Ligne directrice B-10 et gestion des risques liés aux tiers
La ligne directrice B-10 sur la gestion des risques liés aux tiers du Bureau du surintendant des institutions financières (BSIF) du gouvernement canadien traite des risques opérationnels et financiers associés aux relations avec les vendeurs et les fournisseurs.
La ligne directrice B-10 définit les attentes des institutions financières fédérales (IFF) en matière de gestion des risques liés aux accords avec des tiers.
La ligne directrice élargit également la définition d'un tiers pour inclure davantage d'entités telles que les professionnels indépendants, les courtiers et les services publics, et recommande d'inclure tous les types de tiers dans les évaluations des risques.
Ces nouvelles exigences sont motivées par le passage de l'importance relative à la criticité - lorsqu'un tiers exerce une fonction qui fait partie intégrante de la fourniture par l'IFF d'une opération, d'une fonction ou d'un service important, il convient d'adopter une double approche dans laquelle le risque et la criticité déterminent la nature et l'étendue des activités de diligence raisonnable.
Exigences pertinentes
-
Les structures de gouvernance et de responsabilité sont claires et des stratégies et des cadres de risque complets sont en place.
-
Les risques posés par les tiers sont identifiés et évalués
-
Les risques posés par les tiers sont gérés et atténués dans le cadre de l'appétit pour le risque de l'IFF.
-
Les performances des tiers sont contrôlées et évaluées, et les risques et incidents sont traités de manière proactive.
-
Le programme de gestion des risques liés aux tiers de l'IFF permet à l'IFF d'identifier et de gérer en permanence une série de relations avec des tiers.
-
Les technologies et les cyberopérations menées par des tiers sont transparentes, fiables et sûres
Respect de la ligne directrice B-10 du BSIF
La ligne directrice B-10 présente six résultats escomptés que les IFF doivent atteindre en gérant le risque lié aux tiers. Ces résultats sont censés contribuer à la résilience opérationnelle et financière de l'IFF et aider à préserver sa réputation.
Les six résultats attendus sont étayés par 11 principes que le BSIF décrit comme les meilleures pratiques en matière de gestion des risques liés aux tiers. Le tableau récapitulatif ci-dessous établit une correspondance entre les capacités de la plateforme de gestion des risques des tiers prévalents et ces 11 principes.
NOTE : Ce tableau ne doit pas être considéré comme un guide complet et définitif. Consultez votre auditeur pour obtenir une liste complète des exigences.
| Principes de la ligne directrice B-10 du BSIF | Comment nous aidons |
|---|---|
| Résultat 1 : les structures de gouvernance et de responsabilité sont claires et des stratégies et des cadres de risque complets sont en place. | |
| Principe 1 : “The FRFI is ultimately accountable for managing the risks arising from all types of third-party arrangements.”
Principe 2 : "L'IFF doit mettre en place un cadre de gestion des risques liés aux tiers (CGRTP) qui définit clairement les responsabilités, les politiques et les processus permettant d'identifier, de gérer, d'atténuer, de surveiller et de signaler les risques liés au recours à des tiers". |
Prevalent s'associe à vous pour mettre en place un programme complet de gestion des risques des tiers (TPRM) basé sur les meilleures pratiques éprouvées et une vaste expérience du monde réel.
Nos experts collaborent avec votre équipe pour définir et mettre en œuvre des processus et des solutions de gestion des risques liés aux tiers, sélectionner des questionnaires et des cadres d'évaluation des risques et optimiser votre programme pour traiter l'ensemble du cycle de vie des risques liés aux tiers - de l'approvisionnement et de la diligence raisonnable à la résiliation et à l'abandon des activités. Dans le cadre de ce processus, Prevalent peut vous aider à définir :
|
| Résultat 2 : Les risques posés par les tiers sont identifiés et évalués. | |
| Principe 3 : " L'IFF doit identifier et évaluer les risques d'un accord avec un tiers avant de conclure l'accord et périodiquement par la suite. Les évaluations des risques doivent être proportionnelles à la criticité d'un accord. Plus précisément, l'IFF doit procéder à des évaluations des risques pour décider de la sélection d'un tiers, (ré)évaluer les risques et la criticité de l'accord, et planifier une atténuation des risques et une surveillance adéquates". | Prevalent centralise et automatise la distribution, la comparaison et la gestion des appels d'offres (RFP) et des demandes d'informations (RFI). Nos solutions fournissent également des informations sur les risques commerciaux, financiers, liés à la réputation et aux violations de données afin d'éclairer et de contextualiser les décisions. sélection des fournisseurs décisions.
Prevalent fait passer chaque fournisseur sélectionné aux phases de due diligence de contractualisation et/ou d'onboarding, faisant ainsi progresser automatiquement le fournisseur tout au long du cycle de vie de la tierce partie. Prevalent dispose d'une bibliothèque de plus de 750 modèles prédéfinis pour l'évaluation continue des risques des tiers. Ces modèles sont intégrés à des capacités natives de surveillance des risques cybernétiques, opérationnels, financiers et de réputation, qui valident en permanence les résultats des évaluations et comblent les lacunes entre les évaluations. Les recommandations de remédiation intégrées garantissent que les tiers traitent les risques en temps voulu et de manière satisfaisante. Grâce à cette capacité, Prevalent évalue les tiers avant de conclure des accords avec eux, régulièrement tout au long de la relation et à chaque fois qu'un changement important intervient dans la relation, déclenché par un contrôle continu. |
| Principe 4 : "L'IFF doit faire preuve de diligence raisonnable avant de conclure des contrats ou d'autres formes d'accords avec un tiers, et de manière continue, proportionnellement au niveau de risque et à la criticité de l'accord". | Prevalent offers a pre-contract due diligence assessment with clear scoring based on eight criteria to capture, track and quantify risques inhérents for all third parties. Criteria includes:
À partir de cette évaluation du risque inhérent, votre équipe peut automatiquement classer les fournisseurs par niveau, fixer des niveaux appropriés de diligence supplémentaire et déterminer l'étendue des évaluations continues. La logique de hiérarchisation basée sur des règles permet de classer les fournisseurs en fonction d'une série d'interactions de données, de considérations financières, réglementaires et de réputation. Prevalent dispose d'une bibliothèque de plus de 750 modèles prédéfinis pour les évaluations des risques des tiers. Les évaluations peuvent être menées au moment du renouvellement du contrat ou à n'importe quelle fréquence (par exemple, trimestriellement ou annuellement). Les questionnaires d'évaluation peuvent être axés sur le monde entier ou sur la région afin de répondre à des exigences juridiques ou opérationnelles particulières. Prevalent fournit des recommandations intégrées de remédiation basées sur les résultats de l'évaluation des risques. Ces recommandations sont soutenues par des capacités de gestion des flux de travail et des tâches afin de s'assurer que les tiers traitent les risques en temps voulu et de manière satisfaisante. Les capacités intégrées et natives de surveillance des risques cybernétiques, opérationnels, financiers et de réputation signalent les changements importants entre les évaluations périodiques et peuvent déclencher des notifications, des évaluations de suivi ou d'autres actions. Grâce à cette capacité, Prevalent permet à votre organisation d'évaluer les risques avant de conclure l'accord, dans le cadre du processus de renouvellement du contrat, et périodiquement sur une base continue proportionnelle au niveau de risque et de criticité ou chaque fois qu'il y a des changements importants dans l'accord avec le tiers. |
| Principe 5 : "L'IFF est responsable de l'identification, du suivi et de la gestion des risques découlant des accords de sous-traitance conclus par ses tiers". | Prevalent peut identifier les relations de sous-traitance de quatrième et de Nième partie en procédant à une évaluation par questionnaire ou en analysant passivement l'infrastructure publique de la tierce partie. La carte des relations qui en résulte décrit les chemins d'information et les dépendances qui pourraient exposer votre environnement à des risques.
Les fournisseurs découverts grâce à ce processus font l'objet d'un suivi permanent afin d'identifier les risques financiers, ESG, cybernétiques, commerciaux et de violation des données, ainsi que pour le dépistage des sanctions/PEP. Cette approche permet de mieux appréhender les risques potentiels de concentration technologique ou géographique. |
| Résultat 3 : Les risques posés par les tiers sont gérés et atténués dans le cadre de l'appétence au risque de l'IFF. | |
| Principe 6 : "L'IFF doit conclure des accords écrits qui définissent les droits et les responsabilités de chaque partie". | Prevalent centralise la distribution, la discussion, la conservation et la révision des contrats fournisseurs. It also offers workflow capabilities to automate the contract lifecycle from onboarding to offboarding. Key capabilities include:
Grâce à cette capacité, vous pouvez vous assurer que des responsabilités claires sont définies dans le contrat du fournisseur, et que les accords de niveau de service sont suivis et gérés en conséquence. |
| Principe 7 : "Pendant toute la durée de l'accord avec le tiers, l'IFF et le tiers doivent mettre en place et maintenir des mesures appropriées pour protéger la confidentialité, l'intégrité et la disponibilité des dossiers et des données". | Prevalent delivers a centralized, collaborative platform for conducting évaluations de confidentialité et atténuer les risques liés à la confidentialité, tant externes qu'internes. Les principales capacités d'évaluation de la sécurité et de la confidentialité des données comprennent :
|
| Principe 8 : "Les accords conclus par l'IFF avec des tiers doivent permettre à l'IFF d'accéder en temps utile à des informations précises et complètes pour l'aider à superviser les performances et les risques des tiers. L'IFF doit également avoir le droit de procéder ou de faire procéder à un audit indépendant d'un tiers". | With Prevalent, auditors can establish a program to efficiently achieve and demonstrate compliance. The solution automates audit de conformité en matière de gestion des risques liés aux tiers en collectant des informations sur les risques liés aux fournisseurs, en quantifiant les risques, en recommandant des mesures correctives et en générant des rapports pour des dizaines de réglementations gouvernementales et de cadres industriels.
Prevalent met automatiquement en correspondance les informations recueillies lors des évaluations basées sur les contrôles avec les normes ISO 27001, NIST, GDPR, CoBiT 5, SSAE 18, SIG, SIG Lite, SOX, NYDFS et d'autres cadres réglementaires, ce qui vous permet de visualiser rapidement les exigences de conformité importantes et d'y répondre. En outre, Prevalent révèle les tendances en matière de risques, le statut et les exceptions aux comportements courants pour des fournisseurs individuels ou des groupes, grâce à l'apprentissage automatique intégré. Cela vous permettra d'identifier rapidement les valeurs aberrantes dans les évaluations, les tâches, les risques, etc. qui pourraient justifier un examen plus approfondi. |
| Principe 9 : "L'accord conclu par l'IFF avec le tiers doit englober la capacité de poursuivre les opérations en cas d'interruption, y compris le maintien, la mise à l'essai et l'activation des plans de continuité des activités et de reprise après sinistre. L'IFF doit disposer de plans d'urgence pour ses accords avec des tiers critiques." | Prevalent automatise l'évaluation, la surveillance continue, l'analyse et la correction des résilience et continuité des activités des tiers – tout en mappant automatiquement les résultats aux normes NIST, ISO et autres cadres de contrôle.
Pour compléter les évaluations de la résilience des entreprises et valider les résultats, Prevalent :
Cette approche proactive permet à votre organisation de minimiser l'impact des perturbations causées par des tiers et de rester à la pointe des exigences de conformité. La plateforme Prevalent comprend une évaluation complète de la résilience des entreprises basée sur les pratiques de la norme ISO 22301 qui permet aux organisations de :
Lorsqu'une résiliation ou une sortie est nécessaire pour des services critiques, Prevalent s'appuie sur des enquêtes et des flux de travail personnalisables pour établir des rapports sur l'accès au système, la destruction des données, la gestion de l'accès, la conformité avec les lois pertinentes, les paiements finaux, et plus encore. La solution suggère également des actions basées sur les réponses aux évaluations d'intégration et achemine les tâches vers les réviseurs si nécessaire. |
| Résultat 4 : Les performances des tiers sont contrôlées et évaluées, et les risques et incidents sont traités de manière proactive. | |
| Principe 10 : "L'IFF doit contrôler les accords conclus avec des tiers afin de vérifier la capacité de ces derniers à continuer à respecter leurs obligations et à gérer efficacement les risques". | Prevalent continuously tracks and analyzes menaces externes envers des tiers. La solution surveille Internet et le dark web à la recherche de cybermenaces et de vulnérabilités, ainsi que les sources publiques et privées d'informations sur la réputation, les sanctions et les finances.
Toutes les données de contrôle sont mises en corrélation avec les résultats de l'évaluation et centralisées dans un registre des risques unifié pour chaque fournisseur, ce qui simplifie l'examen des risques, l'établissement de rapports et les initiatives de réponse. Les sources de surveillance comprennent
|
| Principe 11 : "L'IFF et son tiers doivent disposer de procédures documentées permettant d'identifier, d'enquêter, de faire remonter les incidents, d'en assurer le suivi et d'y remédier de manière efficace afin de garantir une résilience opérationnelle et financière continue et de maintenir les niveaux de risque dans les limites de l'appétit pour le risque de l'IFF". | Prevalent permet à votre équipe d'identifier et d'atténuer rapidement l'impact des incidents impliquant des fournisseurs tiers en gérant les fournisseurs de manière centralisée, en procédant à des évaluations d'événements, en notant les risques identifiés et en accédant à des conseils de remédiation. |
| Résultat 5 : Le programme de gestion des risques liés aux tiers de l'IFF permet à l'IFF d'identifier et de gérer en permanence un éventail de relations avec des tiers. | |
| Résultat 6 : Les opérations technologiques et cybernétiques menées par des tiers sont transparentes, fiables et sûres. | The Prevalent Platform includes a large library of standardized assessments (including those for NIST and ISO best practices frameworks) and customization capabilities to assess third parties with flexibility. For third parties that submit a SOC 2 report instead of a completed third-party risk assessment, Prevalent enables you to map control gaps identified within the SOC 2 report, create risk items against the third party within a central assessment platform, and track and report against deficiencies along with other risks.
Quel que soit le cadre de cybersécurité, Prevalent vous permet de réduire les délais d'évaluation et d'atténuer les risques. |