Le Federal Financial Institutions Examination Council (FFIEC ) est un organisme inter-agences habilité à établir des directives et des principes et normes uniformes pour l'examen fédéral des institutions financières. Le FFIEC a rédigé une série de brochures sur des sujets spécifiques intéressant les examinateurs sur le terrain qui prescrivent des principes et des normes uniformes pour les institutions financières.
La FFIEC propose un ensemble de manuels ou de livrets à l'usage des examinateurs des pratiques informatiques des institutions financières. Ces manuels couvrent de nombreux sujets, notamment l'audit, la planification de la continuité des activités (BCP), la sécurité de l'information, l'externalisation des services technologiques, etc.
Les IT Booklets de la FFIEC exigent une gestion et un suivi rigoureux des risques liés aux plans de continuité des activités (PCA) et à la sécurité informatique des fournisseurs tiers. Le livret sur la continuité des activités de la FFIEC comprend une annexe J traitant de la nécessité de renforcer la résilience des services technologiques externalisés, et le livret sur la sécurité informatique comprend une section spécifique sur la surveillance des fournisseurs de services tiers.
L'objectif du manuel d'examen informatique de la FFIEC est de sensibiliser le secteur financier à la cybersécurité et de souligner l'importance d'évaluations précises de la cybersécurité, y compris pour les fournisseurs de services technologiques. Le respect de ces directives exige un ensemble complet de contrôles mis en œuvre dans l'ensemble de l'organisation du fournisseur.
Une politique de gestion des risques doit être mise en place
Une diligence raisonnable doit être appliquée dans le choix des tiers
La politique doit être codifiée dans les accords avec les fournisseurs
Les fournisseurs doivent être gérés et audités conformément aux exigences convenues.
Aligner votre programme de TPRM sur 13 normes industrielles
Téléchargez ce guide pour passer en revue les normes industrielles avec les exigences spécifiques du TPRM, et découvrez les meilleures pratiques pour simplifier la conformité.
Respecter les directives FFIEC TPRM
Voici comment Prevalent peut vous aider à respecter les directives de la FFIEC en matière de gestion des risques liés aux tiers :
Orientations | Comment Prevalent peut vous aider |
---|---|
Brochure sur la planification de la continuité des activités Annexe J : Renforcement de la résilience des services technologiques externalisés |
|
Gestion des tiers "L'établissement d'une relation bien définie avec les fournisseurs de services technologiques (FST) est essentiel à la résilience des entreprises. Le programme de gestion des tiers d'une institution financière doit être axé sur les risques et fournir une surveillance et des contrôles proportionnels au niveau de risque présenté par l'accord d'externalisation. Pour assurer la résilience de l'entreprise, le programme devrait inclure les activités externalisées qui sont essentielles aux opérations continues de l'institution financière." |
La plateforme Prevalent TPRM permet de réaliser des évaluations basées sur le contrôle interne (sur la base de questionnaires cadres standard du secteur et/ou de questionnaires personnalisés). Cette sélection permet à une organisation d'adapter les exigences de l'évaluation au niveau de risque présenté par la relation. En outre, la plateforme comprend des fonctionnalités de flux de travail intégrées qui permettent aux évaluateurs d'interagir efficacement avec les tiers pendant les périodes de collecte et d'examen de la diligence raisonnable. |
Gestion des tiers - Diligence raisonnable "Dans le cadre de sa diligence raisonnable, une institution financière devrait évaluer l'efficacité du programme de continuité des activités d'un FST, en mettant particulièrement l'accent sur les capacités de récupération et la capacité. En outre, une institution devrait comprendre le processus de diligence raisonnable que le FST utilise pour ses sous-traitants et ses fournisseurs de services. En outre, l'institution financière devrait examiner le programme de PCA du FST et son alignement avec le propre programme de l'institution financière, y compris une évaluation de la stratégie de test du PCA du FST et des résultats pour s'assurer qu'ils répondent aux exigences de l'institution financière et favorisent la résilience." |
Les questionnaires normalisés et personnalisés dePrevalentportent sur la planification de la continuité des activités, notamment l'analyse d'impact, l'évaluation des risques opérationnels et la gestion de la reprise des activités. Le service d'évaluation Prevalent examine le risque posé par les fournisseurs de services technologiques et leurs sous-traitants. |
Gestion des tiers - Contrats " Droit d'audit : Les accords doivent prévoir le droit pour l'institution financière ou ses représentants d'auditer le FST et/ou d'avoir accès aux rapports d'audit. Une institution financière devrait examiner les rapports d'audit disponibles portant sur les capacités de résilience des FST et leurs interdépendances (par exemple, les sous-traitants), les tests du PCA et les efforts de remédiation, et évaluer l'impact, le cas échéant, sur le PCA de l'institution financière. " |
La plateforme TPRM Prevalent comprend des rapports efficaces pour satisfaire aux exigences d'audit et de conformité, ainsi que pour présenter les résultats au conseil d'administration et à la direction générale. L'ensemble du profil de risque peut être visualisé dans la console centralisée de reporting en direct, et les rapports peuvent être téléchargés et exportés pour déterminer le statut de conformité. Les rapports peuvent être téléchargés et exportés pour déterminer l'état de conformité. Les capacités de reporting approfondi comprennent des filtres et des graphiques interactifs à cliquer. La solution comprend un référentiel complet de toute la documentation recueillie et examinée au cours du processus de diligence. |
Gestion des tiers - Surveillance continue " Une surveillance continue efficace aide l'institution financière à assurer la résilience des services technologiques externalisés. L'institution financière devrait effectuer des évaluations périodiques approfondies de l'environnement de contrôle du FST, y compris du PCA, par l'examen des activités de test du plan de continuité des activités du fournisseur de services, des évaluations indépendantes et/ou de tiers pour évaluer l'impact potentiel sur la résilience des activités de l'institution financière. L'institution financière devrait s'assurer que les résultats de ces examens sont documentés et rapportés par le FST au comité de surveillance de la gestion approprié ou au conseil d'administration et utilisés pour déterminer les changements nécessaires au PCA de l'institution financière et, si cela est justifié, au contrat du fournisseur de services." |
La plateforme de gestion des risques liés aux tiers Prevalent fournit une solution complète pour effectuer des évaluations, y compris des questionnaires ; un environnement pour inclure et gérer les preuves documentées en réponse ; des flux de travail pour gérer l'examen et traiter les conclusions ; et des rapports solides pour donner à chaque niveau de gestion les informations dont il a besoin pour examiner correctement la performance du tiers. |
Cyber Résilience "Les menacesCyber continueront de mettre à l'épreuve la préparation à la continuité des activités. Les institutions financières et les FST doivent rester conscients des menaces et scénarios émergents de cyber et considérer leur impact potentiel sur la résilience opérationnelle. Comme l'impact de chaque type d'événement cyber variera, la préparation est la clé pour prévenir ou atténuer les effets d'un tel événement. " |
Le service Prevalent Cyber & Business Monitoring fournit une surveillance instantanée et continue des fournisseurs pour une notification immédiate des problèmes à haut risque, une priorisation et des recommandations de remédiation. La surveillance de la sécurité des données et des risques commerciaux vous permet d'aller au-delà de la santé tactique du fournisseur pour obtenir une vue plus stratégique du risque global de sécurité de l'information d'un fournisseur. Prevalent est unique en ce qu'il offre une surveillance des risques commerciaux qui s'appuie sur des analystes humains pour interpréter les risques opérationnels, de marque, réglementaires, juridiques et financiers potentiels. Voici quelques exemples d'informations commerciales recueillies au cours de l'analyse :
|
Brochure sur la sécurité de l'information |
|
II.C.20 Supervision des fournisseurs de services tiers " La direction doit vérifier que les prestataires de services tiers mettent en œuvre et maintiennent des contrôles suffisants pour atténuer les risques de manière appropriée. Les contrats de l'institution devraient faire ce qui suit : Inclure des normes minimales de contrôle et d'information |
Le service d'évaluation Prevalent simplifie la conformité et réduit les risques grâce à la collecte et à l'analyse automatisées d'enquêtes auprès des fournisseurs à l'aide de questionnaires standard et personnalisés. Des flux de travail bidirectionnels permettent une communication aller-retour avec les fournisseurs de services technologiques pour traiter les résultats et les efforts de remédiation. Des rapports robustes et des capacités d'audit complètes rationalisent l'examen des performances. L'accès aux évaluations et audits terminés peut être délégué aux auditeurs via les fonctionnalités RBAC standard de la plateforme. |
Les agences qui composent la FFIEC prescrivent les meilleures pratiques et pour tous les inspecteurs de terrain qui effectuent des audits...
L'élaboration d'un ensemble de politiques claires peut contribuer à propulser les pratiques de gestion des risques liés aux tiers de votre organisation et...
Révéler les exigences du TPRM dans 13 règlements et acquérir les meilleures pratiques pour simplifier la conformité.