Note de l'éditeur : Dans l'édition de cette semaine de notre série de blogs, Third-Party Risk Management : Comment rester en dehors du radar réglementaire, nous examinons le manuel d'examen informatique de la FFIEC en tant que mécanisme de préparation à un audit lié à des tiers. N'oubliez pas de consulter tous les blogs de cette série et de télécharger le livre blanc pour un examen complet des exigences.
Le Federal Financial Institutions Examination Council (FFIEC) est un organisme interagences officiel aux États-Unis, habilité à établir des lignes directrices et des principes et normes uniformes pour l'examen fédéral des institutions financières par cinq agences membres, dont :
- Conseil des gouverneurs du Système fédéral de réserve (FRB)
- Société fédérale d'assurance des dépôts (FDIC)
- National Credit Union Administration (NCUA)
- Office of the Comptroller of the Currency (OCC) (Bureau du contrôleur de la monnaie)
- Bureau de la protection financière des consommateurs (CFPB)
La FFIEC a créé une série de manuels ou de brochures à l'usage des examinateurs qui se penchent sur les pratiques informatiques d'un établissement et qui, à ce titre, fournissent des lignes directrices pour ces pratiques. De nombreux établissements s'intéressent aux conseils qu'ils fournissent sur la manière de gérer le risque associé aux fournisseurs tiers. La brochure sur la continuité des activités comprend l'annexe J, qui traite de la nécessité de renforcer la résilience des services technologiques externalisés. La brochure sur la sécurité de l'information comporte une section spécifique sur la surveillance des prestataires de services tiers.
Ces livrets informatiques exigent une gestion et un suivi rigoureux des risques liés aux plans de continuité des activités (PCA) et à la sécurité informatique des fournisseurs tiers. Ils précisent qu'une politique de gestion des risques doit être mise en place, qu'une diligence raisonnable doit être appliquée lors du choix des tiers et que cette politique doit être codifiée dans les accords avec les fournisseurs. En outre, les fournisseurs doivent être gérés et audités conformément aux exigences convenues.
Respecter les directives de la FFIEC relatives aux tiers grâce à la plateforme Prevalent
Prevalent peut aider à répondre aux exigences relatives aux tiers recommandées dans l'annexe J du livret sur la continuité des activités et dans la section Oversight of Third-Party Service Providers du livret sur la sécurité de l'information.
Pour répondre aux recommandations de la FFIEC, Prevalent :
- Permet des évaluations fondées sur le contrôle interne (sur la base d'un cadre normalisé ou de questionnaires personnalisés) afin de faire correspondre les exigences au niveau de risque présenté par la relation, conformément aux recommandations du livret PCA, annexe J, afin d'établir une relation bien définie avec les fournisseurs de services technologiques (FST) pour assurer la résilience de l'entreprise.
- Les questions portent sur la planification de la continuité des activités, y compris l'analyse d'impact, l'évaluation des risques opérationnels et la gestion de la reprise des activités, conformément aux recommandations de la section "Due Diligence" du livret BCP, annexe J. Prévalent examine le risque posé par les fournisseurs de services technologiques et leurs sous-traitants.
- Fournit des rapports pour satisfaire aux exigences en matière d'audit et de conformité et pour présenter les résultats au conseil d'administration et à la direction générale afin d'étayer les recommandations figurant dans la section "Contrats" de la brochure du PCA, annexe J.
- Fournit une solution complète pour effectuer des évaluations, y compris des questionnaires ; un environnement pour inclure et gérer des preuves documentées en réponse ; des flux de travail pour gérer l'examen et traiter les conclusions ; et des rapports robustes pour donner à chaque niveau de gestion les informations dont il a besoin pour examiner correctement les performances du tiers afin de répondre à la section Surveillance continue du livret BCP, annexe J.
- assure une surveillance instantanée et continue des fournisseurs pour une notification immédiate des problèmes à haut risque, une hiérarchisation des priorités et des recommandations de remédiation pour répondre à la section sur la cyber-résilience de l'annexe J du livret de PCA.
- Automatise la collecte et l'analyse des enquêtes auprès des fournisseurs à l'aide de questionnaires standard et personnalisés, de flux de travail bidirectionnels, de rapports détaillés et de capacités d'audit complètes afin de vérifier que les fournisseurs de services tiers mettent en œuvre et maintiennent des contrôles suffisants pour atténuer les risques de manière appropriée, conformément à la brochure sur la sécurité de l'information, II.C.20 "Oversight of Third-Party Service Providers".
Prochaines étapes
Même si la loi ne l'exige pas, la FFIEC fournit des conseils avisés aux organisations financières confrontées à un audit de gestion des risques de tiers . Prevalent aide les organisations à répondre aux recommandations du FFIEC IT Handbook avec un cadre permettant d'identifier, de mesurer, de surveiller et d'atténuer les risques associés à l'externalisation. Contactez-nous dès aujourd'hui pour une démonstration et découvrez comment.
Notre série continue ...
Le blog de la semaine prochaine examine les normes ISO pour la sécurité de l'information.
Note de la rédaction : Ce billet a été publié à l'origine sur Prevalent.net. En octobre 2024, Mitratech a acquis l'entreprise Prevalent, spécialisée dans la gestion des risques pour les tiers et dotée d'une intelligence artificielle. Le contenu a depuis été mis à jour pour inclure des informations alignées sur nos offres de produits, les changements réglementaires et la conformité.
