Les régulateurs américains renforcent les attentes en matière de gestion des risques par des tiers

La récente publication du guide interagences sur la gestion des risques liés aux tiers est une reconnaissance bienvenue du fait que les banques, quelle que soit leur taille, ont largement recours aux relations avec les tiers. Ces relations favorisent le développement de produits et de services, les aident à maîtriser de nouvelles plates-formes technologiques et à réaliser de nouvelles économies d'efficacité.

Ces relations peuvent porter sur des services, notamment des services d'assistance informatique, des services d'informatique en nuage, le développement et l'assistance d'applications, la vérification de la solvabilité des clients, le développement de modèles, les installations de bureau, les services de paie et de ressources humaines, l'analyse et les données de marché, et bien d'autres encore.

Ces relations peuvent également inclure des partenariats sectoriels et couvrir des services de cartes de crédit, des partenariats numériques, des produits financiers de marque et d'autres activités promotionnelles.

Gérer les relations profondément enracinées

Les orientations reconnaissent que certains de ces services et partenariats sont tellement intégrés dans de nombreux modèles d'activité bancaire qu'il est essentiel que les cadres de gestion des risques des banques, et la surveillance réglementaire qui en découle, s'étendent à ces relations complexes avec des tiers.

Si la publication des orientations proposées offre au secteur la possibilité d'apporter sa contribution, elle indique également que la gestion des risques des tiers (TPRM) est passée du statut de "bonne chose à avoir" à celui de "nécessité à avoir".

En toute équité, les principes de gestion des risques du TPRM sont similaires à d'autres aspects de la gestion des risques dans le secteur bancaire.

Les orientations définissent plusieurs domaines essentiels à prendre en considération :

• Planification
• Diligence raisonnable et sélection de tiers
• Négociation des contrats
• Surveillance et responsabilité
• Contrôle continu
• Cessation d'activité

Une série de défis très variés

Ces gros titres ne sont pas exempts de nuances.

1. Tout d'abord, il est reconnu que les défis et les problèmes liés au TPRM pour les plus grandes institutions sont radicalement différents de ceux des plus petites. Le texte reconnaît qu'il ne serait pas pratique d'obliger les établissements situés aux deux extrémités du spectre à utiliser les mêmes systèmes et procédures. Au lieu de cela, les établissements devront mettre en place des systèmes et des procédures adaptés à leur profil de risque unique en matière de gestion des risques de crédit à la consommation.
2. Deuxièmement, les orientations reconnaissent que les relations avec les tiers nécessitent souvent des relations de sous-traitance de quatrième et cinquième niveau pour fournir les services conformément aux exigences contractuelles. Cela oblige les banques à prendre en compte la nature de ces relations approfondies - et pas seulement les tiers avec lesquels elles contractent directement - lorsqu'elles exercent leur devoir de diligence et gèrent leurs risques. Les banques doivent comprendre comment obtenir une visibilité sur ces relations approfondies, même lorsqu'elles n'ont pas de relation contractuelle directe.
3. Troisièmement, ces relations étroites mettent en évidence la question du risque de concentration. Par exemple, dans le secteur bancaire, de nombreux fournisseurs d'applications logicielles et de services proposent des capacités basées sur le SaaS pour fournir leurs fonctionnalités. Ils utilisent souvent l'un des quelques fournisseurs de services en nuage pour fournir la pile technologique sous-jacente. Le petit nombre de fournisseurs de services en nuage signifie que si l'un d'entre eux rencontre un problème, quelle qu'en soit l'ampleur, cela peut potentiellement avoir un impact sur de nombreux fournisseurs de services logiciels pour les banques. Cela peut à son tour avoir un impact sur les banques qui utilisent ces services, potentiellement dans des processus critiques, ce qui a un impact sur l'économie au sens large et sur la confiance dans le secteur bancaire. Ces risques peuvent résulter de problèmes technologiques, mais aussi de développements contractuels ou commerciaux.

Intégrer le TPRM dans le paysage des risques de l'entreprise

L'application des principes fondamentaux de la gestion des risques au TPRM signifie que ces risques doivent être intégrés dans le cadre plus large de la gestion des risques de l'entreprise. Cela permet à une entreprise de prendre en compte son profil de gestion des risques de crédit à la clientèle dans ses plans de résilience plus larges, afin de s'assurer que même en cas d'interruption de l'activité, elle peut continuer à fournir ses services de base, comme l'attendent les autorités de régulation du secteur financier et l'économie réelle.

Bien que les régulateurs aient demandé des commentaires, la direction prise par les banques est claire et elles doivent commencer à élaborer leurs plans de mise en œuvre du texte final.

À quoi ressemble donc la solution optimale en matière de risque de TPRM ?

La capacité à "atteindre" la profondeur de la chaîne d'approvisionnement signifie qu'une application décentralisée, basée sur SaaS, est essentielle. Les entreprises des troisième, quatrième et cinquième niveaux d'une chaîne d'approvisionnement peuvent rapidement et facilement mettre en œuvre les exigences de gestion des risques technologiques des entreprises, même si elles n'ont pas de relations directes.

Au sein d'une banque, il doit y avoir un référentiel centralisé contenant les contrats pertinents, la documentation standard de la politique et les profils de risque des différents fournisseurs. Il est également essentiel de pouvoir surveiller de manière proactive les différents éléments de la chaîne d'approvisionnement. Si des problèmes apparaissent à quelque niveau que ce soit - technique, commercial, opérationnel ou politique, par exemple - les fonctions de risque, d'exploitation et de conformité d'une banque peuvent réagir de manière proactive en fonction des besoins.

Mitratech propose une gamme de solutions TPRM puissantes et éprouvées qui aideront les banques à répondre de manière positive et décisive aux attentes accrues de leur régulateur. En savoir plus.