Dans le cadre de son rôle de régulateur prudentiel, l'Autorité monétaire de Singapour (MAS) a livré en 2016 des directives sur l'externalisation des accords avec des tiers. La MAS a élargi ses orientations en matière d'externalisation en octobre 2018, puis en août 2022 avec la publication d'un document d'information intitulé Operational Risk Management - Management of Outsourcing and Third Party Arrangements.
Outre la publication d'exigences détaillées sur la manière d'améliorer la surveillance et la gouvernance des tiers, la MAS a établi des directives complètes sur la conduite de la diligence raisonnable tout au long du cycle de vie des accords d'externalisation. La MAS inclut des conseils spécifiques pour les institutions financières dans les domaines suivants du cycle de vie de la gestion des risques liés aux tiers :
S'assurer que les tiers auxquels on fait appel pour la prestation de services sont soumis à une gouvernance adéquate, à une gestion des risques et à des contrôles internes solides.
Évaluer les risques découlant des services de tiers et mettre en place des contrôles proportionnels à la nature et à l'ampleur des risques.
appliquer une gestion des risques adéquate et des contrôles internes solides pour régir les accords d'externalisation et de non-externalisation
La liste de contrôle de conformité des tiers du MAS
Téléchargez la liste de contrôle de conformité des tiers de l'Autorité monétaire de Singapour (MAS) pour identifier les principales dispositions de la MAS qui régissent les accords d'externalisation et de non-externalisation.
Respect des directives MAS TPRM
Le tableau récapitulatif ci-dessous met en correspondance les capacités de la plateforme de gestion des risques liés aux tiersPrevalent avec certains articles du document d'information MAS Operational Risk Management - Management of Outsourcing and Third Party Arrangements, chapitre 3.
REMARQUE : Il s'agit uniquement d'un résumé des articles les plus pertinents, qui ne doit pas être considéré comme un guide complet et définitif. Pour une liste complète des articles, veuillez examiner le document complet en détail et consulter votre auditeur.
Contrôles MAS | Quelle aide nous apportons |
---|---|
A : Contrôles des accords d'externalisation Cette section sur les contrôles des accords d'externalisation décrit les pratiques en : I) Gouvernance et surveillance de la gestion ; |
|
I) Gouvernance et surveillance de la gestion |
|
Structure et cadre de gouvernance de l'externalisation "Les banques mettent en place une structure et un cadre de gouvernance appropriés pour que la direction exerce une surveillance et une attention adéquates sur les risques découlant des accords d'externalisation, afin de s'assurer que les risques pris sont conformes aux stratégies et à la propension au risque des banques. "Dans le cadre de l'adoption d'une approche fondée sur le risque, les banques veillent à ce que leur cadre d'approbation facilite l'évaluation par la direction de l'importance relative et des risques des accords d'externalisation existants et futurs. Les processus qui soutiennent l'évaluation et l'approbation des accords d'externalisation sont suffisamment robustes et efficaces." Définition d'un appétit approprié pour le risque d'externalisation "Les banques établissent une stratégie et une appétence pour le risque adaptées pour définir la nature et l'étendue du risque qu'elles sont prêtes et capables d'assumer dans le cadre de leurs accords d'externalisation." |
Prevalent s'associe à vous pour mettre en place un programme complet de gestion des risques liés aux tiers (TPRM) fondé sur des pratiques exemplaires éprouvées et une vaste expérience du monde réel. Nos experts collaborent avec votre équipe pour définir et mettre en œuvre des processus et des solutions TPRM, sélectionner des questionnaires et des cadres d'évaluation des risques et optimiser votre programme afin de couvrir l'ensemble du cycle de vie des risques liés aux tiers - de la recherche de sources d'approvisionnement et de la diligence raisonnable à la résiliation et à l'intégration - en fonction de l'appétit pour le risque de votre organisation. Dans le cadre de ce processus, Prevalent peut vous aider à définir :
|
Rapports de gestion sur l'externalisation "Les banques ont mis en place des processus efficaces permettant d'avoir une vision globale, à l'échelle de la banque, des expositions aux risques découlant de l'externalisation. Il existe des rapports réguliers à la direction sur les profils de risque d'externalisation, les problèmes d'externalisation importants et les KRI, afin de faciliter la surveillance du paysage des risques d'externalisation, des tendances et des préoccupations." |
Prevalent aide les institutions financières à révéler les tendances en matière de risques, l'état des risques liés aux tiers et les exceptions aux comportements habituels, grâce à l'apprentissage automatique (ML) intégré et aux rapports personnalisables en fonction du rôle. En outre, Prevalent permet de mesurer de manière centralisée les indicateurs clés de performance (KPI) et les indicateurs de performance clés (KRI) des tiers afin de réduire les risques liés aux lacunes dans la surveillance des fournisseurs en automatisant les évaluations des contrats et des performances et en fournissant un cadre de mesure par rapport aux exigences. Grâce à cette capacité, les IF peuvent rapidement identifier les valeurs aberrantes qui pourraient justifier une enquête plus approfondie et améliorer l'efficacité de la réduction des risques en mettant les bonnes données entre les bonnes mains. |
II) Diligence raisonnable (embarquement et examens périodiques) |
|
Due diligence (onboarding et examens continus) " Les banques spécifient des exigences claires, et fournissent des orientations complètes, sur les processus de diligence raisonnable et d'évaluation des risques pour l'intégration de nouveaux accords d'externalisation et les examens périodiques des accords existants. Ces processus sont proportionnés aux risques encourus, une attention particulière étant accordée aux facteurs de risque tels que les accords impliquant le partage de données sur les clients. Les banques mettent en place les contrôles et les équilibres nécessaires pour s'assurer que ces exigences et processus font l'objet d'un suivi adéquat en vue de leur conformité en temps voulu. "Les banques font appel aux PME concernées pour déterminer si les éléments techniques des risques liés à un accord d'externalisation sont pris en compte de manière adéquate." |
Prevalent offre une évaluation de diligence raisonnable précontractuelle avec une notation claire basée sur huit critères pour capturer, suivre et quantifier les risques inhérents à tous les tiers. Les critères incluent :
Grâce à cette évaluation des risques inhérents, votre équipe peut automatiquement classer les fournisseurs par ordre de priorité, définir des niveaux appropriés de diligence supplémentaire et déterminer la portée des évaluations continues. La logique de hiérarchisation basée sur des règles permet de classer les fournisseurs en fonction de l'interaction des données et de considérations financières, réglementaires et de réputation. Prevalent propose une bibliothèque de plus de 750 modèles préétablis pour l'évaluation des risques liés aux tiers. Les évaluations peuvent être réalisées au moment du renouvellement du contrat ou à n'importe quelle fréquence (trimestrielle ou annuelle, par exemple). Les questionnaires d'évaluation peuvent être axés sur le monde entier ou sur la région afin de répondre à des exigences juridiques ou opérationnelles particulières. Prevalent fournit des recommandations de remédiation intégrées basées sur les résultats de l'évaluation des risques. Ces recommandations sont étayées par des fonctionnalités de gestion des flux de travail et des tâches afin de garantir que les tiers traitent les risques en temps voulu et de manière satisfaisante. |
III) Gestion et surveillance continues des risques |
|
Cadre de contrôle des accords d'externalisation "Les banques établissent un cadre structuré pour le suivi et le contrôle continus des accords d'externalisation, avec une participation adéquate de parties indépendantes pour fournir une remise en question et une surveillance efficaces aux unités opérationnelles à l'origine des accords d'externalisation." |
Leservice de validation des contrôles Prevalent examine les réponses et la documentation des évaluations de tiers par rapport aux protocoles de test établis afin de valider la mise en place des contrôles indiqués. Prevalent Les experts examinent d'abord les réponses aux évaluations provenant de questionnaires personnalisés ou standardisés. Nous faisons ensuite correspondre les réponses aux cadres de contrôle SIG, SCA, ISO, SOC II, AITECH et/ou autres. Enfin, nous travaillons avec vous pour élaborer des plans de remédiation et en assurer le suivi jusqu'à leur achèvement. Avec des options disponibles à distance et sur site, Prevalent offre l'expertise nécessaire pour vous aider à réduire les risques avec vos ressources existantes. |
Surveillance et contrôles continus des risques " Les banques sont proactives dans la gestion des relations avec les prestataires de services externalisés, et appliquent des contrôles plus rigoureux pour les accords à plus haut risque. Comme la nature, l'importance et la complexité des accords d'externalisation peuvent évoluer au fil du temps, le cadre de surveillance continue doit être suffisamment robuste pour prendre en compte et gérer ces changements. "Les banques disposent d'outils adéquats pour surveiller le risque d'externalisation. Les tendances significatives en matière de risque identifiées à partir des évaluations KRI et heatmap, les préoccupations (telles que la remédiation en retard des problèmes de risque/audit, les violations du niveau de service ou les examens périodiques en retard), ainsi que les analyses de concentration sont signalées à la direction." |
Prevalent suit et analyse en permanence les menaces externes pour les tiers. La solution surveille l'Internet et le dark web à la recherche de cyber menaces et vulnérabilités, ainsi que les sources publiques et privées d'informations relatives à la réputation, aux sanctions et aux finances. Toutes les données de surveillance sont corrélées aux résultats de l'évaluation et centralisées dans un registre des risques unifié pour chaque fournisseur, ce qui simplifie l'examen des risques, l'établissement de rapports et les initiatives de réponse. Les risques peuvent être classés dans une carte thermique avec des axes de probabilité et d'impact. Les sources de surveillance comprennent :
|
B : Contrôles des accords de non- externalisation (NOA) Cette section sur les contrôles des NDA décrit les pratiques observées dans les banques dans les domaines suivants dans un cadre de gestion des risques liés aux tiers : I) Identification et catégorisation des risques ; |
|
I) Identification et catégorisation des risques |
|
Identification et catégorisation des risques liés aux dépendances vis-à-vis des tiers. " Les banques disposent d'un cadre de gestion des risques liés aux tiers et de gouvernance pour gérer leurs dépendances vis-à-vis des tiers non externalisés. "Les banques établissent des critères clairs pour évaluer les risques de leurs NDA, de manière à déterminer les exigences de gouvernance et de diligence raisonnable auxquelles ils doivent être soumis. Une attention adéquate est accordée aux facteurs de risque tels que les accords qui impliquent le partage de données sur les clients." |
Prevalent s'associe à vous pour mettre en place un programme complet de gestion des risques liés aux tiers (TPRM) fondé sur des pratiques exemplaires éprouvées et une vaste expérience du monde réel. Nos experts collaborent avec votre équipe pour définir et mettre en œuvre des processus et des solutions TPRM, sélectionner des questionnaires et des cadres d'évaluation des risques et optimiser votre programme afin de couvrir l'ensemble du cycle de vie des risques liés aux tiers - de la recherche de sources d'approvisionnement et de la diligence raisonnable à la résiliation et à l'intégration - en fonction de l'appétit pour le risque de votre organisation. Dans le cadre de ce processus, Prevalent peut vous aider à définir :
Prevalent offre une évaluation de diligence raisonnable précontractuelle avec une notation claire basée sur huit critères pour capturer, suivre et quantifier les risques inhérents à tous les tiers. Les critères incluent :
Grâce à cette évaluation des risques inhérents, votre équipe peut automatiquement classer les fournisseurs par ordre de priorité, définir des niveaux appropriés de diligence supplémentaire et déterminer la portée des évaluations continues. La logique de hiérarchisation basée sur des règles permet de classer les fournisseurs en fonction de l'interaction des données et de considérations financières, réglementaires et de réputation. Prevalent permet aux institutions financières d'établir un profil complet des fournisseurs qui comprend la propriété, la performance financière, les scores CPI, les déclarations sur l'esclavage moderne, les informations sur le secteur et les affaires, et qui cartographie les relations potentiellement risquées avec des tiers. Cela permet de réduire la complexité de la gestion des tiers, en fournissant une source unique de vérité pour la gestion des fournisseurs tout au long du cycle de vie de leurs relations. |
II) Gouvernance et surveillance de la gestion |
|
Mise en œuvre de cadres de gestion des risques et de gouvernance pour les NDA " Les banques disposent d'un comité de gouvernance pour exercer une surveillance des NDA. Les banques établissent également des cadres de gouvernance et de gestion des risques adaptés aux risques, y compris des exigences de diligence raisonnable, pour gérer les risques découlant des NDA de manière holistique. " |
Prevalent propose une bibliothèque de plus de 750 modèles prédéfinis pour l'évaluation des risques des tiers, y compris ceux qui correspondent aux principaux cadres de gouvernance tels que [ISO](/compliance/iso-27001-27002-27018-27036-2-27701/. Les questionnaires d'évaluation peuvent être axés sur le monde entier ou sur la région afin de répondre à des exigences juridiques, opérationnelles ou autres en matière de diligence raisonnable. Les rapports permettent aux IF de visualiser et de répondre aux exigences de conformité en mettant automatiquement en correspondance les résultats des évaluations et les flux de données avec les exigences et les cadres réglementaires. |
Rapport de la direction sur les risques liés aux tiers " Les banques assurent une surveillance adéquate de la direction par le biais de rapports réguliers et opportuns sur les profils de risque et les performances des NDA. Les problèmes importants, tels que les examens périodiques expirés, les incidents liés aux fournisseurs, les violations des performances et les violations des KRI, sont régulièrement signalés à l'instance dirigeante concernée. Une partie appropriée (par exemple, une unité 2LoD) fournit les contrôles et les équilibres nécessaires au processus de reporting." |
Prevalent aide les institutions financières à révéler les tendances en matière de risques, l'état des risques liés aux tiers et les exceptions aux comportements habituels, grâce à des informations intégrées d'apprentissage automatique (ML) et à des rapports personnalisables et basés sur les rôles. En outre, Prevalent permet de mesurer de manière centralisée les indicateurs clés de performance (KPI) et les indicateurs de performance clés (KRI) des tiers afin de réduire les risques liés aux lacunes dans la surveillance des fournisseurs en automatisant les évaluations des contrats et des performances et en fournissant un cadre de mesure par rapport aux exigences. Grâce à cette capacité, les IF peuvent rapidement identifier les valeurs aberrantes qui pourraient justifier une enquête plus approfondie et améliorer l'efficacité de la réduction des risques en mettant les bonnes données entre les bonnes mains. |
Gestion du changement "Les banques disposent de solides politiques et procédures de gestion du changement pour gérer les risques découlant des nouveaux NDA. Il existe une répartition claire des rôles et des responsabilités entre les trois lignes de défense (LdD), la mise en œuvre des changements étant soumise à des contrôles et à une surveillance indépendants." |
La plateforme Prevalent comprend un moteur d'automatisation et de règles qui suggère automatiquement des actions ou ajuste les scores de risque en fonction des résultats de l'évaluation et des flux de données externes. Grâce à cette capacité, les IFs peuvent créer automatiquement des tâches basées sur les changements continus des tiers et les assigner aux propriétaires pour suivre les problèmes jusqu'à leur conclusion. Cela permet d'accélérer les délais de réduction des risques. |
III) Diligence raisonnable et surveillance continue |
|
Diligence raisonnable et surveillance continue des NDA et du risque lié aux tiers " Les banques mettent en œuvre des méthodologies d'évaluation des risques pour la notation des NDA qui prennent en compte de manière adéquate les facteurs de risque plus élevés, tels que le partage d'informations confidentielles ou la fourniture d'un soutien aux fonctions critiques. "Les banques définissent des exigences claires en matière de diligence raisonnable et de surveillance indépendante pour l'intégration de nouveaux NDA et la révision des NDA existants, qui sont proportionnelles aux risques encourus. La diligence raisonnable prend en compte toutes les parties prenantes pertinentes des NDA, y compris les partenaires et les prestataires de services. "Les banques mettent en œuvre des processus de contrôle structurés pour le suivi continu des NDA, tout au long du cycle de vie des relations. Les accords à haut risque nécessitent une surveillance continue plus stricte. "Les banques déploient des outils et des mécanismes de surveillance des risques adéquats pour gérer le risque tiers. Ces outils et mécanismes comprennent la mise en place d'une taxonomie du risque tiers et la mise en œuvre de KRI appropriés pour faciliter une vision holistique du risque tiers de la banque." |
Une fois l'intégration terminée, les résultats des évaluations de hiérarchisation, de profilage et de catégorisation déterminent le niveau de diligence raisonnable requis tout au long du cycle de vie du tiers. Pour ce faire, Prevalent suit et analyse en permanence les menaces externes pour les tiers. La solution surveille l'Internet et le dark web à la recherche des menaces et des vulnérabilités de cyber , ainsi que les sources publiques et privées d'informations relatives à la réputation, aux sanctions et aux finances. Toutes les données de surveillance sont corrélées aux résultats de l'évaluation et centralisées dans un registre des risques unifié pour chaque fournisseur, ce qui simplifie l'examen des risques, l'établissement de rapports et les initiatives de réponse. Les risques peuvent être classés dans une carte thermique avec des axes de probabilité et d'impact. Les sources de surveillance comprennent :
|
Aligner votre programme de TPRM sur 13 normes industrielles
Téléchargez ce guide pour passer en revue les normes industrielles avec les exigences spécifiques du TPRM, et découvrez les meilleures pratiques pour simplifier la conformité.
Alignez votre programme de gestion des risques liés aux tiers avec les dispositions de la MAS régissant les accords d'externalisation et de non-externalisation.
Découvrez les meilleures pratiques pour répondre aux exigences clés de sécurité de l'information des tiers dans APRA CPS 234.
Utilisez ce guide pour répondre aux exigences d'externalisation de l'Autorité de régulation prudentielle (PRA) de la Banque d'Angleterre....