La déclaration de surveillance SS2/21 de la Prudential Regulation Authority (PRA) de la Banque d'Angleterre définit les attentes concernant la manière dont les entreprises réglementées par la PRA doivent se conformer aux exigences réglementaires relatives à l'externalisation et à la gestion des risques par des tiers afin d'améliorer la résilience des entreprises.
La déclaration de surveillance s'applique à toutes les banques, entreprises d'investissement et d'assurance britanniques, ainsi qu'aux succursales britanniques des banques et entreprises d'assurance étrangères, et
La déclaration de supervision SS2/21 exige que les entreprises réglementées par la PRA effectuent une évaluation de l'importance relative de chaque fournisseur lors de l'intégration et périodiquement par la suite. Il est donc important de suivre les pratiques de résilience commerciale et opérationnelle des tiers nécessaires pour être conforme et minimiser les risques pour votre organisation.
Réaliser des évaluations de l'importance relative et surveiller en permanence les tiers, qu'ils soient ou non externalisés, pour les risques liés à la résilience de l'entreprise.
Identifier et rendre compte régulièrement de la résilience des entreprises tierces
Mesurer la performance des tiers par rapport au risque opérationnel, au risque de conduite, au risque d'information et au risque juridique.
Définir de manière proactive les exigences en matière de résilience des entreprises dans les contrats avec les tiers.
La liste de contrôle de conformité des tiers de la PRA SS2/21
Découvrez les exigences en matière de gestion des risques liés aux tiers dans le document SS2/21 de l'autorité de réglementation prudentielle de la Banque d'Angleterre, et apprenez comment Prevalent peut vous aider.
Conformité avec la déclaration de surveillance de la PRA SS2/21
Le tableau récapitulatif ci-dessous met en correspondance les capacités de la plateforme de gestion des risques des tiersPrevalent avec les exigences des tiers, qu'ils soient ou non externalisés.
REMARQUE : Ce tableau n'est qu'un résumé des exigences les plus pertinentes, et il ne doit pas être considéré comme une orientation complète et définitive. Pour une liste complète des exigences, veuillez examiner en détail la déclaration de surveillance complète et consulter votre auditeur.
Exigences du PRA SS2/21 | Quelle aide nous apportons |
---|---|
2 Définitions et champ d'application |
|
2.8 "Conformément aux attentes formulées au chapitre 4 de la présente Norme, les cabinets peuvent mettre en œuvre une politique globale et unique de gestion des risques liés aux tiers, couvrant les accords d'externalisation et de non-externalisation des tiers. Elles peuvent également avoir des politiques distinctes sur chacun de ces domaines respectifs, à condition qu'elles soient alignées, cohérentes, efficaces et convenablement fondées sur les risques." |
La plateforme de gestion des risques liés aux tiersPrevalent simplifie la gestion des tiers, permettant aux organisations d'unifier et d'automatiser les tâches essentielles requises pour identifier, évaluer, gérer, surveiller en permanence et corriger les risques liés aux tiers en matière de sécurité, de confidentialité, de conformité et d'exploitation à chaque étape du cycle de vie du fournisseur. La solution offre :
|
2.9 "Les normes suivantes s'appliquent à tous les arrangements TIC avec des tiers : |
La plateforme Prevalent comprend une bibliothèque de plus de 100 modèles de questionnaire qui répondent à une multitude de cadres basés sur la sécurité des TIC, notamment Cyber Essentials, ISO 27001, NIST 800-53, GDPR, et bien d'autres. |
3 Proportionnalité |
|
3.6 "En fonction de son niveau de contrôle et d'influence en ce qui concerne les accords d'externalisation intragroupe, une entreprise peut, par exemple :
|
La plateforme TPRM Prevalent permet aux équipes de sécurité et de gestion des risques de classer automatiquement les fournisseurs en fonction de leurs scores de risque inhérent. Les résultats peuvent être utilisés pour fixer des niveaux appropriés de diligence raisonnable supplémentaire et déterminer la portée des évaluations en cours. |
3.7 "Le cas échéant, les entreprises peuvent être en mesure de tirer parti de la conformité aux exigences existantes dans d'autres domaines de la réglementation pour aider à remplir leurs obligations réglementaires en ce qui concerne leurs accords d'externalisation intragroupe." |
La plateforme Prevalent met automatiquement en correspondance les informations recueillies lors des évaluations basées sur les contrôles avec les cadres réglementaires, notamment ISO 27001, GDPR et des dizaines d'autres. Vous pouvez ainsi visualiser et traiter rapidement les exigences de conformité importantes et simplifier les processus d'audit. Les clients peuvent également choisir d'utiliser le cadre de conformité Prevalent (PCF), une évaluation unique et complète qui permet aux équipes de gestion de la sécurité et des risques de mettre en correspondance les réponses à plusieurs exigences réglementaires. |
5 Phase de pré-outsourcing |
|
5.8 "Les entreprises sont tenues d'évaluer l'importance relative de leurs accords d'externalisation et de tiers. La matérialité peut varier pendant la durée d'un accord et doit donc être (ré)évaluée :
|
La plateforme Prevalent permet aux organisations d'évaluer, de surveiller et de corriger les risques à toutes les étapes du cycle de vie des tiers. Ses principales fonctionnalités sont les suivantes
|
5.10 "Les entreprises doivent développer leurs propres processus d'évaluation de la matérialité dans le cadre de leur politique de gestion des risques liés à l'externalisation ou aux tiers (voir chapitre 4)." |
La plateforme Prevalent automatise l'identification, l'évaluation, l'analyse, la surveillance continue et la remédiation des risques liés aux tiers à chaque étape du cycle de vie des fournisseurs, de la sélection à l'exclusion. La plate-forme comprend une vaste bibliothèque de modèles d'évaluation, y compris ceux permettant de déterminer l'importance d'un accord avec un tiers et les risques qu'il comporte. |
5.11 "Conformément à la définition d'une "externalisation importante" dans le Rulebook de la PRA et, le cas échéant, aux critères du Outsourcing GL de l'ABE, une entreprise doit généralement considérer un accord d'externalisation ou de tiers comme important lorsqu'un défaut ou une défaillance dans sa performance pourrait nuire de manière significative à la stabilité financière du Royaume-Uni ou des entreprises" ;
|
La plateforme TPRM Prevalent automatise l'évaluation, la surveillance continue, l'analyse et la correction de la résilience et de la continuité des activités des tiers, qu'ils soient ou non externalisés, tout en mettant automatiquement les résultats en correspondance avec les normes NIST, ISO et autres cadres de contrôle pour démontrer la conformité. Pour compléter les évaluations de la résilience des entreprises et valider les résultats, Prevalent:
|
5.12 "La PRA attend également des entreprises qu'elles classent un accord d'externalisation comme important si le service externalisé implique une :
|
Prevalent permet aux organisations de classer les tiers en fonction de multiples critères, notamment :
Un processus efficace de hiérarchisation et de catégorisation permet aux organisations d'évaluer les tierces parties en fonction de leur criticité pour les opérations commerciales, tout en informant les autres efforts de diligence raisonnable. |
5.13 "La PRA attend des entreprises qu'elles prennent en compte tous les critères applicables du tableau 5 ci-dessous, à la fois individuellement et conjointement, lors de l'évaluation de la matérialité d'un accord d'externalisation ou de tiers non couvert par les paragraphes 5.8 et 5.9. Bien qu'en pratique, de nombreux accords d'externalisation et de tiers significatifs impliquent des produits ou des services de TIC (par exemple, le cloud), la présence d'un produit ou d'un service de TIC donné ne rend pas, en soi, automatiquement un accord d'externalisation significatif. Recréé à partir du tableau 5 : Lien direct avec l'exercice d'une activité réglementée. Taille et complexité du ou des domaines d'activité ou des fonctions concernés. L'impact potentiel d'une perturbation, d'une défaillance ou d'une performance inadéquate sur l'entreprise :
La capacité de l'entreprise à faire évoluer le service externalisé. Capacité à remplacer le prestataire de services ou à ramener le service externalisé en interne, y compris les coûts estimés, l'impact opérationnel, les risques et le calendrier d'une sortie dans des scénarios stressés et non stressés." |
La plateforme Prevalent comprend une évaluation complète de la résilience des entreprises, basée sur les pratiques de la norme ISO 22301. Cela permet aux organisations de :
|
5.18 "La PRA attend des entreprises qu'elles mènent une diligence raisonnable sur le fournisseur de services potentiel avant de conclure un accord d'externalisation, et qu'elles identifient une alternative appropriée ou des fournisseurs de secours lorsqu'ils sont disponibles. Si aucun fournisseur alternatif ou de secours pour un accord d'externalisation important n'est disponible, les entreprises doivent envisager des dispositifs alternatifs de continuité des activités, de planification d'urgence et de reprise après sinistre pour s'assurer qu'elles peuvent continuer à fournir des activités importantes pertinentes dans le cadre de leurs tolérances d'impact en cas de perturbation importante chez leur fournisseur de services choisi (voir chapitre 10)." |
Prevalent RFx Essentials centralise et automatise la distribution, la comparaison et la gestion des demandes de propositions (RFP) et des demandes d'informations (RFI). RFx Essentials permet aux équipes d'approvisionnement de sélectionner facilement les solutions et les fournisseurs qui répondent aux exigences de l'organisation en matière de fonctionnalité et de risque, mais aussi de faire un premier pas essentiel dans la gestion du risque tout au long du cycle de vie du tiers. Les organisations peuvent également tirer parti desVendor Intelligence Networks ( Prevalent ), qui sont des bibliothèques à la demande de milliers de rapports sur les risques liés aux fournisseurs, basés sur la sécurité, la confidentialité, la résilience des entreprises et les risques opérationnels. Prevalent Les réseaux de renseignements sur les fournisseurs sont continuellement mis à jour et enrichis de preuves à l'appui. |
5.19 "Dans le cas d'une externalisation importante, la PRA s'attend à ce que la diligence raisonnable des entreprises prenne en compte les fournisseurs potentiels :
5.20 "La diligence raisonnable devrait également examiner si les fournisseurs de services potentiels :
|
La plateforme Prevalent comprend plus de 100 modèles d'évaluation prédéfinis, notamment des questionnaires standardisés d'évaluation des risques des fournisseurs de sécurité de l'information, ainsi que des questionnaires sur la résilience des entreprises, le GDPR, la FCA, l'ISO 27001, l'esclavage moderne, la lutte contre la corruption, la santé et la sécurité, la performance financière, la gestion et l'éthique, etc. Prevalent Vendor Threat Monitor suit et analyse en permanence les menaces externes pour les tiers. La solution surveille l'Internet et le dark web à la recherche de cyber menaces et vulnérabilités, ainsi que les sources publiques et privées d'informations relatives à la réputation, aux sanctions et aux finances. Prevalent gère des profils centralisés de fournisseurs qui unifient les données démographiques, les déclarations d'esclavage moderne, les scores ESG et les quatrièmes parties cartographiées. Prevalent intègre et met en corrélation la surveillance continue et les aperçus de profil avec les résultats d'évaluation afin de fournir un emplacement central pour visualiser les risques et agir en conséquence. |
5.21 "Conformément à la section Contrôle des risques 3.4(2) et à la section Gestion des risques 3.1, les entreprises doivent, de manière proportionnée, évaluer les risques potentiels de tous les accords avec des tiers, y compris les accords d'externalisation, quelle que soit leur importance. Dans le cadre de l'évaluation des risques, la PRA s'attend à ce que les entreprises prennent en compte :
|
Leservice de réponse aux incidents impliquant des tiers ( Prevalent ) permet aux équipes d'identifier et d'atténuer rapidement l'impact des violations commises par des fournisseurs tiers en centralisant la gestion des fournisseurs, en effectuant des évaluations d'événements, en notant les risques identifiés et en accédant à des conseils de remédiation. Les clients peuvent également accéder à une base de données contenant plus de 10 ans d'historique des violations de données pour des milliers d'entreprises dans le monde. La base de données comprend les types et les quantités de données volées, les questions de conformité et de réglementation, ainsi que les notifications en temps réel des violations de données des fournisseurs. Combinée à la surveillance continue de cyber , elle fournit aux organisations une vue d'ensemble des risques externes en matière de sécurité de l'information qui peuvent avoir un impact sur les opérations. Prevalent exploite les informations financières d'un réseau mondial de 2 millions d'entreprises. Cela comprend 5 années de changements organisationnels et de performances financières, telles que le chiffre d'affaires, les profits et pertes, les fonds des actionnaires et d'autres données utiles pour évaluer la santé et la viabilité des entreprises. |
5.22 "La PRA attend des entreprises qu'elles procèdent à des évaluations des risques dans les circonstances mentionnées au paragraphe 5.6 et également si elles considèrent qu'il peut y avoir eu un changement significatif des risques d'un accord d'externalisation en raison, par exemple, d'une violation grave/de violations continues de l'accord ou d'un risque cristallisé." |
Prevalent suit et analyse en permanence les menaces externes pour les tiers. La solution surveille l'Internet et le dark web à la recherche de cyber menaces et vulnérabilités, ainsi que les sources publiques et privées d'informations relatives à la réputation, aux sanctions et aux finances. La plate-forme offre un accès à une base de données contenant plus de 10 ans d'historique des violations de données pour des milliers d'entreprises dans le monde. La base de données comprend les types et les quantités de données volées, les questions de conformité et de réglementation, ainsi que les notifications en temps réel des violations de données des fournisseurs. Ces capacités permettent de combler les lacunes entre les évaluations régulières des risques par des tiers, les résultats déclenchant des actions automatisées telles que des évaluations et des mesures correctives supplémentaires. |
5.23 "L'évaluation des risques d'une entreprise doit mettre en balance les risques que l'accord d'externalisation peut créer ou accroître avec les risques qu'il peut réduire ou permettre à l'entreprise de gérer plus efficacement (par exemple, la résilience de l'entreprise face aux perturbations). L'évaluation doit également tenir compte des mesures d'atténuation des risques existantes ou prévues, par exemple les procédures et la formation du personnel." |
La plateforme Prevalent comprend des recommandations de remédiation intégrées pour accélérer l'atténuation des risques avec les tiers. Les organisations peuvent utiliser la plate-forme pour communiquer avec les fournisseurs et coordonner les efforts de remédiation, ainsi que pour capturer et auditer les conversations, enregistrer les dates d'achèvement estimées, accepter ou rejeter les réponses d'évaluation individuelles, attribuer des tâches en fonction des risques, des documents ou des entités, et faire correspondre la documentation et les preuves aux risques. |
5.24 " La PRA attend des entreprises et des groupes qu'ils (ré)évaluent périodiquement et prennent des mesures raisonnables pour gérer leur dépendance globale à l'égard des tiers ; et
|
Prevalent atténue les risques de concentration en identifiant les relations avec des tiers par le biais d'une évaluation d'identification native ou par un balayage passif de l'infrastructure publique du tiers. La carte des relations qui en résulte décrit les chemins d'information et les dépendances qui pourraient ouvrir des voies d'accès à un environnement. Les fournisseurs découverts grâce à ce processus sont contrôlés afin d'identifier les risques financiers, ESG, cyber, commerciaux et de violation de données, ainsi que pour le dépistage des sanctions/PEP. |
6 Accords d'externalisation |
|
6.3 "Les entreprises doivent s'assurer que les accords écrits pour les accords d'externalisation non significatifs comprennent des garanties contractuelles appropriées pour gérer et surveiller les risques pertinents. En outre, indépendamment de l'importance relative, les entreprises doivent s'assurer que les accords d'externalisation n'entravent pas ou ne limitent pas la capacité de la PRA à superviser efficacement l'entreprise ou l'activité, la fonction ou le service externalisé. " |
Prevalent Contract Essentials centralise la distribution, la discussion, la conservation et la révision des contrats des fournisseurs. Il inclut également des fonctionnalités de workflow pour automatiser le cycle de vie des contrats, de l'entrée à la sortie. Avec Contract Essentials, les organisations peuvent suivre de manière centralisée tous les contrats et attributs contractuels susceptibles d'avoir un impact sur les niveaux de service, ce qui permet d'appliquer efficacement les garanties contractuelles. |
7 Sécurité des données |
|
Prevalent offre une plateforme unique et collaborative permettant de réaliser des évaluations de la confidentialité et d'atténuer les risques liés à la confidentialité, qu'ils soient internes ou externes. Les principales fonctionnalités d'évaluation de la sécurité des données et de la confidentialité comprennent :
|
|
8 Droits d'accès, d'audit et d'information |
|
8.7 "Les entreprises peuvent utiliser une série de méthodes d'audit et d'autres méthodes de collecte d'informations, notamment :
|
Leservice de validation des contrôles Prevalent examine les réponses et la documentation des évaluations de tiers par rapport aux protocoles de test établis afin de valider la mise en place des contrôles indiqués. Prevalent Les experts examinent d'abord les réponses aux évaluations, qu'elles proviennent de questionnaires personnalisés ou standardisés. Nous faisons ensuite correspondre les réponses aux normes SIG, SCA, ISO, SOC II, AITECH, et/ou d'autres cadres de contrôle. Enfin, nous travaillons avec vous pour élaborer des plans de remédiation et en assurer le suivi jusqu'à leur achèvement. Avec des options disponibles à distance et sur site, Prevalent offre l'expertise nécessaire pour vous aider à réduire les risques avec vos ressources existantes. |
8.9 "Les certificats et rapports fournis par les prestataires de services peuvent aider les entreprises à obtenir une assurance sur l'efficacité des contrôles du prestataire de services. Cependant, dans le cadre d'accords d'externalisation importants, la PRA s'attend à ce que les entreprises :
|
Prevalent centralise les certifications, les accords, les contrats et les pièces justificatives avec une gestion intégrée des tâches et des acceptations, ainsi que des fonctions de téléchargement obligatoire. |
9 Sous-traitance |
|
Prevalent identifie les relations avec les quatrième et neuvième parties par le biais d'une évaluation d'identification native ou par un balayage passif de l'infrastructure publique de la tierce partie. La carte des relations qui en résulte décrit les chemins d'information et les dépendances qui pourraient ouvrir des voies d'accès à un environnement. Les fournisseurs découverts grâce à ce processus sont contrôlés afin d'identifier les risques financiers, ESG, cyber, commerciaux et de violation de données, ainsi que pour le dépistage des sanctions/PEP. |
|
10 Continuité des activités et plans de sortie |
|
10.1 "Pour chaque accord d'externalisation important, la PRA s'attend à ce que les entreprises développent, maintiennent et testent un plan de continuité d'activité ; et une stratégie de sortie documentée, qui doit couvrir et différencier les situations où une entreprise quitte un accord d'externalisation :
|
La plateforme de gestion des risques des tiers Prevalent automatise l'évaluation, la surveillance continue, l'analyse et la correction de la résilience et de la continuité des activités des tiers, tout en mettant automatiquement les résultats en correspondance avec les normes NIST, ISO et autres cadres de contrôle.
Cette approche proactive permet aux organisations de minimiser l'impact des perturbations causées par des tiers et de rester en tête des exigences de conformité. |
10.3 "Les entreprises doivent mettre en œuvre et exiger des prestataires de services dans le cadre d'accords d'externalisation importants qu'ils mettent en œuvre des plans de continuité des activités appropriés pour anticiper, résister, réagir et se remettre d'une perturbation opérationnelle grave mais plausible." 10.9 "Conformément à la règle fondamentale 7, en cas de perturbation ou d'urgence (y compris chez un prestataire de services externalisé ou tiers), les entreprises doivent s'assurer qu'elles ont mis en place des mesures efficaces de communication de crise. Ceci afin que toutes les parties prenantes internes et externes concernées, y compris la Banque, la PRA, la FCA, les autres régulateurs internationaux et, le cas échéant, les prestataires de services eux-mêmes, soient informés en temps utile et de manière appropriée." |
La plateforme Prevalent comprend une évaluation complète de la résilience des entreprises, basée sur les pratiques de la norme ISO 22301, qui permet aux organisations de :
Prevalent fournit des ressources gratuites que les organisations peuvent utiliser lorsqu'elles élaborent ou développent leurs programmes de continuité des activités de tiers. |
Aligner votre programme de TPRM sur les 14 normes de l'industrie
Téléchargez ce guide pour passer en revue les normes industrielles avec les exigences spécifiques du TPRM, et découvrez les meilleures pratiques pour simplifier la conformité.
Utilisez ce guide pour répondre aux exigences d'externalisation de l'Autorité de régulation prudentielle (PRA) de la Banque d'Angleterre....
Les lignes directrices de l'ABE définissent les dispositions de gouvernance interne que les établissements de crédit, de paiement et de monnaie électronique...
La FCA définit des orientations pour la sélection de fournisseurs informatiques externalisés sécurisés. Découvrez les critères clés de conformité...