Conformité avec l'Autorité monétaire de Singapour (MAS)

Contacter un expert

Retour à tous les cas d'utilisation

Lignes directrices pour la gestion du risque opérationnel - Gestion des accords avec des tiers

Dans le cadre de son rôle de régulateur prudentiel, l'Autorité monétaire de Singapour (MAS) a publié en 2016 des lignes directrices sur l'externalisation des accords avec des tiers. La MAS a élargi ses orientations en matière d'externalisation en octobre 2018, puis en août 2022 avec la publication d'un document d'information intitulé Operational Risk Management - Management of Outsourcing and Third Party Arrangements (Gestion du risque opérationnel - Gestion de l'externalisation et des accords avec des tiers).

En plus de publier des exigences détaillées sur la manière d'améliorer la surveillance et la gouvernance des tiers, la MAS a établi des directives complètes sur la conduite d'une diligence raisonnable tout au long du cycle de vie des accords d'externalisation. La MAS inclut des conseils spécifiques pour les institutions financières dans les domaines suivants du cycle de vie de la gestion des risques liés aux tiers :

  • Identification et catégorisation des risques
  • Gouvernance et contrôle de gestion
  • Diligence raisonnable (y compris l'intégration et les examens périodiques)
  • Gestion et surveillance continues des risques

Exigences pertinentes

  • Veiller à ce que les tiers auxquels on fait appel pour la prestation de services soient soumis à une gouvernance adéquate, à une gestion des risques et à des contrôles internes solides.

  • Appliquer une gestion des risques adéquate et des contrôles internes solides pour régir les accords d'externalisation et de non-externalisation.

  • Évaluer les risques liés aux services fournis par des tiers et mettre en œuvre des contrôles adaptés à la nature et à l'ampleur des risques.

Respect des lignes directrices de la MAS en matière de TPRM

Le tableau récapitulatif ci-dessous met en correspondance les capacités de la plateforme de gestion des risques liés aux tiers prévalents avec certains articles du document d'information MAS Operational Risk Management - Management of Outsourcing and Third Party Arrangements, chapitre 3.

NOTE : Il s'agit uniquement d'un résumé des articles les plus pertinents, qui ne doit pas être considéré comme un guide complet et définitif. Pour une liste complète des articles, veuillez consulter le document complet en détail et consulter votre auditeur.

Contrôles MAS

Comment nous aidons

A : Contrôles des accords d'externalisation

Cette section sur les contrôles des accords d'externalisation décrit les pratiques en vigueur :

I) Gouvernance et supervision de la gestion ;
II) Diligence raisonnable (intégration et examens périodiques) ; et
III) la gestion et le suivi permanents des risques.

I) Gouvernance et contrôle de gestion

Structure et cadre de gouvernance de l'externalisation

"Les banques mettent en place une structure et un cadre de gouvernance adéquats pour permettre à la direction d'exercer une surveillance et une attention appropriées sur les risques découlant des accords d'externalisation, afin de s'assurer que les risques encourus sont conformes aux stratégies et à l'appétit pour le risque des banques.

"En adoptant une approche fondée sur les risques, les banques veillent à ce que leur cadre d'approbation facilite l'évaluation par la direction de l'importance et des risques des dispositifs d'externalisation existants et potentiels. Les processus d'évaluation et d'approbation des accords d'externalisation sont suffisamment solides et efficaces".

Définition d'une appétence pour le risque d'externalisation

"Les banques établissent une stratégie appropriée et une appétence pour le risque afin de définir la nature et l'étendue du risque qu'elles sont prêtes et capables d'assumer dans le cadre de leurs accords d'externalisation".

Prevalent s'associe à vous pour mettre en place un programme complet de gestion des risques des tiers (TPRM) basé sur les meilleures pratiques éprouvées et une vaste expérience du monde réel.

Nos experts collaborent avec votre équipe pour définir et mettre en œuvre des processus et des solutions de gestion des risques liés aux tiers, sélectionner des questionnaires et des cadres d'évaluation des risques et optimiser votre programme pour traiter l'ensemble du cycle de vie des risques liés aux tiers - de l'approvisionnement et de la diligence raisonnable à la résiliation et à l'abandon - en fonction de l'appétit pour le risque de votre organisation.

Dans le cadre de ce processus, Prevalent peut vous aider à définir :

  • Rôles et responsabilités clairement définis (par exemple, RACI)
  • Inventaires de tiers
  • Evaluation des risques et seuils en fonction de la tolérance au risque de votre organisation
  • Méthodes d'évaluation et de suivi basées sur la criticité des tiers
  • Cartographie quadripartite
  • Sources de données de surveillance continue (cybernétique, commerciale, réputationnelle, financière)
  • Indicateurs clés de performance (KPI) et indicateurs clés de risque (KRI)
  • Politiques, normes, systèmes et processus régissant la protection des données
  • les exigences en matière de conformité et de rapports contractuels par rapport aux niveaux de service
  • Exigences en matière de réponse aux incidents
  • Rapports sur les risques et les parties prenantes internes
  • Stratégies d'atténuation des risques et de remédiation

Rapports de gestion sur l'externalisation

"Les banques ont mis en place des processus efficaces leur permettant d'avoir une vue d'ensemble des risques liés à l'externalisation. La direction reçoit régulièrement des rapports sur les profils de risque liés à l'externalisation, les questions importantes liées à l'externalisation et les indicateurs clés de performance, afin de faciliter la surveillance du paysage des risques liés à l'externalisation, des tendances et des préoccupations."

Prevalent aide les institutions financières à révéler les tendances en matière de risques, l'état des risques des tiers et les exceptions aux comportements courants grâce à l'apprentissage automatique intégré et à des vues de rapports personnalisables en fonction du rôle.

En outre, Prevalent aide à mesurer de manière centralisée les KPI et KRI des tiers afin de réduire les risques liés aux lacunes dans la surveillance des fournisseurs en automatisant les évaluations des contrats et des performances et en fournissant un cadre pour mesurer les exigences.

Grâce à cette capacité, les institutions financières peuvent rapidement identifier les valeurs aberrantes qui pourraient justifier un examen plus approfondi et améliorer l'efficacité de la réduction des risques en mettant les bonnes données entre les bonnes mains.

II) Due Diligence (Onboarding et examens périodiques)

Diligence raisonnable (intégration et examens continus)

"Les banques définissent des exigences claires et fournissent des orientations détaillées sur les processus de diligence raisonnable et d'évaluation des risques pour l'intégration de nouveaux accords d'externalisation et les examens périodiques des accords existants. Ces processus sont proportionnés aux risques encourus, une attention adéquate étant accordée aux facteurs de risque tels que les accords impliquant le partage de données sur les clients. Les banques mettent en place les contrôles et les équilibres nécessaires pour s'assurer que ces exigences et ces processus font l'objet d'un suivi adéquat en vue d'une mise en conformité en temps utile.

"Les banques font appel aux PME concernées pour déterminer si les éléments techniques des risques liés à un accord d'externalisation sont pris en compte de manière adéquate.

Prevalent propose une évaluation de la diligence raisonnable avant le contrat avec une notation claire basée sur huit critères afin d'identifier, de suivre et de quantifier les risques inhérents à toutes les parties tierces. Ces critères sont les suivants

  • Type de contenu requis pour valider les contrôles
  • Criticité pour les performances et les opérations de l'entreprise
  • Le(s) lieu(x) et les considérations juridiques ou réglementaires qui s'y rapportent
  • Niveau de dépendance à l'égard des tiers (pour éviter le risque de concentration)
  • Expérience des processus opérationnels ou en contact avec les clients
  • Interaction avec les données protégées
  • Situation financière et santé
  • Réputation

Grâce à cette évaluation des risques inhérents, votre équipe peut classer automatiquement les fournisseurs, définir des niveaux appropriés de diligence supplémentaire et déterminer l'étendue des évaluations continues.

La logique de hiérarchisation basée sur des règles permet de classer les fournisseurs en fonction d'une série d'interactions de données, de considérations financières, réglementaires et de réputation.

Prevalent dispose d'une bibliothèque de plus de 750 modèles prédéfinis pour les évaluations des risques des tiers. Les évaluations peuvent être menées au moment du renouvellement du contrat ou à n'importe quelle fréquence (par exemple, trimestriellement ou annuellement). Les questionnaires d'évaluation peuvent être axés sur le monde entier ou sur la région afin de répondre à des exigences juridiques ou opérationnelles particulières.

Prevalent fournit des recommandations intégrées de remédiation basées sur les résultats de l'évaluation des risques. Ces recommandations sont soutenues par des capacités de gestion des flux de travail et des tâches afin de s'assurer que les tiers traitent les risques en temps voulu et de manière satisfaisante.

III) Gestion et surveillance continues des risques

Cadre de contrôle pour les accords d'externalisation

"Les banques établissent un cadre structuré pour le suivi et le contrôle permanents des accords d'externalisation, avec une participation adéquate de parties indépendantes afin d'assurer une remise en question et une surveillance efficaces des unités opérationnelles à l'origine des accords d'externalisation".

Le service de validation des contrôles prévalents examine les réponses et la documentation de l'évaluation par une tierce partie par rapport aux protocoles de test établis afin de valider que les contrôles indiqués sont en place.

Les experts de Prevalent examinent d'abord les réponses aux questionnaires personnalisés ou standardisés. Nous établissons ensuite une correspondance entre les réponses et les cadres de contrôle SIG, SCA, ISO, SOC II, AITECH et/ou d'autres cadres de contrôle. Enfin, nous travaillons avec vous pour développer des plans de remédiation et les suivre jusqu'à leur achèvement. Avec des options à distance et sur site disponibles, Prevalent fournit l'expertise nécessaire pour vous aider à réduire les risques avec vos ressources existantes.

Intégrer des contrôles de cybersécurité tout au long de la durée du contrat

Prendre en compte la cybersécurité tout au long du cycle de vie du contrat : de la décision d'externalisation à la résiliation, en passant par la sélection du fournisseur, l'attribution du contrat et la livraison. Réfléchissez aux pratiques qui peuvent être mises en place pour s'assurer qu'il en est ainsi pour chaque acquisition.

Prevalent suit et analyse en permanence les menaces externes qui pèsent sur les tiers. La solution surveille l'Internet et le dark web à la recherche de cybermenaces et de vulnérabilités, ainsi que les sources publiques et privées d'informations relatives à la réputation, aux sanctions et aux finances.

Toutes les données de surveillance sont mises en corrélation avec les résultats de l'évaluation et centralisées dans un registre des risques unifié pour chaque fournisseur, ce qui simplifie l'examen des risques, l'établissement de rapports et les initiatives de réponse. Les risques peuvent être classés dans une carte thermique avec des axes de probabilité et d'impact.

Les sources de surveillance comprennent

  • plus de 1 500 forums criminels, des milliers de pages en oignon, plus de 80 forums d'accès spécial sur le dark web, plus de 65 flux de menaces et plus de 50 sites de collage d'informations d'identification divulguées, ainsi que plusieurs communautés de sécurité, référentiels de code et bases de données de vulnérabilité couvrant 550 000 entreprises.
  • Une base de données contenant plus de 10 ans d'historique des violations de données pour des milliers d'entreprises dans le monde entier.
  • 550 000 sources publiques et privées d'informations sur la réputation, y compris les activités de fusion et d'acquisition, les nouvelles commerciales, les nouvelles négatives, les informations réglementaires et juridiques, les mises à jour opérationnelles, etc.
  • Un réseau mondial de 2 millions d'entreprises avec 5 ans de changements organisationnels et de performances financières, y compris le chiffre d'affaires, les pertes et profits, les fonds d'actionnaires, etc.
  • 30 000 sources d'information mondiales
  • Une base de données contenant plus de 1,8 million de profils de personnes politiquement exposées
  • Listes de sanctions mondiales et plus de 1 000 listes d'application de la loi au niveau mondial et dépôts auprès des tribunaux
  • Performance, du respect des indicateurs de performance clés des contrats et des mesures correctives pour les accords de niveau de service et les délais non respectés.

B : Contrôles des accords de non externalisation (ANO)

Cette section sur les contrôles des NDA décrit les pratiques observées dans les banques dans les domaines suivants, dans un cadre de gestion du risque de tiers :

I) Identification et catégorisation des risques ;
II) Gouvernance et supervision de la gestion ; et
III) Diligence raisonnable et surveillance continue.

I) Identification et catégorisation des risques

Identification et catégorisation des risques liés aux dépendances des tiers

"Les banques disposent d'un cadre de gestion des risques liés aux tiers et d'un cadre de gouvernance pour gérer leurs dépendances à l'égard des tiers qui n'externalisent pas.
Les banques identifient et inventorient une liste complète de NDA et les classent en fonction de leur nature et de leurs caractéristiques de risque.

"Les banques établissent des critères clairs pour évaluer les risques de leurs NDA, afin de déterminer les exigences en matière de gouvernance et de diligence raisonnable auxquelles ils devraient être soumis. Une attention adéquate est accordée aux facteurs de risque tels que les accords qui impliquent le partage de données sur les clients".

Prevalent s'associe à vous pour mettre en place un programme complet de gestion des risques des tiers (TPRM) basé sur les meilleures pratiques éprouvées et une vaste expérience du monde réel.

Nos experts collaborent avec votre équipe pour définir et mettre en œuvre des processus et des solutions de gestion des risques liés aux tiers, sélectionner des questionnaires et des cadres d'évaluation des risques et optimiser votre programme pour traiter l'ensemble du cycle de vie des risques liés aux tiers - de l'approvisionnement et de la diligence raisonnable à la résiliation et à l'abandon - en fonction de l'appétit pour le risque de votre organisation.

Dans le cadre de ce processus, Prevalent peut vous aider à définir :

  • Rôles et responsabilités clairement définis (par exemple, RACI)
  • Inventaires et catégorisation par des tiers
  • Evaluation des risques et seuils en fonction de la tolérance au risque de votre organisation
  • Méthodes d'évaluation et de suivi basées sur la criticité des tiers
  • Cartographie quadripartite
  • Sources de données de surveillance continue (cybernétique, commerciale, réputationnelle, financière)
  • Indicateurs clés de performance (KPI) et indicateurs clés de risque (KRI)
  • Politiques, normes, systèmes et processus régissant la protection des données
  • les exigences en matière de conformité et de rapports contractuels par rapport aux niveaux de service
  • Exigences en matière de réponse aux incidents
  • Rapports sur les risques et les parties prenantes internes
  • Stratégies d'atténuation des risques et de remédiation

Prevalent propose une évaluation de la diligence raisonnable avant le contrat avec une notation claire basée sur huit critères afin d'identifier, de suivre et de quantifier les risques inhérents à toutes les parties tierces. Ces critères sont les suivants

  • Type de contenu requis pour valider les contrôles
  • Criticité pour les performances et les opérations de l'entreprise
  • Le(s) lieu(x) et les considérations juridiques ou réglementaires qui s'y rapportent
  • Niveau de dépendance à l'égard des tiers (pour éviter le risque de concentration)
  • Expérience des processus opérationnels ou en contact avec les clients
  • Interaction avec les données protégées
  • Situation financière et santé
  • Réputation

Grâce à cette évaluation des risques inhérents, votre équipe peut classer automatiquement les fournisseurs, définir des niveaux appropriés de diligence supplémentaire et déterminer l'étendue des évaluations continues.

La logique de hiérarchisation basée sur des règles permet de classer les fournisseurs en fonction d'une série d'interactions de données, de considérations financières, réglementaires et de réputation.

Prevalent permet aux institutions financières d'établir un profil complet des fournisseurs qui comprend la propriété, la performance financière, les scores CPI, les déclarations sur l'esclavage moderne, des informations sur l'industrie et les affaires, et de cartographier les relations potentiellement risquées avec des tiers. Cela permet de réduire la complexité de la gestion des tiers, en fournissant une source unique de vérité pour la gestion des fournisseurs tout au long du cycle de vie de leurs relations.

II) Gouvernance et contrôle de gestion

Mise en œuvre de cadres de gestion des risques et de gouvernance pour les NDA

"Les banques disposent d'un comité de gouvernance chargé de superviser les NDA. Les banques établissent également des cadres de gouvernance et de gestion des risques appropriés, y compris des exigences en matière de diligence raisonnable, afin de gérer les risques découlant des NDA de manière globale."

Prevalent dispose d'une bibliothèque de plus de 750 modèles prédéfinis pour l'évaluation des risques des tiers, y compris ceux qui correspondent aux principaux cadres de gouvernance tels que [ISO](/compliance/iso-27001-27002-27018-27036-2-27701/. Les questionnaires d'évaluation peuvent être axés sur le monde entier ou sur la région afin de répondre à des exigences juridiques, opérationnelles ou autres en matière de diligence raisonnable.

Le reporting permet aux IF de visualiser et de répondre aux exigences de conformité en mettant automatiquement en correspondance les résultats de l'évaluation et les flux de données avec les exigences et les cadres réglementaires.

Rapport de gestion sur le risque lié aux tiers

"Les banques assurent une surveillance adéquate de la gestion grâce à des rapports réguliers et opportuns sur les profils de risque et les performances des NDA. Les problèmes importants, tels que les examens périodiques arrivés à échéance, les incidents avec les fournisseurs, les dépassements de performance et les dépassements de KRI, sont régulièrement signalés à l'instance dirigeante compétente. Une partie appropriée (par exemple, une unité du 2LoD) assure les contrôles et les équilibres nécessaires au processus d'établissement des rapports".

En outre, Prevalent aide à mesurer de manière centralisée les KPI et KRI des tiers afin de réduire les risques liés aux lacunes dans la surveillance des fournisseurs en automatisant les évaluations des contrats et des performances et en fournissant un cadre pour mesurer les exigences.

Grâce à cette capacité, les institutions financières peuvent rapidement identifier les valeurs aberrantes qui pourraient justifier un examen plus approfondi et améliorer l'efficacité de la réduction des risques en mettant les bonnes données entre les bonnes mains.

Collaborez avec vos fournisseurs

Élaborer des plans d'assainissement avec des recommandations que les fournisseurs peuvent suivre pour réduire le risque résiduel. Fournir un forum permettant aux fournisseurs de télécharger des preuves et de communiquer sur des mesures correctives spécifiques, avec une piste d'audit sécurisée permettant de suivre les mesures correctives jusqu'à leur terme.

Gestion du changement

"Les banques disposent de politiques et de procédures de gestion du changement solides pour gérer les risques découlant des nouvelles NDA. Les rôles et les responsabilités sont clairement répartis entre les trois lignes de défense, et la mise en œuvre des changements est soumise à des contrôles et à une surveillance indépendants".

La plateforme Prevalent comprend un moteur d'automatisation et de règles qui suggère automatiquement des actions ou ajuste les scores de risque en fonction des résultats de l'évaluation et des flux de données externes. Grâce à cette capacité, les institutions financières peuvent créer automatiquement des tâches basées sur les changements continus des tiers et les assigner à des responsables afin de suivre les problèmes jusqu'à leur conclusion. Cela permet d'accélérer les délais de réduction des risques.

III) Diligence raisonnable et surveillance continue

Diligence raisonnable et surveillance continue des NDA et du risque lié aux tiers

"Les banques mettent en œuvre des méthodes d'évaluation des risques pour évaluer les NDA qui prennent en compte de manière adéquate les facteurs de risque plus élevés, tels que le partage d'informations confidentielles ou la fourniture d'un soutien à des fonctions critiques.

"Les banques définissent des exigences claires en matière de diligence raisonnable et de contrôle indépendant pour l'intégration de nouveaux NDA et l'examen des NDA existants, qui sont proportionnelles aux risques encourus. La diligence raisonnable prend en compte toutes les parties prenantes concernées par les NDA, y compris les partenaires et les prestataires de services.

"Les banques mettent en œuvre des processus de contrôle structurés pour le suivi continu des NDA, tout au long du cycle de vie des relations. Les accords à haut risque nécessitent une surveillance continue plus stricte.

"Les banques déploient des outils et des mécanismes adéquats de suivi des risques pour gérer les risques liés aux tiers. Ces outils et mécanismes comprennent l'établissement d'une taxonomie du risque de tiers et la mise en œuvre d'indicateurs de performance clés appropriés pour faciliter une vision holistique du risque de tiers de la banque".

Une fois l'intégration terminée, les résultats des évaluations de l'étagement, du profilage et de la catégorisation déterminent le niveau de diligence continue requis tout au long du cycle de vie du tiers.

Pour ce faire, Prevalent suit et analyse en permanence les menaces externes qui pèsent sur les tiers. La solution surveille l'Internet et le dark web à la recherche de cybermenaces et de vulnérabilités, ainsi que les sources publiques et privées d'informations sur la réputation, les sanctions et les finances.

Toutes les données de surveillance sont mises en corrélation avec les résultats de l'évaluation et centralisées dans un registre des risques unifié pour chaque fournisseur, ce qui simplifie l'examen des risques, l'établissement de rapports et les initiatives de réponse. Les risques peuvent être classés dans une carte thermique avec des axes de probabilité et d'impact.

Les sources de surveillance comprennent

  • plus de 1 500 forums criminels, des milliers de pages en oignon, plus de 80 forums d'accès spécial sur le dark web, plus de 65 flux de menaces et plus de 50 sites de collage d'informations d'identification divulguées, ainsi que plusieurs communautés de sécurité, référentiels de code et bases de données de vulnérabilité couvrant 550 000 entreprises.
  • Une base de données contenant plus de 10 ans d'historique des violations de données pour des milliers d'entreprises dans le monde entier.
  • 550 000 sources publiques et privées d'informations sur la réputation, y compris les activités de fusion et d'acquisition, les nouvelles commerciales, les nouvelles négatives, les informations réglementaires et juridiques, les mises à jour opérationnelles, etc.
  • Un réseau mondial de 2 millions d'entreprises avec 5 ans de changements organisationnels et de performances financières, y compris le chiffre d'affaires, les pertes et profits, les fonds d'actionnaires, etc.
  • 30 000 sources d'information mondiales
  • Une base de données contenant plus de 1,8 million de profils de personnes politiquement exposées
  • Listes de sanctions mondiales et plus de 1 000 listes d'application de la loi au niveau mondial et dépôts auprès des tribunaux
  • Performance, du respect des indicateurs de performance clés des contrats et des mesures correctives pour les accords de niveau de service et les délais non respectés.
Ressources complémentaires
Gouvernance, risque et conformité
APRA CPS 234 : Meilleures pratiques pour répondre aux exigences en matière de gestion des risques liés aux tiers
En savoir plus
Gouvernance, risque et conformité
Répondre aux exigences de la PRA SS2/21 en matière de gestion des risques liés aux tiers
En savoir plus
Voir plus de ressources

Responsabiliser. Automatiser. Élever. Mitratech

©2026 Mitratech, Inc. Tous droits réservés.

Responsabiliser. Automatiser. Élever. Mitratech

©2026 Mitratech, Inc. Tous droits réservés.