Préparer votre programme de TPRM à la directive interinstitutionnelle

Ashley : Euh, je ne peux pas oublier de faire quelques présentations. Je m'appelle Ashley. Je travaille dans le développement commercial chez Prevalent. Et aujourd'hui, nous avons des invités très spéciaux. Euh, Joseph Martinez, ancien responsable de la protection de la vie privée. Bonjour, Joseph. Joseph : Approvisionnement. Ashley : Oh, approvisionnement. Je suis désolée. Euh, directeur des achats. Et notre vice-président du marketing produit, Scott Lang. Bonjour, Scott. Scott : Bonjour, Ashley. Ashley : Euh, juste une petite précision. Ce webinaire est enregistré et nous vous enverrons l'enregistrement ainsi que les diapositives de la présentation peu après le webinaire. Euh, vous êtes tous actuellement en mode silencieux, mais nous vous encourageons à participer. Veuillez donc poser toutes vos questions dans notre boîte de questions-réponses afin que nous puissions y répondre à la fin du webinaire. Euh, aujourd'hui, Joseph va passer en revue les directives interagences financières américaines relatives aux relations avec les tiers. Alors, Joseph, je vous laisse la parole et vous laisse commencer.

Joseph : Merci. Merci beaucoup. Je tiens tout d'abord à remercier Prevalent et l'équipe Prevalent de m'avoir invité à m'exprimer aujourd'hui sur ce sujet tant attendu et très attendu. Vous savez, c'est crucial pour nous tous qui travaillons dans les services financiers et nous attendons tous avec impatience la publication des directives interagences finales sur les relations avec les tiers depuis environ deux ans maintenant. Joseph : Je pense que c'était en juillet 2021 qu'elles ont été publiées pour la première fois pour commentaires. La période de commentaires a été prolongée et finalement, vous savez, voilà, plus de deux ans plus tard, nous y sommes. Disons simplement que beaucoup d'entre nous, moi y compris, consultons assidûment le Federal Register, souvent dans l'attente de la publication de ces directives finales. Joseph : Bon, eh bien, commençons. Si nous regardons l'ordre du jour, nous avons beaucoup de choses à aborder aujourd'hui. Et, vous savez, euh, quand on regarde les directives, elles font près de 70 pages, n'est-ce pas ? Joseph : Et je veux laisser du temps pour répondre à vos questions, mais si nous ne pouvons pas répondre à toutes vos questions au cours de cette session, nous organiserons une deuxième session, euh, une deuxième partie, dans les prochaines semaines, afin de nous assurer que vous nous vous fournissons toutes les informations dont vous avez besoin pour élaborer votre programme, car les changements apportés à la conformité et à la mise en conformité avec les directives interagences finales pour la gestion des risques liés aux tiers sont, vous le savez, assez cruciaux et il est donc très important que nous approfondissions le sujet. Joseph : En général, je ne suis pas quelqu'un qui aime avoir beaucoup de graphiques, mais vous allez constater qu'il y en aura beaucoup. J'aime avoir beaucoup de graphiques et beaucoup de texte, mais dans ce cas, j'ai dû inclure beaucoup de texte pour votre formation afin de nous assurer que nous parcourons les directives de manière appropriée. Joseph : Nous voulons donc vraiment couvrir quatre domaines. Le premier consiste à donner un aperçu des directives interagences financières américaines. Le deuxième consiste à définir les étapes du cycle de vie des tiers telles que définies par le conseil d'administration de la FDIC et l'OTC. Euh, et puis nous voulons également examiner les exigences auxquelles les organisations devront se conformer à chaque étape de ce cycle de vie, puis reconnaître les meilleures pratiques euh que non seulement les services financiers, mais toutes les industries peuvent en quelque sorte suivre. Donc, si nous pouvions passer à la diapositive suivante. Diapositive suivante, s'il vous plaît. Je vois toujours l'ordre du jour. Je ne suis pas sûr que vous le voyez tous. Donc, Scott, euh

Scott : Non, je suis sur la diapositive qui présente les agences impliquées, avec les trois logos de la Fed, de la FDIC et de l'OC. Vous ne la voyez pas ? Joseph : Encore une diapositive, s'il vous plaît. Voilà. Bon, commençons par une explication. Les agences sont impliquées. D'accord. Le conseil d'administration de la FDIC sait que c'est la bonne diapositive. Non, c'est la bonne diapositive. Il leur a simplement fallu un certain temps pour décider qu'ils voulaient vraiment se réunir et réfléchir à la manière de s'aligner sur leurs orientations. Joseph : Et vous savez, quand on y pense, ils voient les choses sous un angle légèrement différent. Donc, le conseil des gouverneurs de la Réserve fédérale, vous savez, est chargé de réglementer et de superviser les holdings bancaires et les organisations bancaires étrangères opérant aux États-Unis. Joseph : Ils ont donc leurs circonscriptions, la FDIC ou la Federal Deposit Insurance Corporation, qui fournissent une assurance-dépôts aux banques et encouragent des pratiques bancaires saines. Maintenant, quand on y pense, ils supervisent les banques agréées par les États, d'accord ? Et qui ne sont pas membres du système de la Réserve fédérale, et ils agissent en tant que principal organisme fédéral de réglementation pour de nombreuses banques communautaires, n'est-ce pas ? Joseph : Et puis nous avons le bureau de l'OC, qui est le bureau de contrôle des devises. Il s'agit d'un bureau indépendant au sein du département du Trésor américain qui réglemente les banques nationales et la Federal Savings Association. Joseph : Donc, tous ces organismes interagissent entre eux, et il était donc tout à fait logique qu'ils se réunissent pour réfléchir à la manière dont ils allaient élaborer des directives cohérentes, plutôt que d'avoir des nuances légèrement différentes au fur et à mesure qu'ils avançaient dans ce processus. Passons à la diapositive suivante, s'il vous plaît. Joseph : Donc, les directives finales des agences, que nous appellerons les agences, ont été publiées afin de promouvoir de saines pratiques de gestion des risques liés aux tiers. Joseph : Une fois encore, les directives finales offrent des points de vue sur les principes de gestion des risques pour les banques lors de l'élaboration et de la mise en œuvre des pratiques de gestion des risques à toutes les étapes du cycle de vie des relations avec les tiers. Joseph : Ces dernières recommandations précisent également qu'une bonne gestion des risques liés aux tiers tient compte du niveau de complexité des risques, de la taille de l'établissement bancaire et de la nature de la relation avec le tiers. C'est un point essentiel, car la prise en compte de la taille de l'établissement bancaire est vraiment utile pour déterminer dans quelle mesure il se conforme à ce qui est en vigueur. Joseph : Les agences ont donc publié cette directive commune afin de promouvoir la cohérence de leurs approches en matière de surveillance. Elle remplace les directives générales existantes de chaque agence sur le sujet et s'adresse à toutes les banques supervisées par l'ensemble de ces agences. Joseph : Pour être clair, les organisations bancaires font appel à des tiers. Mais le fait de recourir à un tiers ne supprime pas la responsabilité de la banque quant à la manière dont elle va réellement fonctionner. Il est donc très important que nous réfléchissions à ce qui se passe dans ce domaine. Joseph : Et, encore une fois, le recours à un tiers ne diminue ni ne supprime la responsabilité de l'organisme bancaire de veiller à ce que les activités soient menées de manière sûre et saine, dans le respect des lois et réglementations applicables. Joseph : Et vous savez, ce qui se passe également, c'est qu'ils annulent et remplacent toutes ces directives que vous voyez ici, les directives du conseil d'administration de 2013, les directives de la FDIC de 2008 et l'OC 213-29 euh et les questions fréquemment posées de 2020. Toutes ces directives ont été abrogées et sont désormais, euh, à compter du 6 juin, euh, les directives interagences définitives ont été publiées. Joseph : Nous en sommes donc à un peu plus d'un mois, ce qui est une bonne chose, et c'est pourquoi il est si opportun pour nous d'avoir cette conversation. Nous pouvons passer à la diapositive suivante.

Ashley : Bonjour Joseph, c'est Ashley. Euh ... Ashley : Vous savez, l'agence a publié des directives communes afin de promouvoir une approche cohérente. Ces directives abordent les principes clés sur lesquels les banques peuvent s'appuyer pour élaborer et mettre en œuvre leurs processus de gestion des risques, et ces unités... Hé, Joseph, pourriez-vous éteindre votre caméra ? Votre signal semble un peu instable. Vous m'entendez ? Joseph : Je m'excuse. Problèmes techniques.

Joseph : Essayons de le faire sans caméra, cela améliorera peut-être la qualité. J'espère que oui. Oui, j'ai beaucoup de bande passante. Je dispose en fait d'une connexion très rapide, donc je ne sais pas trop ce qui se passe, mais continuons. Joseph : D'accord . Quand on regarde ça, vous savez, les directives tiennent vraiment compte de ce dont les entreprises ont besoin et que les banques doivent suivre. Et vous savez, vous devez comprendre qu'il s'agit de directives. Ce n'est pas nécessairement une loi qui entre en vigueur. Joseph : Et donc, vous savez, euh, si vous faites appel à un tiers, votre responsabilité en tant que banque n'est pas supprimée. Vous avez toujours l'obligation de vous assurer que ce que vous faites est bien conforme à ce que nous examinons. Passons à la diapositive suivante. Joseph : Donc, lorsque nous examinons les directives, nous voyons qu'elles traitent en réalité de la manière dont les organismes bancaires peuvent établir des relations avec des tiers. Et nous savons tous qu'il existe toute une série de nouveaux types de fournisseurs et de nouvelles entreprises avec lesquels les banques commencent à travailler dans le domaine des technologies financières. N'est-ce pas ? Joseph : Il est donc important pour nous de réfléchir à ce qui se passe. Et le deuxième point est vraiment très important, car il montre qu'une relation avec un tiers existe même en l'absence de contrat ou de rémunération. C'est quelque chose qui, je pense, est vraiment important pour nous, car historiquement, nous avons toujours considéré cela du point de vue contractuel. Nous avons examiné cela en termes de ce qu'est ce tiers. Maintenant, je pense que nous examinons cela d'un point de vue légèrement plus large. Et je pense que les principes qu'ils énoncent sont vraiment importants pour nous. Joseph : Donc, encore une fois, une banque peut être exposée à des effets négatifs, notamment des pertes financières importantes et des perturbations opérationnelles, si elle ne parvient pas à gérer de manière appropriée les risques associés aux tiers. C'est pourquoi ces directives sont si importantes. Il est donc important que la banque identifie, évalue, surveille et contrôle les risques liés aux tiers.

Joseph : les relations. Il s'agit donc d'un principe clé qui est établi afin que nous puissions y réfléchir. Passons à la diapositive suivante, s'il vous plaît. Joseph : Encore une fois, toutes les relations ne présentent pas le même niveau de risque, n'est-ce pas ? Les agences ont donc clarifié et rationalisé les directives et ont supprimé les détails qui, dans certains cas, faisaient double emploi, n'étaient pas utiles ou pouvaient être interprétés comme trop prescriptifs, n'est-ce pas ? Joseph : Ce faisant, elles veulent que nous réfléchissions bien, vous voyez, et que nous considérions qu'une activité qui est essentielle pour un établissement bancaire peut ne pas l'être pour un autre. Et cela nous ramène à ce que j'ai dit tout à l'heure, à savoir qu'elles prennent en considération la taille de la banque. Elles ne regardent donc plus tout le monde avec le même regard. Elles examinent chaque cas en fonction de ce qui est approprié pour votre organisation. Il est donc très important que nous réfléchissions à ce qui se passe là-bas. Joseph : Encore une fois, il appartient à chaque organisme bancaire d'identifier ses activités essentielles et ses relations avec des tiers qui soutiennent ces activités essentielles, car cela va varier en fonction de l'appétit pour le risque et de la méthodologie de gestion des risques utilisée par cette banque. Je pense donc que c'est un point important à clarifier, que nous devions examiner. Joseph : Passons à la diapositive suivante. Les agences ont également tenu à rappeler que les lignes directrices ont été élaborées sur la base de principes, n'est-ce pas ? Lorsqu'elles disent que les lignes directrices ont été élaborées sur la base de principes, elles veulent dire que ces lignes directrices reposent sur un ensemble de normes, de règles ou de valeurs fondamentales qui fournissent un cadre pour la prise de décision et l'action. Ainsi, au lieu de donner des règles et des instructions détaillées et prescriptives, les régulateurs établissent en quelque sorte un ensemble de principes que les organisations doivent respecter, n'est-ce pas ?

Joseph : Encore une fois, quand on examine ces éléments, il s'agit d'une vision générale de ce dont ils parlent, mais vous savez, les agences essaient vraiment de dire : « D'accord, vous devez soutenir une approche fondée sur les risques au sein de vos organisations bancaires afin d'évaluer les risques posés par vos tiers, puis vous devez adapter votre processus de gestion des tiers en conséquence, de manière à ce que vos actions s'inscrivent dans le bon contexte, un peu comme si vous résolviez un Rubik's cube, n'est-ce pas ? Joseph : Il est donc important d'impliquer le personnel possédant les connaissances et les compétences requises à chaque étape de la gestion de ce cycle de vie. Ce qu'ils vous disent de faire, c'est que vous devez vraiment impliquer les experts de plusieurs disciplines au sein de votre organisation, que ce soitconseillers juridiques, qu'il s'agisse de la conformité aux risques, des aspects technologiques, etc. Je pense qu'il est vraiment important de faire appel à des experts issus de plusieurs disciplines et de bien comprendre qu'une banque utilise des services d'évaluation tiers, comme par exemple Trusite, qu'elleutilisent comme utilitaire, donc si votre banque utilise l'un d'entre eux dans le cadre d'un accord commercial, cet accord doit être intégré au processus de gestion des risques tiers de la banque. Joseph : Le simple fait que vous externalisiez quelque chose ne signifie pas que vous n'avez pas besoin de l'examiner de manière appropriée à travers votre propre prisme, et il est donc vraiment essentiel d'identifier les activités que la relation avec le tiers soutient, et notamment le fait qu'une activité qui est essentielle pour une organisation bancaire peut ne pas l'être pour une autre. Il est donc important que nous réfléchissions à tout cela . Passons à la diapositive suivante, s'il vous plaît. Joseph : Nous allons maintenant aborder la définition des étapes du cycle de vie d'un tiers. Ceux d'entre nous qui font cela depuis plus d'un an comprennent probablement de quoi il s'agit, mais nous allons le revoir maintenant, car les agences se sont mises d'accord sur ce que cela signifie.

Joseph : Passons à la diapositive suivante. Vous voyez, c'est une vieille diapositive, mais elle est en fait tirée directement des nouvelles directives. À l'origine, elle a été publiée par l'OC. Mais elle a depuis été modifiée et adaptée par le conseil d'administration, la FDIC et l'OCC pour refléter les différentes étapes du cycle de vie de la gestion des risques. Joseph : Vous avez donc la planification, la diligence raisonnable et la sélection des tiers, la négociation des contrats, la surveillance continue et, bien sûr, la résiliation à la fin du processus. Joseph : Cela signifie donc que nous disposons désormais d'un processus standard reproductible, avec des évaluations qualitatives et quantitatives, que nous avons une approche cohérente du risque et que nous devons adapter notre charge de travail afin d'engager les bonnes personnes au bon moment si nous voulons nous conformer à la nouvelle réglementation. Je suis donc heureux qu'ils se soient mis d'accord et qu'ils aient adopté une position spécifique, car je pense queest vraiment important pour nous d'y réfléchir. Passons donc à la diapositive suivante afin d'examiner les exigences auxquelles les organisations doivent se conformer à chaque étape du cycle de vie. Ils ont très bien fait leur travail en fournissant ces orientations. Joseph : Encore une fois, ce n'est pas normatif, mais croyez-moi, ils vont intervenir et ils vont vouloir examiner cela. Alors, passons à la diapositive suivante et commençons par l'ensemble du processus de planification. D'accord ? Joseph : Donc, lorsque nous commençons à réfléchir à la planification, j'ai été très normatif en abordant la réglementation et les directives actuelles et en rassemblant les informations pour vous. Je ne vais pas passer en revue chacun de ces points en détail, car vous allez recevoir une copie du dossier, mais je veux que vous compreniez bien ce que contient ce document, d'accord ? Joseph : Et donc, les directives traitent vraiment de la façon dont vous allez envisager la planification, de ce que vous devez prendre en considération et de la manière dont vous allez gérer cela.

Joseph : Et donc, quand ils parlent de comprendre l'objectif stratégique de l'accord commercial, vous devez comprendre comment cet accord s'aligne sur les objectifs stratégiques globaux de l'organisation, les objectifs, l'appétit pour le risque, le profil de risque et les politiques générales de l'entreprise. Il y a beaucoup d'informations à décortiquer, mais c'est ce qu'ils essaient de vous faire comprendre. Ils veulent que vous identifiiez et évaluiez les avantages et les risques associés à l'accord commercial, et qu'ils veulent que vous déterminiez comment gérer de manière appropriée les risques identifiés. Joseph : Il ne suffit donc pas d'identifier les risques. Vous devez soit les accepter, soit les atténuer. Et donc, ils veulent que vous y réfléchissiez. Joseph : Donc, lorsque vous examinez la nature de l'accord commercial, ils veulent que vous y réfléchissiez de manière holistique et que vous le fassiez en tenant compte du lieu où l'activité se déroule réellement, n'est-ce pas ? Car, encore une fois, quand on examine ce dont ils parlent, ils veulent que vous réfléchissiez vraiment à la manière dont vous mettez réellement votre programme en place et à l'endroit où le travail est réellement effectué, puis s'il existe des exigences réglementaires locales ou mondiales qui s'appliquent à cela. Joseph : Donc, lorsque vous voyez le point numéro trois, qui dit de prendre en compte la nature des accords commerciaux, tels que le volume d'activité, le recours à des sous-traitants, la technologie nécessaire, l'interaction avec les clients et le recours à des tiers basés à l'étranger. C'est nouveau et c'est essentiel, n'est-ce pas ? Joseph : Donc, quand ils parlent de tiers basés à l'étranger, ils font référence à des tiers qui fournissent des services à vos opérations et qui sont situés dans un pays étranger, offshore, nearshore, n'est-ce pas ? Et qui sont soumis aux lois et à la juridiction de ce pays. Joseph : Donc, ce terme n'inclut pas les filiales américaines d'entreprises étrangères, car il existe des opérations de services qui sont soumises aux lois américaines. Ils veulent donc vraiment réfléchir à la manière dont ils s'y prennent concrètement.

Joseph : Et je pense que c'est vraiment important. Encore une fois, lorsque nous examinons comment nous évaluons l'impact que la relation avec un tiers pourrait avoir sur les employés de l'organisme bancaire, y compris les employés doubles, vous savez, et quelles sont les étapes de transition nécessaires pour que la banque puisse gérer les impacts lorsque les activités actuellement menées sont, vous savez, actuellement menées en interne sont externalisées, n'est-ce pas ? Joseph : Ils veulent donc que vous réfléchissiez à ces questions et que vous montriez que vous avez un plan concret, que vous disposez du niveau de formation adéquat, que vous faites preuve de la diligence requise à l'égard des personnes, des services et de l'entreprise. Je pense qu'ils deviennent vraiment très bons en termes d'élaboration du cadre. Ensuite, vous devez prendre ce cadre et le traduire dans votre programme. Diapositive suivante, s'il vous plaît. Joseph : Donc, pour continuer sur ce thème en termes de degré de risque et de complexité. Vous savez, encore une fois, évaluer l'impact potentiel d'un tiers sur ses clients, n'est-ce pas ? Eh bien, cela inclut l'accès et l'utilisation des informations des clients, l'interaction de tiers avec les clients, vos centres d'appels, etc. Le potentiel de préjudice pour les consommateurs et le traitement des plaintes et des demandes des clients. Ils veulent donc que vous réfléchissiez à cela. Joseph : Encore une fois, c'est un point très important, le numéro six, mais il nécessite beaucoup de mise en œuvre. C'est complexe, n'est-ce pas ? Et quand nous disons que nous comprenons les implications potentielles en matière d'information ou de sécurité, n'est-ce pas ? Cela inclut l'accès à la banque, aux systèmes de la banque, n'est-ce pas ? Et à des informations confidentielles. Et c'est vraiment crucial, surtout avec toutes les violations de données qu'on voit en ce moment et dont beaucoup viennent en fait de la chaîne d'approvisionnement plutôt que de l'organisation elle-même. Donc, tu vois, ils veulent qu'on y réfléchisse.

Joseph : Le point numéro huit est assez crucial quand on pense à comprendre les implications potentielles en matière de sécurité physique, et il faut réfléchir à la question de savoir s'ils auront accès aux installations de la banque, s'ils viendront sur place, et je sais que cela a un peu changé depuis, euh, depuis co, mais vous savez, nous avons toujours des tiers qui, afin de pouvoir produire les biens et les services qu'ilsnous fournissent doivent venir sur place, euh, quand on regarde, par exemple, le numéro 10, qui détermine la capacité de l'organisation bancaire à assurer une surveillance et une gestion adéquates de la relation proposée avec le tiers sur une base continue. Joseph : Eh bien, vous savez, cela inclut le respect des niveaux de dotation en personnel et d'expertise ou des systèmes de gestion des risques et de conformité, n'est-ce pas ? Ils veulent s'assurer que vous disposez d'un niveau adéquat de contrôles internes pour vos systèmes. Vous savez, que vous traitez efficacement l'accord commercial qui a été consigné par écrit dans le contrat et que vous le surveillez de manière appropriée. Joseph : Donc, encore une fois, tout cela fait partie de la planification. Vous devez y réfléchir avant de vous lancer, si vous voulez réussir dans ce que vous faites. Passons à la diapositive suivante, s'il vous plaît. Joseph : Donc, vous savez, quand on pense à la diligence raisonnable, vous savez, vous avez la planification, puis vous avez la diligence raisonnable. D'accord, il s'agit, vous savez, de faire preuve de diligence raisonnable envers vos tiers avant de les sélectionner et d'entrer en relation avec eux. C'est important et, vous savez, c'est un élément essentiel d'une bonne gestion des risques. D'accord. Joseph : Le processus de diligence raisonnable consiste donc à fournir à la banque les informations nécessaires pour évaluer si elle est en mesure d'identifier, de surveiller et de contrôler de manière appropriée les risques associés à la relation qu'elle s'apprête à conclure. Cette diligence raisonnable comprend l'évaluation de la capacité du tiers à mener à bien l'activité comme prévu.

Joseph : Vous savez, respecter les politiques bancaires ou, euh, vous savez, si elles sont en mesure de se conformer aux lois et réglementations applicables, mener leurs activités de manière sûre et saine. Il s'agit d'examiner leur viabilité financière. Il s'agit d'examiner, vous savez, leurs profils financiers, etc. Il s'agit donc en quelque sorte de réfléchir, vous voyez, et les agences ne pensent pas qu'il serait approprié pour une banque de réduire sa diligence raisonnable uniquement sur la base du type d'entité du tiers. Joseph : Euh, il y a eu beaucoup de commentaires à ce sujet pendant la période de consultation, et d'après certains de ces commentaires, les gens voulaient en fait savoir comment nous pouvions potentiellement réduire la charge de la diligence raisonnable en fonction du type d'entité tierce avec laquelle nous traitions, et comme vous pouvez le constater, cela n'a pas été accepté, donc euh, vous savez, quand vousexaminez les directives, celles-ci stipulent également que lorsqu'elle évalue le risque lié à une relation avec un tiers, une banque peut tenir compte des informations disponibles provenant de diverses sources. Elles vous disent donc de ne pas vous fier uniquement à ce que vous pouvez faire en interne, mais d'examiner ce qui existe à l'extérieur. Cependant, lorsque vous examinez ce qui existe à l'extérieur, vous devez vous assurer que vous comprenez vraiment ces informations et que vous les utilisez. Joseph : Mais le fait de recourir à ces informations externes ne réduit pas votre responsabilité en tant qu'organisation de vous assurer que vous faites vraiment preuve de la diligence requise et que les informations que vous recueillez sont, vous le savez, sous la responsabilité de votre organisation afin qu'elles soient disponibles. Joseph : Donc, vous savez, les directives prévoient que, dans certaines circonstances, les banques doivent envisager de prendre des mesures pour atténuer les risques ou, si les risques ne peuvent être atténués, elles doivent déterminer si les risques résiduels sont acceptables, ce qui signifie que vous devez disposer d'une méthodologie de gestion des risques solide et être en mesure de leur démontrer concrètement que vous maîtrisez vos activités. Joseph : Je pense donc qu'il est vraiment important pour nous de réfléchir aux raisons pour lesquelles les agences agissent ainsi.

Joseph : Ils font cela parce que, si l'on regarde la période allant de 2008 à aujourd'hui, il y a eu beaucoup de problèmes divers avec des tiers, et ils veulent donc s'assurer qu'ils tirent parti des connaissances qu'ils ont pu acquérir au cours de cette dernière période et les intègrent dans les directives, de sorte que ce qu'ils font, c'est qu'ilsfournissent un niveau et un cadre que nous devrions pouvoir ensuite adopter et mettre en œuvre correctement. Je pense donc qu'il est extrêmement important pour nous de réfléchir à la raison pour laquelle nous faisons cela et à la manière dont cela se passe. L'une des choses que les directives ont faites, c'est qu'elles ont pris en considération certains des concepts qui figuraient dans la foire aux questions de l'OC. Joseph : D'accord. Ils ont donc repris ces concepts et ont essayé de les intégrer dans les différentes parties, que ce soit la planification, la diligence raisonnable, etc. N'est-ce pas ? Joseph : Et donc, vous savez, les directives intègrent vraiment beaucoup de ces questions fréquemment posées dans le processus, de sorte que ce que vous faites maintenant, c'est que plutôt que d'avoir à consulter plusieurs documents, vous disposez d'une ligne directrice claire et cohérente qui vous aide à voir réellement ce qui se passe. Joseph : Mais en fin de compte, les directives soulignent qu'il incombe à la banque d'identifier et d'évaluer les risques associés à chacun de ses tiers et d'adapter ses pratiques de gestion des risques à la taille de l'organisation , à sa complexité , à son profil de risque et , bien sûr, à la nature des relations qu'elle établit avec les tiers. Joseph : Mais les agences n'ont exclu aucune relation avec des tiers spécifiques du champ d'application des directives. C'était l'une des questions qui leur était posée : peuvent-elles exclure les relations entre banques ? Peuvent-elles exclure les filiales, etc. Elles répondent qu'elles n'excluent aucune relation avec des tiers spécifiques du champ d'application des directives. Passons à la diapositive suivante, s'il vous plaît.

Joseph : Donc, lorsque vous examinez la diligence raisonnable, la portée et le degré de diligence raisonnable doivent être identifiés et documentés, tout comme les limites de cette diligence raisonnable, et les risques liés à ces limites doivent être compris. Il faut également envisager des alternatives pour atténuer ces risques, y compris la possibilité de se tourner vers une autre source. N'est-ce pas ? Joseph : La diligence raisonnable consiste donc à évaluer la capacité d'un tiers à mener à bien l'activité attendue, à respecter les politiques de l'organisme bancaire et les activités connexes, à se conformer à toutes les lois et réglementations applicables et à mener cette activité de manière sûre et saine. Joseph : Je le mentionne ici et je le répète, car cela provient directement des directives et c'est quelque chose que tous ceux d'entre nous qui ont pratiqué la gestion des risques liés aux tiers pendant plus d'une journée savent que c'est en quelque sorte le fondement même de ce que vous faites lorsque vous commencez à examiner la question sous l'angle de la diligence raisonnable. Joseph : Mais c'est quelque chose qu'ils ont, vous le savez, réaffirmé, qu'ils ont réintégré dans ce qui se passe. Et je pense qu'il est vraiment important pour nous de réfléchir à la manière dont cela fonctionne réellement. Passons à la diapositive suivante, s'il vous plaît. Joseph : Donc, quand vous regardez cela, il y a 14 domaines d'intérêt et de diligence raisonnable différents qu'ils ont publiés. Et ils ont en fait mis pas mal d'informations sous chacun d'entre eux. Je les ai mis ici parce que je pense qu'il est important pour nous de réfléchir à ce qu'ils voulaient que nous réfléchissions et à l'examen que nous devons effectuer. Joseph : Et donc, si vous y réfléchissez, si vos programmes actuels ne sont pas réellement en phase de diligence raisonnable pour chacun de ces 14 domaines, vous allez probablement avoir un problème. Vous allez probablement recevoir un MRA ou un MIR, etc. Il est donc important que vous y réfléchissiez et que vous pensiez à la manière de le mettre en œuvre, n'est-ce pas ?

Joseph : Parce que quand on examine chacun de ces éléments, c'est assez important si on prend par exemple la situation financière que vousvous avez constaté, vous savez, c'est vraiment une évaluation de la viabilité financière d'un tiers, n'est-ce pas ? Donc, en tirant ces informations des états financiers, des rapports annuels ou des documents déposés auprès de la commission des opérations de bourse et autres, tout cela sert à évaluer la capacité financière et la stabilité du fournisseur avec lequel vous travaillez. Vous savez donc qu'il y a beaucoup d'efforts à fournir pour chacun de ces éléments. Joseph : Et je vous encourage tous à vous pencher sur la question et à réfléchir à la manière dont votre programme actuel traite ces aspects. Et s'il ne les traite pas de manière suffisamment rigoureuse, je vous encourage à réfléchir à la manière dont vous pouvez réellement examiner cela. Joseph : Ensuite, lorsque vous examinez les outils qui soutiennent votre programme, assurez-vous de pouvoir dire : « D'accord, comment puis-je suivre et rendre compte de ces domaines avec mon outil ? » Parce que je pense qu'il est vraiment important pour nous d'y réfléchir, n'est-ce pas ? Joseph : Euh, et une partie de cela va se faire hors ligne. Une grande partie peut être réalisée à l'aide des outils, mais je pense que c'est vraiment important. Je pense que l'un des domaines sur lesquels ils mettent vraiment l'accent actuellement, si vous regardez le point E, concerne les qualifications et les antécédents du personnel clé et d'autres considérations relatives aux ressources humaines, mais ce qu'ils veulent faire, c'est examiner les qualifications et l'expérience des dirigeants et autres membres clés du personnel du tiers. Donc, maintenant, ils nous demandent de faire un double clic, n'est-ce pas ? Joseph : Ils nous demandent donc d'examiner en profondeur qui sont les personnes avec lesquelles vous travaillez au sein de ce tiers, n'est-ce pas ? Et donc, si vous ne le faites pas aujourd'hui, c'est probablement un domaine que vous devez vraiment aborder, n'est-ce pas ? Joseph : Une autre considération est de savoir si le tiers dispose d'une formation permettant de garantir que ses employés comprennent leurs devoirs et leurs responsabilités.

Joseph : Et puis, il faut connaître les lois et réglementations applicables à ce qu'ils font de votre côté, n'est-ce pas ? Je pense donc que nous devons vraiment repenser ce que nous avons fait par le passé, qui était, je pense, formidable. Il s'agit en fait de prendre cela et de double-cliquer, et certaines institutions n'ont vraiment eu qu'un impact nominal de la part de leur régulateur en termes de ce qu'elles devaient faire de la part d'un tiers. Donc, beaucoup de ces mesures vont être vraiment nouvelles pour elles. Joseph : Beaucoup d'entre elles vont se dire : « Oh mon Dieu, comment vais-je m'y prendre pour mettre en place le flux de travail autour de cela ? Comment vais-je pouvoir le démontrer de manière tangible ? Eh bien, encore une fois, ce sont des lignes directrices. Ces lignes directrices sont à nouveau publiées afin que nous puissions réfléchir à la manière dont nous pouvons mettre en place un programme de manière très cohérente et concise, et ce programme devra être appliqué à tous les niveaux, depuis le conseil d'administration de chacune de ces organisations. Joseph : Donc, vous savez, cela représente beaucoup de travail, quand on y pense, et je vous encourage à réfléchir à chacun de ces domaines. Consultez les directives et vous savez qu'il est important d'examiner et de comprendre ce qui est demandé et, lorsque vous faites cela, vous savez ce que vous pouvez utiliser d'un point de vue technologique pour que cela soit beaucoup plus, euh, vous savez, résilient et beaucoup plus, euh, facile à utiliser, et vous assurez-vous que vous avez la capacité de vous conformer réellement à ces directives. Joseph : Passons à la diapositive suivante. Nous passons donc maintenant de la phase de planification à celle de diligence raisonnable, puis à la négociation des contrats. Encore une fois, si vous pouvez y jeter un œil, il s'agit en grande partie d'informations standard tirées de diverses évaluations réalisées au fil des ans, à partir des commentaires recueillis lors des différentes inspections effectuées, et tout cela dans le but de les aider à dire : « Bon, voici ce à quoi vous devriez réfléchir, selon nous.

Joseph : Maintenant, nous allons vous évaluer par rapport à cela, n'est-ce pas ? Donc, lors de la négociation d'un contrat, il est utile pour une banque de clarifier et d'identifier les droits et les responsabilités de chaque partie, et vous devez vous assurer que vous le faites réellement. Joseph : Il sera donc important d'avoir un accord-cadre standard, n'est-ce pas ? Et il sera important de s'assurer que vous disposez bien de critères de référence pour mesurer les performances. Joseph : Il faut donc définir clairement les mesures de performance afin de pouvoir évaluer réellement les performances du tiers. Cela est essentiel dans le cadre des accords de niveau de service entre la banque et le tiers, où il faut vraiment être en mesure de leur montrer que ce sont les mesures et les attentes que nous avons pour les deux parties, puis nous devons être en mesure de démontrer concrètement que nous incluons la conformité des performances avec les politiques et procédures, la conformité aux lois applicables, et tout cela est intégré dans ce processus. Joseph : Plus tard, lorsque vous passerez à la surveillance continue, tout cela se concrétisera. Mais si vous n'y pensez pas et ne l'intégrez pas dans le contrat, il vous sera difficile d'obtenir le niveau de conformité adéquat de la part de vos tiers, n'est-ce pas, au fur et à mesure que vous avancez. Joseph : Donc, encore une fois, il est important de prendre en compte les dispositions du contrat qui précisent les obligations du tiers, ce que vous attendez de lui, quand vous en avez besoin, comment vous voulez qu'il vous rende compte, et ensuite, quels sont vos droits en tant que banque pour intervenir et, vous savez, surveiller leur risque, surveiller leurs performances et traiter les éléments qu'ils doivent vous fournir en termes de rapports, de données et d'accès. Joseph : Euh, vous savez, tout ce dont vous aurez besoin pour que votre programme soit couronné de succès. Si vous ne les intégrez pas dans votre contrat, il vous sera très difficile de le faire. Et lorsque les régulateurs interviendront et examineront cela, ils diront : « Eh bien, c'est intéressant.

Joseph : Vous me dites que vous faites cela, mais vous ne pouvez pas me montrer comment vous vous y prenez concrètement, car vous n'avez pas prévu de clause d'audit dans votre contrat. Il est donc très important de vous aider, vous savez, à vous assurer que vous surveillez ces performances, que vous les consignez par écrit, que vous incluez également, vous savez, des dispositions pour des audits indépendants que vous pouvez y inclure ou, euh, s'ils ont des sous-traitants, que vous ayez la possibilité d'aller voir ce qu'ils font. Joseph : Donc, au fur et à mesure que vous parcourez tout cela. Il y a vraiment beaucoup d'informations à prendre en compte. Je les ai résumées dans ces points, mais derrière chacun de ces points, il y a des pages et des pages dans la réglementation elle-même. Joseph : Euh, vous savez, et essentiellement, vous savez, là où vous devez vraiment vous plonger et comprendre, vous savez, quand vous regardez les coûts et les compensations, n'est-ce pas ? Vous savez, les contrats qui décrivent clairement tous les coûts et les modalités de rémunération contribuent à réduire les malentendus et les litiges concernant les bâtiments. Ils permettent également de garantir que tous les accords de rémunération sont conformes aux pratiques bancaires saines et aux lois applicables. N'est-ce pas ? Joseph : On pourrait continuer encore et encore à énumérer tout ce qu'ils veulent que vous preniez en considération, mais il est important que vous considériez ces éléments comme des lignes directrices rapides et que vous vous demandiez : « D'accord, mes modèles de contrats types traitent-ils de ces points ? » Et si la réponse est non, vous devrez probablement discuter de ce que vous allez faire. Joseph : Mais encore une fois, ne vous contentez pas d'un examen superficiel. Vous devez approfondir la question et comprendre quelles sont les lignes directrices qu'ils mettent en place, car c'est le minimum qu'ils attendent de vous par rapport à ce qu'ils veulent que vous envisagiez. Joseph : Et vous savez, il est vraiment important que ces dispositions soient vraiment solides et, encore une fois, ils vont examiner votre contrat type, puis le contrat qui a été effectivement signé.

Joseph : Donc, ils veulent examiner... Oui, vous me dites qu'il y avait une clause de sous-traitance, mais quand je regarde l'accord signé, cette clause a en fait été négociée. D'accord. Joseph : Encore une fois, c'est un travail d'équipe. Ce n'est pas seulement la responsabilité de l'équipe de gestion des risques tiers. Ce n'est pas seulement la responsabilité de l'entreprise, ni celle du service des achats ou du service juridique. Il y a beaucoup d'acteurs qui doivent s'occuper de cette question pour s'assurer que ce que nous faisons, c'est vraiment veiller à ce que ces clauses contractuelles soient respectées et intégrées dans les contrats, et que nous soyons ensuite en mesure de les démontrer. Joseph : Euh, à mesure que nous avançons, un domaine clé qu'ils examineront et qu'ils examinent depuis de nombreuses années. Je m'occupais auparavant de l'assurance d'entreprise, et c'est un domaine qu'ils veulent vraiment examiner, n'est-ce pas ? Et ils veulent comprendre quelles sont les exigences que vous imposez à vos tiers pour qu'ils maintiennent les types et les montants d'assurance spécifiés, n'est-ce pas ? Joseph : Et ils veulent également s'assurer que vous êtes désigné comme assuré supplémentaire. Et si ce n'est pas le cas, pourquoi ? Vous devez donc réfléchir à la question suivante : il ne s'agit pas seulement d'avoir une révision élevée, mais aussi de savoir comment vous allez concrètement mettre cela en œuvre afin de pouvoir passer cette étape. Vous savez, un domaine particulier sur lequel ils vont se concentrer est la sous-traitance, car ils veulent comprendre ce que vous imposez à ces autres organisations, car il y a beaucoup de travail à faire. Joseph : Euh, pour gagner du temps, passons à la diapositive suivante, s'il vous plaît. D'accord. Vous savez, ce que les agences essaient de faire ici, ce n'est pas d'encourager une approche spécifique de la surveillance continue, mais plutôt d'inciter les banques à considérer la surveillance continue comme n'importe quel autre processus de gestion des risques liés aux tiers. Joseph : Donc, elles veulent que vous réfléchissiez à la manière dont cela s'inscrit dans votre programme, à la complexité de votre organisation et au profil de risque de votre organisation, c'est bien ça ?

Joseph : Et en faisant cela, ils veulent que vous réfléchissiez à la possibilité d'effectuer un suivi continu ou périodique. Ils ne se prononcent pas sur l'un ou l'autre . Ou bien ils ont constaté que les deux méthodes étaient possibles et qu'un suivi plus complet ou plus fréquent était approprié lorsque la relation avec le tiers impliquait des activités à haut risque. Joseph : Donc, encore une fois, vous devez disposer d'une méthodologie afin de pouvoir déterminer la criticité réelle de l'activité, puis la criticité du fournisseur, afin de savoir que votre surveillance continue sera essentiellement basée sur ce niveau de risque, car, encore une fois, si vous avez un élément critique, vous aurez probablement une vision beaucoup plus approfondie de ce que vous voulez gérer dans le cadre d'une surveillance continue. Joseph : S'il s'agit d'un élément à faible risque, il y aura, vous le savez, des différences variables et ils vous donnent cette latitude afin de s'assurer que, vous le savez, si vous disposez réellement du bon niveau de méthodologie et si vous avez une appétence au risque déclarée, ils veulent s'assurer que tout ce qui dépasse votre appétence au risque est surveillé de manière significativement différente de tout ce qui se situe dans les limites de l'appétence au risque ou en dessous. Joseph : Passons à la diapositive suivante, s'il vous plaît. Il s'agit en quelque sorte d'une continuation de la surveillance continue. Encore une fois, lorsque vous examinez cela, cela vous indique simplement ce qu'ils pensent que vous devriez prendre en considération au fur et à mesure que vous avancez. Joseph : Encore une fois, les directives indiquent que les organisations bancaires peuvent envisager des accords de collaboration ou le recours à des parties externes pour aider à compléter la surveillance continue. C'est donc une nouveauté dans la mesure où vous pouvez faire appel à un tiers pour vous aider dans ce processus. Mais là encore, vous devez vous assurer que ce tiers respecte bien les normes que vous avez fixées. N'est-ce pas ?

Joseph : Parce que, euh, quand on y regarde de plus près, on comprend ce que la surveillance continue permet à la banque de faire, d'accord, vous savez, ils doivent examiner à la fois le niveau et les types de risques, car ceux-ci peuvent évoluer au cours de la relation, n'est-ce pas, et vous devrez donc peut-être adapter vos pratiques de surveillance continue en conséquence. Joseph : Vous pouvez donc être amené à modifier la fréquence, le type d'informations ou le niveau de surveillance en fonction de l'évolution de la relation que vous entretenez avec ce tiers. Passons à la diapositive suivante, s'il vous plaît. Joseph : Vous commencez à voir la complexité des risques et ce qu'ils essaient de mettre en place, n'est-ce pas ? Donc, vous savez, lorsque vous commencez à examiner les évaluations pour voir ce qui se passe, ils veulent que vous puissiez réellement gagner en efficacité, mais ils veulent également s'assurer que ce que vous faites suit un processus qui va vraiment vous aider à garantir votre conformité, n'est-ce pas ? Ils l'expliquent donc très clairement ici. Joseph : Les changements dans la situation financière du tiers, y compris les obligations financières envers d'autres. Encore une fois, vous pouvez le prouver grâce à votre évaluation des risques liés à la viabilité financière. Si vous le faites de manière périodique, ne le faites pas seulement au début, lorsque vous êtes en phase de diligence raisonnable. Vous devez le faire de manière continue, n'est-ce pas ? Joseph : Ou des audits pertinents, des résultats de tests et d'autres rapports qui indiquent si le tiers reste capable de gérer les risques et de respecter ses obligations contractuelles et les exigences réglementaires. N'est-ce pas ? Vous devez donc réfléchir à la manière dont vous allez prouver à l'autorité de régulation et au conseil d'administration ce que vous essayez de faire, car cette conformité est vraiment importante. Joseph : Et encore une fois, ils ne le présentent pas de manière prescriptive, mais de manière générale, ce qui est logique. C'est ensuite à vous de l'intégrer dans votre programme et de le traduire en actions, activités et rapports afin de pouvoir le démontrer, et là encore, tout dépend du niveau de complexité de votre situation.

Joseph : Tout dépend des facteurs que vous allez prendre en considération lorsque vous le ferez. Passons à la diapositive suivante, s'il vous plaît. Joseph : Donc, encore une fois, tout cela n'est que la suite de ce dont je viens de parler, et vous savez, vous devez vous assurer que vous disposez du niveau de formation approprié, vous savez, si ce que vous dites concerne la formation dispensée aux employés de l'organisme bancaire et aux tiers. Eh bien, comment le prouver ? Pouvez-vous me montrer que cela se produit réellement ? N'est-ce pas ? Joseph : Encore une fois, avez-vous des clauses de confidentialité ? Avez-vous des clauses de transfert qui s'appliquent à ce tiers ? N'est-ce pas ? Vous savez, que se passe-t-il en cas d'incident chez le tiers, ou en matière de continuité des activités? C'est vraiment important, car tout ce qui peut mettre en péril les opérations de votre organisation doit être pris en compte. Vous ne pouvez pas vous contenter de dire : « Eh bien, nous pensions qu'ils avaient un plan de continuité des activités, mais nous ne l'avons jamais testé. » Joseph : Eh bien, vous savez, au cours de ma carrière, j'ai vu, il y a de nombreuses années, des plans de continuité des activités magnifiques, mais qui n'étaient en réalité étayés par rien. C'étaient de superbes présentations PowerPoint à l'époque, mais lorsque des inondations ou des tremblements de terre se sont produits, les tiers vous ont en quelque sorte laissé tomber, car ils ne disposaient pas vraiment de plans et de détails qui étaient réellement applicables. Joseph : C'est pourquoi il est vraiment important de les consigner par écrit, de les contrôler régulièrement, de se rendre sur place et de s'assurer que vous les avez. Joseph : Donc, en passant à la diapositive suivante, vous commencerez à voir que, compte tenu de l'approche fondée sur des principes généraux adoptée par les lignes directrices, les agences n'ont pas révisé les lignes directrices pour traiter des sujets ou des types de relations spécifiques. C'est important à noter. Joseph : Il existe donc déjà des directives distinctes sur certains sujets ou certaines relations dans d'autres lignes directrices. Et ces types de questions spécifiques ne sont pas concernés par ces nouvelles directives, sauf si elles sont expressément abrogées.

Joseph : Donc, s'ils ont quelque chose à voir avec ce qui se passe en matière de cybersécurité, cela n'est pas intégré ici, mais ces éléments sont toujours présents. Encore une fois, il s'agit simplement d'examiner ce à quoi vous devez penser dans une perspective de surveillance continue. Joseph : Nous arrivons maintenant à la cinquième partie du cycle de vie, sur la diapositive suivante. Il s'agit de la résiliation, n'est-ce pas ? Et vous savez, j'aime toujours y réfléchir. Il s'agit soit d'une résiliation, soit d'un renouvellement, n'est-ce pas ? Joseph : Donc, vous savez, une banque peut mettre fin à une relation pour diverses raisons. Vous savez, vous pourriez arriver à la fin naturelle et avoir l'expiration du contrat. Vous pourriez avoir une rupture de contrat. Vous pourriez avoir un tiers qui ne respecte pas les lois ou les réglementations applicables ou, vous savez, vous pourriez vouloir trouver un autre fournisseur pour quelque raison que ce soit. Ou vous pourriez en fait vouloir internaliser cette activité ou, dans certains cas, la discontinuer. N'est-ce pas ? Joseph : Donc, lorsque cela se produit, il est important que la direction de l'organisation mette fin à la relation de manière efficace et efficiente, que les activités soient transférées à un autre tiers, internalisées ou interrompues. Vous devez réfléchir à tous ces aspects, et c'est pourquoi ils ont en quelque sorte défini les coûts et les frais associés à cette résiliation. Vous savez comment vous allez gérer la propriété intellectuelle commune. Vous devez donc réfléchir à ces questions lors de la phase de négociation du contrat, mais en fin de compte, elles seront mises en œuvre lors de la phase de résiliation. Joseph : Il est donc très important pour nous d'y réfléchir. Passons à la diapositive suivante, s'il vous plaît. Je sais que nous manquons de temps. Nous allons donc rester à un niveau général. Encore une fois, nous approfondirons ce sujet dans quelques semaines, mais pour l'instant, nous voulons recommander certaines bonnes pratiques que les organisations et les industries peuvent suivre, n'est-ce pas ?

Joseph : Et quand on y réfléchit, il existe plusieurs bonnes pratiques que les organisations de tous les secteurs peuvent suivre en matière de gestion des risques liés aux tiers, n'est-ce pas ? Joseph : L'une d'entre elles consiste à savoir qui sont vos tiers, n'est-ce pas ? Vous devez savoir que vous devez hiérarchiser vos fournisseurs, n'est-ce pas ? Vous devez vous assurer que vous surveillez vos fournisseurs de manière continue, et vous savez, comment faire pour y parvenir ? Joseph : Vous devez automatiser vos processus, n'est-ce pas ? Et donc, quelle que soit la manière dont l'organisation bancaire structure le processus, vous savez, ces pratiques dont je parle sont omniprésentes et doivent être pensées en termes de surveillance et de responsabilité, d'examens indépendants, de documentation et de rapports. Joseph : Et cela nous rassurera sur ce à quoi nous pensons, n'est-ce pas ? Il existe donc différentes façons dont les organisations peuvent réellement mettre cela en œuvre dans leurs processus. Joseph : Donc, vous savez, la responsabilité incombe donc à la ligne métier et, d'un point de vue de première ligne de défense, mais l'organisation bancaire, vous savez, j'ai vu des banques centraliser ce processus, parfois dans le domaine de la conformité, parfois dans celui de la sécurité de l'information, parfois dans celui des achats, parfois dans d'autres fonctions liées aux risques, mais là encore, il est très important pour nous de réfléchir à la mise en place d'un programme mature, d'un programme réellement établi et d'un programme qui soit en soi vérifiable. Joseph : Et donc, euh, si nous passons à la diapositive suivante, cela commence au niveau du conseil d'administration, n'est-ce pas ? Et en fin de compte, c'est le conseil d'administration qui est responsable de définir concrètement à quoi va ressembler cette vision, n'est-ce pas ? Et donc, les relations qu'ils entretiennent sont vraiment importantes pour nous, n'est-ce pas ? Joseph : Une surveillance et une responsabilité adéquates sont donc des aspects importants de tout programme, qu'il s'agisse ou non de la gestion des risques liés aux tiers, n'est-ce pas ? Le conseil d'administration de la banque a donc cette responsabilité ultime et il va demander des comptes à la direction à ce sujet. N'est-ce pas ?

Joseph : Donc, le conseil d'administration va fournir des directives claires et vous aider à définir ce qu'est une appétence au risque acceptable. Il va approuver les politiques et veiller à ce que les procédures et pratiques appropriées soient mises en place. Joseph : Mais vous savez, en fin de compte, il examine les choses à un niveau suffisamment élevé et avec suffisamment d'indépendance pour aider à diriger le navire vers la destination souhaitée. Ainsi, dans l'exercice de ses responsabilités, le conseil d'administration ou son comité désigné va généralement prendre en compte bon nombre des facteurs que vous voyez ici. Joseph : Vous savez, si la relation avec les tiers est gérée d'une manière qui est conforme aux objectifs stratégiques ou à la vision de la banque, etc. Donc, ils définissent leur vision et la manière dont elle doit être considérée. Joseph : Et si vous passez à la diapositive suivante, vous verrez que la direction doit ensuite mettre cela en œuvre, n'est-ce pas ? La direction a donc vraiment cette responsabilité de gouvernance et de supervision, et c'est vraiment important pour elle. J'ai répertorié ces éléments à nouveau, vous en recevrez une copie, je ne veux pas les passer en revue un par un, mais il est important que vous disposiez d'un comité de gestion des risques liés aux tiers, par exemple, afin de vous assurer que la gestion des risques liés aux tiers est intégrée dans le processus global de gestion des risques de la banque, que les contrats avec les tiers sont correctement examinés, approuvés et exécutés, et qu'il ne s'agit pas simplement de quelqu'un qui signe un bout de papier.gestion des risques liés aux tiers dans le processus global de gestion des risques de l'organisation bancaire, que vous fournissez, euh, les contrats avec les tiers, euh, sont correctement examinés, approuvés et exécutés, de sorte qu'il ne s'agit pas simplement de quelqu'un qui signe un bout de papier. Joseph : Il y a en fait une réflexion basée sur le niveau de risque, sur le montant en dollars, sur la complexité. Donc, ce que vous faites, c'est que la direction est chargée de créer ce processus pour s'assurer qu'il fonctionne. Joseph : Euh, et puis si nous passons à la diapositive suivante, c'est là que vous commencez à penser à des examens indépendants, n'est-ce pas ? Il est donc important que les organisations bancaires procèdent à des examens indépendants périodiques afin d'évaluer l'adéquation de leurs processus de gestion des tiers. Et c'est là que les choses sérieuses commencent, car votre troisième ligne de défense entre en jeu.

Joseph : Ils examinent comment votre organisation se met réellement en place et se conforme à ce que vous savez. Faites-vous ce que vous dites que vous allez faire, le faites-vous bien et le faites-vous à un niveau de sophistication qui ne se contente pas de répondre aux exigences minimales, mais qui vous permet en fait de disposer d'un programme qui vous aide à réduire et à comprendre les risques auxquels vous êtes exposé ? Joseph : Vous savez donc que la direction va utiliser les résultats de cet examen indépendant pour déterminer s'il faut ajuster son processus et son programme de gestion des risques liés aux tiers, et comment le faire. Faut-il modifier nos politiques ? Qu'en est-il de nos rapports ? Disposons-nous des ressources adéquates et du niveau d'expertise requis ? Disposons-nous du niveau de contrôle adéquat ? Joseph : Il est donc important que la direction réagisse rapidement et de manière approfondie à tout problème ou préoccupation identifié, puis les transmette au conseil d'administration, le cas échéant. Encore une fois, cela implique beaucoup de détails, mais je tenais à le souligner afin que nous y réfléchissions. Joseph : Soit dit en passant, cela vaut pour tous les secteurs. Cela ne concerne pas uniquement les banques. Vous savez, c'est une bonne pratique. Et puis, si nous passons à la diapositive suivante, nous réfléchissons à la documentation et aux rapports, n'est-ce pas ? Joseph : Il y a beaucoup de choses ici, mais la documentation et les rapports sont vraiment les éléments clés qui aident, vous savez, les personnes à l'intérieur et à l'extérieur d'une organisation à mener et à contrôler les activités. Joseph : Donc, vous savez, en fonction du risque et de la complexité des relations avec les tiers, vous allez avoir beaucoup d'activités différentes à mener. Donc, quand on parle de l'inventaire actuel de toutes les relations avec les tiers, vous savez que cela nous aide vraiment à identifier clairement les relations qui sont associées à des activités à haut risque, y compris les activités critiques.

Joseph : Donc, si vous n'avez pas de moyen de démontrer concrètement ce que contient votre inventaire et que vous disposez de cet inventaire, vous devez alors l'utiliser dans le cadre de votre méthodologie afin de pouvoir déterminer, grâce à votre processus d'évaluation des risques, si vous avez ou non quelque chose qui dépasse votre appétit pour le risque. Vous savez, cela ne va probablement pas bien se terminer pour le groupe. Joseph : Vous savez, il est également important de rendre compte régulièrement au conseil d'administration. Cela s'applique à toutes les dépendances que vous avez envers un seul fournisseur. Si vous avez plusieurs activités avec un fournisseur qui connaît des difficultés financières. Joseph : Vous savez, si l'un de vos principaux fournisseurs a été victime, par exemple, de cyberattaques ou d'autres incidents de ce type, n'est-ce pas ? Il est donc très important que vous réfléchissiez à la manière dont vous disposez des plans de remédiation adéquats, vous savez, qui est responsable des types de rapports qui sont établis, vous savez, par des tiers, etc. Joseph : Et euh, vous savez, si nous regardons la diapositive suivante, s'il vous plaît. En réalité, chaque agence examine la gestion des risques et les relations avec les tiers des organismes bancaires qu'elle supervise dans le cadre de son processus standard, n'est-ce pas ? Joseph : Les examens de surveillance évaluent donc les risques et l'efficacité de votre gestion des risques. Ils déterminent si vos activités sont menées de manière sûre et saine et si vous respectez réellement les lois ou réglementations applicables. Joseph : Leurs évaluations vont donc vraiment tenir compte de ce que vous faites pour engager un ensemble diversifié de tiers, car toutes les relations avec des tiers ne présentent pas les mêmes risques. Vous devez également comprendre comment adapter vos pratiques aux risques présentés et disposer d'un programme concret, mesurable et reproductible. N'est-ce pas ? Joseph : Bon, je sais que nous manquons de temps. Passons à la diapositive suivante, s'il vous plaît. Vous m'entendez ?

Joseph: Yeah, we can hear you, Joe. Joseph: Good. Good. Yeah. So, uh you know, one of the things that I think that we should think about is um As you’re looking into reviewing your your risk management processes and and and and you’re evaluating them, you need to make sure that everything you’re doing is helping to not just fulfill the obligation for how you’re managing on behalf of your company, but also on behalf of your client, right? Joseph: And how are you actually designing your process to protect your customers and to provide fair, you know, access to your your financial services. So, it’s not just about being prescriptive. It’s about actually how does this actually enable you to make money? How does this enable you to have a better customer experience? Joseph: I I know that we’re running short on time. Uh why don’t we jump to the next slide, please? So, you know, I wanted you to kind of think about some of the best practices that that that people need to be thinking about. And one one of those is, you know, how do you actually put the right level of framework in place? Joseph: So, where you have the right oversight and governance, you have the tools and controls, and you have the analytics and actionable reporting, right? How do you kind of lay that out in order for it to be to be appropriate? Joseph: I do want to get to some question. So, why don’t we jump to the next slide? This here is really kind of talking about the three lines of defense. If you’ve been in banking for more than a day, you’re probably aware of this, but let’s go ahead and um and I put this in here because I think it’s important for us to be thinking about that framework. We’ll do more of a deeper dive in our next session. Next slide. Joseph: This here is just kind of some recommended best practices uh that organizations in all industries can follow around kind of look here’s here’s a high level operating framework. Here are kind of the the the risks that we’re looking at. Here are the objectives and then you know here’s a third party risk assessment and here’s the engagements in that risk assessment and how we actually can kind of drive through that. Joseph: And if we could go to the next slide please and this right here is just kind of leveraging the foundation in order for us to actually think about that. And that second point I put a box around it is you know segmentation and onboarding is critical right because the classification of who your partners are and how you’re actually putting that methodology in place is really going to be foundational to how you’re actually going to be able to do the management and oversight across that entire life cycle. Joseph: Uh, next slide. So, we got to be thinking beyond just the regulatory requirements because it’s this isn’t the check the box exercise, right? Joseph: So, so you know, you need to think about how do you protect your organization’s knowledge and expertise. You know, you know, have you created any dependencies with a third party that now is becoming an issue for you if something happens to that third party, right? Joseph: You know, is the quality of your service consistent end to end with your third parties, right? And have you evaluated the total cost? You know, are there any additional or hidden costs that you need to be thinking about because there’s what you’ve put in contractually and what you’ve agreed to, but then as you start to come back and you’re starting to to to put your program in place, you’re going to see that your suppliers are going to push back on that. Joseph: And then did you take into consideration the increase in operational risks, right? Because all all of that is is just like really important for us to be thinking about because um If we don’t think about it outside of the regulator regulatory requirement, if we don’t think about that in terms of how do we actually put a program together, what we end up doing is we end up increasing our risk. We we fail in terms of our compliance to the guidelines and and basically this will impact our earnings per share and this will impact our reputational uh reputation in the industry. Joseph: So why don’t we take some qu go to the next slide. Let’s get some questions and answers. I know I went kind of fast through a number of these slides. We wanted to take a second session where we’re going to do more of a deep dive, but there were there was a tremendous amount that I wanted to kind of cover through, make sure that you guys had the ability to see because it’s really important for us to be thinking about this. Joseph: Uh because these new guidelines just came out and so as you know, once the guidelines come out, that’s in in in a short period of time, they’re going to start coming out and starting to see how you’re addressing the program to the new guidelines. So, uh with that, do we have any questions? Ashley: Hey, thanks Joseph. Uh Scott, do you have any closing thoughts on this? I’m sorry, guys. I know we didn’t really have any time for questions, but uh Joseph will be doing a part two in an upcoming webinar, and we’ll be able to address some more of this information there. Scott,

Scott : Non, rien d'autre pour moi. On peut passer à autre chose. Ashley : Très bien. Merci beaucoup à tous d'avoir participé. Je vous souhaite une excellente fin de journée et un excellent week-end, et j'ai hâte de vous retrouver lors du prochain webinaire. À bientôt.