationalise l'examen des risques, les rapports et les initiatives de réponse.
Principe 11 : Prevalent permet à votre équipe d'identifier et d'atténuer rapidement l'impact des incidents impliquant des fournisseurs tiers qui pourraient avoir un impact sur la résilience opérationnelle et financière en gérant les fournisseurs de manière centralisée, en effectuant des évaluations d'événements, en notant les risques identifiés et en accédant à des conseils de remédiation.
Comme expliqué dans le principe 1, Prevalent s'associe à vous pour mettre en place un programme complet de gestion des risques des tiers (TPRM) basé sur les meilleures pratiques éprouvées et une vaste expérience du monde réel.
Nos experts collaborent avec votre équipe pour définir et mettre en œuvre des processus et des solutions TPRM, pour sélectionner des questionnaires et des cadres d'évaluation des risques et pour optimiser votre programme afin de couvrir l'ensemble du cycle de vie des risques liés aux tiers, de l'approvisionnement et de la diligence raisonnable à la résiliation et à l'exclusion.
La plateforme Prevalent comprend une vaste bibliothèque d'évaluations standardisées (y compris pour les cadres de meilleures pratiques NIST et ISO ) et des capacités de personnalisation pour évaluer les tiers avec flexibilité. Pour les tiers qui soumettent un rapport SOC 2 au lieu d'une évaluation complète des risques, Prevalent vous permet de cartographier les lacunes de contrôle identifiées dans le rapport SOC 2, de créer des éléments de risque contre le tiers au sein d'une plate-forme d'évaluation centrale, et de suivre et de rapporter les lacunes ainsi que d'autres risques.
Quel que soit le cadre de cybersécurité, Prevalent vous permet de réduire les délais d'évaluation et d'atténuer les risques.
Prevalent peut aider les organisations à automatiser l'évaluation et la surveillance continue de la résilience commerciale et financière des tiers afin de soutenir la conformité et le respect de la ligne directrice B-10 du BSIF.
Pour obtenir des conseils précis sur la façon dont Prevalent peut aider à répondre aux exigences énoncées dans la ligne directrice B-10 du BSIF, téléchargez la liste de contrôle complète de la conformité au BSIF ou demandez une démonstration dès aujourd'hui.
Découvrez les principaux changements apportés au questionnaire standard de collecte d'informations (SIG) pour 2025 et apprenez ce qu'ils...
12/16/2024
Tirez parti de ces bonnes pratiques pour répondre aux exigences du NIS2 en matière de gestion des risques pour les tiers.
12/03/2024
Interrogez vos vendeurs et fournisseurs sur leurs processus de gestion des risques de cybersécurité, de gouvernance et de divulgation des...
10/24/2024