Orientations interagences sur la conformité des relations avec les tiers

C. Cycle de vie des relations avec les tiers

"Une gestion efficace des risques liés aux tiers suit généralement un cycle de vie continu pour les relations avec les tiers [...]. La mesure dans laquelle les exemples de considérations abordés dans les présentes orientations sont pertinents pour chaque organisme bancaire repose sur des faits et des circonstances spécifiques et ces exemples peuvent ne pas s'appliquer à toutes les relations d'un organisme bancaire avec des tiers..."

1. La planification

"Dans le cadre d'une gestion saine des risques, une planification efficace permet à un organisme bancaire d'évaluer et d'envisager la manière de gérer les risques avant de s'engager dans une relation avec un tiers. Certains tiers, tels que ceux qui soutiennent les activités à plus haut risque d'un organisme bancaire, y compris les activités critiques, justifient généralement un degré plus élevé de planification et d'examen. Par exemple, lorsqu'il s'agit d'activités critiques, les plans peuvent être présentés et approuvés par le conseil d'administration de l'organisme bancaire (ou par un comité désigné du conseil)..."

Dans le cadre de la mise en place ou de l'amélioration de votre programme de gestion des risques liés aux tiers, tenez compte des éléments suivants :

• Réglementer les politiques, les normes, les systèmes et les processus afin de protéger les systèmes et les données
• Rôles et responsabilités (par exemple, RACI) de tous les membres de l'équipe concernés
• Inventaires des tiers pour comprendre l'ampleur et la portée de l'implication des tiers
• Classification par des tiers et approches de catégorisation
• Notation et seuils de risque en fonction de la tolérance au risque de votre organisation.
• Méthodes d'évaluation et de surveillance basées sur la criticité des tiers
• Participation des quatrième et neuvième parties à la fourniture de services essentiels
• Sources des données de contrôle continu (cyber, business, réputation, financier)
• Indicateurs clés de performance (ICP) et indicateurs clés de risque (ICR) pour évaluer votre programme et les tiers.
• Exigences en matière de conformité et de rapports contractuels
• Processus de réponse aux incidents
• Rapports internes aux parties prenantes - pour la direction et le conseil d'administration
• Stratégies d'atténuation des risques et de remédiation

Chacun de ces éléments est essentiel à l'élaboration d'un plan de programme de TPRM complet.

2. Diligence raisonnable et sélection des tiers

"L'exercice d'une diligence raisonnable à l'égard des tiers avant de sélectionner et de nouer des relations avec eux est un élément important d'une bonne gestion des risques. Elle fournit à la direction les informations nécessaires sur les tiers potentiels pour déterminer si une relation peut contribuer à la réalisation des objectifs stratégiques et financiers d'un organisme bancaire. Le processus de diligence raisonnable fournit également à l'organisme bancaire les informations nécessaires pour évaluer s'il est en mesure d'identifier, de suivre et de contrôler de manière appropriée les risques associés à la relation avec le tiers concerné. La diligence raisonnable comprend l'évaluation de la capacité du tiers à : effectuer l'activité comme prévu, adhérer aux politiques de l'organisme bancaire relatives à l'activité, se conformer à toutes les lois et réglementations applicables, et mener l'activité d'une manière sûre et saine ...".

Évaluer et surveiller les tiers en fonction de l'ampleur des menaces pesant sur les actifs informationnels en identifiant, en suivant et en quantifiant les risques inhérents. Les critères utilisés pour calculer le risque inhérent pour la classification des tiers sont les suivants :

• Type de contenu requis pour valider les contrôles
• Criticité pour les performances et les opérations de l'entreprise
• Lieu(x) et considérations juridiques ou réglementaires connexes
• Niveau de dépendance à l'égard des quatrièmes parties (pour éviter le risque de concentration)
• Exposition aux processus opérationnels ou de contact avec les clients
• Interaction avec les données protégées
• Situation financière et santé
• Réputation

À partir de cette évaluation du risque inhérent, votre équipe peut automatiquement classer les tiers, fixer des niveaux appropriés de diligence ultérieure et déterminer l'étendue des évaluations continues.

La logique de hiérarchisation basée sur des règles permet de classer les tiers en fonction d'une série d'interactions de données, de considérations financières, réglementaires et de réputation.

a. Stratégies et objectifs

"Examinez la stratégie et les objectifs commerciaux globaux du tiers afin de déterminer comment les accords commerciaux stratégiques actuels et proposés par le tiers (tels que les fusions, les acquisitions, les cessions, les partenariats, les coentreprises ou les initiatives de marketing conjointes) peuvent affecter l'activité. Pensez également à examiner les philosophies de service, les initiatives en matière de qualité, les améliorations de l'efficacité et les politiques et pratiques en matière d'emploi du tiers. Examiner si la sélection d'un tiers est cohérente avec les politiques et pratiques générales de l'organisation bancaire, y compris ses politiques et pratiques en matière de diversité [...]"

Suivre et analyser en permanence les menaces externes pesant sur les tiers en surveillant les sources publiques et privées d'informations relatives à la réputation, aux sanctions et aux finances.

Corréler toutes les données de contrôle aux résultats de l'évaluation et les centraliser dans un registre des risques unifié pour chaque tiers, afin de rationaliser l'examen des risques, l'établissement de rapports et les initiatives de réponse.

Les sources de surveillance devraient inclure

• Sources publiques et privées d'informations sur la réputation, y compris les activités de fusion et d'acquisition, les nouvelles commerciales, les nouvelles négatives, les informations réglementaires et juridiques, les mises à jour opérationnelles, etc.
• Notes environnementales, sociales et de gouvernance (ESG)
• Sources d'information mondiales
• Profils de personnes politiquement exposées
• Listes de sanctions mondiales
• Indice de perception de la corruption (IPC)
• Déclarations sur l'esclavage moderne

b. Conformité aux lois et règlements

"L'examen de toutes les considérations juridiques et de conformité réglementaire liées à l'engagement d'un tiers permet à une organisation bancaire d'évaluer si elle peut atténuer de manière appropriée les risques liés à la relation avec le tiers...".

Lorsque vous évaluez une tierce partie, établissez un profil centralisé de la tierce partie qui comprend des informations démographiques, la propriété effective, les technologies de la quatrième partie, les scores ESG, des informations récentes sur les activités et la réputation, l'historique des violations de données, les récentes conclusions réglementaires et les performances financières.

Les options peuvent inclure l'analyse séparée des sources de ces données ou leur intégration dans une vue unique extensible à plusieurs équipes internes.

c. Situation financière

"L'évaluation de la situation financière d'un tiers par l'examen des informations financières disponibles, y compris les états financiers audités, les rapports annuels et les documents déposés auprès de la Securities and Exchange Commission (SEC) des États-Unis, entre autres, aide une organisation bancaire à déterminer si le tiers a la capacité financière et la stabilité nécessaires pour mener à bien l'activité..."

Exploiter une base de données mondiale contenant des millions d'informations financières sur les entreprises, y compris les changements organisationnels et les performances financières, le chiffre d'affaires, les pertes et profits, les fonds des actionnaires, etc.

Votre équipe peut analyser les sources de ces données séparément en téléchargeant les états financiers, ou intégrer l'analyse financière dans une stratégie plus large d'évaluation des risques.

f. Gestion des risques

"Une diligence raisonnable appropriée comprend une évaluation de l'efficacité de la gestion globale des risques d'un tiers, y compris les politiques, les processus et les contrôles internes, ainsi que l'alignement sur les politiques applicables et les attentes de l'organisation bancaire concernant l'activité ..."

"Lorsqu'ils sont pertinents et disponibles, les organismes bancaires peuvent envisager d'examiner les rapports de contrôle des systèmes et de l'organisation (SOC) et toute évaluation de la conformité ou certification par des tiers indépendants en rapport avec les normes nationales ou internationales pertinentes.11 Dans ce cas, l'organisme bancaire peut également examiner si la portée et les résultats des rapports SOC, des certifications ou des évaluations sont pertinents pour l'activité à réaliser ou suggèrent qu'un examen plus approfondi du tiers ou de l'un de ses sous-traitants peut être approprié.

Automatisez l'évaluation des risques afin d'accroître la visibilité, l'efficacité et la portée de votre programme de gestion des risques liés aux tiers à chaque étape du cycle de vie des tiers.
Veillez à ce que votre approche de l'évaluation des tiers comprenne

• Une vaste bibliothèque d'évaluations normalisées (y compris celles du NIST et de l'ISO) et des capacités de personnalisation permettant d'évaluer des tiers avec souplesse.
• Flux de travail intégré pour automatiser l'identification des risques (sur la base de seuils que vous définissez en fonction de la tolérance au risque de votre organisation) et leur attribution à des propriétaires.
• Recommandations de remédiation intégrées pour réduire le risque résiduel
• Rapports automatisés sur les risques et la conformité

Les résultats des évaluations et de la surveillance continue doivent être rassemblés dans un registre des risques unique, avec des rapports sous forme de cartes thermiques qui mesurent et classent les risques en fonction de leur probabilité et de leur impact. Grâce à ces informations, les équipes peuvent facilement voir les conséquences d'un risque et disposer de recommandations de remédiation prêtes à l'emploi pour les tiers afin d'atténuer les risques.

Pour les tiers qui soumettent un rapport SOC 2 au lieu d'une évaluation complète des risques liés aux tiers, cartographier les lacunes de contrôle identifiées dans le rapport SOC 2, créer des éléments de risque pour le tiers au sein d'une plateforme d'évaluation centrale, et assurer le suivi et le reporting des lacunes ainsi que des autres risques.

g. Sécurité de l'information

"Comprendre les implications potentielles en matière de sécurité de l'information, y compris l'accès aux systèmes et aux informations d'un organisme bancaire, peut aider un organisme bancaire à décider s'il doit ou non s'engager avec un tiers. La diligence raisonnable dans ce domaine consiste généralement à évaluer le programme de sécurité de l'information du tiers, y compris sa cohérence avec le programme de sécurité de l'information de l'organisme bancaire, comme son approche de la protection de la confidentialité, de l'intégrité et de la disponibilité des données de l'organisme bancaire. Il peut également s'agir de déterminer s'il existe des lacunes présentant un risque pour l'organisme bancaire ou ses clients et d'examiner dans quelle mesure le tiers applique des contrôles visant à limiter l'accès aux données et aux transactions de l'organisme bancaire, tels que l'authentification multifactorielle, le cryptage de bout en bout et la gestion sécurisée du code source. Elle aide également l'organisme bancaire à déterminer si le tiers se tient informé des menaces et vulnérabilités connues et émergentes et s'il dispose d'une expérience suffisante pour les identifier, les évaluer et les atténuer. Le cas échéant, l'évaluation des programmes de sécurité des données, de l'infrastructure et des applications du tiers, y compris le cycle de développement des logiciels et les résultats des tests de vulnérabilité et de pénétration, peut fournir des informations précieuses sur les vulnérabilités des systèmes informatiques. Enfin, la diligence raisonnable peut aider un organisme bancaire à évaluer la mise en œuvre par le tiers de mesures correctives efficaces et durables pour remédier à toute déficience découverte au cours des tests".

Effectuer des évaluations de la cybersécurité des tiers au moment de l'intégration, du renouvellement du contrat ou à toute autre fréquence requise (par exemple, tous les trimestres ou tous les ans). Veiller à ce que les évaluations s'appuient sur un flux de travail, une gestion des tâches et des capacités d'examen automatisé des preuves.

Ensuite, il faut suivre et analyser en permanence les menaces externes qui pèsent sur les tiers en surveillant l'Internet et le "dark web" à la recherche de menaces et de vulnérabilités sur le site cyber . Les sources de surveillance devraient inclure : les forums criminels, les pages en oignon, les forums d'accès spécial du dark web, les flux de menaces, les sites de collage d'informations d'identification fuitées, les communautés de sécurité, les référentiels de code, les bases de données de vulnérabilités et les bases de données sur les violations de données.

Corréler toutes les données de contrôle aux résultats de l'évaluation et les centraliser dans un registre des risques unifié pour chaque tiers, afin de rationaliser l'examen des risques, l'établissement de rapports et les initiatives de réponse.

Comme indiqué au point (g) ci-dessus, vous pouvez ensuite appliquer un flux de travail intégré pour trier et traiter les risques par le biais de recommandations de remédiation.

i. Résilience opérationnelle

"Une évaluation des pratiques de résilience opérationnelle d'un tiers permet à un organisme bancaire d'évaluer la capacité d'un tiers à fonctionner efficacement tout au long d'une perturbation ou d'un incident, tant interne qu'externe, et à se remettre de cette perturbation ou de cet incident. Une telle évaluation est particulièrement importante lorsque l'impact d'une telle perturbation pourrait avoir un effet négatif sur l'organisme bancaire ou ses clients, y compris lorsque le tiers interagit avec les clients. Il est important d'évaluer les options à utiliser si la capacité du tiers à exercer l'activité est compromise et de déterminer si le tiers maintient une résilience opérationnelle et des pratiques de cybersécurité appropriées, y compris des plans de reprise après sinistre et de continuité des activités qui précisent le délai de reprise des activités et de récupération des données..."

Automatisez l'évaluation, la surveillance continue, l'analyse et la correction de la résilience et de la continuité des activités des tiers à l'aide d'une évaluation complète de la résilience des activités basée sur la norme ISO 22301.

Cette approche permettra à votre équipe de

• classer les tiers en fonction de leur profil de risque et de leur importance pour l'entreprise
• Définir des objectifs de points de reprise (RPO) et des objectifs de délais de reprise (RTO).
• Centraliser l'inventaire des systèmes, les évaluations des risques, les diagrammes RACI et les tiers.
• Assurer une communication cohérente avec les tiers en cas d'interruption de l'activité.
  Compléter les évaluations de la résilience des entreprises et valider les résultats :
• Automatiser la surveillance continue du site cyber afin de prévoir les éventuels impacts sur les activités de tiers.
• Accéder à des informations qualitatives provenant de sources publiques et privées d'informations sur la réputation qui pourraient signaler une instabilité
• Exploiter les informations financières d'un réseau mondial d'entreprises pour identifier la santé financière d'un tiers ou des problèmes opérationnels.

Cette approche proactive permet à votre organisation de minimiser l'impact des perturbations causées par des tiers et de rester en tête des exigences de conformité.

j. Programmes de déclaration et de gestion des incidents

"L'examen et la prise en compte des processus de déclaration et de gestion des incidents d'un tiers sont utiles pour déterminer s'il existe des processus, des délais et des responsabilités clairement documentés pour l'identification, la déclaration, l'enquête et l'escalade des incidents. Cet examen permet de confirmer que les processus d'escalade et de notification du tiers répondent aux attentes de l'organisme bancaire et aux exigences réglementaires".

Envisagez de structurer et d'évaluer votre gestion des incidents par des tiers sur la base de l'un des cadres normalisés suivants :

• NIST 800-61R2 : Guide de traitement des incidents de sécurité informatique
• ISO/IEC 27035-1 : Gestion des incidents de sécurité de l'information, partie 1 : Principes de la gestion des incidents
• ISO/IEC 27035-2 : Gestion des incidents de sécurité de l'information - Partie 2 : Lignes directrices pour la planification et la préparation de la gestion des incidents
• OCC 2021-55 : Bank Incident Notification Final Rule, publié le 23/11/2021
• OCC 2022-8 : Information technology Points of Contact for Bank's Computer Security Incident Notifications (Points de contact pour les notifications d'incidents de sécurité informatique de la banque), publié le 29 mars 2022

Les éléments clés de votre rapport sur les incidents impliquant des tiers doivent inclure :

• Questionnaires personnalisables sur la gestion des événements et des incidents
• Suivi en temps réel de la progression du remplissage du questionnaire
• Des propriétaires de risques définis avec des rappels de poursuite automatisés pour maintenir les enquêtes dans les délais prévus
• Rapports proactifs de tiers
• Vues consolidées des évaluations de risque, des décomptes, des scores et des réponses signalées pour chaque tiers
• Règles de flux de travail permettant de déclencher des scénarios automatisés pour agir sur les risques en fonction de leur impact potentiel sur l'entreprise.
• Recommandations de remédiation intégrées pour réduire les risques
• Modèles de rapports intégrés
• Cartographie des données et des relations pour identifier les relations entre votre organisation et les tiers afin de visualiser les chemins de l'information et de déterminer les données à risque.

l. Recours aux sous-traitants

"Une évaluation du volume et des types d'activités sous-traitées et de la mesure dans laquelle le tiers fait appel à des sous-traitants permet de déterminer si ces accords de sous-traitance présentent un risque supplémentaire ou accru pour une organisation bancaire. Il s'agit généralement d'évaluer la capacité du tiers à identifier, gérer et atténuer les risques liés à la sous-traitance, y compris la manière dont le tiers sélectionne et supervise ses sous-traitants et s'assure que ces derniers mettent en œuvre des contrôles efficaces. D'autres éléments importants à prendre en compte sont la présence d'un risque supplémentaire lié à la localisation géographique d'un sous-traitant ou à la dépendance à l'égard d'un seul fournisseur pour des activités multiples.

Identifiez les relations de sous-traitance de quatrième et de Nième partie en procédant à une évaluation par questionnaire ou en analysant passivement l'infrastructure publique de la tierce partie. La carte des relations qui en résulte décrit les chemins d'information et les dépendances susceptibles d'exposer votre environnement à des risques.

Les tiers découverts grâce à ce processus font l'objet d'un suivi permanent afin d'identifier les risques financiers, ESG, cyber, les risques commerciaux et les risques de violation des données, ainsi que pour le dépistage des sanctions/PEP.

Cette approche permet d'aborder les risques potentiels de concentration technologique ou géographique.

3. Négociation du contrat

"Lorsqu'elle évalue l'opportunité de nouer une relation avec un tiers, une organisation bancaire détermine généralement si un contrat écrit est nécessaire et si le contrat proposé peut répondre à ses objectifs commerciaux et à ses besoins en matière de gestion des risques. Après cette détermination, l'organisme bancaire négocie généralement des dispositions contractuelles qui faciliteront une gestion et une surveillance efficaces des risques et qui préciseront les attentes et les obligations de l'organisme bancaire et du tiers. Un organisme bancaire peut adapter le niveau de détail et d'exhaustivité de ces dispositions contractuelles en fonction du risque et de la complexité de la relation particulière avec le tiers ...".

Centraliser la distribution, la discussion, la conservation et l'examen des contrats avec des tiers afin que toutes les équipes concernées puissent participer à l'examen des contrats pour s'assurer que les clauses appropriées sont incluses et gérées.

Les pratiques clés à prendre en compte dans la gestion des contrats avec des tiers sont les suivantes :

• Stockage centralisé des contrats
• Suivi de tous les contrats et de leurs attributs, tels que le type, les dates clés, la valeur, les rappels et le statut, avec des vues personnalisées et basées sur les rôles.
• Des fonctionnalités de workflow (basées sur l'utilisateur ou le type de contrat) pour automatiser le cycle de vie de la gestion des contrats.
• Rappels et avis de retard automatisés pour rationaliser l'examen des contrats
• Discussion centralisée des contrats et suivi des commentaires
• Stockage des contrats et des documents avec des autorisations basées sur des rôles et des pistes d'audit de tous les accès.
• Suivi du contrôle des versions qui prend en charge les modifications hors ligne des contrats et des documents.
• Permissions basées sur les rôles qui permettent la répartition des tâches, l'accès aux contrats et l'accès en lecture/écriture/modification.

Une bonne gestion du cycle de vie des contrats permettra à l'organisation d'être efficace :

• Gérer les accords et les performances
• Appliquer les clauses de conservation des informations, de droit à l'audit et les mesures de remédiation
• Obtenir des rapports de conformité
• Exiger la résilience et la continuité des activités
• Apporter une visibilité sur la sous-traitance et les tiers basés à l'étranger

b. Mesures de performance ou critères de référence

"Pour certaines relations, des mesures de performance clairement définies peuvent aider un organisme bancaire à évaluer la performance d'un tiers. En particulier, un accord de niveau de service entre l'organisme bancaire et le tiers peut aider à préciser les mesures entourant les attentes et les responsabilités des deux parties, y compris la conformité aux politiques et procédures et le respect des lois et réglementations applicables. Ces mesures peuvent être utilisées pour contrôler les performances, pénaliser les mauvaises performances ou récompenser les performances exceptionnelles. Il est important de négocier des mesures de performance qui n'incitent pas à des performances ou à des comportements imprudents, par exemple en encourageant le volume ou la vitesse de traitement sans tenir compte de la précision, des exigences de conformité ou des effets négatifs sur l'organisation bancaire ou les clients".

Au cours de la phase de négociation du cycle de vie de la tierce partie, inclure des accords de niveau de service (SLA), des indicateurs clés de performance (KPI) et des indicateurs clés de risque (KRI) exécutoires dans les contrats de tierce partie, désigner des responsables et suivre en permanence les progrès accomplis en vue de la réalisation de ces mesures.

Il est important de déterminer la différence entre les indicateurs clés de performance (ICP) et les indicateurs clés de risque (ICR) et de comprendre comment ils sont liés.

• Les indicateurs clés de performance (ICP) mesurent l'efficacité des fonctions et des processus.
• Les indicateurs clés de risque (KRI) indiquent le niveau de risque auquel l'organisation est confrontée et les traitements de risque à appliquer.

Lorsqu'il s'agit de mesurer les ICP et les IRC, il convient de les classer comme suit :

• Les mesures de risque aident à comprendre le risque de faire des affaires avec un tiers, ainsi que les mesures d'atténuation associées.
• Les mesures de la menace se recoupent quelque peu avec celles du risque et donnent une vision plus complète et validée du risque.
• Les mesures de conformité permettent de déterminer si les tiers respectent vos exigences en matière de contrôle interne.
• Les mesures de la couverture répondent à la question suivante : "Ai-je une couverture complète de l'empreinte de mes tiers et ceux-ci sont-ils hiérarchisés et traités en conséquence ?".

Veillez ensuite à lier les résultats aux dispositions contractuelles afin d'assurer une gouvernance complète du processus.

4. Contrôle continu

"La surveillance continue permet à une organisation bancaire de : (1) confirmer la qualité et la viabilité des contrôles d'un tiers et sa capacité à respecter ses obligations contractuelles ; (2) faire remonter les problèmes ou préoccupations importants, tels que les résultats d'audit importants ou répétés, la détérioration de la situation financière, les atteintes à la sécurité, les pertes de données, les interruptions de service, les manquements à la conformité ou d'autres indicateurs de risque accru ; et (3) répondre à ces problèmes ou préoccupations importants lorsqu'ils sont identifiés [...].

"Une gestion efficace des risques liés aux tiers comprend une surveillance continue pendant toute la durée de la relation avec un tiers, en fonction du niveau de risque et de la complexité de la relation et de l'activité exercée par le tiers ....

"La surveillance permanente peut être effectuée sur une base périodique ou continue, et une surveillance plus complète ou plus fréquente est appropriée lorsqu'une relation avec un tiers soutient des activités à plus haut risque, y compris des activités critiques. Étant donné que le niveau et le type de risques peuvent évoluer au cours de la durée de vie des relations avec des tiers, les organismes bancaires peuvent adapter leurs pratiques de surveillance continue en conséquence, notamment en modifiant la fréquence ou le type d'informations utilisées dans le cadre de la surveillance..."

Suivre et analyser en permanence les menaces externes qui pèsent sur les tiers en surveillant l'Internet et le dark web à la recherche de menaces et de vulnérabilités sur le site cyber , ainsi que les sources publiques et privées d'informations sur la réputation, les sanctions et les finances.

Les sources de surveillance devraient inclure

• Des forums criminels, des milliers de pages en oignon, des forums d'accès spécial sur le dark web, des flux de menaces et des sites de collage d'informations d'identification ayant fait l'objet d'une fuite, ainsi que plusieurs communautés de sécurité, dépôts de code et bases de données de vulnérabilités.
• Sources publiques et privées d'informations sur la réputation, y compris les activités de fusion et d'acquisition, les nouvelles commerciales, les nouvelles négatives, les informations réglementaires et juridiques, les mises à jour opérationnelles, etc.
• Les performances financières, y compris le chiffre d'affaires, les pertes et profits, les fonds des actionnaires, etc.
• Sources d'information mondiales
• Profils de personnes politiquement exposées
• Listes de sanctions mondiales

Corréler toutes les données de contrôle aux résultats de l'évaluation et les centraliser dans un registre des risques unifié pour chaque tiers, afin de rationaliser l'examen des risques, l'établissement de rapports et les initiatives de réponse.

5. Résiliation

"Une organisation bancaire peut mettre fin à une relation pour diverses raisons, telles que l'expiration ou la rupture du contrat, le non-respect par le tiers des lois ou réglementations applicables, ou le souhait de rechercher un autre tiers, d'internaliser l'activité ou d'y mettre fin. Lorsque cela se produit, il est important que la direction mette fin aux relations de manière efficace, que les activités soient transférées à un autre tiers, transférées en interne ou interrompues..."

Automatisez l'évaluation des contrats et les procédures d'abandon pour réduire le risque d'exposition post-contractuelle de votre organisation.

• Planifiez des tâches pour examiner les contrats afin de vous assurer que toutes les obligations ont été respectées. Émettez des évaluations de contrat personnalisables pour évaluer le statut.
• Exploitez des enquêtes et des flux de travail personnalisables pour établir des rapports sur l'accès au système, la destruction des données, la gestion des accès, la conformité à toutes les lois pertinentes, les paiements finaux, etc.
• Stockez et gérez de manière centralisée les documents et les certifications, tels que les accords de confidentialité, les accords de niveau de service, les cahiers des charges et les contrats. Tirez parti de l'analyse automatique intégrée des documents basée sur le traitement du langage naturel et l'apprentissage automatique d'AWS pour confirmer que les critères clés sont pris en compte.
• Prendre des mesures concrètes pour réduire les risques liés aux tiers grâce à des recommandations et des conseils intégrés en matière de remédiation.
• Visualisez et répondez aux exigences de conformité en mettant automatiquement en correspondance les résultats des évaluations avec n'importe quel règlement ou cadre.

D. La gouvernance

"Les organismes bancaires peuvent structurer leurs processus de gestion des risques de tiers de différentes manières. Certaines organisations bancaires répartissent la responsabilité de leurs processus de gestion des risques de tiers entre leurs lignes d'activité. D'autres organismes bancaires peuvent centraliser les processus dans le cadre de leurs fonctions de conformité, de sécurité de l'information, d'approvisionnement ou de gestion des risques. Quelle que soit la manière dont un organisme bancaire structure son processus, les pratiques suivantes sont généralement prises en compte tout au long du cycle de vie de la gestion des risques de tiers, en fonction du risque et de la complexité".

Pour répondre aux exigences de gouvernance du programme de gestion des risques liés aux tiers, il convient de rechercher une plateforme TPRM qui automatise les flux de travail nécessaires à l'intégration des tiers et à l'identification, l'évaluation, la gestion, le contrôle continu et la correction des risques liés à la sécurité, à la confidentialité, à la conformité, aux opérations et aux achats/chaîne d'approvisionnement des tiers à chaque étape du cycle de vie des fournisseurs. Une solution complète qui unifie la gestion de plusieurs types de risques au profit d'équipes interfonctionnelles réduira les coûts, facilitera les rapports de conformité et réduira le risque de lacunes dans les contrôles.