La ligne directrice B-10 sur la gestion des risques liés aux tiers du Bureau du surintendant des institutions financières (BSIF) du gouvernement canadien traite des risques opérationnels et financiers associés aux relations avec les vendeurs et les fournisseurs.
La ligne directrice B-10 définit les attentes des institutions financières fédérales (IFF) en matière de gestion des risques liés aux accords avec des tiers.
La ligne directrice élargit également la définition d'un tiers pour inclure davantage d'entités telles que les professionnels indépendants, les courtiers et les services publics, et recommande d'inclure tous les types de tiers dans les évaluations des risques.
Ces nouvelles exigences sont motivées par le passage de l'importance relative à la criticité - lorsqu'un tiers exerce une fonction qui fait partie intégrante de la prestation par l'IFF d'une opération, d'une fonction ou d'un service important, il faut adopter une double approche où le risque et la criticité déterminent la nature et l'étendue des activités de diligence raisonnable.
Les structures de gouvernance et de responsabilité sont claires et des stratégies et des cadres de risque complets sont en place.
Les risques posés par les tiers sont identifiés et évalués
Les risques posés par les tiers sont gérés et atténués dans le cadre de l'appétit pour le risque de l'IFF.
Les performances des tiers sont contrôlées et évaluées, et les risques et incidents sont traités de manière proactive.
Le programme de gestion des risques liés aux tiers de l'IFF permet à l'IFF d'identifier et de gérer en permanence une série de relations avec des tiers.
Les opérations technologiques et cyber effectuées par des tiers sont transparentes, fiables et sûres
La liste de vérification de la conformité des tiers B-10 du BSIF
Apprenez comment satisfaire aux exigences d'évaluation et de surveillance par des tiers dans la ligne directrice B-10 du BSIF.
Conformité à la ligne directrice B-10 du BSIF
La ligne directrice B-10 présente six résultats escomptés que les IFF doivent atteindre en gérant le risque lié aux tiers. Ces résultats sont censés contribuer à la résilience opérationnelle et financière de l'IFF et aider à préserver sa réputation.
Les six résultats escomptés sont étayés par 11 principes que le BSIF décrit comme les meilleures pratiques en matière de gestion des risques des tiers. Le tableau récapitulatif ci-dessous met en correspondance les capacités de la plateforme de gestion des risques des tiers Prevalent avec ces 11 principes.
REMARQUE : Ce tableau ne doit pas être considéré comme un guide complet et définitif. Consultez votre auditeur pour obtenir une liste complète des exigences.
Principes de la ligne directrice B-10 du BSIF | Quelle aide nous apportons |
---|---|
Résultat 1 : les structures de gouvernance et de responsabilité sont claires et des stratégies et des cadres de risque complets sont en place. |
|
Principe 1 : "L'IFF est responsable en dernier ressort de la gestion des risques découlant de tous les types d'accords avec des tiers". Principe 2 : " L'IFF doit établir un cadre de gestion des risques liés aux tiers (CGRTP) qui définit clairement les obligations de rendre compte, les responsabilités, les politiques et les processus permettant de déterminer, de gérer, d'atténuer et de surveiller les risques liés au recours à des tiers et d'en rendre compte. " |
Prevalent s'associe à vous pour mettre en place un programme complet de gestion des risques liés aux tiers (TPRM) fondé sur des pratiques exemplaires éprouvées et une vaste expérience du monde réel. Nos experts collaborent avec votre équipe pour définir et mettre en œuvre des processus et des solutions TPRM, pour sélectionner des questionnaires et des cadres d'évaluation des risques et pour optimiser votre programme afin de couvrir l'ensemble du cycle de vie des risques liés aux tiers, de l'approvisionnement et de la diligence raisonnable à la résiliation et à l'exclusion. Dans le cadre de ce processus, Prevalent peut vous aider à définir :
|
Résultat 2 : Les risques posés par les tiers sont identifiés et évalués. |
|
Principe 3 : " L'IFF doit identifier et évaluer les risques d'un accord avec un tiers avant de conclure l'accord et périodiquement par la suite. Les évaluations des risques doivent être proportionnelles à la criticité d'un accord. Plus précisément, l'IFF doit procéder à des évaluations des risques pour décider de la sélection d'un tiers, (ré)évaluer les risques et la criticité de l'accord, et planifier une atténuation des risques et une surveillance adéquates". |
Prevalent centralise et automatise la distribution, la comparaison et la gestion des demandes de propositions (RFP) et des demandes d'informations (RFI). Nos solutions fournissent également des informations sur les risques liés à l'activité, à la réputation, aux finances et à la violation des données, afin d'éclairer et de contextualiser les décisions relatives à la sélection des fournisseurs. Prevalent fait passer chaque fournisseur sélectionné aux phases de diligence raisonnable de contractualisation et/ou d'embarquement, faisant ainsi progresser automatiquement le fournisseur dans le cycle de vie des tiers. Prevalent propose une bibliothèque de plus de 750 modèles prédéfinis pour l'évaluation continue des risques des tiers. Ces modèles sont intégrés aux fonctionnalités natives de surveillance des risques cyber, opérationnels, financiers et de réputation, qui valident en permanence les résultats de l'évaluation et comblent les lacunes entre les évaluations. Des recommandations de remédiation intégrées garantissent que les tiers traitent les risques en temps voulu et de manière satisfaisante. Grâce à cette capacité, Prevalent évalue les tiers avant de conclure des accords avec eux, régulièrement tout au long de la relation et à chaque fois qu'un changement important intervient dans la relation, déclenché par un contrôle continu. |
Principe 4 : " L'IFF doit faire preuve de diligence raisonnable avant de conclure des contrats ou d'autres formes d'arrangement avec un tiers, et sur une base continue proportionnelle au niveau de risque et à la criticité de l'arrangement. " |
Prevalent offre une évaluation de diligence raisonnable précontractuelle avec une notation claire basée sur huit critères pour capturer, suivre et quantifier les risques inhérents à tous les tiers. Les critères incluent :
À partir de cette évaluation des risques inhérents, votre équipe peut automatiquement classer les fournisseurs par ordre de priorité, définir des niveaux appropriés de diligence supplémentaire et déterminer la portée des évaluations continues. La logique de hiérarchisation basée sur des règles permet de classer les fournisseurs en fonction de l'interaction des données et de considérations financières, réglementaires et de réputation. Prevalent propose une bibliothèque de plus de 750 modèles préétablis pour l'évaluation des risques liés aux tiers. Les évaluations peuvent être réalisées au moment du renouvellement du contrat ou à n'importe quelle fréquence (trimestrielle ou annuelle, par exemple). Les questionnaires d'évaluation peuvent être axés sur le monde entier ou sur la région afin de répondre à des exigences juridiques ou opérationnelles particulières. Prevalent fournit des recommandations de remédiation intégrées basées sur les résultats de l'évaluation des risques. Ces recommandations sont étayées par des fonctionnalités de gestion des flux de travail et des tâches afin de garantir que les tiers traitent les risques en temps voulu et de manière satisfaisante. Les capacités intégrées et natives de surveillance des risquescyber, opérationnels, financiers et de réputation, signalent les changements importants entre les évaluations périodiques et peuvent déclencher des notifications, des évaluations de suivi ou d'autres actions. Grâce à cette capacité, Prevalent permet à votre organisation d'évaluer les risques avant de conclure l'accord, dans le cadre du processus de renouvellement du contrat, et périodiquement sur une base continue proportionnelle au niveau de risque et de criticité ou chaque fois qu'il y a des changements importants dans l'accord avec un tiers. |
Principe 5 : "L'IFF est responsable de l'identification, du suivi et de la gestion des risques découlant des accords de sous-traitance conclus par ses tiers". |
Prevalent peut identifier les relations de sous-traitance de quatrième et de nième partie en procédant à une évaluation par questionnaire ou en analysant passivement l'infrastructure publique de la tierce partie. La carte des relations qui en résulte décrit les chemins de l'information et les dépendances qui pourraient exposer votre environnement à des risques. Les fournisseurs découverts grâce à ce processus font l'objet d'un suivi permanent afin d'identifier les risques financiers, ESG, cyber, commerciaux et de violation de données, ainsi que pour le dépistage des sanctions/PEP. Cette approche permet d'aborder les risques potentiels de concentration technologique ou géographique. |
Résultat 3 : Les risques posés par les tiers sont gérés et atténués dans le cadre de l'appétit pour le risque de l'IFF. |
|
Principe 6 : " L'IFF doit conclure des accords écrits qui précisent les droits et les responsabilités de chaque partie. " |
Prevalent centralise la distribution, la discussion, la conservation et la révision des contrats des fournisseurs. Il offre également des fonctionnalités de workflow pour automatiser le cycle de vie des contrats, de l'entrée à la sortie. Les principales fonctionnalités comprennent :
Grâce à cette capacité, vous pouvez vous assurer que des responsabilités claires sont définies dans le contrat du fournisseur, et que les accords de niveau de service sont suivis et gérés en conséquence. |
Principe 7 : " Pendant toute la durée de l'entente avec le tiers, l'IFF et le tiers doivent établir et maintenir des mesures appropriées pour protéger la confidentialité, l'intégrité et la disponibilité des dossiers et des données. " |
Prevalent offre une plateforme centralisée et collaborative permettant de réaliser des évaluations de la confidentialité et d'atténuer les risques liés à la confidentialité, qu'ils soient internes ou externes. Les principales fonctionnalités d'évaluation de la sécurité des données et de la confidentialité sont les suivantes
|
Principe 8 : " Les ententes conclues par l'IFF avec des tiers devraient permettre à l'IFF d'obtenir en temps opportun, à l'adresse DeepL, des renseignements exacts et complets qui l'aideront à superviser la performance et les risques des tiers. L'IFF devrait également avoir le droit d'effectuer ou de commander une vérification indépendante d'un tiers. " |
Avec Prevalent, les auditeurs peuvent établir un programme pour atteindre et démontrer efficacement la conformité. La solution automatise l'audit de conformité de la gestion des risques des tiers en collectant des informations sur les risques des fournisseurs, en quantifiant les risques, en recommandant des mesures correctives et en générant des rapports pour des dizaines de réglementations gouvernementales et de cadres industriels. Prevalent met automatiquement en correspondance les informations recueillies lors des évaluations basées sur les contrôles avec les normes ISO 27001, NIST, GDPR, CoBiT 5, SSAE 18, SIG, SIG Lite, SOX, NYDFS et d'autres cadres réglementaires, ce qui vous permet de visualiser rapidement les exigences de conformité importantes et d'y répondre. En outre, Prevalent révèle les tendances en matière de risques, le statut et les exceptions au comportement commun pour les fournisseurs individuels ou les groupes grâce à des informations d'apprentissage automatique intégrées. Cela vous permettra d'identifier rapidement les valeurs aberrantes dans les évaluations, les tâches, les risques, etc. qui pourraient justifier un examen plus approfondi. |
Principe 9 : " L'entente de l'IFF avec le tiers doit englober la capacité de poursuivre les activités en cas de perturbation, y compris le maintien, la mise à l'essai et l'activation des plans de continuité des activités et de reprise après sinistre. L'IFF doit avoir des plans d'urgence pour ses ententes critiques avec des tiers. " |
Prevalent automatise l'évaluation, la surveillance continue, l'analyse et la correction de la résilience et de la continuité des activités de tiers, tout en mettant automatiquement les résultats en correspondance avec les cadres de contrôle NIST, ISO et autres. Pour compléter les évaluations de la résilience des entreprises et valider les résultats, Prevalent:
Cette approche proactive permet à votre organisation de minimiser l'impact des perturbations causées par des tiers et de rester en tête des exigences de conformité. La plateforme Prevalent comprend une évaluation complète de la résilience des entreprises, basée sur les pratiques de la norme ISO 22301, qui permet aux organisations de :
Lorsqu'une résiliation ou une sortie est nécessaire pour des services essentiels, Prevalent s'appuie sur des enquêtes et des flux de travail personnalisables pour établir des rapports sur l'accès au système, la destruction des données, la gestion de l'accès, la conformité aux lois pertinentes, les paiements finaux, etc. La solution suggère également des actions basées sur les réponses aux évaluations d'offboarding et achemine les tâches aux réviseurs si nécessaire. |
Résultat 4 : Les performances des tiers sont contrôlées et évaluées, et les risques et incidents sont traités de manière proactive. |
|
Principe 10 : " L'IFF doit surveiller ses ententes avec des tiers afin de vérifier la capacité de ces derniers à continuer de respecter leurs obligations et à gérer efficacement les risques. " |
Prevalent suit et analyse en permanence les menaces externes pour les tiers. La solution surveille l'Internet et le dark web à la recherche de cyber menaces et vulnérabilités, ainsi que les sources publiques et privées d'informations relatives à la réputation, aux sanctions et aux finances. Toutes les données de surveillance sont corrélées aux résultats de l'évaluation et centralisées dans un registre de risques unifié pour chaque fournisseur, ce qui simplifie l'examen des risques, les rapports et les initiatives de réponse. Les sources de surveillance comprennent :
|
Principe 11 : " Tant l'IFF que son tiers doivent disposer de processus documentés pour repérer, enquêter, transmettre aux échelons supérieurs, suivre et corriger efficacement les incidents afin d'assurer une résilience opérationnelle et financière continue et de maintenir les niveaux de risque dans les limites de l'appétit pour le risque de l'IFF. " |
Prevalent permet à votre équipe d'identifier et d'atténuer rapidement l'impact des incidents impliquant des fournisseurs tiers en centralisant la gestion des fournisseurs, en effectuant des évaluations d'événements, en notant les risques identifiés et en accédant à des conseils de remédiation. |
Résultat 5 : Le programme de gestion des risques liés aux tiers de l'IFF permet à l'IFF d'identifier et de gérer en permanence un éventail de relations avec des tiers. |
|
Résultat 6 : Les opérations technologiques et cyber menées par des tiers sont transparentes, fiables et sûres. |
La plateforme Prevalent comprend une vaste bibliothèque d'évaluations standardisées (y compris pour les cadres de meilleures pratiques NIST et ISO) et des capacités de personnalisation pour évaluer les tiers avec flexibilité. Pour les tiers qui soumettent un rapport SOC 2 au lieu d'une évaluation complète des risques, Prevalent vous permet de cartographier les lacunes de contrôle identifiées dans le rapport SOC 2, de créer des éléments de risque contre le tiers au sein d'une plate-forme d'évaluation centrale, de suivre et de rendre compte des lacunes ainsi que d'autres risques. Quel que soit le cadre de cybersécurité, Prevalent vous permet de réduire les délais d'évaluation et d'atténuer les risques. |
Aligner votre programme de TPRM sur les 14 normes de l'industrie
Téléchargez ce guide pour passer en revue les normes industrielles avec les exigences spécifiques du TPRM, et découvrez les meilleures pratiques pour simplifier la conformité.
Renseignez-vous sur les exigences relatives à l'évaluation par un tiers dans la ligne directrice B-10 du Bureau du surintendant des ...
NS&I cherchait un moyen d'automatiser son processus de gestion des risques liés aux tiers, afin de le rendre moins...
La FCA définit des orientations pour la sélection de fournisseurs informatiques externalisés sécurisés. Découvrez les critères clés de conformité...