Utilisation des manuels d'inspection de la FFIEC pour se préparer à un audit des risques par un tiers

Note de l'éditeur : Dans l'édition de cette semaine de notre série de blogs, Third-Party Risk Management : How to Stay Off the Regulatory Radar, nous examinons le manuel d'examen informatique de la FFIEC en tant que mécanisme de préparation à un audit lié à un tiers. N'oubliez pas de consulter tous les blogs de cette série et de télécharger le livre blanc pour un examen complet des exigences.

Le Federal Financial Institutions Examination Council (FFIEC ) est un organisme inter-agences officiel aux États-Unis, habilité à établir des lignes directrices et des principes et normes uniformes pour l'examen fédéral des institutions financières par cinq agences membres, notamment :

• Conseil des gouverneurs du Système fédéral de réserve (FRB)
• Federal Deposit Insurance Corporation (FDIC)
• Administration nationale des coopératives d'épargne et de crédit (NCUA)
• Bureau du contrôleur de la monnaie (OCC)
• Bureau de la protection financière des consommateurs (CFPB)

La FFIEC a créé un ensemble de manuels ou de livrets à l'usage des examinateurs qui étudient les pratiques informatiques d'une institution et, à ce titre, fournissent des lignes directrices pour ces pratiques. L'intérêt pour de nombreuses institutions réside dans les conseils qu'elles fournissent sur la manière de gérer le risque associé aux fournisseurs tiers. La brochure sur la continuité des activités comprend une annexe J, qui traite de la nécessité de renforcer la résilience des services technologiques externalisés. La brochure sur la sécurité de l'information comprend une section spécifique sur la surveillance des fournisseurs de services tiers.

Ces livrets informatiques exigent une gestion et un suivi rigoureux des risques liés aux plans de continuité des activités (PCA) et à la sécurité informatique des fournisseurs tiers. Ils précisent qu'une politique de gestion des risques doit être mise en place, qu'une diligence raisonnable doit être appliquée lors du choix des tiers et que cette politique doit être codifiée dans les accords avec les fournisseurs. En outre, les fournisseurs doivent être gérés et audités conformément aux exigences convenues.

Respecter les directives de la FFIEC concernant les tiers en utilisant la plateforme Prevalent

Prevalent peut aider à répondre aux exigences relatives aux tiers recommandées dans l'annexe J de la brochure sur la continuité des activités et dans la section sur la surveillance des fournisseurs de services tiers de la brochure sur la sécurité de l'information.

Pour répondre aux recommandations de la FFIEC, Prevalent:

• Permet des évaluations basées sur le contrôle interne (sur la base d'un cadre standard de l'industrie ou de questionnaires personnalisés) pour faire correspondre les exigences au niveau de risque présenté par la relation selon les recommandations du livret PCA, annexe J pour établir une relation bien définie avec les fournisseurs de services technologiques (FST) pour la résilience de l'entreprise.
• Les questions portent sur la planification de la continuité des activités, y compris l'analyse d'impact, l'évaluation des risques opérationnels et la gestion de la reprise des activités conformément aux recommandations de la section Diligence raisonnable du livret PCA, annexe J. Prevalent examine le risque posé par les fournisseurs de services technologiques et leurs sous-traitants.
• Fournir des rapports pour satisfaire aux exigences en matière d'audit et de conformité ainsi que pour présenter les résultats au conseil d'administration et à la direction générale afin d'appuyer les recommandations de la section Contrats du livret du PCA, annexe J.
• Fournit une solution complète pour effectuer des évaluations, y compris des questionnaires ; un environnement pour inclure et gérer les preuves documentées en réponse ; des flux de travail pour gérer l'examen et traiter les conclusions ; et des rapports robustes pour donner à chaque niveau de gestion les informations dont il a besoin pour examiner correctement la performance du tiers afin de répondre à la section Surveillance continue du livret BCP, annexe J.
• Fournit une surveillance instantanée et continue des fournisseurs pour une notification immédiate des problèmes à haut risque, une priorisation et des recommandations de remédiation pour répondre à la section résilience Cyber du livret BCP, annexe J.
• Automatise la collecte et l'analyse des enquêtes auprès des fournisseurs à l'aide de questionnaires standard et personnalisés, de flux de travail bidirectionnels, de rapports robustes et de capacités d'audit complètes afin de vérifier que les fournisseurs de services tiers mettent en œuvre et maintiennent des contrôles suffisants pour atténuer les risques de manière appropriée, conformément à la brochure sur la sécurité de l'information, II.C.20 Oversight of Third-Party Service Providers.

Prochaines étapes

Même si elle n'est pas exigée par la loi, la FFIEC fournit des conseils judicieux aux organisations financières confrontées à un audit de la gestion des risques liés aux tiers . Prevalent aide les organisations à répondre à ces recommandations du manuel informatique de la FFIEC grâce à un cadre permettant d'identifier, de mesurer, de surveiller et d'atténuer les risques liés à l'externalisation. Contactez-nous dès aujourd'hui pour une démonstration et découvrez comment.

Notre série continue ...

Le blog de la semaine prochaine examine les normes ISO pour la sécurité de l'information.