Conformité FCA FG 16/5

Contacter un expert

Retour à tous les cas d'utilisation

FCA FG 16/5 et gestion des risques liés aux tiers

La Financial Conduct Authority (FCA) réglemente les sociétés financières qui fournissent des services aux consommateurs et veille à l'intégrité des marchés financiers au Royaume-Uni. Son travail consiste notamment à mettre en œuvre, superviser et faire respecter les normes et réglementations européennes et internationales au Royaume-Uni. En juillet 2018, la FCA a publié ses lignes directrices définitives,FG 16/5 Guidance for firms outsourcing to the « cloud » and other third-party IT services(Lignes directrices pour les entreprises qui externalisentvers le« cloud » et d'autres services informatiques tiers), afin d'aider les entreprises financières à superviser efficacement tous les aspects du cycle de vie des accords d'externalisation.

La directive FCA 16/5 ajoute des contrôles spécifiques au cloud, conformément aux exigences générales de la FCA en matière d'externalisation figurant dans les sections « Systèmes et contrôles » (SYSC) du manuel FCA destiné aux entreprises soumises à une réglementation appropriée, et exige également la conformité avec le RGPD.

La FCA considère que le recours approprié à l'externalisation vers le cloud et à d'autres services informatiques tiers permet aux entreprises d'accroître leur flexibilité et de favoriser l'innovation. Cependant, la FCA reconnaît également que l'externalisation vers le cloud peut entraîner des risques qui doivent être correctement identifiés, surveillés et atténués. Cela passe par une évaluation appropriée des risques.

Directives pertinentes

  • Surveiller en permanence les activités externalisées, identifier et gérer les risques

Respect des directives FCA TPRM

Voici comment Prevalent peut vous aider à respecter les directives FCA FG 16/5 relatives à la gestion des risques liés aux tiers :

Directives FCA FG 16/5

Comment nous aidons

Section 3.4

« Une entreprise identifie et gère de manière appropriée les risques opérationnels liés au recours à des tiers, notamment en effectuant une vérification préalable avant de décider d'externaliser certaines activités. Notre approche est fondée sur les risques et proportionnée, tenant compte de la nature, de l'ampleur et de la complexité des activités de l'entreprise. »

La solution Cyber & Business Monitoring de Prevalent offre aux entreprises la possibilité d'obtenir des informations sur les vulnérabilités informatiques potentielles d'un prestataire de services ou sur les risques commerciaux pertinents avant de conclure un contrat ou pendant la durée d'un accord commercial défini.

Prevalent combine l'analyse native des vulnérabilités avec plusieurs sources externes d'informations sur les cybermenaces afin de fournir des informations approfondies sur les risques cybernétiques des fournisseurs de services.

Prevalent est unique en ce sens qu'il offre une surveillance des risques commerciaux qui s'appuie sur des analystes humains pour interpréter les risques opérationnels, de marque, réglementaires, juridiques et financiers potentiels.

Exemples :

  • Menaces internes
  • Problèmes financiers
  • Activité de fusion et d'acquisition
  • Licenciements
  • Cas de violation de données
  • Indicateurs de réputation

Gestion des risques

« En conséquence, les entreprises devraient :

  • effectuer une évaluation des risques afin d'identifier les risques pertinents et déterminer les mesures à prendre pour les atténuer
  • documenter cette évaluation

Le service Prevalent Assessment offre aux professionnels de la sécurité, de la confidentialité et de la gestion des risques une plateforme automatisée pour gérer le processus d'évaluation des risques des prestataires de services et déterminer la conformité aux exigences en matière de sécurité informatique, de réglementation et de confidentialité des données. Il utilise des questionnaires standard et personnalisés pour aider à recueillir des preuves et fournit des workflows de remédiation bidirectionnels, des rapports en temps réel et un tableau de bord facile à utiliser pour plus d'efficacité. Grâce à des rapports clairs et des conseils de remédiation, la plateforme garantit que les risques sont identifiés et transmis aux canaux appropriés.

Surveillance des prestataires de services

« Veiller à ce que le personnel dispose des compétences et des ressources suffisantes pour superviser et tester les activités externalisées ; identifier, surveiller et atténuer les risques qui en découlent. »

La gestion des risques liés aux tiers est coûteuse et chronophage lorsqu'elle repose sur des processus manuels de collecte et de partage des données inefficaces et sources d'erreurs. La solution d'évaluation de Prevalent automatise ce processus en collectant, organisant et présentant les données des prestataires de services afin de faciliter la prise de décision et de gérer les risques liés aux fournisseurs.

Sécurité des données

« Les entreprises doivent procéder à une évaluation des risques liés à la sécurité qui inclut le prestataire de services et les actifs technologiques gérés par l'entreprise. »

La solution Prevalent permet de créer des questionnaires automatisés, basés sur des normes ou personnalisés, afin d'identifier et de gérer les risques liés aux tiers.

Les questionnaires basés sur des normes évaluent les tiers sur divers contrôles, notamment la cybersécurité, l'informatique, la confidentialité, la sécurité des données, l'hébergement cloud et la résilience des entreprises.

La plateforme comprend également des workflows de remédiation bidirectionnels, des rapports en temps réel et un tableau de bord facile à utiliser pour plus d'efficacité.

Accès efficace aux données

« Une entreprise doit :

  • veiller à ce que les exigences en matière de notification relatives à l'accès aux données, telles que convenues avec le prestataire de services, soient raisonnables et ne soient pas trop restrictives
  • veiller à ce qu'il n'y ait aucune restriction quant au nombre de demandes que l'entreprise, son auditeur ou l'autorité de régulation peuvent formuler pour accéder aux données ou les recevoir »

La plateforme Prevalent Third-Party Risk Management comprend des fonctions de reporting efficaces permettant de satisfaire aux exigences en matière d'audit et de conformité, ainsi que de présenter les conclusions au conseil d'administration et à la direction. L'ensemble du profil de risque peut être consulté dans la console de reporting centralisée en temps réel, et les rapports peuvent être téléchargés et exportés afin de déterminer le statut de conformité. Les fonctionnalités avancées de reporting comprennent des filtres et des graphiques interactifs accessibles d'un simple clic. La solution comprend un référentiel complet de tous les documents collectés et examinés au cours du processus de diligence raisonnable.

Ressources complémentaires
Gouvernance, risque et conformité
Comment respecter les exigences de conformité de la Financial Conduct Authority (FCA) en matière de services informatiques cloud et tiers
En savoir plus
Gouvernance, risque et conformité
Connaître son client (KYC) : qu'est-ce que c'est et quelles sont les trois étapes clés ?
En savoir plus
Voir plus de ressources

Responsabiliser. Automatiser. Élever. Mitratech

©2026 Mitratech, Inc. Tous droits réservés.

Responsabiliser. Automatiser. Élever. Mitratech

©2026 Mitratech, Inc. Tous droits réservés.