La Financial Conduct Authority (FCA) réglemente les entreprises financières fournissant des services aux consommateurs et maintient l'intégrité des marchés financiers au Royaume-Uni. Leur travail consiste notamment à mettre en œuvre, superviser et faire respecter les normes et réglementations européennes et internationales au Royaume-Uni. En juillet 2018, la FCA a publié ses orientations finalisées, FG 16/5 Guidance for firms outsourcing to the "cloud" and other third-party IT services, pour aider les entreprises financières à superviser efficacement tous les aspects du cycle de vie des accords d'externalisation.
Le guide 16/5 de la FCA ajoute des contrôles spécifiques à l'informatique dématérialisée, conformément aux exigences générales de la FCA en matière d'externalisation, qui figurent dans les sections relatives aux systèmes et aux contrôles (SYSC) du manuel de la FCA pour les entreprises soumises à une réglementation appropriée, et exige également une cohérence avec le GDPR.
La FCA considère l'utilisation appropriée de l'externalisation vers le cloud et d'autres services informatiques tiers comme un moyen pour les entreprises d'accroître leur flexibilité et de permettre l'innovation. Cependant, la FCA reconnaît également que l'externalisation vers le cloud peut introduire des risques qui doivent être correctement identifiés, surveillés et atténués. Ceci est accompli par une évaluation adéquate des risques.
Réaliser des évaluations de risques appropriées pour tous les accords d'externalisation.
surveiller en permanenceles activités externalisées, et identifier et gérer les risques
Aligner votre programme de TPRM sur 13 normes industrielles
Téléchargez ce guide pour passer en revue les normes industrielles avec les exigences spécifiques du TPRM, et découvrez les meilleures pratiques pour simplifier la conformité.
Respecter les directives TPRM de la FCA
Voici comment Prevalent peut vous aider à répondre aux directives FCA FG 16/5 sur la gestion des risques liés aux tiers :
Directives FCA FG 16/5 | Quelle aide nous apportons |
---|---|
Section 3.4 "Un cabinet identifie et gère de manière appropriée les risques opérationnels liés à son recours à des tiers, notamment en effectuant une diligence raisonnable avant de décider d'externaliser. Notre approche est fondée sur le risque et proportionnée, compte tenu de la nature, de l'échelle et de la complexité des opérations d'une entreprise." |
La solution Cyber & Business Monitoring dePrevalentpermet aux entreprises de se faire une idée des vulnérabilités potentielles de cyber ou des risques commerciaux pertinents d'un fournisseur de services avant de conclure un contrat ou pendant un accord commercial défini. Prevalent combine l'analyse native des vulnérabilités avec de multiples sources externes de renseignements sur les menaces cyber afin de fournir des informations approfondies sur les risques cyber des fournisseurs de services. Prevalent est unique en ce qu'il offre une surveillance des risques commerciaux qui s'appuie sur des analystes humains pour interpréter les risques opérationnels, de marque, réglementaires, juridiques et financiers potentiels. En voici quelques exemples :
|
Gestion des risques "En conséquence, les entreprises doivent :
|
Le service d'évaluation Prevalent offre aux professionnels de la sécurité, de la confidentialité et de la gestion des risques une plateforme automatisée pour gérer le processus d'évaluation des risques des fournisseurs de services et déterminer la conformité aux exigences en matière de sécurité informatique, de réglementation et de confidentialité des données. Il utilise des questionnaires standard et personnalisés pour aider à collecter des preuves et fournit des flux de travail de remédiation bidirectionnels, des rapports en direct et un tableau de bord facile à utiliser pour plus d'efficacité. Grâce à des rapports clairs et à des conseils de remédiation, la plateforme garantit que les risques sont identifiés et transmis aux canaux appropriés. |
Surveillance du fournisseur de services "S'assurer que le personnel dispose de compétences et de ressources suffisantes pour superviser et tester les activités externalisées ; identifier, surveiller et atténuer les risques qui en découlent." |
La gestion des risques liés aux tiers est coûteuse et prend du temps lorsqu'on utilise des processus manuels de collecte et de partage des données inefficaces et sujets aux erreurs. La solution d'évaluation de Prevalentautomatise ce processus en collectant, organisant et présentant les données des fournisseurs de services afin de faciliter immédiatement la prise de décision et de gérer les risques liés aux fournisseurs. |
Sécurité des données "Les entreprises doivent procéder à une évaluation des risques de sécurité qui inclut le fournisseur de services et les actifs technologiques administrés par l'entreprise." |
La solution Prevalent permet de réaliser des questionnaires automatisés, basés sur des normes ou personnalisés, pour identifier et gérer les risques liés aux tiers. Les questionnaires basés sur des normes évaluent les tiers sur divers contrôles, notamment la cybersécurité, l'informatique, la confidentialité, la sécurité des données, l'hébergement en nuage et la résilience des entreprises. La plateforme comprend également des flux de travail de remédiation bidirectionnels, des rapports en direct et un tableau de bord facile à utiliser pour plus d'efficacité. |
Accès effectif aux données "Une entreprise doit :
|
La plateforme de gestion des risques liés aux tiers Prevalent comprend des rapports efficaces pour satisfaire aux exigences d'audit et de conformité, ainsi que pour présenter les résultats au conseil d'administration et à la direction générale. L'ensemble du profil de risque peut être visualisé dans la console centralisée de reporting en direct, et les rapports peuvent être téléchargés et exportés pour déterminer le statut de conformité. Les rapports peuvent être téléchargés et exportés pour déterminer le statut de conformité. Les capacités de reporting approfondi comprennent des filtres et des graphiques interactifs à cliquer. La solution comprend un référentiel complet de toute la documentation recueillie et examinée au cours du processus de diligence. |
La FCA définit des orientations pour la sélection de fournisseurs informatiques externalisés sécurisés. Découvrez les critères clés de conformité...
Révéler les exigences du TPRM dans 13 règlements et acquérir les meilleures pratiques pour simplifier la conformité.
Tirez parti de vos processus et technologies de gestion des risques de tiers pour évaluer et surveiller les risques liés aux clients institutionnels.