En avril 2023, le Bureau du surintendant des institutions financières (BSIF) du gouvernement canadien a finalisé la ligne directrice B-10 sur la gestion des risques liés aux tiers, qui traite des risques opérationnels et financiers associés aux relations avec les vendeurs et les fournisseurs.
La ligne directrice B-10 définit les attentes des institutions financières fédérales (IFF) en matière de gestion des risques liés aux accords avec des tiers. La ligne directrice stipule ce qui suit :
"Le BSIF s'attend à ce que l'IFF gère les risques liés à toutes les ententes avec des tiers et insiste sur le fait que l'IFF demeure responsable des activités, des fonctions et des services qu'elle confie à un tiers.
"À cette fin, les IFF sont tenues de fournir au BSIF, sur demande, des informations relatives à leurs accords commerciaux et stratégiques avec des tiers, à la gestion des risques et aux environnements de contrôle, afin d'appuyer le travail de surveillance et d'examen des autorités de surveillance. Le BSIF s'attend à être rapidement informé des problèmes de fond affectant la capacité de l'IFF à mener à bien des opérations essentielles en raison d'un accord avec un tiers".
La ligne directrice élargit également la définition d'un tiers pour inclure davantage d'entités telles que les professionnels indépendants, les courtiers et les services publics, et recommande d'inclure tous les types de tiers dans les évaluations des risques.
Ces nouvelles exigences sont motivées par le passage de l'importance relative à la criticité - lorsqu'un tiers exerce une fonction qui fait partie intégrante de la fourniture par l'IFF d'une opération, d'une fonction ou d'un service important, il convient d'adopter une double approche dans laquelle le risque et la criticité déterminent la nature et l'étendue des activités de diligence raisonnable.
À cette fin, la ligne directrice reconnaît également que les organisations doivent identifier le type et le niveau de risque découlant de chaque accord avec un tiers (y compris les accords de sous-traitance), de sorte que l'IFF puisse gérer chaque accord avec un tiers avec le niveau d'intensité approprié. Pour ce faire, il faut comprendre le risque et la criticité de chaque accord avec un tiers, ainsi que la taille, la nature, l'étendue, la complexité des opérations et le profil de risque de l'IFF.
Le BSIF reconnaît en outre que la possibilité de gérer le risque lié aux tiers par le biais des modalités d'un contrat peut être limitée dans certains cas. Le BSIF s'attend néanmoins à ce que l'IFF gère le risque, s'il y a lieu, au moyen de la surveillance, de mesures de continuité des activités, de plans d'urgence et d'autres mécanismes de résilience.
Ce billet examine les exigences de la ligne directrice B10 du BSIF en matière de gestion des risques des tiers et identifie les capacités de la plateforme de gestion des risques des tiers prévalents qui peuvent répondre à ces exigences.
Six résultats attendus
La ligne directrice B-10 présente six résultats que les IFF doivent atteindre grâce à une gestion efficace des risques liés aux tiers. Ces résultats sont censés contribuer à la résilience opérationnelle et financière de l'IFF et aider à préserver sa réputation.
Six résultats escomptés par les IFF en matière de gestion du risque de tiers. Graphique adapté de la ligne directrice B-10 du BSIF.
Mise en correspondance des capacités prévalentes avec les principes de la ligne directrice B-10 du BSIF
Les six résultats attendus sont étayés par 11 principes que le BSIF décrit comme les meilleures pratiques en matière de gestion des risques liés aux tiers. Le résumé ci-dessous établit une correspondance entre les capacités de la plateforme prévalente de gestion des risques pour les tiers et ces 11 principes.
REMARQUE : Ce document ne doit pas être considéré comme un guide complet et définitif. Consultez votre auditeur pour obtenir une liste complète des exigences.
Résultat 1 : les structures de gouvernance et de responsabilité sont claires et des stratégies et des cadres de risque complets sont en place.
Principes 1 et 2 : Prevalent s'associe à vous pour mettre en place un programme complet de gestion des risques liés aux tiers (TPRM) basé sur les meilleures pratiques éprouvées et une vaste expérience du monde réel. Nos experts collaborent avec votre équipe pour définir et mettre en œuvre des processus et des solutions de TPRM, sélectionner des questionnaires et des cadres d'évaluation des risques, et optimiser votre programme pour traiter l'ensemble du cycle de vie des risques liés aux tiers - du sourcing et de la due diligence, à la résiliation et à l'offboarding.
Résultat 2 : Les risques posés par les tiers sont identifiés et évalués.
Principe 3 : Prevalent commence par centraliser et automatiser la distribution, la comparaison et la gestion des demandes de propositions (RFP) et des demandes d'informations (RFI). Nos solutions fournissent également des informations sur les risques commerciaux, financiers et de réputation, ainsi que sur les risques de violation de données, afin d'éclairer et de contextualiser les décisions de sélection des fournisseurs. Prevalent fait ensuite passer chaque fournisseur sélectionné aux phases de due diligence de contractualisation et/ou d'onboarding, faisant ainsi progresser automatiquement le fournisseur tout au long du cycle de vie de la tierce partie.
Principe 4 : Prevalent propose ensuite une évaluation de la diligence pré-contractuelle avec une notation claire basée sur huit critères pour capturer, suivre et quantifier les risques inhérents à toutes les tierces parties. À partir de cette évaluation des risques inhérents, votre équipe peut automatiquement classer les fournisseurs, définir les niveaux appropriés de diligence supplémentaire et déterminer l'étendue des évaluations continues. La logique de hiérarchisation basée sur des règles permet de classer les fournisseurs en fonction d'une série d'interactions de données, de considérations financières, réglementaires et de réputation.
Prevalent dispose d'une bibliothèque de plus de 750 modèles prédéfinis pour l'évaluation continue des risques des tiers. Ces modèles sont intégrés à des fonctions natives de surveillance des risques cybernétiques, commerciaux, financiers et de réputation, qui valident en permanence les résultats des évaluations et comblent les lacunes entre les évaluations. Des recommandations de remédiation intégrées garantissent que les tiers traitent les risques en temps voulu et de manière satisfaisante.
Principe 5 : Dans le cadre de l'évaluation des risques inhérents et du processus d'intégration, Prevalent peut identifier les relations de sous-traitance de quatrième et de Nième partie en effectuant une évaluation basée sur un questionnaire ou en analysant passivement l'infrastructure publique de la tierce partie. La carte des relations qui en résulte décrit les chemins d'information et les dépendances qui pourraient exposer votre environnement à des risques. Les fournisseurs découverts grâce à ce processus font l'objet d'une surveillance continue afin d'identifier les risques financiers, ESG, cybernétiques, commerciaux et de violation de données, ainsi que pour le dépistage des sanctions/PEP. Cette approche permet d'aborder les risques potentiels de concentration technologique ou géographique.
Résultat 3 : Les risques posés par les tiers sont gérés et atténués dans le cadre de l'appétence au risque de l'IFF.
Principe 6 :
Prevalent centralise la distribution, la discussion, la conservation et la révision des contrats fournisseurs qui définissent les droits et les responsabilités de chaque partie. Il offre également des fonctionnalités de workflow pour automatiser le cycle de vie des contrats, de l'entrée à la sortie.
Principe 7 : En outre, Prevalent offre une plateforme centralisée et collaborative pour effectuer des évaluations de la protection de la vie privée et atténuer les risques liés à la protection de la vie privée, qu'ils soient liés à des tiers ou internes, afin de garantir que des mesures appropriées sont prises pour protéger la confidentialité, l'intégrité et la disponibilité des dossiers et des données.
Principe 8 : Prevalent automatise l'audit de conformité de la gestion des risques des tiers en collectant des informations sur les risques des fournisseurs, en quantifiant les risques, en recommandant des mesures correctives et en générant des rapports pour des dizaines de réglementations gouvernementales et de cadres sectoriels. Prevalent met automatiquement en correspondance les informations recueillies lors des évaluations basées sur les contrôles avec les normes ISO 27001, NIST, GDPR, CoBiT 5, SSAE 18, SIG, SIG Lite, SOX, NYDFS et d'autres cadres réglementaires, ce qui vous permet de visualiser rapidement les exigences de conformité importantes et d'y répondre.
Principe 9 : Prevalent automatise l'évaluation, la surveillance continue, l'analyse et la remédiation de la résilience et de la continuité des activités des tiers, tout en mettant automatiquement les résultats en correspondance avec les normes NIST, ISO et autres cadres de contrôle.
- tout en mettant automatiquement les résultats en correspondance avec les cadres de contrôle NIST, ISO et autres, afin de s'assurer que les tiers sont en mesure de poursuivre leurs activités en cas de perturbation et qu'ils ont mis en place un plan de continuité des activités et de reprise après sinistre.
Résultat 4 : Les performances des tiers sont contrôlées et évaluées, et les risques et incidents sont traités de manière proactive.
Principe 10 : Prevalent suit et analyse en permanence les menaces externes pesant sur les tiers. La solution surveille Internet et le dark web pour détecter les cybermenaces et les vulnérabilités, ainsi que les sources publiques et privées d'informations sur la réputation, les sanctions et les finances. Toutes les données de surveillance sont corrélées aux résultats de l'évaluation et centralisées dans un registre des risques unifié pour chaque fournisseur, ce qui simplifie l'examen des risques, le reporting et les initiatives de réponse.
Principe 11 : Prevalent permet à votre équipe d'identifier et d'atténuer rapidement l'impact des incidents liés à des fournisseurs tiers qui pourraient avoir une incidence sur la résilience opérationnelle et financière en gérant les fournisseurs de manière centralisée, en procédant à des évaluations d'événements, en notant les risques identifiés et en accédant à des conseils de remédiation.
Résultat 5 : Le programme de gestion des risques liés aux tiers de l'IFF permet à l'IFF d'identifier et de gérer en permanence un éventail de relations avec des tiers.
Comme l'explique le principe 1, Prevalent s'associe à vous pour mettre en place un programme complet de gestion des risques des tiers (TPRM) basé sur les meilleures pratiques éprouvées et une vaste expérience du monde réel.
Nos experts collaborent avec votre équipe pour définir et mettre en œuvre des processus et des solutions de TPRM, sélectionner des questionnaires et des cadres d'évaluation des risques, et optimiser votre programme pour traiter l'ensemble du cycle de vie des risques liés aux tiers - de l'approvisionnement et de la diligence raisonnable à la résiliation et à l'abandon des activités.
Résultat 6 : Les opérations technologiques et cybernétiques menées par des tiers sont transparentes, fiables et sûres.
La plateforme Prevalent comprend une large bibliothèque d'évaluations standardisées (y compris pour les cadres de bonnes pratiques NIST et ISO ) et des capacités de personnalisation pour évaluer les tiers avec flexibilité. Pour les tiers qui soumettent un rapport SOC 2 au lieu d'une évaluation complète des risques, Prevalent vous permet de cartographier les lacunes de contrôle identifiées dans le rapport SOC 2, de créer des éléments de risque contre le tiers au sein d'une plate-forme d'évaluation centrale, et de suivre et de signaler les lacunes ainsi que d'autres risques.
Quel que soit le cadre de cybersécurité, Prevalent vous permet de réduire les délais d'évaluation et d'atténuer les risques.
Prochaines étapes de la conformité à la ligne directrice B10 du BSIF sur la gestion des risques liés aux tiers
Prevalent peut aider les organisations à automatiser l'évaluation et la surveillance continue de la résilience commerciale et financière des tiers afin de soutenir la conformité à la ligne directrice B-10 du BSIF.
Pour obtenir des conseils spécifiques sur la façon dont Prevalent peut aider à répondre aux exigences énoncées dans la ligne directrice B-10 du BSIF, téléchargez la liste de contrôle complète de conformité du BSIF ou demandez une démonstration dès aujourd'hui.
Note de la rédaction : Ce billet a été publié à l'origine sur Prevalent.net. En octobre 2024, Mitratech a acquis l'entreprise Prevalent, spécialisée dans la gestion des risques pour les tiers et dotée d'une intelligence artificielle. Le contenu a depuis été mis à jour pour inclure des informations alignées sur nos offres de produits, les changements réglementaires et la conformité.
