La FFIEC et la gestion des risques liés aux tiers
Le Federal Financial Institutions Examination Council (FFIEC) est un organisme interagences habilité à établir des lignes directrices et des principes et normes uniformes pour l'examen fédéral des institutions financières. Le FFIEC a rédigé une série de brochures sur des sujets spécifiques intéressant les examinateurs sur le terrain, qui prescrivent des principes et des normes uniformes pour les institutions financières.
La FFIEC propose une série de manuels ou de brochures à l'usage des examinateurs des pratiques informatiques des institutions financières. Ces manuels couvrent de nombreux sujets, notamment l'audit, la planification de la continuité des activités (BCP), la sécurité de l'information, l'externalisation des services technologiques et d'autres sujets.
Les brochures informatiques de la FFIEC exigent une gestion et un suivi rigoureux du plan de continuité des activités (PCA) des fournisseurs tiers et des risques liés à la sécurité des technologies de l'information. La brochure de la FFIEC sur la continuité des activités comprend une annexe J qui traite de la nécessité de renforcer la résilience des services technologiques externalisés, et la brochure sur la sécurité de l'information comprend une section spécifique sur la surveillance des fournisseurs de services tiers.
L'objectif du FFIEC IT Examination Handbook est de sensibiliser le secteur financier à la cybersécurité et de souligner l'importance d'évaluations précises de la cybersécurité, y compris pour les fournisseurs de services technologiques. Le respect de ces lignes directrices exige la mise en place d'un ensemble complet de contrôles dans l'ensemble de l'organisation du fournisseur.
Conseils pertinents
- Une politique de gestion des risques doit être mise en place
- La politique devrait être codifiée dans les accords avec les fournisseurs
- Il convient de faire preuve d'une diligence raisonnable dans le choix des tiers.
- Les fournisseurs doivent être gérés et audités conformément aux exigences convenues.
Respect des lignes directrices de la FFIEC en matière de TPRM
Voici comment Prevalent peut vous aider à respecter les directives de la FFIEC en matière de gestion des risques liés aux tiers :
Orientations
La prévalence de l'aide
Brochure sur la planification de la continuité des activités Annexe J : Renforcer la résilience des services technologiques externalisés
Gestion des tiers
"L'établissement d'une relation bien définie avec les fournisseurs de services technologiques (FST) est essentiel à la résilience de l'entreprise. Le programme de gestion des tiers d'une institution financière doit être axé sur le risque et fournir une surveillance et des contrôles proportionnels au niveau de risque présenté par l'accord d'externalisation. Pour garantir la résilience de l'entreprise, le programme doit inclure les activités externalisées qui sont essentielles aux opérations courantes de l'institution financière".
La plateforme Prevalent TPRM permet de réaliser des évaluations basées sur le contrôle interne (à partir de questionnaires standards et/ou de questionnaires personnalisés). Ce choix permet à une organisation de faire correspondre les exigences de l'évaluation au niveau de risque présenté par la relation.
En outre, la plateforme comprend des fonctionnalités intégrées de flux de travail qui permettent aux évaluateurs d'interagir efficacement avec des tiers au cours des périodes de collecte et d'examen de la diligence raisonnable.
Gestion des tiers - Due Diligence
"Dans le cadre de son devoir de diligence, une institution financière doit évaluer l'efficacité du programme de continuité des activités d'un FST, en mettant particulièrement l'accent sur les possibilités et la capacité de récupération. En outre, une institution doit comprendre le processus de diligence raisonnable que le FST utilise pour ses sous-traitants et fournisseurs de services. En outre, l'institution financière doit examiner le programme de PCA du FST et son alignement sur son propre programme, y compris une évaluation de la stratégie de test du PCA du FST et de ses résultats pour s'assurer qu'ils répondent aux exigences de l'institution financière et favorisent la résilience".
Les questionnaires normalisés et personnalisés de Prevalent sont axés sur la planification de la continuité des activités, y compris l'analyse d'impact, l'évaluation des risques opérationnels et la gestion de la reprise des activités. Le service Prevalent Assessment examine les risques posés par les fournisseurs de services technologiques et leurs sous-traitants.
Gestion des tiers - Contrats
"Droit d'audit : Les accords doivent prévoir le droit pour l'institution financière ou ses représentants d'auditer le FST et/ou d'avoir accès aux rapports d'audit. Une institution financière doit examiner les rapports d'audit disponibles concernant les capacités de résilience des FST et leurs interdépendances (par exemple, les sous-traitants), les tests de PCA et les efforts de remédiation, et évaluer l'impact, le cas échéant, sur le PCA de l'institution financière."
La plateforme Prevalent TPRM comprend des rapports efficaces pour répondre aux exigences d'audit et de conformité, ainsi que pour présenter les résultats au conseil d'administration et à la direction générale. L'ensemble du profil de risque peut être visualisé dans la console centralisée de reporting en direct, et les rapports peuvent être téléchargés et exportés pour déterminer le statut de conformité. Les capacités de reporting approfondi comprennent des filtres et des graphiques interactifs à cliquer. La solution comprend un référentiel complet de tous les documents collectés et examinés au cours du processus de diligence.
Gestion des tiers - Contrôle continu
"Une surveillance continue efficace aide l'institution financière à garantir la résilience des services technologiques externalisés. L 'institution financière devrait procéder à des évaluations périodiques approfondies de l'environnement de contrôle du FST, y compris du PCA, en examinant les activités de test du plan de continuité des activités du prestataire de services, les évaluations indépendantes et/ou de tiers afin d'évaluer l'impact potentiel sur la résilience de l'activité de l'institution financière. L'institution financière doit s'assurer que les résultats de ces évaluations sont documentés et communiqués par le FST au comité de surveillance de la direction ou au conseil d'administration approprié et qu'ils sont utilisés pour déterminer les modifications à apporter au PCA de l'institution financière et, si cela se justifie, au contrat du prestataire de services".
La plateforme Prevalent Third-Party Risk Management fournit une solution complète pour réaliser des évaluations, y compris des questionnaires, un environnement pour inclure et gérer des preuves documentées en réponse, des flux de travail pour gérer l'examen et traiter les conclusions, et des rapports robustes pour donner à chaque niveau de gestion les informations dont il a besoin pour examiner correctement la performance du tiers.
La cyber-résilience
"Les cybermenaces continueront à poser un défi à la préparation à la continuité des activités. Les institutions financières et les FST doivent rester attentifs aux menaces et scénarios cybernétiques émergents et prendre en compte leur impact potentiel sur la résilience opérationnelle. L'impact de chaque type de cyber-événement étant variable, la préparation est la clé pour prévenir ou atténuer les effets d'un tel événement".
Le service Prevalent Cyber & Business Monitoring offre une surveillance instantanée et continue des fournisseurs pour une notification immédiate des problèmes à haut risque, une priorisation et des recommandations de remédiation. La surveillance de la sécurité des données et des risques commerciaux vous permet d'aller au-delà de la santé tactique des fournisseurs et d'avoir une vision plus stratégique de leur risque global en matière de sécurité de l'information.
Prevalent est unique en ce sens qu'il offre une surveillance des risques commerciaux qui s'appuie sur des analystes humains pour interpréter les risques opérationnels, de marque, réglementaires, juridiques et financiers potentiels.
Voici quelques exemples d'informations commerciales collectées au cours de l'analyse :
- Activité de fusion et d'acquisition
- Licenciements
- Poursuites judiciaires
- Violations de données
- Rappels de produits
- Faillite
- Transactions en capital : dette, capitaux propres
Brochure sur la sécurité de l'information
II.C.20 Contrôle des prestataires de services tiers
"La direction doit vérifier que les prestataires de services tiers mettent en œuvre et maintiennent des contrôles suffisants pour atténuer les risques de manière appropriée. Les contrats de l'établissement doivent comporter les éléments suivants :
Inclure des normes minimales de contrôle et d'information
prévoir le droit d'exiger des modifications des normes en fonction de l'évolution de l'environnement externe et interne
préciser que l'institution ou un auditeur indépendant a accès au prestataire de services pour évaluer ses performances par rapport aux normes de sécurité de l'information.
Le service Prevalent Assessment simplifie la conformité et réduit les risques grâce à la collecte et à l'analyse automatisées d'enquêtes sur les fournisseurs à l'aide de questionnaires standard et personnalisés. Des flux de travail bidirectionnels assurent la communication avec les fournisseurs de services technologiques pour traiter les résultats et les efforts de remédiation. Des rapports robustes et des capacités d'audit complètes permettent de rationaliser l'examen des performances. L'accès aux évaluations et aux audits réalisés peut être délégué aux auditeurs via les fonctionnalités RBAC standard de la plateforme.
