Orientations interagences sur la conformité des relations avec les tiers

Exigences en matière de gestion des risques liés aux tiers pour les sociétés de services financiers

En juin 2023, le Conseil des gouverneurs du Système fédéral de réserve (le Conseil), la Federal Deposit Insurance Corporation (FDIC) et l'Office of the Comptroller of the Currency (OCC) ont publié des directives uniformes sur la gestion des risques liés aux relations avec des tiers dans les organisations bancaires.

Les directives interagences sur les relations avec des tiers : la gestion des risquess'appuient sur les directives de l'OCC de 2013 et les FAQ de 2020. Elles remplacent les directives existantes de chaque agence sur les relations avec des tiers et s'appliquent à toutes les organisations bancaires supervisées par les agences. L'objectif de ces directives est d'uniformiser et d'harmoniser la manière dont les organisations bancaires élaborent et appliquent les principes de gestion des risques liés aux relations avec des tiers.

Exigences pertinentes

Élaborer un plan qui décrit la stratégie de l'organisation, identifie les risques inhérents à l'activité avec le tiers et détaille la manière dont l'organisation identifiera, évaluera, sélectionnera et supervisera le tiers.
Faire preuve de diligence raisonnable dans le choix d'un tiers
Négocier des contrats écrits qui énoncent clairement les droits et les responsabilités de toutes les parties.
Demander au conseil d'administration et à la direction de superviser les processus de gestion des risques de l'organisation, de tenir à jour la documentation et les rapports à des fins de responsabilité en matière de surveillance, et de procéder à des examens indépendants.
Assurer un suivi continu des activités et des performances du tiers.
Élaborer des plans d'urgence pour mettre fin à la relation de manière efficace.

Alignez votre programme TPRM sur les réglementations ESG en pleine expansion

Téléchargez ce guide pour passer en revue les normes et la législation ESG actuelles et futures, et découvrez comment préparer votre programme TPRM à la conformité.

Respect des directives interagences relatives aux exigences en matière de relations avec des tiers

Voici comment Prevalent peut vous aider à répondre aux exigences en matière de gestion des risques liés aux tiers énoncées dans les lignes directrices :

Orientations	Comment nous aidons
C. Cycle de vie des relations avec les tiers « Une gestion efficace des risques liés aux tiers suit généralement un cycle de vie continu pour les relations avec les tiers... Le degré de pertinence des exemples de considérations abordés dans le présent guide pour chaque organisation bancaire dépend des faits et circonstances spécifiques, et ces exemples peuvent ne pas s'appliquer à toutes les relations d'une organisation bancaire avec des tiers... »
1. La planification « Dans le cadre d'une gestion saine des risques, une planification efficace permet à un établissement bancaire d'évaluer et d'examiner la manière de gérer les risques avant de s'engager dans une relation avec un tiers. Certains tiers, tels que ceux qui soutiennent les activités à haut risque d'un établissement bancaire, y compris les activités critiques, justifient généralement un degré plus élevé de planification et de réflexion. Par exemple, lorsque des activités critiques sont en jeu, les plans peuvent être présentés au conseil d'administration d'un établissement bancaire (ou à un comité désigné du conseil) et approuvés par celui-ci... »	Dans le cadre du processus visant à établir ou à perfectionner votre programme de gestion des risques liés aux tiers, tenez compte des éléments suivants : Réglementer les politiques, les normes, les systèmes et les processus afin de protéger les systèmes et les données Rôles et responsabilités (par exemple, RACI) de tous les membres de l'équipe concernés Inventaires des tiers pour comprendre l'ampleur et la portée de l'implication des tiers Classification par des tiers et approches de catégorisation Evaluation des risques et seuils en fonction de la tolérance au risque de votre organisation Méthodes d'évaluation et de suivi basées sur la criticité des tiers Participation de quatrièmes et n-ièmes parties à la fourniture de services essentiels Sources de données de surveillance continue (cybernétique, commerciale, réputationnelle, financière) Indicateurs clés de performance (ICP) et indicateurs clés de risque (ICR) pour évaluer votre programme et les tiers. Exigences en matière de conformité et de rapports contractuels Processus de réponse aux incidents Rapports internes aux parties prenantes - pour la direction et le conseil d'administration Stratégies d'atténuation des risques et de remédiation Chacun de ces éléments est essentiel à l'élaboration d'un plan de programme de TPRM complet.
2. Diligence raisonnable et sélection des tiers « La réalisation d'une vérification préalable des tiers avant de les sélectionner et d'établir des relations avec eux est un élément important d'une bonne gestion des risques. Elle fournit à la direction les informations nécessaires sur les tiers potentiels afin de déterminer si une relation contribuerait à la réalisation des objectifs stratégiques et financiers d'un organisme bancaire. Le processus de diligence raisonnable fournit également à l'établissement bancaire les informations nécessaires pour évaluer s'il est en mesure d'identifier, de surveiller et de contrôler de manière appropriée les risques associés à la relation avec le tiers en question. La diligence raisonnable consiste notamment à évaluer la capacité du tiers à : mener à bien l'activité comme prévu, respecter les politiques de l'établissement bancaire relatives à l'activité, se conformer à toutes les lois et réglementations applicables, et mener l'activité de manière sûre et saine... »	Évaluer et surveiller les tiers en fonction de l'ampleur des menaces pesant sur les actifs informationnels en capturant, suivant et quantifiantles risques inhérents. Les critères utilisés pour calculer le risque inhérent pour la classification des tiers comprennent : Type de contenu requis pour valider les contrôles Criticité pour les performances et les opérations de l'entreprise Le(s) lieu(x) et les considérations juridiques ou réglementaires qui s'y rapportent Niveau de dépendance à l'égard des tiers (pour éviter le risque de concentration) Expérience des processus opérationnels ou en contact avec les clients Interaction avec les données protégées Situation financière et santé Réputation À partir de cette évaluation des risques inhérents, votre équipe peut automatiquement classer les tiers, définir les niveaux appropriés de diligence raisonnable ultérieure et déterminer la portée des évaluations continues. La logique de hiérarchisation basée sur des règles permet une catégorisation par des tiers à partir d'une série de considérations liées à l'interaction des données, aux aspects financiers, réglementaires et à la réputation.
a. Stratégies et objectifs « Examiner la stratégie commerciale globale et les objectifs du tiers afin d'évaluer l'incidence que ses accords commerciaux stratégiques actuels et proposés (tels que fusions, acquisitions, cessions, partenariats, coentreprises ou initiatives de marketing conjoint) pourraient avoir sur l'activité. Envisager également d'examiner les philosophies de service, les initiatives en matière de qualité, les améliorations en matière d'efficacité et les politiques et pratiques en matière d'emploi du tiers. Déterminez si le choix d'un tiers est conforme aux politiques et pratiques générales de l'établissement bancaire, y compris ses politiques et pratiques en matière de diversité [...] ».	Suivre et analyser en permanence les menaces externes pesant sur des tiers en surveillant les sources publiques et privées d'informations relatives à la réputation, aux sanctions et aux finances. Corréler toutes les données de contrôle aux résultats de l'évaluation et les centraliser dans un registre des risques unifié pour chaque tiers, afin de rationaliser l'examen des risques, l'établissement de rapports et les initiatives de réponse. Les sources de surveillance devraient inclure Sources publiques et privées d'informations sur la réputation, notamment les activités de fusion-acquisition, les actualités économiques, les informations négatives, les informations réglementaires et juridiques, les mises à jour opérationnelles, etc. Notes environnementales, sociales et de gouvernance (ESG) Sources d'informations mondiales Profils des personnes politiquement exposées Listes mondiales de sanctions Scores de l'indice de perception de la corruption (CPI) Déclarations sur l'esclavage moderne
b. Conformité légale et réglementaire « L'examen de toutes les considérations juridiques et réglementaires liées à l'engagement d'un tiers permet à un établissement bancaire d'évaluer s'il est en mesure d'atténuer de manière appropriée les risques associés à la relation avec ce tiers... »	Lorsque vous évaluez un tiers, créez unprofil centraliséqui comprend des informations démographiques, les bénéficiaires effectifs, les technologies tierces, les scores ESG, des informations récentes sur l'activité et la réputation, l'historique des violations de données, ainsi que les conclusions réglementaires récentes et les performances financières. Les options peuvent inclure l'analyse séparée des sources de ces données ou leur intégration dans une vue unique pouvant être étendue à plusieurs équipes internes.
c. Situation financière « Une évaluation de la situation financière d'un tiers à partir de l'examen des informations financières disponibles, notamment les états financiers vérifiés, les rapports annuels et les documents déposés auprès de la Securities and Exchange Commission (SEC) des États-Unis, aide un établissement bancaire à déterminer si le tiers dispose de la capacité financière et de la stabilité nécessaires pour mener à bien l'activité... »	Exploitez unebase de données mondiale contenant des informations financières sur des millions d'entreprises, notamment les changements organisationnels et les performances financières, le chiffre d'affaires, les profits et pertes, les fonds des actionnaires, etc. Votre équipe peut analyser les sources de ces données séparément en téléchargeant les états financiers, ou intégrer l'analyse financière dans une stratégie plus large d'évaluation des risques.
f. Gestion des risques « Une diligence raisonnable appropriée comprend une évaluation de l'efficacité de la gestion globale des risques d'un tiers, y compris les politiques, les processus et les contrôles internes, ainsi que la conformité avec les politiques applicables et les attentes de l'organisme bancaire concernant l'activité... » « Lorsque cela est pertinent et possible, un organisme bancaire peut envisager d'examiner les rapports SOC (System and Organization Control) et toute évaluation de conformité ou certification par des tiers indépendants liés aux normes nationales ou internationales pertinentes.11 Dans de tels cas, l'organisme bancaire peut également déterminer si la portée et les résultats des rapports SOC, des certifications ou des évaluations sont pertinents pour l'activité à réaliser ou suggérer qu'un examen supplémentaire du tiers ou de l'un de ses sous-traitants pourrait être approprié. »	Automatiser évaluations des risques pour étendre la visibilité, l'efficacité et la portée de votre programme de gestion des risques liés aux tiers à toutes les étapes du cycle de vie des tiers. Assurez-vous que votre approche d'évaluation par un tiers comprend : Une vaste bibliothèque d'évaluations standardisées (y compris celles pourNISTetISO) et des capacités de personnalisation pour évaluer les tiers avec souplesse. Workflow intégré pour automatiser l'identification des risques (en fonction des seuils que vous définissez selon la tolérance au risque de votre organisation) et leur attribution aux responsables. Recommandations de remédiation intégrées pour réduire les risques résiduels Rapports automatisés sur les risques et la conformité Les résultats des évaluations et de la surveillance continue devraient être rassemblés dans un registre des risques unique, avec des rapports sous forme de cartes thermiques qui mesurent et classent les risques en fonction de leur probabilité et de leur impact. Grâce à ces informations, les équipes peuvent facilement voir les conséquences d'un risque et disposer de recommandations de remédiation prêtes à l'emploi pour les tiers afin d'atténuer les risques. Pour les tiers qui soumettent unrapport SOC 2au lieu d'une évaluation complète des risques liés aux tiers, cartographiez les lacunes identifiées dans le rapport SOC 2, créez des éléments de risque liés au tiers dans une plateforme d'évaluation centrale, puis suivez et signalez les lacunes ainsi que les autres risques.
g. Sécurité de l'information « Comprendre les implications potentielles en matière de sécurité de l'information, y compris l'accès aux systèmes et aux informations d'un organisme bancaire, peut aider ce dernier à décider s'il convient ou non de s'engager avec un tiers. La diligence raisonnable dans ce domaine consiste généralement à évaluer le programme de sécurité de l'information du tiers, y compris sa cohérence avec le programme de sécurité de l'information de l'organisme bancaire, tel que son approche en matière de protection de la confidentialité, de l'intégrité et de la disponibilité des données de l'organisme bancaire. Elle peut également consister à déterminer s'il existe des lacunes qui présentent un risque pour l'établissement bancaire ou ses clients et à examiner dans quelle mesure le tiers applique des contrôles pour limiter l'accès aux données et aux transactions de l'établissement bancaire, tels que l'authentification multifactorielle, le chiffrement de bout en bout et la gestion sécurisée du code source. Elle aide également l'établissement bancaire à déterminer si le tiers se tient informé et possède une expérience suffisante pour identifier, évaluer et atténuer les menaces et les vulnérabilités connues et émergentes. Le cas échéant, l'évaluation des programmes de sécurité des données, des infrastructures et des applications du tiers, y compris le cycle de vie du développement logiciel et les résultats des tests de vulnérabilité et de pénétration, peut fournir des informations précieuses sur les vulnérabilités du système informatique. Enfin, la diligence raisonnable peut aider un organisme bancaire à évaluer la mise en œuvre par le tiers de mesures correctives efficaces et durables pour remédier aux lacunes découvertes lors des tests. »	Réalisezdes évaluationsde cybersécurité par des tiers lors de l'intégration, du renouvellement du contrat ou à toute fréquence requise (par exemple, trimestriellement ou annuellement). Assurez-vous que les évaluations s'appuient sur des capacités de gestion des flux de travail, des tâches et d'examen automatisé des preuves. Ensuite, suivez et analysez en permanenceles menaces externes pesant sur des tiersen surveillant Internet et le dark web à la recherche de cybermenaces et de vulnérabilités. Les sources à surveiller doivent inclure : les forums criminels, les pages onion, les forums d'accès spécial au dark web, les flux de menaces, les sites de partage de données pour les identifiants divulgués, les communautés de sécurité, les référentiels de code, les bases de données de vulnérabilités et les bases de données de violations de données. Corréler toutes les données de contrôle aux résultats de l'évaluation et les centraliser dans un registre des risques unifié pour chaque tiers, afin de rationaliser l'examen des risques, l'établissement de rapports et les initiatives de réponse. Comme indiqué au point (g) ci-dessus, vous pouvez ensuite appliquer un workflow intégré pour trier et traiter les risques grâce à des recommandations de correction.
i. Résilience opérationnelle « L'évaluation des pratiques de résilience opérationnelle d'un tiers aide une organisation bancaire à évaluer la capacité d'un tiers à fonctionner efficacement et à se remettre de toute perturbation ou incident, tant interne qu'externe. Une telle évaluation est particulièrement importante lorsque l'impact d'une telle perturbation pourrait avoir un effet négatif sur l'organisation bancaire ou ses clients, notamment lorsque le tiers interagit avec les clients. Il est important d'évaluer les options à mettre en œuvre si la capacité du tiers à exercer son activité est compromise et de déterminer si le tiers maintient des pratiques appropriées en matière de résilience opérationnelle et de cybersécurité, y compris des plans de reprise après sinistre et de continuité des activités qui précisent le délai nécessaire pour reprendre les activités et récupérer les données... »	Automatisez l'évaluation, la surveillance continue, l'analyse et la correction de la résilience et de la continuité des activités des tiers à l'aide d'une évaluation complète de la résilience des activités basée sur la norme ISO 22301. Cette approche permettra à votre équipe : Catégoriser les tiers en fonction de leur profil de risque et de leur importance pour l'entreprise. Définir les objectifs de point de reprise (RPO) et les objectifs de délai de reprise (RTO) Centraliser l'inventaire des systèmes, les évaluations des risques, les diagrammes RACI et les tiers. Assurer une communication cohérente avec les tiers pendant les perturbations commerciales Pour compléter les évaluations de la résilience commerciale et valider les résultats : Automatisez la surveillance continue du cyberespace afin de prévoir les répercussions possibles sur les activités de tiers. Accédez à des informations qualitatives provenant de sources publiques et privées sur la réputation qui pourraient être le signe d'une instabilité. Accédez aux informations financières d'un réseau mondial d'entreprises afin d'identifier la santé financière ou les problèmes opérationnels de tiers. Cette approche proactive permet à votre organisation de minimiser l'impact des perturbations causées par des tiers et de rester à la pointe des exigences de conformité.
j. Programmes de signalement et de gestion des incidents « L'examen et l'évaluation des processus de signalement et de gestion des incidents d'un tiers permettent de déterminer s'il existe des processus, des délais et des responsabilités clairement documentés pour identifier, signaler, enquêter et escalader les incidents. Cet examen permet de confirmer que les processus d'escalade et de notification du tiers répondent aux attentes de l'organisme bancaire et aux exigences réglementaires. »	Envisagez de structurer et d'évaluer votre gestion des incidents tiers à l'aide de l'un des cadres standard suivants : NIST 800-61R2 : Guide de gestion des incidents liés à la sécurité informatique ISO/IEC 27035-1 : Gestion des incidents de sécurité de l'information, partie 1 : Principes de gestion des incidents ISO/IEC 27035-2 : Gestion des incidents liés à la sécurité de l'information - Partie 2 : Lignes directrices pour la planification et la préparation de la gestion des incidents OCC 2021-55 : Règle définitive relative à la notification des incidents bancaires, publiée le 23 novembre 2021 OCC 2022-8 : Points de contact informatiques pour les notifications d'incidents liés à la sécurité informatique des banques, publié le 29 mars 2022. Les éléments clés de votre rapport d'incident tiers doivent inclure : Questionnaires personnalisables pour la gestion des événements et des incidents Suivi en temps réel de l'état d'avancement du questionnaire Des propriétaires de risques définis avec des rappels automatisés pour maintenir les enquêtes dans les délais. Signalement proactif par des tiers Vues consolidées des cotes de risque, des nombres, des scores et des réponses signalées pour chaque tiers Règles de flux de travail pour déclencher des plans d'action automatisés afin d'agir sur les risques en fonction de leur impact potentiel sur l'entreprise. Recommandations de remédiation intégrées pour réduire les risques Modèles de rapports intégrés Cartographie des données et des relations pour identifier les relations entre votre organisation et des tiers afin de visualiser les chemins de l'information et de déterminer les données à risque.
l. Recours à des sous-traitants « Une évaluation du volume et des types d'activités sous-traitées, ainsi que du degré de dépendance du tiers à l'égard des sous-traitants, permet de déterminer si ces accords de sous-traitance présentent un risque supplémentaire ou accru pour une organisation bancaire. Cela comprend généralement une évaluation de la capacité du tiers à identifier, gérer et atténuer les risques liés à la sous-traitance, y compris la manière dont le tiers sélectionne et supervise ses sous-traitants et s'assure que ceux-ci mettent en œuvre des contrôles efficaces. D'autres considérations importantes incluent la question de savoir si la situation géographique d'un sous-traitant ou la dépendance à l'égard d'un seul fournisseur pour plusieurs activités présentent un risque supplémentaire. »	Identifiezles relations de sous-traitance de quatrième et n-ième partieen réalisant une évaluation sous forme de questionnaire ou en analysant de manière passive l'infrastructure publique du tiers. La carte des relations qui en résulte illustre les chemins d'information et les dépendances susceptibles d'exposer votre environnement à des risques. Les tiers identifiés dans le cadre de ce processus font l'objet d'une surveillance continue afin d'identifier les risques financiers, ESG, cybernétiques, commerciaux et liés aux violations de données, ainsi que pour le contrôle des sanctions/PEP. Cette approche permet de mieux appréhender les risques potentiels de concentration technologique ou géographique.
3. Négociation du contrat « Lorsqu'elle évalue l'opportunité d'établir une relation avec un tiers, une organisation bancaire détermine généralement si un contrat écrit est nécessaire et si le contrat proposé peut répondre à ses objectifs commerciaux et à ses besoins en matière de gestion des risques. Après avoir pris cette décision, une organisation bancaire négocie généralement des dispositions contractuelles qui faciliteront une gestion et une surveillance efficaces des risques et qui précisent les attentes et les obligations tant de l'organisation bancaire que du tiers. Une organisation bancaire peut adapter le niveau de détail et l'exhaustivité de ces dispositions contractuelles en fonction du risque et de la complexité que présente la relation avec le tiers en question... »	Centralisez la distribution, la discussion, la conservation et la révision des contrats tiers afin que toutes les équipes concernées puissent participer à la révision des contrats et s'assurer que les clauses appropriées sont incluses et gérées. Les pratiques clés à prendre en compte dans la gestion des contrats avec des tiers sont les suivantes : Stockage centralisé des contrats Suivi de tous les contrats et de leurs attributs, tels que le type, les dates clés, la valeur, les rappels et le statut, avec des vues personnalisées et basées sur les rôles. Fonctionnalités de flux de travail (basées sur l'utilisateur ou le type de contrat) pour automatiser le cycle de vie de la gestion des contrats Des rappels automatisés et des avis de retard pour rationaliser l'examen des contrats Discussion centralisée des contrats et suivi des commentaires Stockage des contrats et des documents avec des autorisations basées sur les rôles et des pistes d'audit de tous les accès Suivi du contrôle des versions permettant de modifier les contrats et les documents hors ligne Permissions basées sur les rôles qui permettent la répartition des tâches, l'accès aux contrats et l'accès à la lecture, à l'écriture et à la modification. Une bonne gestion du cycle de vie des contrats permettra à l'organisation d'être efficace : Gérer les accords et les performances Appliquer les clauses de conservation des informations, de droit à l'audit et les mesures de remédiation Obtenir des rapports de conformité Exiger la résilience et la continuité des activités Apporter une visibilité sur la sous-traitance et les tiers basés à l'étranger
b. Mesures de performance ou repères « Pour certaines relations, des mesures de performance clairement définies peuvent aider un établissement bancaire à évaluer la performance d'un tiers. En particulier, un accord de niveau de service entre l'établissement bancaire et le tiers peut aider à préciser les mesures relatives aux attentes et aux responsabilités des deux parties, y compris la conformité aux politiques et procédures et le respect des lois et réglementations applicables. Ces mesures peuvent être utilisées pour contrôler la performance, pénaliser les mauvaises performances ou récompenser les performances exceptionnelles. Il est important de négocier des mesures de performance qui n'encouragent pas les performances ou les comportements imprudents, tels que la recherche du volume ou de la rapidité de traitement sans tenir compte de l'exactitude, des exigences de conformité ou des effets négatifs sur l'établissement bancaire ou ses clients. »	Au cours de la phase de négociation du contrat du cycle de vie des tiers, incluez des accords de niveau de service (SLA) exécutoires, des indicateurs de performance clés (KPI) et des indicateurs de risque clés (KRI) dans les contrats avec les tiers, désignez des responsables et suivez en permanence les progrès réalisés dans la mise en œuvre de ces mesures. Il est important de déterminer la différence entre les indicateurs clés de performance (KPI) et les indicateurs clés de risque (KRI) et de comprendre comment ils sont liés. Les indicateurs clés de performance (KPI) mesurent l'efficacité des fonctions et des processus. Les indicateurs clés de risque (KRI) indiquent le niveau de risque auquel l'organisation est exposée et les mesures à prendre pour y remédier. Lorsqu'il s'agit de mesurer les KPI et les KRI, classez-les comme suit : Les mesures des risques permettent de comprendre les risques liés à la conclusion d'affaires avec un tiers, ainsi que les mesures d'atténuation associées. Les mesures des menaces recoupent quelque peu les risques et donnent une vision plus complète et validée des risques. Les mesures de conformité permettent de déterminer si les tiers respectent vos exigences en matière de contrôles internes. Les mesures de couverture répondent à la question suivante : « Ai-je une couverture complète de l'empreinte de mes tiers et ceux-ci sont-ils classés et traités en conséquence ? » Ensuite, veillez à relier les résultats aux dispositions du contrat afin d'assurer une gouvernance complète du processus.
4. Contrôle continu « Une surveillance continue permet à un établissement bancaire : (1) de confirmer la qualité et la durabilité des contrôles d'un tiers et sa capacité à respecter ses obligations contractuelles ; (2) de signaler les problèmes ou préoccupations importants, tels que les conclusions d'audit significatives ou répétées, la détérioration de la situation financière, les failles de sécurité, la perte de données, les interruptions de service, les manquements à la conformité ou d'autres indicateurs de risque accru ; et (3) de réagir à ces problèmes ou préoccupations importants lorsqu'ils sont identifiés... « Une gestion efficace des risques liés aux tiers comprend une surveillance continue tout au long de la relation avec le tiers, proportionnelle au niveau de risque et à la complexité de la relation et de l'activité exercée par le tiers... « La surveillance continue peut être effectuée de manière périodique ou continue, et une surveillance plus complète ou plus fréquente est appropriée lorsque la relation avec un tiers soutient des activités à haut risque, y compris des activités critiques. Étant donné que le niveau et les types de risques peuvent évoluer au cours de la durée de la relation avec un tiers, les organismes bancaires peuvent adapter leurs pratiques de surveillance continue en conséquence, notamment en modifiant la fréquence ou le type d'informations utilisées dans le cadre de la surveillance... »	Suivre et analyser en permanenceles menaces externes pesant sur des tiersen surveillant Internet et le dark web à la recherche de cybermenaces et de vulnérabilités, ainsi que les sources publiques et privées d'informations sur la réputation, les sanctions et les finances. Les sources de surveillance devraient inclure Des forums criminels, des milliers de pages en oignon, des forums d'accès spécial sur le dark web, des flux de menaces et des sites de collage d'informations d'identification ayant fait l'objet d'une fuite, ainsi que plusieurs communautés de sécurité, dépôts de code et bases de données de vulnérabilités. Sources publiques et privées d'informations sur la réputation, notamment les activités de fusion-acquisition, les actualités économiques, les informations négatives, les informations réglementaires et juridiques, les mises à jour opérationnelles, etc. Les performances financières, y compris le chiffre d'affaires, les pertes et profits, les fonds des actionnaires, etc. Sources d'informations mondiales Profils des personnes politiquement exposées Listes mondiales de sanctions Corréler toutes les données de contrôle aux résultats de l'évaluation et les centraliser dans un registre des risques unifié pour chaque tiers, afin de rationaliser l'examen des risques, l'établissement de rapports et les initiatives de réponse.
5. Résiliation « Une organisation bancaire peut mettre fin à une relation pour diverses raisons, telles que l'expiration ou la violation du contrat, le non-respect par le tiers des lois ou réglementations applicables, ou le désir de rechercher un autre tiers, d'internaliser l'activité ou de la suspendre. Lorsque cela se produit, il est important que la direction mette fin aux relations de manière efficace, que les activités soient transférées à un autre tiers, internalisées ou suspendues... »	Automatisez les évaluations des contrats et les procéduresde départafin de réduire les risques liés à l'exposition post-contractuelle de votre organisation. Planifier des tâches pour examiner les contrats afin de s'assurer que toutes les obligations ont été respectées. Émettre des évaluations de contrat personnalisables pour évaluer l'état d'avancement. Utilisez des enquêtes et des flux de travail personnalisables pour établir des rapports sur l'accès au système, la destruction des données, la gestion de l'accès, le respect de toutes les lois pertinentes, les paiements finaux, et bien plus encore. Stockez et gérez de manière centralisée les documents et les certifications, tels que les accords de confidentialité, les accords de niveau de service (SLA), les accords de service (SOW) et les contrats. Tirez parti de l'analyse automatisée intégrée des documents basée sur le traitement du langage naturel d'AWS et les analyses d'apprentissage automatique pour confirmer que les critères clés sont pris en compte. Prendre des mesures concrètes pour réduire les risques liés aux tiers grâce à des recommandations et des conseils intégrés en matière de remédiation. Visualisez et répondez aux exigences de conformité en mettant automatiquement en correspondance les résultats de l'évaluation avec n'importe quelle réglementation ou cadre.
D. Gouvernance « Les organismes bancaires disposent de divers moyens pour structurer leurs processus de gestion des risques liés aux tiers. Certains répartissent la responsabilité de ces processus entre leurs différentes divisions opérationnelles. D'autres centralisent ces processus au sein de leurs fonctions de conformité, de sécurité de l'information, d'approvisionnement ou de gestion des risques. Quelle que soit la manière dont un organisme bancaire structure son processus, les pratiques suivantes sont généralement prises en compte tout au long du cycle de vie de la gestion des risques liés aux tiers, en fonction du risque et de la complexité. »	Pour répondre aux exigences de gouvernance des programmes de gestion des risques liés aux tiers, recherchez une plateforme TPRM qui automatise les workflows nécessaires à l'intégration des tiers et identifie, évalue, gère, surveille en permanence et corrige les risques liés à la sécurité, à la confidentialité, à la conformité, aux opérations et à la chaîne d'approvisionnement à chaque étape du cycle de vie des fournisseurs. Une solution complète qui unifie la gestion de plusieurs types de risques au profit des équipes interfonctionnelles permettra de réduire les coûts, de faciliter la production de rapports de conformité et de réduire le risque de lacunes dans les contrôles.

Orientations

Comment nous aidons

C. Cycle de vie des relations avec les tiers

« Une gestion efficace des risques liés aux tiers suit généralement un cycle de vie continu pour les relations avec les tiers... Le degré de pertinence des exemples de considérations abordés dans le présent guide pour chaque organisation bancaire dépend des faits et circonstances spécifiques, et ces exemples peuvent ne pas s'appliquer à toutes les relations d'une organisation bancaire avec des tiers... »

1. La planification

« Dans le cadre d'une gestion saine des risques, une planification efficace permet à un établissement bancaire d'évaluer et d'examiner la manière de gérer les risques avant de s'engager dans une relation avec un tiers. Certains tiers, tels que ceux qui soutiennent les activités à haut risque d'un établissement bancaire, y compris les activités critiques, justifient généralement un degré plus élevé de planification et de réflexion. Par exemple, lorsque des activités critiques sont en jeu, les plans peuvent être présentés au conseil d'administration d'un établissement bancaire (ou à un comité désigné du conseil) et approuvés par celui-ci... »

Dans le cadre du processus visant à établir ou à perfectionner votre programme de gestion des risques liés aux tiers, tenez compte des éléments suivants :

Réglementer les politiques, les normes, les systèmes et les processus afin de protéger les systèmes et les données
Rôles et responsabilités (par exemple, RACI) de tous les membres de l'équipe concernés
Inventaires des tiers pour comprendre l'ampleur et la portée de l'implication des tiers
Classification par des tiers et approches de catégorisation
Evaluation des risques et seuils en fonction de la tolérance au risque de votre organisation
Méthodes d'évaluation et de suivi basées sur la criticité des tiers
Participation de quatrièmes et n-ièmes parties à la fourniture de services essentiels
Sources de données de surveillance continue (cybernétique, commerciale, réputationnelle, financière)
Indicateurs clés de performance (ICP) et indicateurs clés de risque (ICR) pour évaluer votre programme et les tiers.
Exigences en matière de conformité et de rapports contractuels
Processus de réponse aux incidents
Rapports internes aux parties prenantes - pour la direction et le conseil d'administration
Stratégies d'atténuation des risques et de remédiation

Chacun de ces éléments est essentiel à l'élaboration d'un plan de programme de TPRM complet.

2. Diligence raisonnable et sélection des tiers

« La réalisation d'une vérification préalable des tiers avant de les sélectionner et d'établir des relations avec eux est un élément important d'une bonne gestion des risques. Elle fournit à la direction les informations nécessaires sur les tiers potentiels afin de déterminer si une relation contribuerait à la réalisation des objectifs stratégiques et financiers d'un organisme bancaire. Le processus de diligence raisonnable fournit également à l'établissement bancaire les informations nécessaires pour évaluer s'il est en mesure d'identifier, de surveiller et de contrôler de manière appropriée les risques associés à la relation avec le tiers en question. La diligence raisonnable consiste notamment à évaluer la capacité du tiers à : mener à bien l'activité comme prévu, respecter les politiques de l'établissement bancaire relatives à l'activité, se conformer à toutes les lois et réglementations applicables, et mener l'activité de manière sûre et saine... »

Évaluer et surveiller les tiers en fonction de l'ampleur des menaces pesant sur les actifs informationnels en capturant, suivant et quantifiantles risques inhérents. Les critères utilisés pour calculer le risque inhérent pour la classification des tiers comprennent :

Type de contenu requis pour valider les contrôles
Criticité pour les performances et les opérations de l'entreprise
Le(s) lieu(x) et les considérations juridiques ou réglementaires qui s'y rapportent
Niveau de dépendance à l'égard des tiers (pour éviter le risque de concentration)
Expérience des processus opérationnels ou en contact avec les clients
Interaction avec les données protégées
Situation financière et santé
Réputation

À partir de cette évaluation des risques inhérents, votre équipe peut automatiquement classer les tiers, définir les niveaux appropriés de diligence raisonnable ultérieure et déterminer la portée des évaluations continues.

La logique de hiérarchisation basée sur des règles permet une catégorisation par des tiers à partir d'une série de considérations liées à l'interaction des données, aux aspects financiers, réglementaires et à la réputation.

a. Stratégies et objectifs

« Examiner la stratégie commerciale globale et les objectifs du tiers afin d'évaluer l'incidence que ses accords commerciaux stratégiques actuels et proposés (tels que fusions, acquisitions, cessions, partenariats, coentreprises ou initiatives de marketing conjoint) pourraient avoir sur l'activité. Envisager également d'examiner les philosophies de service, les initiatives en matière de qualité, les améliorations en matière d'efficacité et les politiques et pratiques en matière d'emploi du tiers. Déterminez si le choix d'un tiers est conforme aux politiques et pratiques générales de l'établissement bancaire, y compris ses politiques et pratiques en matière de diversité [...] ».

Suivre et analyser en permanence les menaces externes pesant sur des tiers en surveillant les sources publiques et privées d'informations relatives à la réputation, aux sanctions et aux finances.

Corréler toutes les données de contrôle aux résultats de l'évaluation et les centraliser dans un registre des risques unifié pour chaque tiers, afin de rationaliser l'examen des risques, l'établissement de rapports et les initiatives de réponse.

Les sources de surveillance devraient inclure

Sources publiques et privées d'informations sur la réputation, notamment les activités de fusion-acquisition, les actualités économiques, les informations négatives, les informations réglementaires et juridiques, les mises à jour opérationnelles, etc.
Notes environnementales, sociales et de gouvernance (ESG)
Sources d'informations mondiales
Profils des personnes politiquement exposées
Listes mondiales de sanctions
Scores de l'indice de perception de la corruption (CPI)
Déclarations sur l'esclavage moderne

b. Conformité légale et réglementaire

« L'examen de toutes les considérations juridiques et réglementaires liées à l'engagement d'un tiers permet à un établissement bancaire d'évaluer s'il est en mesure d'atténuer de manière appropriée les risques associés à la relation avec ce tiers... »

Lorsque vous évaluez un tiers, créez unprofil centraliséqui comprend des informations démographiques, les bénéficiaires effectifs, les technologies tierces, les scores ESG, des informations récentes sur l'activité et la réputation, l'historique des violations de données, ainsi que les conclusions réglementaires récentes et les performances financières.

Les options peuvent inclure l'analyse séparée des sources de ces données ou leur intégration dans une vue unique pouvant être étendue à plusieurs équipes internes.

c. Situation financière

« Une évaluation de la situation financière d'un tiers à partir de l'examen des informations financières disponibles, notamment les états financiers vérifiés, les rapports annuels et les documents déposés auprès de la Securities and Exchange Commission (SEC) des États-Unis, aide un établissement bancaire à déterminer si le tiers dispose de la capacité financière et de la stabilité nécessaires pour mener à bien l'activité... »

Exploitez unebase de données mondiale contenant des informations financières sur des millions d'entreprises, notamment les changements organisationnels et les performances financières, le chiffre d'affaires, les profits et pertes, les fonds des actionnaires, etc.

Votre équipe peut analyser les sources de ces données séparément en téléchargeant les états financiers, ou intégrer l'analyse financière dans une stratégie plus large d'évaluation des risques.

f. Gestion des risques

« Une diligence raisonnable appropriée comprend une évaluation de l'efficacité de la gestion globale des risques d'un tiers, y compris les politiques, les processus et les contrôles internes, ainsi que la conformité avec les politiques applicables et les attentes de l'organisme bancaire concernant l'activité... »

« Lorsque cela est pertinent et possible, un organisme bancaire peut envisager d'examiner les rapports SOC (System and Organization Control) et toute évaluation de conformité ou certification par des tiers indépendants liés aux normes nationales ou internationales pertinentes.11 Dans de tels cas, l'organisme bancaire peut également déterminer si la portée et les résultats des rapports SOC, des certifications ou des évaluations sont pertinents pour l'activité à réaliser ou suggérer qu'un examen supplémentaire du tiers ou de l'un de ses sous-traitants pourrait être approprié. »

Automatiser évaluations des risques pour étendre la visibilité, l'efficacité et la portée de votre programme de gestion des risques liés aux tiers à toutes les étapes du cycle de vie des tiers.
Assurez-vous que votre approche d'évaluation par un tiers comprend :

Une vaste bibliothèque d'évaluations standardisées (y compris celles pourNISTetISO) et des capacités de personnalisation pour évaluer les tiers avec souplesse.
Workflow intégré pour automatiser l'identification des risques (en fonction des seuils que vous définissez selon la tolérance au risque de votre organisation) et leur attribution aux responsables.
Recommandations de remédiation intégrées pour réduire les risques résiduels
Rapports automatisés sur les risques et la conformité

Les résultats des évaluations et de la surveillance continue devraient être rassemblés dans un registre des risques unique, avec des rapports sous forme de cartes thermiques qui mesurent et classent les risques en fonction de leur probabilité et de leur impact. Grâce à ces informations, les équipes peuvent facilement voir les conséquences d'un risque et disposer de recommandations de remédiation prêtes à l'emploi pour les tiers afin d'atténuer les risques.

Pour les tiers qui soumettent unrapport SOC 2au lieu d'une évaluation complète des risques liés aux tiers, cartographiez les lacunes identifiées dans le rapport SOC 2, créez des éléments de risque liés au tiers dans une plateforme d'évaluation centrale, puis suivez et signalez les lacunes ainsi que les autres risques.

g. Sécurité de l'information

« Comprendre les implications potentielles en matière de sécurité de l'information, y compris l'accès aux systèmes et aux informations d'un organisme bancaire, peut aider ce dernier à décider s'il convient ou non de s'engager avec un tiers. La diligence raisonnable dans ce domaine consiste généralement à évaluer le programme de sécurité de l'information du tiers, y compris sa cohérence avec le programme de sécurité de l'information de l'organisme bancaire, tel que son approche en matière de protection de la confidentialité, de l'intégrité et de la disponibilité des données de l'organisme bancaire. Elle peut également consister à déterminer s'il existe des lacunes qui présentent un risque pour l'établissement bancaire ou ses clients et à examiner dans quelle mesure le tiers applique des contrôles pour limiter l'accès aux données et aux transactions de l'établissement bancaire, tels que l'authentification multifactorielle, le chiffrement de bout en bout et la gestion sécurisée du code source. Elle aide également l'établissement bancaire à déterminer si le tiers se tient informé et possède une expérience suffisante pour identifier, évaluer et atténuer les menaces et les vulnérabilités connues et émergentes. Le cas échéant, l'évaluation des programmes de sécurité des données, des infrastructures et des applications du tiers, y compris le cycle de vie du développement logiciel et les résultats des tests de vulnérabilité et de pénétration, peut fournir des informations précieuses sur les vulnérabilités du système informatique. Enfin, la diligence raisonnable peut aider un organisme bancaire à évaluer la mise en œuvre par le tiers de mesures correctives efficaces et durables pour remédier aux lacunes découvertes lors des tests. »

Réalisezdes évaluationsde cybersécurité par des tiers lors de l'intégration, du renouvellement du contrat ou à toute fréquence requise (par exemple, trimestriellement ou annuellement). Assurez-vous que les évaluations s'appuient sur des capacités de gestion des flux de travail, des tâches et d'examen automatisé des preuves.

Ensuite, suivez et analysez en permanenceles menaces externes pesant sur des tiersen surveillant Internet et le dark web à la recherche de cybermenaces et de vulnérabilités. Les sources à surveiller doivent inclure : les forums criminels, les pages onion, les forums d'accès spécial au dark web, les flux de menaces, les sites de partage de données pour les identifiants divulgués, les communautés de sécurité, les référentiels de code, les bases de données de vulnérabilités et les bases de données de violations de données.

Comme indiqué au point (g) ci-dessus, vous pouvez ensuite appliquer un workflow intégré pour trier et traiter les risques grâce à des recommandations de correction.

i. Résilience opérationnelle

« L'évaluation des pratiques de résilience opérationnelle d'un tiers aide une organisation bancaire à évaluer la capacité d'un tiers à fonctionner efficacement et à se remettre de toute perturbation ou incident, tant interne qu'externe. Une telle évaluation est particulièrement importante lorsque l'impact d'une telle perturbation pourrait avoir un effet négatif sur l'organisation bancaire ou ses clients, notamment lorsque le tiers interagit avec les clients. Il est important d'évaluer les options à mettre en œuvre si la capacité du tiers à exercer son activité est compromise et de déterminer si le tiers maintient des pratiques appropriées en matière de résilience opérationnelle et de cybersécurité, y compris des plans de reprise après sinistre et de continuité des activités qui précisent le délai nécessaire pour reprendre les activités et récupérer les données... »

Automatisez l'évaluation, la surveillance continue, l'analyse et la correction de la résilience et de la continuité des activités des tiers à l'aide d'une évaluation complète de la résilience des activités basée sur la norme ISO 22301.

Cette approche permettra à votre équipe :

Catégoriser les tiers en fonction de leur profil de risque et de leur importance pour l'entreprise.
Définir les objectifs de point de reprise (RPO) et les objectifs de délai de reprise (RTO)
Centraliser l'inventaire des systèmes, les évaluations des risques, les diagrammes RACI et les tiers.
Assurer une communication cohérente avec les tiers pendant les perturbations commerciales
Pour compléter les évaluations de la résilience commerciale et valider les résultats :
Automatisez la surveillance continue du cyberespace afin de prévoir les répercussions possibles sur les activités de tiers.
Accédez à des informations qualitatives provenant de sources publiques et privées sur la réputation qui pourraient être le signe d'une instabilité.
Accédez aux informations financières d'un réseau mondial d'entreprises afin d'identifier la santé financière ou les problèmes opérationnels de tiers.

Cette approche proactive permet à votre organisation de minimiser l'impact des perturbations causées par des tiers et de rester à la pointe des exigences de conformité.

j. Programmes de signalement et de gestion des incidents

« L'examen et l'évaluation des processus de signalement et de gestion des incidents d'un tiers permettent de déterminer s'il existe des processus, des délais et des responsabilités clairement documentés pour identifier, signaler, enquêter et escalader les incidents. Cet examen permet de confirmer que les processus d'escalade et de notification du tiers répondent aux attentes de l'organisme bancaire et aux exigences réglementaires. »

Envisagez de structurer et d'évaluer votre gestion des incidents tiers à l'aide de l'un des cadres standard suivants :

NIST 800-61R2 : Guide de gestion des incidents liés à la sécurité informatique
ISO/IEC 27035-1 : Gestion des incidents de sécurité de l'information, partie 1 : Principes de gestion des incidents
ISO/IEC 27035-2 : Gestion des incidents liés à la sécurité de l'information - Partie 2 : Lignes directrices pour la planification et la préparation de la gestion des incidents
OCC 2021-55 : Règle définitive relative à la notification des incidents bancaires, publiée le 23 novembre 2021
OCC 2022-8 : Points de contact informatiques pour les notifications d'incidents liés à la sécurité informatique des banques, publié le 29 mars 2022.

Les éléments clés de votre rapport d'incident tiers doivent inclure :

Questionnaires personnalisables pour la gestion des événements et des incidents
Suivi en temps réel de l'état d'avancement du questionnaire
Des propriétaires de risques définis avec des rappels automatisés pour maintenir les enquêtes dans les délais.
Signalement proactif par des tiers
Vues consolidées des cotes de risque, des nombres, des scores et des réponses signalées pour chaque tiers
Règles de flux de travail pour déclencher des plans d'action automatisés afin d'agir sur les risques en fonction de leur impact potentiel sur l'entreprise.
Recommandations de remédiation intégrées pour réduire les risques
Modèles de rapports intégrés
Cartographie des données et des relations pour identifier les relations entre votre organisation et des tiers afin de visualiser les chemins de l'information et de déterminer les données à risque.

l. Recours à des sous-traitants

« Une évaluation du volume et des types d'activités sous-traitées, ainsi que du degré de dépendance du tiers à l'égard des sous-traitants, permet de déterminer si ces accords de sous-traitance présentent un risque supplémentaire ou accru pour une organisation bancaire. Cela comprend généralement une évaluation de la capacité du tiers à identifier, gérer et atténuer les risques liés à la sous-traitance, y compris la manière dont le tiers sélectionne et supervise ses sous-traitants et s'assure que ceux-ci mettent en œuvre des contrôles efficaces. D'autres considérations importantes incluent la question de savoir si la situation géographique d'un sous-traitant ou la dépendance à l'égard d'un seul fournisseur pour plusieurs activités présentent un risque supplémentaire. »

Identifiezles relations de sous-traitance de quatrième et n-ième partieen réalisant une évaluation sous forme de questionnaire ou en analysant de manière passive l'infrastructure publique du tiers. La carte des relations qui en résulte illustre les chemins d'information et les dépendances susceptibles d'exposer votre environnement à des risques.

Les tiers identifiés dans le cadre de ce processus font l'objet d'une surveillance continue afin d'identifier les risques financiers, ESG, cybernétiques, commerciaux et liés aux violations de données, ainsi que pour le contrôle des sanctions/PEP.

Cette approche permet de mieux appréhender les risques potentiels de concentration technologique ou géographique.

3. Négociation du contrat

« Lorsqu'elle évalue l'opportunité d'établir une relation avec un tiers, une organisation bancaire détermine généralement si un contrat écrit est nécessaire et si le contrat proposé peut répondre à ses objectifs commerciaux et à ses besoins en matière de gestion des risques. Après avoir pris cette décision, une organisation bancaire négocie généralement des dispositions contractuelles qui faciliteront une gestion et une surveillance efficaces des risques et qui précisent les attentes et les obligations tant de l'organisation bancaire que du tiers. Une organisation bancaire peut adapter le niveau de détail et l'exhaustivité de ces dispositions contractuelles en fonction du risque et de la complexité que présente la relation avec le tiers en question... »

Centralisez la distribution, la discussion, la conservation et la révision des contrats tiers afin que toutes les équipes concernées puissent participer à la révision des contrats et s'assurer que les clauses appropriées sont incluses et gérées.

Les pratiques clés à prendre en compte dans la gestion des contrats avec des tiers sont les suivantes :

Stockage centralisé des contrats
Suivi de tous les contrats et de leurs attributs, tels que le type, les dates clés, la valeur, les rappels et le statut, avec des vues personnalisées et basées sur les rôles.
Fonctionnalités de flux de travail (basées sur l'utilisateur ou le type de contrat) pour automatiser le cycle de vie de la gestion des contrats
Des rappels automatisés et des avis de retard pour rationaliser l'examen des contrats
Discussion centralisée des contrats et suivi des commentaires
Stockage des contrats et des documents avec des autorisations basées sur les rôles et des pistes d'audit de tous les accès
Suivi du contrôle des versions permettant de modifier les contrats et les documents hors ligne
Permissions basées sur les rôles qui permettent la répartition des tâches, l'accès aux contrats et l'accès à la lecture, à l'écriture et à la modification.

Une bonne gestion du cycle de vie des contrats permettra à l'organisation d'être efficace :

Gérer les accords et les performances
Appliquer les clauses de conservation des informations, de droit à l'audit et les mesures de remédiation
Obtenir des rapports de conformité
Exiger la résilience et la continuité des activités
Apporter une visibilité sur la sous-traitance et les tiers basés à l'étranger

b. Mesures de performance ou repères

« Pour certaines relations, des mesures de performance clairement définies peuvent aider un établissement bancaire à évaluer la performance d'un tiers. En particulier, un accord de niveau de service entre l'établissement bancaire et le tiers peut aider à préciser les mesures relatives aux attentes et aux responsabilités des deux parties, y compris la conformité aux politiques et procédures et le respect des lois et réglementations applicables. Ces mesures peuvent être utilisées pour contrôler la performance, pénaliser les mauvaises performances ou récompenser les performances exceptionnelles. Il est important de négocier des mesures de performance qui n'encouragent pas les performances ou les comportements imprudents, tels que la recherche du volume ou de la rapidité de traitement sans tenir compte de l'exactitude, des exigences de conformité ou des effets négatifs sur l'établissement bancaire ou ses clients. »

Au cours de la phase de négociation du contrat du cycle de vie des tiers, incluez des accords de niveau de service (SLA) exécutoires, des indicateurs de performance clés (KPI) et des indicateurs de risque clés (KRI) dans les contrats avec les tiers, désignez des responsables et suivez en permanence les progrès réalisés dans la mise en œuvre de ces mesures.

Il est important de déterminer la différence entre les indicateurs clés de performance (KPI) et les indicateurs clés de risque (KRI) et de comprendre comment ils sont liés.

Les indicateurs clés de performance (KPI) mesurent l'efficacité des fonctions et des processus.
Les indicateurs clés de risque (KRI) indiquent le niveau de risque auquel l'organisation est exposée et les mesures à prendre pour y remédier.

Lorsqu'il s'agit de mesurer les KPI et les KRI, classez-les comme suit :

Les mesures des risques permettent de comprendre les risques liés à la conclusion d'affaires avec un tiers, ainsi que les mesures d'atténuation associées.
Les mesures des menaces recoupent quelque peu les risques et donnent une vision plus complète et validée des risques.
Les mesures de conformité permettent de déterminer si les tiers respectent vos exigences en matière de contrôles internes.
Les mesures de couverture répondent à la question suivante : « Ai-je une couverture complète de l'empreinte de mes tiers et ceux-ci sont-ils classés et traités en conséquence ? »

Ensuite, veillez à relier les résultats aux dispositions du contrat afin d'assurer une gouvernance complète du processus.

4. Contrôle continu

« Une surveillance continue permet à un établissement bancaire : (1) de confirmer la qualité et la durabilité des contrôles d'un tiers et sa capacité à respecter ses obligations contractuelles ; (2) de signaler les problèmes ou préoccupations importants, tels que les conclusions d'audit significatives ou répétées, la détérioration de la situation financière, les failles de sécurité, la perte de données, les interruptions de service, les manquements à la conformité ou d'autres indicateurs de risque accru ; et (3) de réagir à ces problèmes ou préoccupations importants lorsqu'ils sont identifiés...

« Une gestion efficace des risques liés aux tiers comprend une surveillance continue tout au long de la relation avec le tiers, proportionnelle au niveau de risque et à la complexité de la relation et de l'activité exercée par le tiers...

« La surveillance continue peut être effectuée de manière périodique ou continue, et une surveillance plus complète ou plus fréquente est appropriée lorsque la relation avec un tiers soutient des activités à haut risque, y compris des activités critiques. Étant donné que le niveau et les types de risques peuvent évoluer au cours de la durée de la relation avec un tiers, les organismes bancaires peuvent adapter leurs pratiques de surveillance continue en conséquence, notamment en modifiant la fréquence ou le type d'informations utilisées dans le cadre de la surveillance... »

Suivre et analyser en permanenceles menaces externes pesant sur des tiersen surveillant Internet et le dark web à la recherche de cybermenaces et de vulnérabilités, ainsi que les sources publiques et privées d'informations sur la réputation, les sanctions et les finances.

Les sources de surveillance devraient inclure

Des forums criminels, des milliers de pages en oignon, des forums d'accès spécial sur le dark web, des flux de menaces et des sites de collage d'informations d'identification ayant fait l'objet d'une fuite, ainsi que plusieurs communautés de sécurité, dépôts de code et bases de données de vulnérabilités.
Sources publiques et privées d'informations sur la réputation, notamment les activités de fusion-acquisition, les actualités économiques, les informations négatives, les informations réglementaires et juridiques, les mises à jour opérationnelles, etc.
Les performances financières, y compris le chiffre d'affaires, les pertes et profits, les fonds des actionnaires, etc.
Sources d'informations mondiales
Profils des personnes politiquement exposées
Listes mondiales de sanctions

5. Résiliation

« Une organisation bancaire peut mettre fin à une relation pour diverses raisons, telles que l'expiration ou la violation du contrat, le non-respect par le tiers des lois ou réglementations applicables, ou le désir de rechercher un autre tiers, d'internaliser l'activité ou de la suspendre. Lorsque cela se produit, il est important que la direction mette fin aux relations de manière efficace, que les activités soient transférées à un autre tiers, internalisées ou suspendues... »

Automatisez les évaluations des contrats et les procéduresde départafin de réduire les risques liés à l'exposition post-contractuelle de votre organisation.

Planifier des tâches pour examiner les contrats afin de s'assurer que toutes les obligations ont été respectées. Émettre des évaluations de contrat personnalisables pour évaluer l'état d'avancement.
Utilisez des enquêtes et des flux de travail personnalisables pour établir des rapports sur l'accès au système, la destruction des données, la gestion de l'accès, le respect de toutes les lois pertinentes, les paiements finaux, et bien plus encore.
Stockez et gérez de manière centralisée les documents et les certifications, tels que les accords de confidentialité, les accords de niveau de service (SLA), les accords de service (SOW) et les contrats. Tirez parti de l'analyse automatisée intégrée des documents basée sur le traitement du langage naturel d'AWS et les analyses d'apprentissage automatique pour confirmer que les critères clés sont pris en compte.
Prendre des mesures concrètes pour réduire les risques liés aux tiers grâce à des recommandations et des conseils intégrés en matière de remédiation.
Visualisez et répondez aux exigences de conformité en mettant automatiquement en correspondance les résultats de l'évaluation avec n'importe quelle réglementation ou cadre.

D. Gouvernance

« Les organismes bancaires disposent de divers moyens pour structurer leurs processus de gestion des risques liés aux tiers. Certains répartissent la responsabilité de ces processus entre leurs différentes divisions opérationnelles. D'autres centralisent ces processus au sein de leurs fonctions de conformité, de sécurité de l'information, d'approvisionnement ou de gestion des risques. Quelle que soit la manière dont un organisme bancaire structure son processus, les pratiques suivantes sont généralement prises en compte tout au long du cycle de vie de la gestion des risques liés aux tiers, en fonction du risque et de la complexité. »

Pour répondre aux exigences de gouvernance des programmes de gestion des risques liés aux tiers, recherchez une plateforme TPRM qui automatise les workflows nécessaires à l'intégration des tiers et identifie, évalue, gère, surveille en permanence et corrige les risques liés à la sécurité, à la confidentialité, à la conformité, aux opérations et à la chaîne d'approvisionnement à chaque étape du cycle de vie des fournisseurs. Une solution complète qui unifie la gestion de plusieurs types de risques au profit des équipes interfonctionnelles permettra de réduire les coûts, de faciliter la production de rapports de conformité et de réduire le risque de lacunes dans les contrôles.

Solutions pour l'industrie

Exigences en matière de gestion des risques liés aux tiers pour les sociétés de services financiers

Exigences pertinentes

Alignez votre programme TPRM sur les réglementations ESG en pleine expansion

Respect des directives interagences relatives aux exigences en matière de relations avec des tiers