OCC : Le risque lié aux tiers est un problème majeur pour les banques américaines en 2022
Les régulateurs bancaires du monde entier s'engagent souvent de manière proactive auprès de leurs banques agréées pour les conseiller sur leurs priorités.
Ils souhaitent obtenir un retour d'information, des commentaires et des suggestions sur les questions susceptibles d'être abordées. Cela permet aux régulateurs et aux régulés d'avoir une vue d'ensemble des questions complexes et de développer des initiatives qui créent de meilleurs résultats pour les banques, les consommateurs et l'économie en général.
Dans le cadre de cet engagement du marché, l'Office of the Comptroller of Currency (OCC) a récemment publié son Fall 2021 Semi-annual Risk Perspective.
L'étude souligne que l'OCC considère les questions de risque opérationnel comme le risque le plus important auquel les banques seront confrontées en 2022. Le risque de conformité est également un problème pour l'OCC, en partie en raison d'un flux continu d'exigences réglementaires, mais aussi en raison de la liquidation du programme de protection des salaires (PPP) du Coronavirus Aid, Relief, and Economic Security (CARES) Act et d'autres programmes d'abstention. L'OCC est également consciente de l'impact sur les banques de la faiblesse des marges d'intérêt et de la nécessité d'améliorer les bénéfices.
L'accent mis par l'OCC sur le risque opérationnel est apparu, en partie à cause des défis de ces deux dernières années, mais aussi en raison d'évolutions à plus long terme. Ceux-ci ont été menés par les développements technologiques et la nécessité de fournir de nouveaux produits et services dans une économie où les taux d'intérêt sont bas.
Trois risques opérationnels interconnectés
L'OCC a identifié trois risques opérationnels critiques qui sont interconnectés : la cybersécurité, la numérisation en cours des services bancaireset le recours à des tiers pour fournir des services essentiels.
La cybersécurité est une question bien comprise, mais la nature changeante des services bancaires - et les possibilités d'émergence de nouvelles menaces - signifie que les investissements dans ce domaine restent importants et essentiels. La croissance rapide des services bancaires numériques est à l'origine d'une grande partie de ces changements dans le secteur bancaire. Ces changements sont à leur tour façonnés par la manière dont les banques ont travaillé en étroite collaboration avec des tiers, soit en tant que fournisseurs de données, de technologies ou d'applications commerciales, soit en tant que partenaires offrant de nouvelles voies d'accès au marché.
La principale préoccupation ? Le risque lié aux tiers
À bien des égards, c'est le risque lié aux tiers qui préoccupe le plus les régulateurs américains, au point que l'OCC, la Federal Deposit Insurance Corporation (FDIC) et la Réserve fédérale collaborent sur la meilleure façon de gérer les relations avec les tiers.
Historiquement, les banques ont été lentes à adopter des services tiers, en particulier des services d'informatique en nuage, par rapport à leurs homologues en dehors des services financiers. Toutefois, grâce à la prise en compte des considérations de sécurité, les banques font plus que rattraper le temps perdu. Elles adoptent de manière agressive des capacités informatiques basées sur le cloud pour leur propre usage, ainsi que des services basés sur le cloud qui figurent dans de nombreux services fournis par leur chaîne d'approvisionnement, directement par des fournisseurs tiers ainsi que par des fournisseurs de quatrième et cinquième rangs.
Ces services de tiers sont essentiels à la fourniture de nombreux nouveaux services et produits, où les fournisseurs et les partenaires fournissent une grande partie des données, de la technologie, des connaissances et des voies d'accès au marché dont les banques ont besoin pour assurer le succès de ces entreprises. Tout simplement, les organisations tierces peuvent fournir ces services plus rapidement et de manière plus rentable que si les banques faisaient cavalier seul.
Cependant, comme l'ont observé les régulateurs et les banques, les normes et les processus de sécurité et de gestion des données en vigueur dans les banques doivent être reproduits par leurs fournisseurs de services tiers, et leurs chaînes d'approvisionnement. Les banques et, en dernier ressort, les régulateurs, doivent avoir la certitude que ces fournisseurs ont les capacités de mettre en œuvre et de respecter leurs exigences.
Ce principe de gestion des risques liés aux tiers est au cœur de la proposition de directive interagences sur les relations avec les tiers, publiée par l'OCC, la FDIC et la Fed, qui fait actuellement l'objet d'une consultation. Les régulateurs et les banques ont besoin de visibilité sur leurs relations avec les tiers et sur la chaîne d'approvisionnement au sens large, qui soutiennent à leur tour ces entreprises. Les questions relatives à la solidité opérationnelle et aux risques de concentration sont au cœur des préoccupations des régulateurs, qui sont à la recherche de nouveaux risques systémiques susceptibles d'avoir un impact sur les banques et l'économie en général.
Les normes et processus de sécurité et de gestion des données en vigueur dans les banques doivent être reproduits par leurs fournisseurs de services tiers et leurs chaînes d'approvisionnement.
Les capacités nécessaires pour faire face aux risques liés aux tiers
Il sera intéressant de voir la conclusion du processus de consultation. Quoi qu'il en soit, il est évident que les banques devront adopter des capacités de gestion des risques des tiers et qu'elles devraient commencer à y réfléchir dès maintenant, avant même que les exigences inspirées par la consultation ne soient finalement publiées.
La question de la profondeur de la chaîne d'approvisionnement signifie qu' une application décentralisée, basée sur SaaS, est la clé de toute initiative réussie de gestion des risques des tiers (TPRM). Cette approche aidera les entreprises des troisième, quatrième et cinquième niveaux d'une chaîne d'approvisionnement à mettre en œuvre rapidement et facilement les exigences de toute banque en matière de gestion des risques liés aux tiers.
Une banque aura besoin d'un référentiel centralisé contenant les contrats pertinents, la documentation standard de la politique et les profils de risque des différents fournisseurs. Les équipes chargées des risques et de la conformité devront également surveiller de manière proactive les différents éléments de la chaîne d'approvisionnement, afin de pouvoir réagir rapidement si des problèmes apparaissent à n'importe quel niveau, avant qu'un problème mineur ne se transforme en quelque chose de plus grave.
Mitratech propose des solutions TPRM puissantes et éprouvées qui aideront les banques à répondre de manière positive et décisive aux attentes accrues de leur régulateur.
Se défendre contre les risques liés aux fournisseurs et à l'entreprise
Découvrez nos solutions VRM/ERM les plus performantes.
