Note de l'éditeur : Dans l'édition de cette semaine de notre série de blogs intitulée "Gestion des risques liés aux tiers", nous examinons les exigences de l'Autorité bancaire européenne (ABE) en matière de gestion des tiers : Comment rester en dehors du radar réglementaire, nous examinons les exigences de l'Autorité bancaire européenne (ABE) relatives aux tiers. N'oubliez pas de consulter tous les blogs de cette série et de télécharger le livre blanc pour un examen complet des exigences.
L'Autorité bancaire européenne (ABE) est une autorité indépendante de l'UE qui veille à ce que le secteur bancaire européen fasse l'objet d'une réglementation et d'une surveillance efficaces et cohérentes. Ses objectifs généraux sont de maintenir la stabilité financière dans l'UE et de préserver l'intégrité, l'efficacité et le bon fonctionnement du secteur bancaire.
Début 2019, l'ABE a publié des lignes directrices révisées sur les accords d'externalisation, comprenant des dispositions spécifiques pour les cadres de gouvernance des institutions financières dans le cadre du mandat de l'ABE en ce qui concerne leurs accords d'externalisation et les attentes et processus de surveillance connexes. La recommandation sur l'externalisation vers des fournisseurs de services en nuage, publiée en décembre 2017, est intégrée dans les lignes directrices. Ces orientations sont cohérentes avec les exigences relatives à l'externalisation prévues par la directive sur les services de paiement (DSP2), la directive sur les marchés d'instruments financiers (MiFID II) et le règlement délégué (UE) 2017/565 de la Commission.
L'ABE, reconnaissant le vaste écosystème des services financiers et les différents types de services intégrés utilisés, a consacré 70 pages à la gestion de l'externalisation dans le secteur des services financiers, plus 55 pages supplémentaires pour les réponses aux commentaires sur ces lignes directrices.
Les points saillants de ces exigences comprennent un cadre d'externalisation solide qui.. :
- Distingue les externalisations "critiques ou importantes" de celles qui ne le sont pas.
- Effectuer un contrôle préalable dans le cadre du processus de sélection de l'externalisation.
- Permet une évaluation correcte des risques, grâce à laquelle tous les risques opérationnels potentiels sont identifiés, gérés, contrôlés et signalés.
- Exiger des contrats qui définissent les droits d'accès et d'audit pour les banques et leurs régulateurs afin d'assurer une surveillance efficace.
- Effectuer une évaluation et un suivi continus, avec des rapports clairs à l'intention de l'encadrement supérieur
- Met à la disposition des autorités toute la documentation nécessaire à la transparence
- Définit une stratégie de sortie claire en cas de défaillance du prestataire de services.
Répondre aux exigences de l'ABE en matière de risque de tiers avec la plateforme TPRM de Prevalent
Prevalent peut vous aider à répondre à ces exigences. Toutefois, pour les besoins de ce blog, nous avons résumé certaines exigences de l'ABE et identifié les fonctionnalités de la plateforme Prevalent de gestion des risques des tiers qui démontrent l'étendue et la valeur que vous pouvez tirer de notre plateforme complète de gestion des risques des tiers. Pour une liste complète des exigences de l'ABE et de la manière dont les fonctionnalités de Prevalent s'y intègrent directement, n'oubliez pas de télécharger le livre blanc intitulé The Third-Party Risk Management Compliance Handbook (Manuel de conformité de la gestion du risque pour les tiers).
Pour répondre aux exigences de l'ABE, Prevalent :
- Permet aux institutions financières de classer les tiers en fonction de leur importance pour l'organisation, conformément au titre II - Évaluation des dispositifs d'externalisation, section 4 - Fonctions critiques ou importantes, paragraphe 30.
- unifie et gère le processus d'évaluation des risques liés aux fournisseurs afin de répondre aux exigences du titre III - Cadre de gouvernance, section 5 - Dispositif de gouvernance sain et risques liés aux tiers, point 32, et du titre III - Cadre de gouvernance, section 5 - Dispositif de gouvernance sain et risques liés aux tiers, point 33.
- Il s'agit d'une solution complète pour réaliser des évaluations, y compris des questionnaires, un environnement permettant d'inclure et de gérer des preuves documentées en réponse, des flux de travail pour gérer l'examen et traiter les constatations, et des rapports solides pour donner à chaque niveau de gestion les informations dont il a besoin pour examiner correctement les performances du tiers afin de respecter le titre III - Cadre de gouvernance, section 6 - Dispositions de gouvernance saines et externalisation, paragraphe 40(c) et le titre III - Cadre de gouvernance, section 13.2 - Sécurité des données et des systèmes, paragraphe 82.
- Comprend des rapports efficaces pour satisfaire aux exigences en matière d'audit et de conformité ainsi que pour présenter les conclusions au conseil d'administration et à la direction générale conformément au titre III - Cadre de gouvernance, section 10 - Fonction d'audit interne, paragraphe 50, et au titre III - Cadre de gouvernance, section 13.3 - Droits d'accès, d'information et d'audit, paragraphe 87, point b).
- Fournit des référentiels des questionnaires des fournisseurs complétés et validés et des preuves à l'appui pour satisfaire à l'exigence d'audits groupés prévue au titre III - Cadre de gouvernance, section 13.3 Droits d'accès, d'information et d'audit, paragraphe 91.
- assure la cybersécurité et la surveillance des activités - en évaluant en permanence les réseaux de tiers afin d'identifier les faiblesses potentielles susceptibles d'être exploitées par des cybercriminels - pour répondre aux exigences du titre III - Cadre de gouvernance, section 12.3 - Diligence raisonnable, paragraphes 70 et 71, et du titre III - Cadre de gouvernance, section 14 - Supervision des fonctions externalisées, paragraphe 100.
- Saisir et auditer les conversations et faire correspondre la documentation ou les preuves aux risques afin de satisfaire aux exigences du titre III - Cadre de gouvernance, section 14 - Surveillance des fonctions externalisées, paragraphe 104.
- Comprend un flux de travail bidirectionnel et des mécanismes de communication partagés pour suivre les constatations et remédier aux problèmes , conformément au titre III - Cadre de gouvernance, 14 - Surveillance des fonctions externalisées, paragraphe 105.
Prochaines étapes
Les lignes directrices de l'ABE exigent une gestion et un suivi rigoureux des risques liés aux prestataires de services. Elles précisent qu'une politique de gestion des risques doit être mise en place, comprenant des évaluations basées sur les contrôles internes et un suivi continu des accords d'externalisation avec des tiers. Cette politique doit être codifiée dans un contrat entre l'institution financière et la relation d'externalisation, avec une documentation et un reporting appropriés pour les efforts de remédiation et les capacités d'audit.
La solution de gestion des risques liés aux tiers de Prevalent fournit un cadre complet pour la mise en œuvre de la gestion, de l'audit et du reporting afin d'atteindre la conformité aux lignes directrices de l'ABE sur l'externalisation. Contactez-nous dès aujourd'hui pour une démonstration.
Note de la rédaction : Ce billet a été publié à l'origine sur Prevalent.net. En octobre 2024, Mitratech a acquis l'entreprise Prevalent, spécialisée dans la gestion des risques pour les tiers et dotée d'une intelligence artificielle. Le contenu a depuis été mis à jour pour inclure des informations alignées sur nos offres de produits, les changements réglementaires et la conformité.
