Hero Image Solutions Compliance Eba Lignes directrices exceptionnelles

Conformité aux directives d'externalisation de l'ABE

L'ABE et la gestion des risques liés aux tiers

L'Autorité bancaire européenne (ABE) est une autorité indépendante de l'UE qui assure une réglementation et une surveillance efficaces et cohérentes dans l'ensemble du secteur bancaire européen. Début 2019, l'ABE a publié des lignes directrices révisées sur les accords d'externalisation, comprenant des dispositions spécifiques pour la gouvernance des accords d'externalisation par les institutions financières et les processus de surveillance connexes. Ces lignes directrices sont conformes aux exigences en matière d'externalisation prévues par la directive sur les services de paiement (DSP2), la directive sur les marchés d'instruments financiers (MiFID II) et le règlement délégué (UE) 2017/565 de la Commission.

Les lignes directrices de l'ABE définissent les dispositions de gouvernance interne que les établissements de crédit, les établissements de paiement et les établissements de monnaie électronique doivent mettre en œuvre lorsqu'ils externalisent des services, activités ou fonctions internes. Reconnaissant le vaste écosystème de fournisseurs dans les services financiers, l'ABE a consacré 70 pages à la gestion de l'externalisation dans le secteur des services financiers.

Les directives de l'ABE exigent une gestion et un suivi solides des risques liés aux prestataires de services. Elles précisent qu'une politique de gestion des risques doit être mise en place, comprenant des évaluations fondées sur des contrôles internes et une surveillance continue des accords d'externalisation de tiers. La politique doit être codifiée dans un contrat entre l'institution financière et la relation d'externalisation, avec une documentation et des rapports appropriés pour les efforts de remédiation et les capacités d'audit.

Ces exigences représentent un ensemble complet de contrôles mis en œuvre dans l'ensemble de l'organisation de l'externalisation et vont bien au-delà de la portée d'une simple analyse automatisée de l'infrastructure externe.

Conditions applicables

  • Distinguer les externalisations qui sont "critiques ou importantes" de celles qui ne le sont pas

  • Effectuer une diligence raisonnable dans le processus de sélection de l'externalisation

  • permettre une évaluation correcte des risques, grâce à laquelle tous les risques opérationnels potentiels sont identifiés, gérés, surveillés et signalés

  • Exiger des contrats qui définissent les droits d'accès et d'audit pour les banques et leurs régulateurs afin de garantir une surveillance efficace.

  • Effectuer une évaluation continue et un contrôle permanent, avec des rapports clairs à la direction.

  • Mettre à la disposition des autorités toute la documentation nécessaire à la transparence

  • Définir une stratégie de sortie claire en cas de défaillance du prestataire de services.

Aligner votre programme de TPRM sur les 14 normes de l'industrie

Téléchargez ce guide pour passer en revue les normes industrielles avec les exigences spécifiques du TPRM, et découvrez les meilleures pratiques pour simplifier la conformité.

Lire la suite
Ressources présentées manuel de conformité normes industrielles

Respecter les directives TPRM de l'ABE

Voici comment Prevalent peut vous aider à respecter les directives de l'ABE en matière de gestion des risques liés aux tiers :

Lignes directrices de l'ABE Quelle aide nous apportons

Titre II - Évaluation des accords d'externalisation
4 - Fonctions critiques ou importantes
Paragraphe 30

"Il convient d'accorder une attention particulière à l'évaluation de la criticité ou de l'importance des fonctions si l'externalisation concerne des fonctions liées aux métiers de base."

La solution d'évaluation Prevalent permet aux institutions financières de classer les tiers en fonction de leur importance pour l'organisation. Une sélection de questionnaires personnalisables vous permet d'adapter les exigences d'évaluation au niveau de risque présenté par la relation.

Titre III - Cadre de gouvernance
5 - Dispositif de bonne gouvernance et risque de tiers
Paragraphe 32

"Les établissements et les institutions de paiement devraient disposer d'un cadre de gestion des risques holistique à l'échelle de l'établissement pour identifier et gérer tous leurs risques, y compris les risques causés par les accords avec des tiers."

Prevalent est la seule plate-forme unifiée spécialement conçue pour la gestion des risques liés aux tiers. Notre solution automatise le processus d'évaluation du risque fournisseur de l'intérieur vers l'extérieur, tout en incluant un contrôle continu proactif utilisant une approche de l'extérieur vers l'intérieur pour réduire le risque et répondre aux exigences de conformité réglementaire.

Titre III - Cadre de gouvernance
5 - Dispositif de bonne gouvernance et risque de tiers
Paragraphe 33

"Les établissements et les institutions de paiement devraient identifier, évaluer, surveiller et gérer tous les risques résultant d'accords avec des tiers auxquels ils sont ou pourraient être exposés."

Le service d'évaluation Prevalent offre aux professionnels de la sécurité, de la confidentialité et de la gestion des risques une plateforme automatisée pour gérer le processus d'évaluation des risques liés aux fournisseurs et déterminer leur conformité aux exigences en matière de sécurité informatique, de réglementation et de confidentialité des données. Il utilise des questionnaires standard et personnalisés pour aider à collecter des preuves et fournit des flux de travail de remédiation bidirectionnels, des rapports en direct et un tableau de bord facile à utiliser pour plus d'efficacité. Grâce à des rapports clairs et à des conseils de remédiation, la plateforme garantit que les risques sont identifiés et transmis aux canaux appropriés.

Titre III - Cadre de gouvernance
6 - Dispositifs de bonne gouvernance et externalisation
Paragraphe 40(c)

"Lors de l'externalisation, les institutions et les établissements de paiement devraient au moins s'assurer que :

  • les risques liés aux accords d'externalisation actuels et prévus sont correctement identifiés, évalués, gérés et atténués, y compris les risques liés aux TIC et aux technologies financières (fintech)."

La plateforme de gestion des risques liés aux tiers Prevalent fournit une solution complète pour effectuer des évaluations, y compris des questionnaires ; un environnement pour inclure et gérer les preuves documentées en réponse ; des flux de travail pour gérer l'examen et traiter les conclusions ; et des rapports solides pour donner à chaque niveau de gestion les informations dont il a besoin pour examiner correctement la performance du tiers.

Titre III - Cadre de gouvernance
10 - Fonction d'audit interne
Paragraphe 50

"Les activités de la fonction d'audit interne devraient couvrir, suivant une approche fondée sur les risques, l'examen indépendant des activités externalisées. Le plan et le programme d'audit devraient inclure, en particulier, les modalités d'externalisation des fonctions critiques ou importantes."

La plateforme de gestion des risques liés aux tiers Prevalent comprend des rapports efficaces pour satisfaire aux exigences d'audit et de conformité, ainsi que pour présenter les résultats au conseil d'administration et à la direction générale. L'ensemble du profil de risque peut être visualisé dans la console centralisée de reporting en direct, et les rapports peuvent être téléchargés et exportés pour déterminer le statut de conformité. Les rapports peuvent être téléchargés et exportés pour déterminer le statut de conformité. Les capacités de reporting approfondi comprennent des filtres et des graphiques interactifs à cliquer. La solution comprend un référentiel complet de toute la documentation recueillie et examinée au cours du processus de diligence.

Titre III - Cadre de gouvernance
12.3 - Diligence raisonnable
Paragraphes 70 et 71

"En ce qui concerne les fonctions critiques et importantes, les institutions et les établissements de paiement doivent s'assurer que le prestataire de services a la réputation commerciale nécessaire pour remplir ses obligations.

Les autres facteurs à prendre en compte sont son modèle d'entreprise, sa nature, son échelle, sa complexité, sa situation financière, sa propriété et la structure de son groupe."

Le service Prevalent Cyber & Business Monitoring fournit une surveillance instantanée et continue des fournisseurs pour une notification immédiate des problèmes à haut risque, une priorisation et des recommandations de remédiation. La surveillance de la sécurité des données et des risques commerciaux vous permet d'aller au-delà de la santé tactique du fournisseur pour obtenir une vue plus stratégique du risque global de sécurité de l'information d'un fournisseur.

Prevalent est unique en ce qu'il offre une surveillance des risques commerciaux qui s'appuie sur des analystes humains pour interpréter les risques opérationnels, de marque, réglementaires, juridiques et financiers potentiels.

En voici quelques exemples :

  • Menaces de l'intérieur
  • Problèmes financiers
  • Activité de fusion et d'acquisition
  • Licenciements
  • Cas de violation de données
  • Mesures de la réputation

Titre III - Cadre de gouvernance
13.2 Sécurité des données et des systèmes
Paragraphe 82

"Le cas échéant (par exemple, dans le cadre de l'externalisation du cloud ou d'autres TIC), les institutions et les établissements de paiement devraient définir des exigences en matière de sécurité des données et des systèmes dans le cadre de l'accord d'externalisation et contrôler en permanence le respect de ces exigences."

La plateforme de gestion des risques liés aux tiers Prevalent fournit une solution complète pour effectuer des évaluations, y compris des questionnaires ; un environnement pour inclure et gérer les preuves documentées en réponse ; des flux de travail pour gérer l'examen et traiter les conclusions ; et des rapports solides pour donner à chaque niveau de gestion les informations dont il a besoin pour examiner correctement la performance du tiers.

Titre III - Cadre de gouvernance
13.3 Droits d'accès, d'information et d'audit
Paragraphe 87 (b)

"Les institutions et les établissements de paiement doivent s'assurer que le prestataire de services leur accorde :

  • des droits illimités d'inspection et d'audit liés à l'accord d'externalisation ("droits d'audit"), afin de leur permettre de surveiller l'accord d'externalisation et de garantir le respect de toutes les exigences réglementaires et contractuelles applicables".

La solution d'évaluation Prevalent garantit que les fournisseurs de services mettent en œuvre les exigences exactes et convenues, avec un suivi et une vérification réguliers. Des rapports robustes et des capacités d'audit complètes simplifient l'examen des performances. L'accès aux évaluations et aux audits réalisés peut être délégué aux auditeurs via les fonctionnalités RBAC standard de la plateforme.

Titre III - Cadre de gouvernance
13.3 Droits d'accès, d'information et d'audit
Paragraphe 91

" Les institutions et les établissements de paiement peuvent utiliser :

  • les audits groupés organisés conjointement avec d'autres clients du même prestataire de services, et réalisés par eux et ces clients ou par un tiers désigné par eux, afin d'utiliser les ressources d'audit de manière plus efficace et de diminuer la charge organisationnelle tant pour les clients que pour le prestataire de services".

Les réseaux de partage de preuves des fournisseurs (Prevalent) sont des dépôts de questionnaires remplis et validés et de preuves à l'appui, qui éliminent le processus fastidieux et coûteux en temps et en ressources de la collecte de données à partir de zéro.

Prevalent offre des réseaux horizontaux et verticaux pour accélérer l'évaluation et la collaboration au sein de la communauté.

Titre III - Cadre de gouvernance
14 Surveillance des fonctions externalisées
Paragraphe 100

"Les établissements et les établissements de paiement devraient surveiller, de manière continue, les performances des prestataires de services. Lorsque le risque, la nature ou l'ampleur d'une fonction externalisée a sensiblement changé, les établissements et les établissements de paiement devraient réévaluer la criticité ou l'importance de cette fonction."

En plus de faciliter les évaluations automatisées et périodiques basées sur le contrôle interne, la plateforme fournit également cyber une surveillance de la sécurité et des activités - en évaluant continuellement les réseaux tiers pour identifier les faiblesses potentielles qui peuvent être exploitées par cyber . Prevalent offre également des tests de pénétration en tant que service pour aider les clients à enquêter sur les opérations des réseaux des fournisseurs à un niveau beaucoup plus granulaire.

Grâce à l'intégration des évaluations internes, de la surveillance externe de cyber et des tests de pénétration, les entités couvertes obtiennent une vue complète des risques liés aux fournisseurs, ainsi que des conseils clairs et exploitables pour remédier à ces risques.

Titre III - Cadre de gouvernance
14 Surveillance des fonctions externalisées
Paragraphe 104

"Les institutions et les établissements de paiement devraient s'assurer que les accords d'externalisation répondent à des normes de performance et de qualité appropriées, conformément à leurs politiques en :

a. en s'assurant qu'ils reçoivent des rapports appropriés des prestataires de services ;

b. évaluer la performance des prestataires de services à l'aide d'outils tels que les indicateurs clés de performance, les indicateurs clés de contrôle, les rapports de prestation de services, l'autocertification et les examens indépendants ; et

c. l'examen de toutes les autres informations pertinentes reçues du prestataire de services, y compris les rapports sur les mesures et les tests de continuité des activités."

Le service d'évaluation Prevalent capture et vérifie les conversations et fait correspondre la documentation ou les preuves aux risques. Des tableaux de bord visuellement attrayants et cohérents fournissent un aperçu clair des tâches, des calendriers, des activités à risque, de l'état d'avancement de l'enquête, des accords et des documents associés.

Titre III - Cadre de gouvernance
14 Surveillance des fonctions externalisées
Paragraphe 105

"Si des lacunes sont identifiées, les établissements et les institutions de paiement doivent prendre les mesures correctives ou correctives appropriées."

La solution Prevalent comprend un flux de travail bidirectionnel et des mécanismes de communication partagée pour suivre les résultats et remédier aux problèmes.

  • Prêt pour une démonstration ?
  • Planifiez une démonstration gratuite et personnalisée de la solution pour voir si Prevalent est fait pour vous.
  • Demander une démo