En juin 2023, le Conseil des gouverneurs du Système fédéral de réserve (le Conseil), la Federal Deposit Insurance Corporation (FDIC) et l'Office of the Comptroller of the Currency (OCC) ont publié des orientations uniformes sur la gestion des risques associés aux relations avec des tiers dans les organisations bancaires.
Le document Interagency Guidance on Third-Party Relationships : Risk Management (Gestion des risques ) se fonde sur les orientations de 2013 et les FAQ de 2020 du site OCC. Elles remplacent les directives existantes de chaque agence sur les relations avec les tiers et s'appliquent à toutes les organisations bancaires supervisées par les agences. L'objectif de ces orientations est d'apporter uniformité et cohérence à la manière dont les organisations bancaires développent et appliquent les principes de gestion des risques dans le cadre des relations avec les tiers.
Élaborer un plan décrivant la stratégie de l'organisation, identifiant les risques inhérents à l'activité avec le tiers et détaillant la manière dont l'organisation identifiera, évaluera, sélectionnera et supervisera le tiers.
Faire preuve de diligence raisonnable lors de la sélection d'un tiers
Négocier des contrats écrits qui précisent les droits et les responsabilités de toutes les parties.
Faire en sorte que le conseil d'administration et la direction supervisent les processus de gestion des risques de l'organisation, en conservant la documentation et les rapports nécessaires pour assurer la responsabilité de la surveillance, et en procédant à des examens indépendants.
Contrôler en permanence les activités et les performances du tiers.
Élaborer des plans d'urgence pour mettre fin à la relation de manière efficace.
Aligner votre programme de TPRM sur les orientations interagences
Le guide interagences sur les relations avec les tiers : Best Practices Guide examine les exigences que les organisations doivent prendre en compte à chaque étape d'une relation avec un tiers.
Répondre aux exigences du guide interagences sur les relations avec les tiers
Voici comment Prevalent peut vous aider à répondre aux exigences de la directive en matière de gestion des risques liés aux tiers :
Orientations | Quelle aide nous apportons |
---|---|
C. Cycle de vie des relations avec les tiers "Une gestion efficace des risques liés aux tiers suit généralement un cycle de vie continu pour les relations avec les tiers [...]. La mesure dans laquelle les exemples de considérations abordés dans les présentes orientations sont pertinents pour chaque organisme bancaire repose sur des faits et des circonstances spécifiques et ces exemples peuvent ne pas s'appliquer à toutes les relations d'un organisme bancaire avec des tiers..." |
|
1. La planification "Dans le cadre d'une gestion saine des risques, une planification efficace permet à un organisme bancaire d'évaluer et d'envisager la manière de gérer les risques avant de s'engager dans une relation avec un tiers. Certains tiers, tels que ceux qui soutiennent les activités à plus haut risque d'un organisme bancaire, y compris les activités critiques, justifient généralement un degré plus élevé de planification et d'examen. Par exemple, lorsqu'il s'agit d'activités critiques, les plans peuvent être présentés et approuvés par le conseil d'administration de l'organisme bancaire (ou par un comité désigné du conseil)..." |
Dans le cadre de la mise en place ou de l'amélioration de votre programme de gestion des risques liés aux tiers, tenez compte des éléments suivants :
Chacun de ces éléments est essentiel à l'élaboration d'un plan de programme de TPRM complet. |
2. Diligence raisonnable et sélection des tiers "L'exercice d'une diligence raisonnable à l'égard des tiers avant de sélectionner et de nouer des relations avec eux est un élément important d'une bonne gestion des risques. Elle fournit à la direction les informations nécessaires sur les tiers potentiels pour déterminer si une relation peut contribuer à la réalisation des objectifs stratégiques et financiers d'un organisme bancaire. Le processus de diligence raisonnable fournit également à l'organisme bancaire les informations nécessaires pour évaluer s'il est en mesure d'identifier, de suivre et de contrôler de manière appropriée les risques associés à la relation avec le tiers concerné. La diligence raisonnable comprend l'évaluation de la capacité du tiers à : effectuer l'activité comme prévu, adhérer aux politiques de l'organisme bancaire relatives à l'activité, se conformer à toutes les lois et réglementations applicables, et mener l'activité d'une manière sûre et saine ...". |
Évaluer et surveiller les tiers en fonction de l'ampleur des menaces pesant sur les actifs informationnels en identifiant, en suivant et en quantifiant les risques inhérents. Les critères utilisés pour calculer le risque inhérent pour la classification des tiers sont les suivants :
À partir de cette évaluation du risque inhérent, votre équipe peut automatiquement classer les tiers, fixer des niveaux appropriés de diligence ultérieure et déterminer l'étendue des évaluations continues. La logique de hiérarchisation basée sur des règles permet de classer les tiers en fonction d'une série d'interactions de données, de considérations financières, réglementaires et de réputation. |
a. Stratégies et objectifs "Examinez la stratégie et les objectifs commerciaux globaux du tiers afin de déterminer comment les accords commerciaux stratégiques actuels et proposés par le tiers (tels que les fusions, les acquisitions, les cessions, les partenariats, les coentreprises ou les initiatives de marketing conjointes) peuvent affecter l'activité. Pensez également à examiner les philosophies de service, les initiatives en matière de qualité, les améliorations de l'efficacité et les politiques et pratiques en matière d'emploi du tiers. Examiner si la sélection d'un tiers est cohérente avec les politiques et pratiques générales de l'organisation bancaire, y compris ses politiques et pratiques en matière de diversité [...]" |
Suivre et analyser en permanence les menaces externes pesant sur les tiers en surveillant les sources publiques et privées d'informations relatives à la réputation, aux sanctions et aux finances. Corréler toutes les données de contrôle aux résultats de l'évaluation et les centraliser dans un registre des risques unifié pour chaque tiers, afin de rationaliser l'examen des risques, l'établissement de rapports et les initiatives de réponse. Les sources de surveillance devraient inclure
|
b. Conformité aux lois et règlements "L'examen de toutes les considérations juridiques et de conformité réglementaire liées à l'engagement d'un tiers permet à une organisation bancaire d'évaluer si elle peut atténuer de manière appropriée les risques liés à la relation avec le tiers...". |
Lorsque vous évaluez une tierce partie, établissez un profil centralisé de la tierce partie qui comprend des informations démographiques, la propriété effective, les technologies de la quatrième partie, les scores ESG, des informations récentes sur les activités et la réputation, l'historique des violations de données, les récentes conclusions réglementaires et les performances financières. Les options peuvent inclure l'analyse séparée des sources de ces données ou leur intégration dans une vue unique extensible à plusieurs équipes internes. |
c. Situation financière "L'évaluation de la situation financière d'un tiers par l'examen des informations financières disponibles, y compris les états financiers audités, les rapports annuels et les documents déposés auprès de la Securities and Exchange Commission (SEC) des États-Unis, entre autres, aide une organisation bancaire à déterminer si le tiers a la capacité financière et la stabilité nécessaires pour mener à bien l'activité..." |
Exploiter une base de données mondiale contenant des millions d'informations financières sur les entreprises, y compris les changements organisationnels et les performances financières, le chiffre d'affaires, les pertes et profits, les fonds des actionnaires, etc. Votre équipe peut analyser les sources de ces données séparément en téléchargeant les états financiers, ou intégrer l'analyse financière dans une stratégie plus large d'évaluation des risques. |
f. Gestion des risques "Une diligence raisonnable appropriée comprend une évaluation de l'efficacité de la gestion globale des risques d'un tiers, y compris les politiques, les processus et les contrôles internes, ainsi que l'alignement sur les politiques applicables et les attentes de l'organisation bancaire concernant l'activité ..." "Lorsqu'ils sont pertinents et disponibles, les organismes bancaires peuvent envisager d'examiner les rapports de contrôle des systèmes et de l'organisation (SOC) et toute évaluation de la conformité ou certification par des tiers indépendants en rapport avec les normes nationales ou internationales pertinentes.11 Dans ce cas, l'organisme bancaire peut également examiner si la portée et les résultats des rapports SOC, des certifications ou des évaluations sont pertinents pour l'activité à réaliser ou suggèrent qu'un examen plus approfondi du tiers ou de l'un de ses sous-traitants peut être approprié. |
Automatisez l'évaluation des risques afin d'accroître la visibilité, l'efficacité et la portée de votre programme de gestion des risques liés aux tiers à chaque étape du cycle de vie des tiers.
Les résultats des évaluations et de la surveillance continue doivent être rassemblés dans un registre des risques unique, avec des rapports sous forme de cartes thermiques qui mesurent et classent les risques en fonction de leur probabilité et de leur impact. Grâce à ces informations, les équipes peuvent facilement voir les conséquences d'un risque et disposer de recommandations de remédiation prêtes à l'emploi pour les tiers afin d'atténuer les risques. Pour les tiers qui soumettent un rapport SOC 2 au lieu d'une évaluation complète des risques liés aux tiers, cartographier les lacunes de contrôle identifiées dans le rapport SOC 2, créer des éléments de risque pour le tiers au sein d'une plateforme d'évaluation centrale, et assurer le suivi et le reporting des lacunes ainsi que des autres risques. |
g. Sécurité de l'information "Comprendre les implications potentielles en matière de sécurité de l'information, y compris l'accès aux systèmes et aux informations d'un organisme bancaire, peut aider un organisme bancaire à décider s'il doit ou non s'engager avec un tiers. La diligence raisonnable dans ce domaine consiste généralement à évaluer le programme de sécurité de l'information du tiers, y compris sa cohérence avec le programme de sécurité de l'information de l'organisme bancaire, comme son approche de la protection de la confidentialité, de l'intégrité et de la disponibilité des données de l'organisme bancaire. Il peut également s'agir de déterminer s'il existe des lacunes présentant un risque pour l'organisme bancaire ou ses clients et d'examiner dans quelle mesure le tiers applique des contrôles visant à limiter l'accès aux données et aux transactions de l'organisme bancaire, tels que l'authentification multifactorielle, le cryptage de bout en bout et la gestion sécurisée du code source. Elle aide également l'organisme bancaire à déterminer si le tiers se tient informé des menaces et vulnérabilités connues et émergentes et s'il dispose d'une expérience suffisante pour les identifier, les évaluer et les atténuer. Le cas échéant, l'évaluation des programmes de sécurité des données, de l'infrastructure et des applications du tiers, y compris le cycle de développement des logiciels et les résultats des tests de vulnérabilité et de pénétration, peut fournir des informations précieuses sur les vulnérabilités des systèmes informatiques. Enfin, la diligence raisonnable peut aider un organisme bancaire à évaluer la mise en œuvre par le tiers de mesures correctives efficaces et durables pour remédier à toute déficience découverte au cours des tests". |
Effectuer des évaluations de la cybersécurité des tiers au moment de l'intégration, du renouvellement du contrat ou à toute autre fréquence requise (par exemple, tous les trimestres ou tous les ans). Veiller à ce que les évaluations s'appuient sur un flux de travail, une gestion des tâches et des capacités d'examen automatisé des preuves. Ensuite, il faut suivre et analyser en permanence les menaces externes qui pèsent sur les tiers en surveillant l'Internet et le "dark web" à la recherche de menaces et de vulnérabilités sur le site cyber . Les sources de surveillance devraient inclure : les forums criminels, les pages en oignon, les forums d'accès spécial du dark web, les flux de menaces, les sites de collage d'informations d'identification fuitées, les communautés de sécurité, les référentiels de code, les bases de données de vulnérabilités et les bases de données sur les violations de données. Corréler toutes les données de contrôle aux résultats de l'évaluation et les centraliser dans un registre des risques unifié pour chaque tiers, afin de rationaliser l'examen des risques, l'établissement de rapports et les initiatives de réponse. Comme indiqué au point (g) ci-dessus, vous pouvez ensuite appliquer un flux de travail intégré pour trier et traiter les risques par le biais de recommandations de remédiation. |
i. Résilience opérationnelle "Une évaluation des pratiques de résilience opérationnelle d'un tiers permet à un organisme bancaire d'évaluer la capacité d'un tiers à fonctionner efficacement tout au long d'une perturbation ou d'un incident, tant interne qu'externe, et à se remettre de cette perturbation ou de cet incident. Une telle évaluation est particulièrement importante lorsque l'impact d'une telle perturbation pourrait avoir un effet négatif sur l'organisme bancaire ou ses clients, y compris lorsque le tiers interagit avec les clients. Il est important d'évaluer les options à utiliser si la capacité du tiers à exercer l'activité est compromise et de déterminer si le tiers maintient une résilience opérationnelle et des pratiques de cybersécurité appropriées, y compris des plans de reprise après sinistre et de continuité des activités qui précisent le délai de reprise des activités et de récupération des données..." |
Automatisez l'évaluation, la surveillance continue, l'analyse et la correction de la résilience et de la continuité des activités des tiers à l'aide d'une évaluation complète de la résilience des activités basée sur la norme ISO 22301. Cette approche permettra à votre équipe de
Cette approche proactive permet à votre organisation de minimiser l'impact des perturbations causées par des tiers et de rester en tête des exigences de conformité. |
j. Programmes de déclaration et de gestion des incidents "L'examen et la prise en compte des processus de déclaration et de gestion des incidents d'un tiers sont utiles pour déterminer s'il existe des processus, des délais et des responsabilités clairement documentés pour l'identification, la déclaration, l'enquête et l'escalade des incidents. Cet examen permet de confirmer que les processus d'escalade et de notification du tiers répondent aux attentes de l'organisme bancaire et aux exigences réglementaires". |
Envisagez de structurer et d'évaluer votre gestion des incidents par des tiers sur la base de l'un des cadres normalisés suivants :
Les éléments clés de votre rapport sur les incidents impliquant des tiers doivent inclure :
|
l. Recours aux sous-traitants "Une évaluation du volume et des types d'activités sous-traitées et de la mesure dans laquelle le tiers fait appel à des sous-traitants permet de déterminer si ces accords de sous-traitance présentent un risque supplémentaire ou accru pour une organisation bancaire. Il s'agit généralement d'évaluer la capacité du tiers à identifier, gérer et atténuer les risques liés à la sous-traitance, y compris la manière dont le tiers sélectionne et supervise ses sous-traitants et s'assure que ces derniers mettent en œuvre des contrôles efficaces. D'autres éléments importants à prendre en compte sont la présence d'un risque supplémentaire lié à la localisation géographique d'un sous-traitant ou à la dépendance à l'égard d'un seul fournisseur pour des activités multiples. |
Identifiez les relations de sous-traitance de quatrième et de Nième partie en procédant à une évaluation par questionnaire ou en analysant passivement l'infrastructure publique de la tierce partie. La carte des relations qui en résulte décrit les chemins d'information et les dépendances susceptibles d'exposer votre environnement à des risques. Les tiers découverts grâce à ce processus font l'objet d'un suivi permanent afin d'identifier les risques financiers, ESG, cyber, les risques commerciaux et les risques de violation des données, ainsi que pour le dépistage des sanctions/PEP. Cette approche permet d'aborder les risques potentiels de concentration technologique ou géographique. |
3. Négociation du contrat "Lorsqu'elle évalue l'opportunité de nouer une relation avec un tiers, une organisation bancaire détermine généralement si un contrat écrit est nécessaire et si le contrat proposé peut répondre à ses objectifs commerciaux et à ses besoins en matière de gestion des risques. Après cette détermination, l'organisme bancaire négocie généralement des dispositions contractuelles qui faciliteront une gestion et une surveillance efficaces des risques et qui préciseront les attentes et les obligations de l'organisme bancaire et du tiers. Un organisme bancaire peut adapter le niveau de détail et d'exhaustivité de ces dispositions contractuelles en fonction du risque et de la complexité de la relation particulière avec le tiers ...". |
Centraliser la distribution, la discussion, la conservation et l'examen des contrats avec des tiers afin que toutes les équipes concernées puissent participer à l'examen des contrats pour s'assurer que les clauses appropriées sont incluses et gérées. Les pratiques clés à prendre en compte dans la gestion des contrats avec des tiers sont les suivantes :
Une bonne gestion du cycle de vie des contrats permettra à l'organisation d'être efficace :
|
b. Mesures de performance ou critères de référence "Pour certaines relations, des mesures de performance clairement définies peuvent aider un organisme bancaire à évaluer la performance d'un tiers. En particulier, un accord de niveau de service entre l'organisme bancaire et le tiers peut aider à préciser les mesures entourant les attentes et les responsabilités des deux parties, y compris la conformité aux politiques et procédures et le respect des lois et réglementations applicables. Ces mesures peuvent être utilisées pour contrôler les performances, pénaliser les mauvaises performances ou récompenser les performances exceptionnelles. Il est important de négocier des mesures de performance qui n'incitent pas à des performances ou à des comportements imprudents, par exemple en encourageant le volume ou la vitesse de traitement sans tenir compte de la précision, des exigences de conformité ou des effets négatifs sur l'organisation bancaire ou les clients". |
Au cours de la phase de négociation du cycle de vie de la tierce partie, inclure des accords de niveau de service (SLA), des indicateurs clés de performance (KPI) et des indicateurs clés de risque (KRI) exécutoires dans les contrats de tierce partie, désigner des responsables et suivre en permanence les progrès accomplis en vue de la réalisation de ces mesures. Il est important de déterminer la différence entre les indicateurs clés de performance (ICP) et les indicateurs clés de risque (ICR) et de comprendre comment ils sont liés.
Lorsqu'il s'agit de mesurer les ICP et les IRC, il convient de les classer comme suit :
Veillez ensuite à lier les résultats aux dispositions contractuelles afin d'assurer une gouvernance complète du processus. |
4. Contrôle continu "La surveillance continue permet à une organisation bancaire de : (1) confirmer la qualité et la viabilité des contrôles d'un tiers et sa capacité à respecter ses obligations contractuelles ; (2) faire remonter les problèmes ou préoccupations importants, tels que les résultats d'audit importants ou répétés, la détérioration de la situation financière, les atteintes à la sécurité, les pertes de données, les interruptions de service, les manquements à la conformité ou d'autres indicateurs de risque accru ; et (3) répondre à ces problèmes ou préoccupations importants lorsqu'ils sont identifiés [...]. "Une gestion efficace des risques liés aux tiers comprend une surveillance continue pendant toute la durée de la relation avec un tiers, en fonction du niveau de risque et de la complexité de la relation et de l'activité exercée par le tiers .... "La surveillance permanente peut être effectuée sur une base périodique ou continue, et une surveillance plus complète ou plus fréquente est appropriée lorsqu'une relation avec un tiers soutient des activités à plus haut risque, y compris des activités critiques. Étant donné que le niveau et le type de risques peuvent évoluer au cours de la durée de vie des relations avec des tiers, les organismes bancaires peuvent adapter leurs pratiques de surveillance continue en conséquence, notamment en modifiant la fréquence ou le type d'informations utilisées dans le cadre de la surveillance..." |
Suivre et analyser en permanence les menaces externes qui pèsent sur les tiers en surveillant l'Internet et le dark web à la recherche de menaces et de vulnérabilités sur le site cyber , ainsi que les sources publiques et privées d'informations sur la réputation, les sanctions et les finances. Les sources de surveillance devraient inclure
Corréler toutes les données de contrôle aux résultats de l'évaluation et les centraliser dans un registre des risques unifié pour chaque tiers, afin de rationaliser l'examen des risques, l'établissement de rapports et les initiatives de réponse. |
5. Résiliation "Une organisation bancaire peut mettre fin à une relation pour diverses raisons, telles que l'expiration ou la rupture du contrat, le non-respect par le tiers des lois ou réglementations applicables, ou le souhait de rechercher un autre tiers, d'internaliser l'activité ou d'y mettre fin. Lorsque cela se produit, il est important que la direction mette fin aux relations de manière efficace, que les activités soient transférées à un autre tiers, transférées en interne ou interrompues..." |
Automatisez l'évaluation des contrats et les procédures d'abandon pour réduire le risque d'exposition post-contractuelle de votre organisation.
|
D. La gouvernance "Les organismes bancaires peuvent structurer leurs processus de gestion des risques de tiers de différentes manières. Certaines organisations bancaires répartissent la responsabilité de leurs processus de gestion des risques de tiers entre leurs lignes d'activité. D'autres organismes bancaires peuvent centraliser les processus dans le cadre de leurs fonctions de conformité, de sécurité de l'information, d'approvisionnement ou de gestion des risques. Quelle que soit la manière dont un organisme bancaire structure son processus, les pratiques suivantes sont généralement prises en compte tout au long du cycle de vie de la gestion des risques de tiers, en fonction du risque et de la complexité". |
Pour répondre aux exigences de gouvernance du programme de gestion des risques liés aux tiers, il convient de rechercher une plateforme TPRM qui automatise les flux de travail nécessaires à l'intégration des tiers et à l'identification, l'évaluation, la gestion, le contrôle continu et la correction des risques liés à la sécurité, à la confidentialité, à la conformité, aux opérations et aux achats/chaîne d'approvisionnement des tiers à chaque étape du cycle de vie des fournisseurs. Une solution complète qui unifie la gestion de plusieurs types de risques au profit d'équipes interfonctionnelles réduira les coûts, facilitera les rapports de conformité et réduira le risque de lacunes dans les contrôles. |
Aligner votre programme de TPRM sur 13 normes industrielles
Téléchargez ce guide pour passer en revue les normes industrielles avec les exigences spécifiques du TPRM, et découvrez les meilleures pratiques pour simplifier la conformité.
Voici les meilleures pratiques pour s'aligner sur les exigences du système de la Réserve fédérale américaine,...
La conformité totale avec la directive interagences finalisée est attendue dans les 12 prochains mois et remplace...
Rejoignez Joseph Martinez qui examinera comment les directives financières interagences finalisées peuvent avoir un impact sur votre...