En mars 2022, la Prudential Regulation Authority (PRA) de la Banque d'Angleterre a activé une nouvelle déclaration de surveillance (SS2/21), qui définit les attentes quant à la manière dont les entreprises réglementées par la PRA doivent se conformer aux exigences réglementaires relatives à l'externalisation et à la gestion des risques par des tiers pour améliorer la résilience des entreprises.
Applicable à toutes les banques, entreprises d'investissement et d'assurance britanniques, ainsi qu'aux succursales britanniques des banques et entreprises d'assurance étrangères, les objectifs de la déclaration de surveillance (SS) sont les suivants :
"... faciliter une plus grande résilience et l'adoption du cloud et d'autres nouvelles technologies... compléter les exigences et les attentes en matière de résilience opérationnelle dans le PRA Rulebook ; SS1/21... et mettre en œuvre les " Guidelines on outsourcing arrangements " (EBA Outsourcing GL) de l'Autorité bancaire européenne (ABE). "
La déclaration de surveillance clarifie également la différence entre les accords importants d'externalisation et de non-externalisation avec des tiers, définit les attentes en matière d'évaluations et de diligence raisonnable des tiers, et identifie les domaines qui nécessitent un examen détaillé, notamment :
- Sécurité des données
- Droits d'accès, d'audit et d'information
- Sous-traitance
- Continuité des activités et stratégies de sortie
Ce post examine les exigences d'évaluation et de diligence raisonnable pour les tiers externalisants et non externalisants, telles qu'elles sont énoncées dans la déclaration de supervision. Il identifie également les capacités de la plateforme de gestion des risques des tiersPrevalent qui peuvent être utilisées pour répondre aux exigences de la PRA.
Comprendre la déclaration de surveillance SS2/21 de la PRA sur les exigences de gestion des risques liés aux tiers.
La déclaration de supervision SS2/21 exige que les sociétés réglementées par PRA effectuent une évaluation de l'importance relative lors de l'intégration des fournisseurs et périodiquement par la suite. PRA s'attend à être informée des tiers importants de chaque entreprise, il est donc temps de s'assurer que vos tiers suivent les pratiques de résilience commerciale et opérationnelle nécessaires pour être conformes et minimiser les risques pour votre organisation.
Mise en correspondance des capacités de Prevalent avec les exigences de la déclaration de surveillance SS2/21 de PRA
La plateforme de gestion des risques liés aux tiers Prevalent peut aider les organisations de services financiers à répondre aux exigences d'externalisation et de non-externalisation des tiers de la norme PRA SS2/21.
REMARQUE : Ces conseils ne comprennent que les exigences les plus pertinentes et ne doivent pas être considérés comme exhaustifs. Pour une liste complète des exigences, veuillez examiner en détail la déclaration de surveillance complète et consulter votre auditeur.
Section 2 : Définitions et champ d'application
Pour répondre aux exigences des points 2.8 et 2.9, la plateforme Prevalent offre :
- Profilage, hiérarchisation et évaluation des risques inhérents et résiduels sur la base de critères exhaustifs afin d'identifier les tiers sous-traitants importants et non importants.
- Plus de 100 modèles standardisés et évaluations de risques personnalisées adaptés aux tiers matériels et non matériels avec gestion intégrée des flux de travail, des tâches et des preuves. Les évaluations portent sur une multitude de cadres basés sur la sécurité des TIC, notamment Cyber Essentials, ISO 27001, NIST 800-53, GDPR, et bien d'autres.
- Gestion de la remédiation avec des conseils intégrés pour agir sur les risques identifiés provenant de tiers sous-traitants.
- Rapports sur la conformité et les risques par cadre ou réglementation afin de simplifier le processus d'audit.
Section 3 : Proportionnalité
Pour répondre aux exigences des points 3.6 et 3.7, la plate-forme Prevalent :
- Permet aux équipes de sécurité et de gestion des risques de classer automatiquement les fournisseurs en fonction de leur score de risque inhérent. Les résultats peuvent être utilisés pour fixer des niveaux appropriés de diligence raisonnable supplémentaire et déterminer la portée des évaluations en cours.
- Mettez automatiquement en correspondance les informations recueillies lors des évaluations basées sur les contrôles avec les cadres réglementaires, notamment ISO 27001, GDPR et des dizaines d'autres. Cela vous permet de visualiser et de traiter rapidement les exigences de conformité importantes et de simplifier les processus d'audit.
- Offre le Prevalent Compliance Framework (PCF), une évaluation unique et complète qui permet aux équipes de gestion de la sécurité et des risques de mettre en correspondance les réponses à plusieurs exigences réglementaires.
Section 5 : Phase de pré-outsourcing
Pour répondre aux exigences des points 5.8, 5.10 à 5.13 et 5.18 à 5.24, la plate-forme Prevalent offre :
- Lagestion des appels d'offres, qui permet aux organisations d'automatiser et d'ajouter une intelligence du risque aux décisions de sélection des fournisseurs.
- Gestion du cycle de vie des contrats, en fournissant une automatisation pour améliorer l'expérience contractuelle des fournisseurs et effectuer un suivi continu des SLA.
- Établissement d'un profil complet et d'une hiérarchie des tiers pour déterminer l'importance relative. Les critères comprennent la criticité, les considérations réglementaires, la dépendance à l'égard de tiers, l'exposition opérationnelle, le statut financier et la réputation.
- La plus grande bibliothèque d'évaluations des risques standardisées et personnalisées avec gestion intégrée des flux de travail, des tâches et des preuves. Comprend une évaluation intégrée de la résilience des entreprises basée sur la norme ISO 22301.
- Native cyber, violation, risque commercial, réputationnel et financier
surveillance pour évaluer en permanence les risques liés aux fournisseurs entre les évaluations annuelles et mettre en corrélation les conclusions avec les résultats des évaluations afin de déterminer si une enquête plus approfondie est nécessaire.
- Mise en correspondance automatique des résultats d'évaluation et de surveillance avec les cadres de contrôle NIST, ISO et autres, afin de démontrer la conformité.
- Conseils sur l'élaboration d'un programme de résilience des entreprises tierces plus solide.
- Réponse aux incidents afin d'identifier et d'atténuer l'impact des violations des fournisseurs tiers grâce à des évaluations d'événements, des scores et des conseils de remédiation.
Section 6 : Contrats d'externalisation
Pour répondre aux exigences du point 6.3, Prevalent centralise la distribution, la discussion, la conservation et la révision des contrats des fournisseurs. Grâce à ces fonctionnalités, les organisations peuvent suivre de manière centralisée tous les contrats et leurs attributs qui peuvent avoir un impact sur les niveaux de service, ce qui permet d'appliquer efficacement les garanties contractuelles.
Section 7 : Sécurité des données
Pour répondre aux exigences de l'article 7, Prevalent offre une plateforme unique et collaborative permettant de réaliser des évaluations de la confidentialité et d'atténuer les risques liés à la confidentialité, qu'ils soient internes ou externes. Les principales fonctionnalités d'évaluation de la sécurité des données et de la confidentialité sont les suivantes
- Des évaluations programmées et une cartographie des relations pour révéler où se trouvent les données personnelles, où elles sont partagées et qui y a accès - le tout résumé dans un registre des risques qui met en évidence les expositions critiques.
- Des évaluations des incidences sur la vie privée pour découvrir les données commerciales et les informations personnelles identifiables (PII) à risque, ce qui vous permet d'analyser l'origine, la nature et la gravité du risque et d'obtenir des conseils pour y remédier.
- Évaluation des fournisseurs par rapport au GDPR
et d'autres réglementations en matière de protection de la vie privée via le cadre de conformité Prevalent (PCF) - ce qui vous permet de révéler les points sensibles potentiels en associant les risques identifiés à des contrôles spécifiques.
- Cartographie des risques et des réponses au GDPR en fonction des contrôles - en vous dotant de taux de conformité et de rapports spécifiques aux parties prenantes.
- Une base de données contenant plus de 10 ans d'historique des violations de données pour des milliers d'entreprises dans le monde. Elle comprend les types et les quantités de données volées, les questions de conformité et de réglementation, ainsi que les notifications en temps réel des violations de données des fournisseurs.
- Centralisation de l'intégration, de la distribution, de la discussion, de la conservation et de la révision des contrats des fournisseurs. Cela permet de s'assurer que les dispositions relatives à la protection des données sont appliquées dès le début de la relation.
Section 8 : Droits d'accès, d'audit et d'information
Pour répondre aux exigences des points 8.7 et 8.9 :
- Le service de validation des contrôlesPrevalent examine les réponses et la documentation des évaluations de tiers par rapport aux protocoles de test établis afin de valider la mise en place des contrôles indiqués.
- Prevalent Les experts examinent d'abord les réponses aux évaluations, qu'elles proviennent de questionnaires personnalisés ou standardisés. Nous mettons ensuite les réponses en correspondance avec les cadres de contrôle SIG, SCA, ISO, SOC II, AITECH et/ou autres. Enfin, nous travaillons avec vous pour élaborer des plans de remédiation et en assurer le suivi jusqu'à leur achèvement. Avec des options disponibles à distance et sur site, Prevalent offre l'expertise nécessaire pour vous aider à réduire les risques avec vos ressources existantes.
- Prevalent centralise les certifications, les accords, les contrats et les pièces justificatives avec une gestion intégrée des tâches et des acceptations, ainsi que des fonctions de téléchargement obligatoire.
Section 9 : Sous-traitance
Pour répondre aux exigences de la section 9, Prevalent identifie les relations avec les quatrième et Nième parties par le biais d'une évaluation d'identification native ou par un balayage passif de l'infrastructure publique de la troisième partie. La carte des relations qui en résulte décrit les chemins d'information et les dépendances qui pourraient ouvrir des voies d'accès à un environnement. Les fournisseurs découverts grâce à ce processus sont ensuite contrôlés pour identifier les risques financiers, ESG, cyber, commerciaux et de violation de données, ainsi que pour le dépistage des sanctions/PEP.
Section 10 : Continuité des activités et plans de sortie
Pour répondre aux exigences des points 10.1, 10.3 et 10.9, Prevalent:
- Fournit des ressources gratuites aux organisations pour qu'elles puissent les utiliser lors de l'élaboration ou de la mise à niveau de leurs programmes de continuité des activités de tiers.
- Comprend une évaluation complète de la résilience des entreprises basée sur les pratiques de la norme ISO 22301 qui permet aux organisations de :
- Catégoriser les fournisseurs en fonction de leur profil de risque et de leur criticité pour l'entreprise.
- Définir des objectifs de points de reprise (RPO) et des objectifs de délais de reprise (RTO).
- Centraliser l'inventaire des systèmes, les évaluations des risques, les diagrammes RACI et les tiers.
- Assurer une communication cohérente avec les fournisseurs pendant les perturbations de l'activité.
Comment Prevalent aide à répondre aux exigences de PRA SS2/21 en matière d'externalisation et de gestion des risques des tiers
Prevalent peut aider les organisations à automatiser les évaluations de l'importance relative et à surveiller en permanence les risques de résilience commerciale de leurs tiers, qu'ils soient ou non externalisés. Les capacités d'évaluation et de surveillance de Prevalent permettent aux organisations de déterminer et de valider si un défaut ou une défaillance dans la performance d'un fournisseur a une incidence importante :
- La capacité de l'organisation à remplir les conditions de seuil
- Conformité aux règles fondamentales ou aux principes d'activité de la Financial Conduct Authority (FCA)
- La stabilité financière du Royaume-Uni
- Les exigences de l'organisation en vertu de la section de collecte d'informations du règlement de PRA
- La résilience financière ou opérationnelle de l'organisation
Pour les organisations qui ont externalisé un contrôle interne ou une fonction clé, Prevalent peut aider à déterminer si un défaut ou une défaillance de performance aurait un effet négatif sur la fonction concernée. Il peut également aider à déterminer l'impact potentiel d'une perturbation, d'une défaillance ou d'une performance inadéquate sur :
- le risque opérationnel, le risque de conduite, le risque lié aux technologies de l'information et de la communication (TIC), le risque juridique et le risque de réputation.
- la capacité de l'organisation à se conformer aux exigences légales et réglementaires et à en rendre compte
- l'accès de l'organisation à des données essentielles ou le risque de violation de données confidentielles ou hautement confidentielles
Prochaines étapes pour se conformer à la PRA SS2/21
Pour en savoir plus sur la façon dont Prevalent peut aider à répondre aux exigences énoncées dans la déclaration de surveillance SS2/21 de la PRA, téléchargez la liste de contrôle de conformité complète ou demandez une démonstration dès aujourd'hui.