Directives MAS sur l'externalisation et la gestion des risques liés aux tiers

L'Autorité monétaire de Singapour (MAS) a établi des exigences détaillées pour la gestion des relations d'externalisation et de non-externalisation avec des tiers. Découvrez comment vous pouvez simplifier les audits de la MAS grâce à ces meilleures pratiques.

Personnel de Mitratech
Personnel de Mitratech Mars 6, 2023 6 minutes de lecture
Decorative image

Fondée en 1970, l'Autorité monétaire de Singapour (MAS) est une banque centrale et un régulateur financier qui assure la surveillance prudentielle de toutes les institutions financières de Singapour - notamment en garantissant la résilience financière et opérationnelle face aux risques. En juillet 2016, la MAS a publié des lignes directrices sur l'externalisation des accords avec des tiers. La MAS a élargi ses directives sur l'externalisation en octobre 2018, puis en août 2022 avec la publication d'un document d'information intitulé Operational Risk Management - Management of Outsourcing and Third Party Arrangements (Gestion des risques opérationnels - Gestion de l'externalisation et des accords avec des tiers). Dans ce document d'information, la MAS :

  • Publication d'exigences détaillées sur la manière d'améliorer la surveillance et la gouvernance des tiers ; et
  • Établissement d'orientations complètes sur la conduite d'une diligence raisonnable tout au long du cycle de vie des accords d'externalisation.

La figure ci-dessous identifie les types d'approbations requises, les évaluations, les fréquences d'évaluation et les documents de diligence raisonnable qui doivent être fournis à l'appui des évaluations, comme l'explique le document d'information sur la gestion de l'externalisation et des accords avec des tiers.

Exemple de cas MAS 3

Courtoisie : Gestion du risque opérationnel - Gestion de l'externalisation et des accords avec des tiers - Observations et attentes des autorités de surveillance à la suite d'inspections thématiques - Document d'information, août 2022

Ce billet examine les principales dispositions du MAS qui régissent les accords d'externalisation et de non-externalisation, et identifie les meilleures pratiques qui peuvent être utilisées pour répondre aux exigences du MAS.

Lignes directrices du MAS sur l'externalisation et la non-externalisation

Le document d'information MAS Operational Risk Management - Management of Outsourcing and Third Party Arrangements, chapitre 3, comprend des orientations spécifiques pour les institutions financières dans les domaines généraux suivants du cycle de vie de la gestion du risque de tiers :

  • Gouvernance et contrôle de gestion
  • Identification et catégorisation des risques
  • Diligence raisonnable (y compris l'intégration et les examens périodiques)
  • Gestion et surveillance continues des risques

Gouvernance et supervision de la gestion

La MAS exige des organismes de services financiers qu'ils mettent en place une structure et un cadre de gouvernance, qu'ils définissent une appétence pour le risque et qu'ils établissent des rapports de gestion.

Pour répondre à ces exigences, les organisations de services financiers devraient envisager de définir les critères suivants dans le cadre de leur programme de gestion des risques des tiers :

  • Politiques, normes, systèmes et processus régissant la protection des données
  • Rôles et responsabilités clairs (par exemple, RACI) pour tous les membres de l'équipe
  • Evaluation des risques et seuils en fonction de la tolérance au risque de votre organisation
  • Méthodes d'évaluation et de suivi basées sur la criticité des tiers
  • Cartographie de quatrième partie pour déterminer les dépendances en amont
  • Sources de données de surveillance continue (par exemple, cybernétique, commerciale, réputationnelle, financière) afin de fournir un aperçu constant des risques émergents.
  • Indicateurs clés de performance (KPI) et indicateurs clés de risque (KRI) contractuels à mesurer.
  • Exigences en matière de réponse aux incidents pour se préparer à d'éventuelles perturbations
  • Établir des rapports pour répondre aux besoins de multiples parties prenantes internes (et externes)
  • Stratégies d'atténuation des risques et de remédiation, y compris l'applicabilité des contrôles compensatoires

Pour ce faire, de nombreuses organisations choisissent de s'aligner sur un cadre de gestion des risques reconnu, tel que l'ISO. Si vous cherchez à automatiser le processus de mesure de votre programme de gestion des risques technologiques par rapport à un cadre industriel, assurez-vous de choisir une plateforme d'évaluation qui offre plusieurs options de questionnaires préétablis qui s'alignent sur de multiples cadres.

Identification et catégorisation des risques

Les MAS exigent des organismes qu'ils identifient et catégorisent les dépendances des tiers. Il s'agit notamment d'établir un cadre de gestion et de gouvernance, d'identifier et d'inventorier les tiers, de les classer en fonction de leur nature et de leurs caractéristiques de risque, et d'établir des critères pour déterminer les exigences en matière de gouvernance et de diligence raisonnable auxquelles ils doivent être soumis.

Pour répondre à ces exigences, les institutions financières doivent

  • Établir un profil complet du fournisseur qui comprend des informations démographiques, la propriété, la performance financière, les scores CPI, les déclarations sur l'esclavage moderne, des informations sur l'industrie et l'entreprise, et cartographier les relations potentiellement risquées avec des tiers. Cela permet de centraliser les informations sur les tiers et de disposer d'une source unique de vérité pour la gestion des fournisseurs tout au long du cycle de vie de leurs relations.
  • Effectuer des évaluations des risques inhérents à leurs tiers afin de les classer, fixer des niveaux appropriés de diligence supplémentaire et déterminer l'étendue des évaluations continues pour tous les tiers. Les critères peuvent être les suivants
  • Criticité pour les performances et les opérations de l'entreprise
  • Le(s) lieu(x) et les considérations juridiques ou réglementaires qui s'y rapportent
  • Niveau de dépendance à l'égard des tiers (pour éviter le risque de concentration)
  • Expérience des processus opérationnels ou en contact avec les clients

Due Diligence (Onboarding et révision périodique)

En ce qui concerne la diligence raisonnable et la réalisation d'examens périodiques, MAS recommande de prendre les résultats générés par l'exercice d'identification et de catégorisation des risques et d'élaborer un plan d'intégration qui facilite les examens continus.

Les évaluations des risques liés aux tiers doivent être réalisées au début d'une relation afin d'obtenir une image des risques que le tiers présente pour votre organisation, au moment du renouvellement du contrat et à chaque fois qu'il y a un événement contraignant tel qu'une violation, une infraction à la conformité ou une autre défaillance. Parmi les facteurs essentiels de réussite, citons l'accès à une vaste bibliothèque de modèles de questionnaires afin d'assouplir les efforts d'évaluation, ainsi que des recommandations prescriptives de remédiation afin d'obliger les tiers à rendre compte de leurs actes. Dans le cadre de ce processus, veillez à :

  • Examiner les réponses et la documentation de l'évaluation par un tiers par rapport aux protocoles de test établis afin de valider la mise en place des contrôles indiqués.
  • Mettez les réponses en rapport avec le cadre de contrôle choisi par votre organisation.
  • Élaborer des plans de remédiation et en assurer le suivi jusqu'à leur achèvement.

Gestion et surveillance continues des risques

Pour permettre une gestion continue des risques, la MAS recommande de déployer des outils et des mécanismes de surveillance des risques adéquats pour gérer les risques liés aux tiers. Surveiller l' Internet et le dark web pour détecter les cybermenaces et les vulnérabilités, ainsi que les sources publiques et privées d'informations sur la réputation, les sanctions et les finances.

Toutes les données de surveillance doivent être mises en corrélation avec les résultats de l'évaluation et centralisées dans un registre des risques unifié pour chaque tiers, afin de rationaliser l'examen des risques, l'établissement de rapports et les initiatives de réponse. Les risques peuvent être classés dans une carte thermique avec des axes de probabilité et d'impact.

Les sources de surveillance doivent comprendre un mélange de sources cybernétiques et non cybernétiques afin d'obtenir une image complète du risque d'un tiers. Voici quelques exemples :

  • Cyber : Forums criminels, pages en oignon, forums d'accès spéciaux sur le Dark Web, flux de menaces, sites de collage d'informations d'identification, communautés de sécurité, dépôts de code, bases de données de vulnérabilités et bases de données sur les violations de données.
  • Les affaires : Activités de fusion et d'acquisition, actualités commerciales et mises à jour opérationnelles.
  • Réputation : Nouvelles négatives ; et personnes politiquement exposées (PEP).
  • Réglementation et droit : Listes de sanctions mondiales, listes d'application de la loi et dépôts de plaintes auprès des tribunaux.
  • Financier : Performances financières ; notes de crédit ; fonds d'actionnaires ; propriété effective.

Comment Prevalent aide à répondre aux exigences de la MAS en matière de gestion des risques liés aux tiers

La plateforme Prevalent Third-Party Risk Management Platform automatise les flux de travail nécessaires à l'intégration, à l'examen périodique et à la résiliation des accords d'externalisation avec des tiers, qu'ils soient importants ou non, en offrant des fonctionnalités clés à plusieurs équipes pour centraliser la gestion des risques liés aux tiers au sein de l'entreprise. La solution offre des fonctionnalités spécifiques qui répondent à toutes les exigences de diligence raisonnable, de l'approbation à la résiliation.

Prevalent aide les organisations financières à ajouter de la gouvernance et de la surveillance à leurs accords d'externalisation et de non-externalisation :

  • Mise en place d'un programme complet, agile et mature de gestion des risques pour les tiers, fondé sur les meilleures pratiques éprouvées du secteur financier.
  • Centralisation des profils de tiers pour un inventaire unique des accords d'externalisation et de non-externalisation à l'échelle de l'entreprise
  • Automatiser l'identification et l'évaluation des tiers critiques en fonction de leur criticité pour l'organisation
  • Évaluer et surveiller en permanence les risques liés à la cybersécurité, aux affaires, aux finances et à la réputation.
  • Mesurer les indicateurs clés de performance (KPI) et les indicateurs clés de risque (KRI)
  • Formuler des recommandations de remédiation afin de réduire le risque résiduel pour les tiers
  • Y compris des modèles pour simplifier l'établissement de rapports d'audit sur les cadres réglementaires et de sécurité à l'intention de multiples parties prenantes internes et externes.

Pour en savoir plus sur la façon dont Prevalent peut vous aider à répondre aux exigences du MAS Operational Risk Management - Management of Outsourcing and Third-Party Arrangements, téléchargez notre liste de contrôle MAS complète ou demandez une démonstration dès aujourd'hui.

Note de la rédaction : Ce billet a été publié à l'origine sur Prevalent.net. En octobre 2024, Mitratech a acquis l'entreprise Prevalent, spécialisée dans la gestion des risques pour les tiers et dotée d'une intelligence artificielle. Le contenu a depuis été mis à jour pour inclure des informations alignées sur nos offres de produits, les changements réglementaires et la conformité.
Responsabiliser. Automatiser. Élever. Mitratech

©2026 Mitratech, Inc. Tous droits réservés.

Responsabiliser. Automatiser. Élever. Mitratech

©2026 Mitratech, Inc. Tous droits réservés.