Préparez votre programme TPRM aux nouvelles règles de divulgation de la cybersécurité de la SEC

Ashley: Euh, je ne peux pas oublier de faire quelques présentations. Je m'appelle Ashley. Je travaille dans le développement commercial chez Prevalent. Et aujourd'hui, nous recevons des invités très spéciaux. Euh, Joseph Martinez, ancien responsable de la protection de la vie privée. Bonjour, Joseph.

Joseph Martinez: Approvisionnement.

Ashley: Oh, les achats. Je suis désolée. Euh, le directeur des achats. Et notre vice-président du marketing produit, Scott Lang. Salut, Scott.

Scott Lang: Hé, Ashley.

Ashley: Euh, juste une petite précision. Ce webinaire est enregistré et nous vous enverrons l'enregistrement ainsi que les diapositives de la présentation peu après le webinaire. Euh, vous êtes tous actuellement en mode silencieux, mais nous vous encourageons à participer. Veuillez donc poser vos questions dans notre boîte de questions-réponses afin que nous puissions y répondre à la fin du webinaire. Euh, aujourd'hui, Joseph va passer en revue les directives interagences financières américaines relatives aux relations avec les tiers. Alors, Joseph, je te laisse la parole et te laisse commencer.

Joseph Martinez: Merci. Merci beaucoup. Je tiens tout d'abord à remercier Prevalent et l'équipe Prevalent de m'avoir invité à m'adresser à vous aujourd'hui sur ce sujet tant attendu et très attendu. Vous savez, c'est crucial pour nous tous qui travaillons dans les services financiers et nous attendons tous avec impatience la publication des directives interagences finales sur les relations avec les tiers depuis environ deux ans maintenant. Je pense que c'était en juillet 2021 qu'elles ont été publiées pour la première fois pour commentaires. La période de commentaires a été prolongée et finalement, vous savez, plus de deux ans plus tard, nous y voilà. Disons simplement que beaucoup d'entre nous, moi y compris, consultons assidûment le Federal Register, souvent dans l'attente de la publication de ces directives finales. Bon, eh bien, commençons. Si nous regardons l'ordre du jour, nous avons beaucoup de choses à aborder aujourd'hui. Et, vous savez, euh, quand on regarde les directives, elles font près de 70 pages, n'est-ce pas ? Et je veux laisser du temps pour répondre à vos questions, mais si nous ne pouvons pas répondre à toutes vos questions au cours de cette session, nous organiserons une deuxième session, euh, une deuxième partie, dans les prochaines semaines, afin de nous assurer que vous savez, nous vous fournissons toutes les informations dont vous avez besoin pour élaborer votre programme, car les changements apportés à la conformité et à la mise en conformité avec les directives interagences finales pour la gestion des risques liés aux tiers sont, comme vous le savez, assez cruciaux. Il est donc très important que nous approfondissions le sujet. En général, je ne suis pas quelqu'un qui aime avoir beaucoup de graphiques, mais vous allez constater qu'il y en aura beaucoup. J'aime avoir beaucoup de graphiques et beaucoup de texte, mais dans ce cas, j'ai dû inclure beaucoup de texte pour votre formation afin de nous assurer que nous parcourons les directives de manière appropriée. Nous voulons donc vraiment couvrir quatre domaines. Le premier consiste à donner un aperçu des directives interagences financières américaines. Le deuxième consiste à définir les étapes du cycle de vie des tiers telles que définies par le conseil d'administration de la FDIC et l'OTC. Ensuite, nous voulons également examiner les exigences auxquelles les organisations devront se conformer à chaque étape de ce cycle de vie, puis reconnaître les meilleures pratiques que non seulement les services financiers, mais toutes les industries peuvent suivre. Passons à la diapositive suivante. Diapositive suivante, s'il vous plaît. Je vois toujours l'ordre du jour. Je ne suis pas sûr que vous le voyez tous. Scott, euh...

Scott Lang: non, je suis sur la diapositive des agences concernées avec les trois logos de la Fed, de la FDIC et de l'OC. Vous ne la voyez pas ?

Joseph Martinez: Encore une diapositive, s'il vous plaît. Voilà. Bon, commençons par une explication. Les agences sont impliquées. D'accord. Le conseil d'administration de la FDIC sait que c'est la bonne diapositive. Non, c'est la bonne diapositive. Il leur a simplement fallu un certain temps pour décider qu'ils voulaient vraiment se réunir et réfléchir à la manière de s'aligner sur leurs orientations. Et vous savez, quand on y pense, ils voient les choses sous un angle légèrement différent. Donc, le conseil des gouverneurs de la Réserve fédérale, vous savez, est chargé de réglementer et de superviser les holdings bancaires et les organisations bancaires étrangères opérant aux États-Unis. Ils ont donc leurs circonscriptions, la FDIC ou la Federal Deposit Insurance Corporation, qui fournissent une assurance-dépôts aux banques et encouragent des pratiques bancaires saines. Maintenant, quand on y pense, ils supervisent les banques agréées par les États, d'accord ? Et celles-ci ne sont pas membres du système de la Réserve fédérale et ils agissent en tant que principal organisme fédéral de réglementation pour de nombreuses banques communautaires, n'est-ce pas ? Et puis nous avons le bureau de l'OC, qui est le bureau de contrôle des devises. Il s'agit d'un bureau indépendant au sein du département du Trésor américain qui réglemente les banques nationales et la Federal Savings Association. Tous ces organismes interagissent entre eux, et il était donc tout à fait logique qu'ils se réunissent pour réfléchir à la manière dont ils allaient élaborer des lignes directrices cohérentes, plutôt que d'avoir des nuances légèrement différentes au fur et à mesure qu'ils avançaient dans leur travail. Passons à la diapositive suivante, s'il vous plaît. Donc, les directives finales des agences, que nous appellerons les agences, ont été publiées afin de promouvoir de saines pratiques de gestion des risques liés aux tiers. Encore une fois, les directives finales offrent des points de vue sur les principes de gestion des risques pour les banques lors de l'élaboration et de la mise en œuvre des pratiques de gestion des risques à toutes les étapes du cycle de vie des relations avec les tiers. Ces directives finales précisent également qu'une bonne gestion des risques liés aux tiers tient compte du niveau de complexité des risques, de la taille de l'organisme bancaire et de la nature de la relation avec le tiers. C'est un point essentiel, car la prise en compte de la taille de l'organisme bancaire sera très utile pour déterminer dans quelle mesure il se conforme effectivement à ce qui se passe. Les agences ont donc publié ces directives conjointes afin de promouvoir la cohérence de leurs approches en matière de surveillance. Elles remplacent les directives générales existantes de chaque agence sur le sujet et s'adressent à toutes les banques supervisées par l'ensemble de ces agences. Pour être clair, les organisations bancaires font appel à des tiers. Le fait de recourir à un tiers ne supprime pas la responsabilité de la banque quant à la manière dont elle va réellement fonctionner. Il est donc très important que nous réfléchissions à ce qui se passe là-bas. Et, euh, vous savez, encore une fois, le recours à un tiers ne diminue ni ne supprime la responsabilité de l'organisme bancaire de veiller à ce que les activités soient menées de manière sûre et saine, dans le respect des lois et réglementations applicables. Et vous savez, ce qui se passe également, c'est qu'ils sont en train de révoquer et de remplacer toutes ces directives que vous voyez ici, les directives du conseil d'administration de 2013, les directives de la FDIC de 2008 et l'OC 213-29 euh et les questions fréquemment posées de 2020. Toutes ces directives ont été abrogées et sont désormais, euh, à compter du 6 juin, euh, les directives interagences définitives ont été publiées. Nous en sommes donc à un peu plus d'un mois, ce qui est une bonne chose, et c'est pourquoi il est si opportun pour nous d'avoir cette conversation. Nous pouvons passer à la diapositive suivante.

Ashley: Salut Joseph, c'est Ashley. Euh...

Ashley: vous savez donc que l'agence a publié des lignes directrices communes afin de promouvoir une approche cohérente. Ces lignes directrices abordent les principes clés sur lesquels les banques peuvent s'appuyer pour élaborer et mettre en œuvre leurs processus de gestion des risques, et ces unités... Joseph, pourriez-vous éteindre votre caméra ? Votre signal semble un peu instable. Vous m'entendez ?

Joseph Martinez: Je m'excuse. Problèmes techniques.

Joseph Martinez: Essayons de le faire avec la caméra éteinte, cela améliorera peut-être la qualité. J'espère que oui, j'ai beaucoup de bande passante. Je dispose en fait d'une connexion très rapide, donc je ne sais pas trop ce qui se passe, mais continuons. D'accord. Quand on regarde ça, vous savez, les directives tiennent vraiment compte de ce dont les entreprises ont besoin et que les banques doivent suivre. Et vous savez, vous devez comprendre qu'il s'agit de directives. Ce n'est pas nécessairement une loi qui entre en vigueur. Et donc, vous savez, euh, si vous faites appel à un tiers, votre responsabilité en tant que banque n'est pas supprimée. Vous avez toujours l'obligation de vous assurer que vos activités sont conformes à ce que nous examinons. Passons à la diapositive suivante. Lorsque nous examinons les directives, nous voyons qu'elles traitent en réalité de la manière dont les organisations bancaires peuvent établir des relations avec des tiers. Et, vous savez, nous savons tous qu'il existe toute une série de nouveaux types de fournisseurs et de nouvelles entreprises avec lesquels les banques commencent à travailler dans le domaine des technologies financières. N'est-ce pas ? Il est donc important pour nous de réfléchir à ce qui se passe. Et le deuxième point est vraiment très important, car il montre qu'une relation avec un tiers existe malgré l'absence de contrat ou de rémunération. C'est quelque chose qui, je pense, est vraiment important pour nous, car historiquement, nous avons toujours considéré cela du point de vue des contrats. Nous avons toujours considéré cela en termes de ce qu'est ce tiers. Maintenant, je pense que nous considérons cela d'un point de vue un peu plus large. Et je pense que les principes qu'ils énoncent sont vraiment importants pour nous. Donc, encore une fois, une banque peut être exposée à des effets négatifs, notamment des pertes financières importantes et des perturbations opérationnelles, si elle ne parvient pas à gérer correctement les risques associés aux tiers. C'est pourquoi ces recommandations sont si importantes. Il est donc important que la banque identifie, évalue, surveille et contrôle les risques liés aux tiers.

Joseph Martinez: les relations. Il s'agit donc d'un principe clé qui est énoncé afin que nous puissions y réfléchir. Passons à la diapositive suivante, s'il vous plaît. Encore une fois, toutes les relations ne présentent pas le même niveau de risque, n'est-ce pas ? Les agences ont donc clarifié et rationalisé les directives et ont supprimé les détails qui faisaient double emploi dans certains cas, car ils n'étaient pas utiles ou pouvaient être interprétés comme étant trop prescriptifs, n'est-ce pas ? Ce faisant, elles veulent que nous réfléchissions bien, vous voyez, et que nous considérions qu'une activité qui est essentielle pour un organisme bancaire peut ne pas l'être pour un autre. Cela nous ramène à ce que j'ai dit précédemment, à savoir qu'elles prennent en considération la taille de la banque. Elles ne regardent donc plus tout le monde avec le même regard. Elles examinent la situation en fonction de ce qui est approprié pour votre organisation. Il est donc très important que nous réfléchissions à ce qui se passe là-bas. Et encore une fois, c'est à chaque organisation bancaire d'identifier ses activités essentielles et ses relations avec des tiers qui soutiennent ces activités essentielles, car cela va varier en fonction de l'appétit pour le risque et de la méthodologie de risque employée par cette banque. Je pense donc que c'est un point important à clarifier, que nous devions examiner. Passons à la diapositive suivante. Les agences ont également tenu à rappeler que les lignes directrices ont été élaborées sur la base de principes, n'est-ce pas ? Lorsqu'elles disent que les lignes directrices ont été élaborées sur la base de principes, elles veulent dire que celles-ci reposent sur un ensemble de normes, de règles ou de valeurs fondamentales qui fournissent un cadre pour la prise de décision et l'action. Ainsi, au lieu de donner des règles et des instructions détaillées et normatives, les régulateurs établissent en quelque sorte un ensemble de principes que les organisations doivent respecter, n'est-ce pas ?

Joseph Martinez: Encore une fois, quand on examine ces éléments, il s'agit d'une vision générale de ce dont ils parlent, mais vous savez, les agences essaient vraiment de dire : « D'accord, vous devez soutenir une approche fondée sur les risques au sein de vos organisations bancaires afin d'évaluer les risques posés par vos tiers, puis vous devez adapter votre processus de gestion des tiers en conséquence, de manière à ce que vos actions s'inscrivent dans le bon contexte, un peu comme si vous résolviez un Rubik's cube, n'est-ce pas ? Il est donc important d'impliquer le personnel disposant des connaissances et des compétences requises à chaque étape de la gestion de ce cycle de vie. Ce qu'ils vous disent de faire, c'est que vous devez vraiment impliquer les experts de plusieurs disciplines au sein de votre organisation, que ce soits'agisse de conseillers juridiques, de spécialistes de la conformité aux risques, de spécialistes des technologies, etc. Je pense qu'il est vraiment important de faire appel à des experts issus de plusieurs disciplines et de bien comprendre qu'une banque utilise des services d'évaluation de tiers, comme par exemple Trusite, qu'elleutilisent comme utilitaire, donc si votre banque utilise l'un d'entre eux dans le cadre d'un accord commercial, cet accord doit être intégré au processus de gestion des risques tiers de la banque. Le simple fait que vous externalisiez quelque chose ne signifie pas que vous n'avez pas besoin de l'examiner de manière appropriée à travers votre propre prisme. Il est donc essentiel d'identifier les activités soutenues par la relation avec le tiers, sachant que l'activité qui est essentielle pour une organisation bancaire peut ne pas l'être pour une autre. Il est donc important que nous réfléchissions à tout cela. Passons à la diapositive suivante, s'il vous plaît. Nous allons maintenant parler de la définition des étapes du cycle de vie d'un tiers. Ceux d'entre nous qui font cela depuis plus d'un an comprennent probablement ce dont il s'agit, mais nous allons le passer en revue maintenant, car les agences s'accordent désormais sur ce que cela signifie.

Joseph Martinez: Passons à la diapositive suivante. Vous voyez ici une ancienne diapositive, mais elle est en fait tirée directement des nouvelles directives. À l'origine, elle a été publiée par l'OC. Mais elle a depuis été modifiée et adaptée par le conseil d'administration, la FDIC et l'OCC pour refléter les différentes étapes du cycle de vie de la gestion des risques. Vous avez donc la planification, la diligence raisonnable et la sélection des tiers, la négociation des contrats, la surveillance continue et, bien sûr, la résiliation à la fin du processus. Cela signifie donc que nous disposons désormais d'un processus standard reproductible, avec des évaluations qualitatives et quantitatives, que nous avons une approche cohérente du risque et que nous devons adapter notre charge de travail afin d'engager les bonnes personnes au bon moment si nous voulons nous conformer à la nouvelle réglementation. Je suis donc heureux qu'ils se soient mis d'accord et qu'ils aient adopté une position spécifique, car je pense queest vraiment important pour nous d'y réfléchir. Passons donc à la diapositive suivante afin d'examiner les exigences auxquelles les organisations doivent se conformer à chaque étape du cycle de vie. Elles ont très bien réussi à fournir ces orientations. Encore une fois, ce n'est pas normatif, mais croyez-moi, ils vont intervenir et ils vont vouloir examiner cela. Donc, passons à la diapositive suivante et commençons par l'ensemble du processus de planification. D'accord ? Donc, lorsque nous commençons à réfléchir à la planification, j'ai été très normatif en examinant la réglementation et les directives et en rassemblant les informations pour vous. Je ne vais pas passer en revue chacun de ces éléments en détail, car vous allez recevoir une copie de la présentation, mais je veux que vous compreniez bien ce que contient ce document, d'accord ? Les directives traitent vraiment de la façon dont vous allez envisager la planification, de ce que vous devez prendre en considération et de la manière dont vous allez gérer cela.

Joseph Martinez: Et donc, quand ils parlent de comprendre l'objectif stratégique de l'accord commercial, vous devez comprendre comment cet accord s'aligne sur les objectifs stratégiques globaux de l'organisation, ses objectifs, son appétit pour le risque, son profil de risque et ses politiques d'entreprise plus larges. Il y a beaucoup d'informations à décortiquer, mais c'est ce qu'ils essaient de vous faire comprendre. Ils veulent que vous identifiiez et évaluiez les avantages et les risques associés à l'accord commercial, et qu'ils veulent que vous déterminiez la manière appropriée de gérer les risques identifiés. Il ne suffit donc pas d'identifier les risques. Vous devez soit les accepter, soit les atténuer. Ils veulent donc que vous y réfléchissiez. Ainsi, lorsque vous examinez la nature de l'accord commercial, ils veulent que vous y réfléchissiez de manière holistique et que vous le fassiez en tenant compte du lieu où l'activité se déroule réellement, n'est-ce pas ? Encore une fois, quand vous examinez ce dont ils parlent, ils veulent que vous réfléchissiez vraiment à la manière dont vous mettez en place votre programme et à l'endroit où le travail est réellement effectué, puis s'il existe des exigences réglementaires locales ou mondiales qui s'appliquent à cela. Donc, lorsque vous voyez au numéro trois qu'il est question de prendre en compte la nature des accords commerciaux, tels que le volume d'activité, le recours à des sous-traitants, la technologie nécessaire, l'interaction avec les clients et le recours à des tiers basés à l'étranger. C'est nouveau et c'est essentiel, n'est-ce pas ? Donc, lorsqu'ils parlent de tiers basés à l'étranger, ils font référence à des tiers qui fournissent des services à vos opérations et qui sont situés dans un pays étranger, offshore, nearshore, n'est-ce pas ? Et qui sont soumis aux lois et à la juridiction de ce pays. Ce terme n'inclut donc pas les filiales américaines d'entreprises étrangères, car il existe des opérations de services qui sont soumises aux lois américaines. Ils veulent donc vraiment réfléchir à la manière dont ils s'y prennent concrètement.

Joseph Martinez: Et je pense que c'est vraiment important. Encore une fois, lorsque nous examinons comment nous évaluons l'impact que la relation avec un tiers pourrait avoir sur les employés de l'organisme bancaire, y compris les employés doubles, vous savez, et quelles sont les étapes de transition nécessaires pour que la banque puisse gérer les impacts lorsque les activités actuellement menées sont, vous savez, actuellement menées en interne sont externalisées, n'est-ce pas ? Ils veulent donc que vous réfléchissiez à ces questions et que vous montriez que vous avez un plan concret, que vous disposez du niveau de formation adéquat, que vous faites preuve de la diligence requise à l'égard de la personne, du service et de l'entreprise. Je pense qu'ils deviennent vraiment très bons en termes d'élaboration du cadre. Ensuite, vous devez prendre ce cadre et le traduire dans votre programme. Diapositive suivante, s'il vous plaît. Donc, pour continuer sur ce thème en termes de degré de risque et de complexité. Encore une fois, il s'agit d'évaluer l'impact potentiel d'un tiers sur ses clients, n'est-ce pas ? Cela inclut l'accès et l'utilisation des informations des clients, l'interaction des tiers avec les clients, vos centres d'appels, etc. Le potentiel de préjudice pour les consommateurs et le traitement des plaintes et des demandes des clients. Ils veulent donc que vous réfléchissiez à cela. C'est, encore une fois, un point très important, le numéro six, mais qui nécessite beaucoup de mise en œuvre. C'est complexe, n'est-ce pas ? Et quand nous disons que nous comprenons les implications potentielles en matière d'information ou de sécurité, n'est-ce pas ? Cela inclut l'accès à la banque, aux systèmes de la banque, n'est-ce pas ? Et à des informations confidentielles. Et cela est vraiment crucial, surtout avec les nombreuses violations de données que nous constatons actuellement et dont beaucoup trouvent leur origine dans la chaîne d'approvisionnement plutôt que dans l'organisation elle-même. Donc, vous savez, ils veulent que nous réfléchissions à cela.

Joseph Martinez: Le point numéro huit est assez crucial quand on pense aux implications potentielles en matière de sécurité physique, et il faut réfléchir à la question de savoir s'ils auront accès aux installations de la banque, s'ils viendront sur place, et je sais que cela a un peu changé depuis, euh, depuis co, mais vous savez, nous avons toujours des tiers qui, afin de pouvoir produire les biens et les services qu'ilsnous fournissent doivent venir sur place, euh, quand on regarde, par exemple, le numéro 10, qui détermine la capacité de l'organisation bancaire à assurer une surveillance et une gestion adéquates de la relation proposée avec le tiers de manière continue. Eh bien, vous savez, cela inclut le respect des niveaux de dotation en personnel et d'expertise ou des systèmes de gestion des risques et de conformité, n'est-ce pas ? Ils veulent s'assurer que vous disposez du niveau adéquat de contrôles internes pour vos systèmes. Vous savez, que vous traitez efficacement l'accord commercial qui a été consigné par écrit dans le contrat et que vous le surveillez de manière appropriée. Donc, encore une fois, tout cela fait partie de la planification. Vous devez y réfléchir avant de vous lancer si vous voulez réussir dans ce que vous faites. Passons à la diapositive suivante, s'il vous plaît. Donc, vous savez, quand on pense à la diligence raisonnable, vous savez, vous avez la planification, puis vous avez la diligence raisonnable. D'accord, il s'agit, vous savez, d'effectuer une diligence raisonnable sur vos tiers avant de les sélectionner et de conclure une relation avec eux. C'est important et, vous le savez, c'est un élément essentiel d'une bonne gestion des risques. D'accord. Le processus de diligence raisonnable consiste donc à fournir à la banque les informations nécessaires pour évaluer si elle peut identifier, surveiller et contrôler de manière appropriée les risques associés à la relation qu'elle s'apprête à conclure. Cette diligence raisonnable comprend l'évaluation de la capacité du tiers à mener à bien l'activité comme prévu.

Joseph Martinez: Vous savez, respecter les politiques bancaires ou, euh, vous savez, si elles sont en mesure de se conformer aux lois et réglementations applicables, mener leurs activités de manière sûre et saine. Il s'agit d'examiner leur viabilité financière. Il s'agit d'examiner, vous savez, leurs profils financiers, etc. Il s'agit donc en quelque sorte de réfléchir, vous voyez, et les agences ne pensent pas qu'il serait approprié pour une banque de réduire sa diligence raisonnable uniquement sur la base du type d'entité du tiers. Il y a eu beaucoup de commentaires à ce sujet pendant la période de consultation, et d'après certains de ces commentaires, les gens voulaient en fait savoir comment nous pouvions potentiellement réduire la charge de diligence raisonnable en fonction du type d'entité tierce avec laquelle nous traitions, et comme vous pouvez le constater, cela n'a pas été accepté, donc vous savez, lorsque vousexaminez les directives, celles-ci indiquent également que lorsqu'elle évalue le risque lié à une relation avec un tiers, une banque peut tenir compte des informations disponibles provenant de diverses sources. Elles vous disent donc de ne pas vous fier uniquement à ce que vous pouvez faire en interne, mais d'examiner ce qui existe à l'extérieur. Cependant, lorsque vous examinez ce qui existe à l'extérieur, vous devez vous assurer que vous comprenez vraiment et que vous utilisez ces informations. Cependant, le fait de recourir à des informations externes ne réduit en rien votre responsabilité en tant qu'organisation de vous assurer que vous effectuez réellement le niveau approprié de diligence raisonnable et que les informations que vous recueillez sont, vous le savez, sous la responsabilité de votre organisation afin qu'elles soient disponibles. Donc, vous savez, les directives prévoient que, dans certaines circonstances, les banques doivent envisager de prendre des mesures pour atténuer les risques ou, si les risques ne peuvent être atténués, elles doivent déterminer si les risques résiduels sont acceptables, ce qui signifie que vous devez disposer d'une méthodologie de gestion des risques solide et être en mesure de leur démontrer concrètement que vous maîtrisez vos activités. Je pense donc qu'il est vraiment important pour nous de réfléchir aux raisons pour lesquelles les agences agissent ainsi.

Joseph Martinez: Ils font cela parce que, si l'on regarde la période allant de 2008 à aujourd'hui, il y a eu beaucoup de problèmes divers avec des tiers, et ils veulent donc s'assurer qu'ils tirent parti des connaissances qu'ils ont pu acquérir au cours de cette dernière période et les intègrent dans les directives, de sorte que ce qu'ils font, c'est qu'ilsfournissent un niveau et un cadre que nous devrions pouvoir ensuite adopter et mettre en œuvre correctement. Je pense donc qu'il est extrêmement important pour nous de réfléchir à la raison pour laquelle nous faisons cela et à la manière dont cela se passe. L'une des choses que les directives ont faites, c'est qu'elles ont pris en considération certains des concepts qui figuraient dans la foire aux questions de l'OC. D'accord. Ils les ont donc repris et ont essayé de les intégrer dans les différentes parties, que ce soit la planification, la diligence raisonnable, etc. N'est-ce pas ? Et donc, vous savez, les directives intègrent vraiment beaucoup de ces questions fréquemment posées dans le processus, de sorte que ce que vous faites maintenant, c'est que plutôt que d'avoir à consulter plusieurs documents, vous disposez d'une ligne directrice claire et cohérente qui vous aide à voir réellement ce qui se passe. Mais en fin de compte, les directives soulignent qu'il incombe à la banque d'identifier et d'évaluer les risques associés à chacun de ses tiers et d'adapter ses pratiques de gestion des risques à la taille de l'organisation, à sa complexité, à son profil de risque et, bien sûr, à la nature des relations qu'elle établit avec les tiers. Mais les agences n'ont exclu aucune relation avec des tiers spécifique du champ d'application des directives. C'était l'une des questions qui leur avait été posée : peuvent-elles exclure les relations entre banques ? Peuvent-elles exclure les filiales, etc. ? Elles répondent qu'elles n'excluent aucune relation avec des tiers spécifique du champ d'application des directives. Passons à la diapositive suivante, s'il vous plaît.

Joseph Martinez: Donc, lorsque vous examinez la diligence raisonnable, la portée et le degré de diligence raisonnable doivent être identifiés et documentés, tout comme les limites de cette diligence raisonnable, et les risques liés à ces limites doivent être compris. Il faut également envisager des alternatives pour atténuer ces risques, y compris la possibilité de se tourner vers une autre source. N'est-ce pas ? La diligence raisonnable consiste donc à évaluer la capacité d'un tiers à mener à bien l'activité attendue, à respecter les politiques de l'organisme bancaire et les activités connexes, à se conformer à toutes les lois et réglementations applicables et à mener cette activité de manière sûre et saine. Je le mentionne ici et je le répète, car cela provient directement des directives et c'est quelque chose que tous ceux d'entre nous qui ont pratiqué la gestion des risques liés aux tiers pendant plus d'une journée savent que c'est en quelque sorte le fondement même de ce que vous faites lorsque vous commencez à examiner la question sous l'angle de la diligence raisonnable. Mais c'est quelque chose qu'ils ont, vous le savez, réaffirmé, qu'ils ont réintégré dans ce qui se passe. Et je pense qu'il est vraiment important pour nous de réfléchir à la manière dont cela fonctionne réellement. Passons donc à la diapositive suivante, s'il vous plaît. Lorsque vous regardez cela, vous voyez qu'il y a 14 domaines d'intérêt et de diligence raisonnable différents qu'ils ont publiés. Et ils ont en fait mis beaucoup d'informations sous chacun d'entre eux. Je les ai mis ici parce que je pense qu'il est important pour nous de réfléchir à ce qu'ils voulaient que nous réfléchissions et à l'examen que nous devons effectuer. Si vous y réfléchissez, si vos programmes actuels ne sont pas encore dans la phase de diligence raisonnable couvrant chacun de ces 14 domaines, vous allez probablement rencontrer des problèmes. Vous allez probablement recevoir un MRA ou un MIR, etc. Il est donc important que vous y réfléchissiez et que vous pensiez à la manière de le mettre en œuvre, n'est-ce pas ?

Joseph Martinez: Parce que lorsque vous examinez chacun de ces éléments, c'est très important si vous prenez par exemple la situation financière que vousvous avez constaté, vous savez, c'est vraiment une évaluation de la viabilité financière d'un tiers, n'est-ce pas ? Donc, en tirant ces informations des états financiers, des rapports annuels ou des documents déposés auprès de la commission des opérations boursières et autres, tout cela sert à évaluer la capacité financière et la stabilité du fournisseur avec lequel vous travaillez. Vous savez donc qu'il y a beaucoup d'efforts à fournir pour chacun de ces éléments. Je vous encourage tous à vous pencher sur la question et à réfléchir à la manière dont votre programme actuel traite ces aspects. Et s'il ne les traite pas de manière suffisamment rigoureuse, je vous encourage à réfléchir à la manière dont vous pouvez réellement examiner cela. Et puis, lorsque vous examinez les outils qui soutiennent votre programme, assurez-vous de pouvoir dire : « D'accord, comment puis-je suivre et rendre compte de ces domaines avec mon outil ? » Parce que je pense qu'il est vraiment important pour nous d'y réfléchir, n'est-ce pas ? Hum, et une partie de cela va se faire hors ligne. Une grande partie peut être réalisée à l'aide des outils, mais je pense que c'est vraiment important. Je pense que l'un des domaines sur lesquels ils insistent vraiment maintenant, si vous regardez le point E, concerne les qualifications et les antécédents du personnel clé et d'autres considérations relatives aux ressources humaines, mais ce qu'ils veulent faire, c'est examiner les qualifications et l'expérience des dirigeants et autres membres clés du personnel du tiers. Donc, maintenant, ils nous demandent de faire un double clic, n'est-ce pas ? Ils nous demandent donc d'examiner en profondeur qui sont les personnes avec lesquelles vous travaillez au sein de ce tiers, n'est-ce pas ? Et donc, si vous ne le faites pas aujourd'hui, c'est probablement un domaine que vous devez vraiment aborder, n'est-ce pas ? Une autre considération est de savoir si le tiers dispose de la formation nécessaire pour s'assurer que ses employés comprennent leurs devoirs et leurs responsabilités.

Joseph Martinez: Et puis, il faut connaître les lois et réglementations applicables à ce qu'ils font de votre côté, n'est-ce pas ? Je pense donc que nous devons vraiment repenser ce que nous avons fait par le passé, qui était, je pense, formidable. Il s'agit en fait de prendre cela et de double-cliquer, et certaines institutions n'ont vraiment eu qu'un impact symbolique de la part de leur régulateur en termes de ce qu'elles devaient faire de la part d'un tiers. Donc, beaucoup de ces choses vont être vraiment nouvelles pour elles. Beaucoup d'entre elles vont se dire : « Oh mon Dieu, comment vais-je gérer le flux de travail autour de cela ? Comment vais-je pouvoir le démontrer de manière tangible ? Eh bien, encore une fois, ce sont des lignes directrices. Ces lignes directrices sont à nouveau publiées afin que nous puissions réfléchir à la manière dont nous pouvons mettre en place un programme de manière très cohérente et concise, et ce programme devra être appliqué à tous les niveaux, depuis le conseil d'administration de chacune de ces organisations. Donc, vous savez, cela représente beaucoup de travail quand on y pense, et je vous encourage donc à réfléchir à chacun de ces domaines. Consultez les directives et vous verrez qu'il est important d'examiner et de comprendre ce qui est demandé. Et vous savez, lorsque vous faites cela, vous savez ce que vous pouvez utiliser d'un point de vue technologique pour rendre cela beaucoup plus, euh, vous savez, résilient et beaucoup plus, euh, facile à utiliser, et vous assurer que vous avez la capacité de vous conformer réellement à ces directives. Passons donc à la diapositive suivante. Nous passons donc maintenant de la phase de planification à celle de diligence raisonnable, puis à la négociation des contrats. Encore une fois, si vous pouvez y jeter un œil, il s'agit en grande partie d'informations standard tirées de diverses évaluations réalisées au fil des ans, à partir des commentaires recueillis lors des différentes inspections effectuées, et tout cela dans le but de les aider à dire : « Bon, voici ce à quoi vous devriez réfléchir, selon nous.

Joseph Martinez: Maintenant, nous allons vous évaluer par rapport à cela, n'est-ce pas ? Donc, lors de la négociation d'un contrat, il est utile pour une banque de clarifier et d'identifier les droits et les responsabilités de chaque partie, et vous devez vous assurer que vous le faites réellement. Il est donc important de disposer d'un accord-cadre standard (MSA) ou d'un accord-cadre d'achat, etc. Il est également important de s'assurer que vous disposez bien de critères de référence pour mesurer les performances. Vous devez donc définir clairement les mesures de performance afin de pouvoir évaluer réellement les performances du tiers. Cela est essentiel dans le cadre des accords de niveau de service entre la banque et le tiers, où vous devez vraiment être en mesure de leur montrer que ce sont les mesures et les attentes que nous avons pour les deux parties, puis nous devons être en mesure de démontrer concrètement que nous incluons la conformité des performances avec les politiques et procédures, la conformité aux lois applicables, et tout cela est intégré dans ce processus. Plus tard, lorsque vous passerez à la surveillance continue, tout cela se concrétisera. Mais si vous n'y pensez pas et ne l'inscrivez pas dans le contrat, il vous sera difficile d'obtenir le niveau de conformité adéquat de la part de vos tiers, n'est-ce pas, au fur et à mesure que vous avancez dans le processus ? Donc, encore une fois, il est important de prendre en compte les dispositions du contrat qui précisent les obligations du tiers par rapport à ce que vous attendez de lui, quand vous attendez de lui qu'il le fasse, comment vous attendez de lui qu'il vous rende compte, et ensuite quels sont vos droits en tant que banque pour intervenir et, vous savez, surveiller leur risque, surveiller leurs performances et traiter les éléments qu'ils doivent vous fournir en termes de rapports, de données et d'accès. Tout ce dont vous aurez besoin pour que votre programme soit couronné de succès. Si vous ne les intégrez pas dans votre contrat, il vous sera très difficile d'y parvenir. Et lorsque les régulateurs viendront inspecter, ils diront : « Eh bien, c'est intéressant. »

Joseph Martinez: Vous me dites que vous faites cela, mais vous ne pouvez pas me montrer comment vous le faites réellement, car vous n'avez pas de clause d'audit dans votre contrat, par exemple. Il est donc très important de vous aider à vous assurer que vous surveillez ces performances, que vous les consignez par écrit, que vous incluez également des clauses prévoyant des audits indépendants que vous pouvez y inclure ou, s'ils ont des sous-traitants, que vous avez la possibilité d'aller voir ce qu'ils font. Donc, au fur et à mesure que vous passez en revue tout cela. Il y a vraiment beaucoup d'informations à prendre en compte. Je les ai résumées dans ces points, mais derrière chacun de ces points, il y a des pages et des pages dans la réglementation elle-même. Et, en gros, vous devez vraiment vous plonger dans le texte et comprendre, notamment en ce qui concerne les coûts et les indemnités, n'est-ce pas ? Les contrats qui décrivent clairement tous les coûts et les modalités d'indemnisation contribuent à réduire les malentendus et les litiges concernant les bâtiments. Ils permettent également de garantir que tous les accords d'indemnisation sont conformes aux pratiques bancaires saines et aux lois applicables. N'est-ce pas ? On pourrait continuer encore et encore à énumérer tout ce qu'ils veulent que vous preniez en considération, mais il est important que vous considériez ces points comme des lignes directrices rapides et que vous vous demandiez : « Est-ce que mes modèles de contrats types traitent de ces questions ? » Si la réponse est non, vous devrez probablement discuter de ce que vous allez faire. Mais encore une fois, ne vous contentez pas d'un examen superficiel. Vous devez approfondir la question et comprendre quelles sont les directives qu'ils mettent en place, car c'est le minimum qu'ils attendent de vous par rapport à ce qu'ils veulent que vous envisagiez. Et vous savez, il est vraiment important que ces dispositions soient vraiment solides et, encore une fois, ils vont examiner votre contrat type, puis le contrat qui a été effectivement signé.

Joseph Martinez: Donc, ils veulent examiner... Oui, vous me dites qu'il y avait une clause de sous-traitance, mais quand je regarde l'accord signé, cette clause a en fait été négociée. D'accord. Encore une fois, c'est un travail d'équipe. Ce n'est pas seulement la responsabilité de l'équipe de gestion des risques tiers. Ce n'est pas seulement la responsabilité de l'entreprise, ni celle du service des achats ou du service juridique. Il y a beaucoup d'acteurs qui doivent s'occuper de cette question pour s'assurer que ce que nous faisons, c'est vraiment veiller à ce que ces dispositions contractuelles soient respectées et intégrées dans les contrats, et que nous soyons ensuite en mesure de les démontrer. Euh, à mesure que nous avançons, un domaine clé qu'ils examineront et qu'ils examinent depuis de nombreuses années. Je m'occupais auparavant des assurances d'entreprise, et c'est un domaine qu'ils veulent vraiment examiner, n'est-ce pas ? Et ils veulent comprendre quelles sont les exigences que vous imposez à vos tiers pour qu'ils maintiennent les types et les montants d'assurance spécifiés, n'est-ce pas ? Et ils veulent également s'assurer que vous êtes désigné comme assuré supplémentaire. Et si ce n'est pas le cas, pourquoi ? Vous devez donc réfléchir à la question, car il ne s'agit pas seulement d'avoir une révision élevée, mais aussi de savoir comment vous allez concrètement mettre cela en œuvre afin de pouvoir passer cette étape. Vous savez, un domaine particulier sur lequel ils vont se concentrer est la sous-traitance, car ils veulent comprendre ce que vous imposez à ces autres organisations, car il y a beaucoup de travail à faire. Euh, pour gagner du temps, passons à la diapositive suivante, s'il vous plaît. D'accord. Vous savez, ce que les agences essaient de faire ici, ce n'est pas d'encourager une approche spécifique de la surveillance continue, mais plutôt d'inciter les banques à considérer la surveillance continue comme n'importe quel autre processus de gestion des risques liés aux tiers. Elles veulent donc que vous réfléchissiez à la manière dont cela s'inscrit dans votre programme, à la complexité de votre organisation et au profil de risque de votre organisation, n'est-ce pas ?

Joseph Martinez: Et ce faisant, ils veulent que vous réfléchissiez à la possibilité d'effectuer un suivi continu ou périodique. Ils ne se prononcent pas sur l'un ou l'autre. Ils ont constaté que les deux méthodes sont possibles et qu'un suivi plus complet ou plus fréquent est approprié lorsque la relation avec le tiers implique des activités à haut risque. Donc, encore une fois, vous devez disposer d'une méthodologie afin de pouvoir déterminer le degré de criticité réel de l'activité, puis celui du fournisseur, afin de savoir que votre surveillance continue sera essentiellement basée sur ce niveau de risque. En effet, si vous avez un élément critique, vous aurez probablement une vision beaucoup plus approfondie de ce que vous voulez gérer dans le cadre d'une surveillance continue. S'il s'agit d'un élément à faible risque, il y aura, vous le savez, des différences variables et ils vous donnent cette latitude afin de s'assurer que, vous le savez, si vous disposez réellement du bon niveau de méthodologie et si vous avez une appétence au risque déclarée, ils veulent s'assurer que tout ce qui dépasse votre appétence au risque est surveillé de manière significativement différente de tout ce qui se situe dans les limites de l'appétence au risque ou en dessous. Passons à la diapositive suivante, s'il vous plaît. Il s'agit simplement d'une continuation de la surveillance continue. Encore une fois, lorsque vous examinez cela, cela vous indique simplement ce qu'ils pensent que vous devriez prendre en considération au fur et à mesure que vous avancez. Et encore une fois, les directives stipulent que les organismes bancaires peuvent envisager des accords de collaboration ou le recours à des parties externes pour aider à compléter la surveillance continue. C'est donc une nouveauté dans la mesure où vous pouvez faire appel à un tiers pour vous aider dans ce processus. Mais là encore, vous devez vous assurer que ce tiers respecte bien les normes que vous avez fixées. N'est-ce pas ?

Joseph Martinez: Parce que, euh, quand on y regarde de plus près, on se rend compte que la surveillance continue permet à la banque de faire... Bon, vous savez, ils doivent examiner à la fois le niveau et les types de risques, car ceux-ci peuvent évoluer au cours de la relation, n'est-ce pas ? Il se peut donc que vous deviez adapter vos pratiques de surveillance continue en conséquence. Il se peut donc que vous deviez modifier la fréquence, le type d'informations ou le niveau de surveillance en fonction de l'évolution de la relation que vous entretenez avec ce tiers. Passons à la diapositive suivante, s'il vous plaît. Vous pouvez ainsi commencer à vous faire une idée de la complexité des risques et de ce qu'ils essaient de mettre en place, n'est-ce pas ? Et donc, vous savez, lorsque vous commencez à examiner les évaluations pour voir ce qui se passe, ils veulent que vous puissiez réellement gagner en efficacité, mais ils veulent également s'assurer que ce que vous faites suit un processus qui va vraiment vous aider à garantir votre conformité, n'est-ce pas ? Ils l'expliquent donc très clairement ici. Les changements dans la situation financière du tiers, y compris les obligations financières envers d'autres. Encore une fois, vous pouvez le prouver grâce à votre évaluation des risques liés à la viabilité financière. Si vous le faites de manière périodique, ne le faites pas seulement au début, lorsque vous êtes dans la phase de diligence raisonnable. Vous devez le faire de manière continue, n'est-ce pas ? Ou des audits pertinents, des résultats de tests et d'autres rapports qui indiquent si le tiers reste capable de gérer les risques et de respecter ses obligations contractuelles et les exigences réglementaires. N'est-ce pas ? Vous devez donc réfléchir à la manière dont vous allez prouver à l'autorité de régulation, prouver au conseil d'administration ce que vous essayez de faire, car cette conformité est vraiment importante. Et encore une fois, ils ne le présentent pas de manière prescriptive, mais de manière générale, ce qui est logique. Ensuite, c'est à vous de l'intégrer dans votre programme et de le traduire en actions, activités et rapports afin de pouvoir le démontrer, et là encore, tout dépend du niveau de complexité de votre situation.

Joseph Martinez: Tout dépend des facteurs que vous allez prendre en considération lorsque vous le ferez. Passons à la diapositive suivante, s'il vous plaît. Encore une fois, tout cela n'est que la suite de ce dont je viens de parler, et vous savez qu'il faut vous assurer que vous disposez du niveau de formation approprié, si ce que vous dites concerne la formation dispensée aux employés de l'organisme bancaire et au tiers. Eh bien, comment le prouver ? Pouvez-vous me montrer que cela se produit réellement ? N'est-ce pas ? Encore une fois, avez-vous des clauses de non-divulgation ? Avez-vous des clauses de répercussion qui s'appliquent à ce tiers ? N'est-ce pas ? Que se passe-t-il en cas d'incident chez le tiers, ou en matière de continuité des activités ? C'est vraiment important, car tout ce qui peut mettre en péril les opérations de votre organisation doit être pris en compte. Vous ne pouvez pas vous contenter de dire : « Eh bien, nous pensions qu'ils avaient un plan de continuité des activités, mais nous ne l'avons jamais testé. » Eh bien, vous savez, au cours de ma carrière, j'ai vu, il y a de nombreuses années, des plans de continuité des activités magnifiques, mais qui n'étaient en réalité soutenus par rien. C'étaient de superbes présentations PowerPoint à l'époque, mais lorsque les inondations sont arrivées, lorsque les tremblements de terre se sont produits, les tiers vous ont en quelque sorte laissé en plan, car ils n'avaient pas vraiment le niveau de plans et de détails qui étaient réellement applicables. C'est pourquoi il est vraiment important de les consigner par écrit, de les contrôler régulièrement, de se rendre sur place et de s'assurer qu'ils sont bien en place. Donc, si nous passons à la diapositive suivante, vous commencerez à voir que, compte tenu de l'approche fondée sur des principes généraux adoptée par les lignes directrices, les agences n'ont pas révisé les lignes directrices pour traiter des sujets ou des types de relations spécifiques. C'est important à noter. Il existe donc déjà des directives distinctes sur certains sujets ou certaines relations dans d'autres lignes directrices, n'est-ce pas ? Et ces types de directives spécifiques ne sont pas affectés par ces nouvelles directives, sauf si elles sont expressément abrogées.

Joseph Martinez: Donc, s'ils ont quelque chose à voir avec ce qui se passe en matière de cybersécurité, cela n'est pas pris en compte ici, mais ces éléments sont toujours présents. Encore une fois, il s'agit simplement d'examiner ce à quoi vous devez penser dans une perspective de surveillance continue. Nous arrivons maintenant à la cinquième partie du cycle de vie, présentée dans la diapositive suivante. Il s'agit de la résiliation, n'est-ce pas ? Et vous savez, j'aime toujours y réfléchir. Il s'agit soit d'une résiliation, soit d'un renouvellement, n'est-ce pas ? Donc, vous savez, une banque peut mettre fin à une relation pour diverses raisons. Vous savez, vous pouvez arriver à la fin naturelle et avoir l'expiration du contrat. Vous pouvez avoir une rupture de contrat. Vous pouvez avoir un tiers qui ne respecte pas les lois ou les réglementations applicables ou, vous savez, vous pouvez vouloir trouver un autre fournisseur pour quelque raison que ce soit. Ou vous pouvez en fait vouloir internaliser cette activité ou, dans certains cas, la discontinuer. N'est-ce pas ? Donc, lorsque cela se produit, il est important que la direction de l'organisation mette fin à la relation de manière efficace et efficiente, que les activités soient transférées à un autre tiers, internalisées ou interrompues. Vous devez réfléchir à tous ces aspects, et c'est pourquoi ils ont en quelque sorte défini les coûts et les frais associés à cette résiliation. Vous savez comment vous allez gérer la propriété intellectuelle commune. Vous devez donc réfléchir à ces questions lors de la phase de négociation du contrat, mais en fin de compte, elles seront mises en œuvre lors de la phase de résiliation. Il est donc très important pour nous d'y réfléchir. Passons à la diapositive suivante, s'il vous plaît. Je sais que nous manquons de temps. Nous allons donc rester à un niveau général. Encore une fois, nous approfondirons ce sujet dans quelques semaines, mais pour l'instant, nous voulons recommander certaines bonnes pratiques que les organisations et les industries peuvent suivre, n'est-ce pas ?

Joseph Martinez: Et quand on y réfléchit, il existe plusieurs bonnes pratiques que les organisations de tous les secteurs peuvent suivre en matière de gestion des risques liés aux tiers, n'est-ce pas ? L'une d'entre elles consiste à savoir qui sont vos tiers, n'est-ce pas ? Vous devez savoir que vous devez hiérarchiser vos fournisseurs, n'est-ce pas ? Vous devez vous assurer que vous surveillez vos fournisseurs de manière continue, mais comment faire concrètement ? Vous devez automatiser vos processus, n'est-ce pas ? Ainsi, quelle que soit la manière dont l'organisation bancaire structure le processus, les pratiques dont je parle sont omniprésentes et doivent être pensées en termes de surveillance et de responsabilité, d'examens indépendants, de documentation et de reporting. Et cela nous rassurera alors sur ce à quoi nous pensons, n'est-ce pas ? Il existe donc différentes façons dont les organisations peuvent réellement mettre cela en œuvre dans leurs processus. Donc, vous savez, la responsabilité incombe à la ligne métier et, vous le savez, du point de vue de la première ligne de défense, mais l'organisation bancaire, vous savez, j'ai vu des banques centraliser ce processus, parfois dans le domaine de la conformité, parfois dans celui de la sécurité de l'information, parfois dans celui des achats, parfois dans d'autres fonctions liées aux risques, mais là encore, il est très important pour nous de réfléchir à la mise en place d'un programme mature, d'un programme réellement établi et d'un programme qui soit lui-même vérifiable. Et donc, euh, si nous passons à la diapositive suivante, cela commence au niveau du conseil d'administration, n'est-ce pas ? Et en fin de compte, c'est le conseil d'administration qui est responsable de définir concrètement à quoi va ressembler cette vision, n'est-ce pas ? Et donc, les relations qu'ils entretiennent sont vraiment importantes pour nous, n'est-ce pas ? Une surveillance et une responsabilité adéquates sont donc des aspects importants de tout programme, qu'il s'agisse ou non de la gestion des risques liés aux tiers, n'est-ce pas ? Le conseil d'administration de la banque a donc cette responsabilité ultime et il va ensuite demander des comptes à la direction à ce sujet. N'est-ce pas ?

Joseph Martinez: Donc, le conseil d'administration va fournir des directives claires et vous aider à définir ce qu'est une appétence au risque acceptable. Il va approuver les politiques et veiller à ce que les procédures et pratiques appropriées soient mises en place. Mais vous savez, en fin de compte, il examine les choses à un niveau suffisamment élevé et avec suffisamment d'indépendance pour aider à diriger le navire vers la destination souhaitée. Ainsi, dans l'exercice de ses responsabilités, le conseil d'administration ou son comité désigné va généralement prendre en considération bon nombre des facteurs que vous voyez ici. Vous savez, si la relation avec les tiers est gérée d'une manière conforme aux objectifs stratégiques ou à la vision de la banque, etc. Ils définissent donc leur vision et la manière dont elle doit être considérée. Si vous passez à la diapositive suivante, vous verrez que la direction doit ensuite la mettre en œuvre, n'est-ce pas ? La direction a donc vraiment cette responsabilité en matière de gouvernance et de surveillance, et c'est vraiment important pour elle. J'ai répertorié ces éléments à nouveau, vous en recevrez une copie, je ne veux pas les passer en revue un par un, mais il est important que vous disposiez d'un comité de gestion des risques liés aux tiers, par exemple, afin de vous assurer que la gestion des risques liés aux tiers est intégrée dans le processus global de gestion des risques de la banque, que les contrats avec les tiers sont correctement examinés, approuvés et exécutés, et qu'il ne s'agit pas simplement de quelqu'un qui signe un bout de papier.gestion des risques liés aux tiers dans le processus global de gestion des risques de la banque, que vous fournissez, euh, les contrats avec les tiers, euh, sont correctement examinés, approuvés et exécutés, de sorte qu'il ne s'agit pas simplement de quelqu'un qui signe un bout de papier. Il y a en fait une réflexion basée sur le niveau de risque, sur le montant en dollars, sur la complexité. Et donc, ce que vous faites, c'est que la direction est responsable de la création de ce processus pour s'assurer qu'il fonctionne. Et puis, si nous passons à la diapositive suivante, c'est à ce moment-là que vous commencez à penser à des examens indépendants, n'est-ce pas ? Il est donc important que les organisations bancaires procèdent à des examens indépendants périodiques afin d'évaluer l'adéquation de leurs processus de gestion des tiers. Et vous savez, c'est vraiment là que les choses se concrétisent, car votre troisième ligne de défense entre en jeu.

Joseph Martinez: Ils examinent comment votre organisation se met réellement en place et se conforme à ce que vous savez, si vous faites ce que vous dites que vous allez faire, si vous le faites bien et si vous le faites à un niveau de sophistication qui ne se contente pas de répondre aux exigences minimales, mais qui vous offre un programme qui vous aide réellement à réduire et à comprendre les risques auxquels vous êtes exposé. Vous savez donc que la direction va utiliser les résultats de cet examen indépendant pour déterminer s'il faut ajuster son processus et son programme de gestion des risques liés aux tiers, et comment le faire. Faut-il modifier nos politiques ? Qu'en est-il de nos rapports ? Disposons-nous des ressources adéquates et du niveau d'expertise requis ? Disposons-nous du niveau de contrôle adéquat ? Il est donc important que la direction réponde rapidement et de manière exhaustive à tout problème ou préoccupation identifié, puis les transmette au conseil d'administration, le cas échéant. Encore une fois, cela implique beaucoup de détails, mais je tenais à le souligner afin que nous y réfléchissions. Soit dit en passant, cela vaut pour tous les secteurs, pas seulement pour les banques. Vous savez, c'est une bonne pratique. Et puis, si nous passons à la diapositive suivante, nous réfléchissons à la documentation et aux rapports, n'est-ce pas ? Il y a beaucoup de choses ici, mais la documentation et les rapports sont vraiment les éléments clés qui aident, vous savez, les personnes à l'intérieur et à l'extérieur d'une organisation à mener et à contrôler les activités. Donc, en fonction du risque et de la complexité des relations avec les tiers, vous allez avoir beaucoup d'activités différentes à mener. Ainsi, lorsque nous parlons de l'inventaire actuel de toutes les relations avec les tiers, vous savez que cela nous aide vraiment à identifier clairement les relations associées à des activités à haut risque, y compris les activités critiques.

Joseph Martinez: Donc, si vous n'avez pas de moyen de démontrer concrètement ce que contient votre inventaire et que vous disposez de cet inventaire, vous devez alors l'utiliser dans le cadre de votre méthodologie afin de pouvoir déterminer, grâce à votre processus d'évaluation des risques, si vous avez ou non quelque chose qui dépasse votre appétit pour le risque. Vous savez, cela ne va probablement pas bien se terminer pour le groupe. Vous savez, il est également important de rendre compte régulièrement au conseil d'administration. Et cela s'applique à toutes les dépendances que vous avez envers un seul fournisseur. S'il y a plusieurs activités avec un fournisseur qui connaît des difficultés financières. Hum, vous savez si l'un de vos fournisseurs a été victime, par exemple, d'une cyberattaque ou d'autres incidents de ce type, n'est-ce pas ? Il est donc très important que vous réfléchissiez à la manière dont vous disposez des plans de remédiation adéquats, vous savez, qui est responsable des types de rapports qui sont établis, vous savez, par des tiers, etc. Et hum, vous savez, si nous regardons la diapositive suivante, s'il vous plaît. En réalité, chaque agence examinera la gestion des risques et les relations avec les tiers des organismes bancaires qu'elle supervise dans le cadre de son processus standard, n'est-ce pas ? Les examens de surveillance évalueront donc les risques et l'efficacité de votre gestion des risques. La direction évaluera si vos activités sont menées de manière sûre et saine et si vous respectez réellement les lois ou réglementations applicables. Leurs évaluations vont donc vraiment tenir compte de ce que vous faites en engageant divers tiers, car toutes les relations avec des tiers ne présentent pas les mêmes risques. Comprenez-vous réellement comment adapter vos pratiques aux risques présentés et disposez-vous d'un programme concret, mesurable et reproductible ? N'est-ce pas ? Bon, je sais que nous manquons de temps. Passons à la diapositive suivante, s'il vous plaît. Vous m'entendez ?

Scott Lang: Oui, on t'entend, Joe.

Joseph Martinez: Bien. Bien. Oui. Donc, euh, vous savez, l'une des choses auxquelles nous devrions réfléchir, c'est que, euh, lorsque vous examinez vos processus de gestion des risques et que vous les évaluez, vous devez vous assurer que tout ce que vous faites contribue non seulement à remplir vos obligations en matière de gestion pour le compte de votre entreprise, mais aussi pour le compte de votre client, n'est-ce pas ? Et comment concevez-vous réellement votre processus pour protéger vos clients et leur offrir un accès équitable à vos services financiers ? Il ne s'agit donc pas seulement d'être normatif. Il s'agit en fait de savoir comment cela vous permet réellement de gagner de l'argent. Comment cela vous permet-il d'offrir une meilleure expérience client ? Je sais que nous manquons de temps. Pourquoi ne pas passer à la diapositive suivante, s'il vous plaît ? Je voulais que vous réfléchissiez à certaines des meilleures pratiques auxquelles les gens doivent penser. L'une d'entre elles est la suivante : comment mettre en place le bon niveau de cadre ? Lorsque vous disposez d'une surveillance et d'une gouvernance adéquates, vous disposez des outils et des contrôles nécessaires, ainsi que des analyses et des rapports exploitables, n'est-ce pas ? Comment mettre cela en place de manière appropriée ? Je voudrais passer à quelques questions. Passons donc à la diapositive suivante. Celle-ci traite en fait des trois lignes de défense. Si vous travaillez dans le secteur bancaire depuis plus d'un jour, vous le savez probablement déjà, mais continuons et... J'ai ajouté cela ici parce que je pense qu'il est important pour nous de réfléchir à ce cadre. Nous approfondirons ce sujet lors de notre prochaine session. Diapositive suivante. Il s'agit ici de quelques bonnes pratiques recommandées que les organisations de tous les secteurs peuvent suivre. Voici un cadre opérationnel de haut niveau. Voici les risques auxquels nous sommes confrontés. Voici les objectifs, puis vous voyez ici une évaluation des risques liés aux tiers, ainsi que les engagements pris dans le cadre de cette évaluation des risques et la manière dont nous pouvons concrètement les mettre en œuvre. Passons à la diapositive suivante. Ce que nous voyons ici, c'est une sorte de base sur laquelle nous pouvons nous appuyer pour réfléchir à tout cela. Le deuxième point que j'ai entouré est la segmentation et l'intégration, qui sont essentielles, car la classification de vos partenaires et la manière dont vous mettez en place cette méthodologie vont vraiment déterminer la façon dont vous allez pouvoir gérer et superviser l'ensemble du cycle de vie. Euh, diapositive suivante. Nous devons donc aller au-delà des simples exigences réglementaires, car il ne s'agit pas simplement de cocher des cases, n'est-ce pas ? Vous devez donc réfléchir à la manière dont vous protégez les connaissances et l'expertise de votre organisation. Avez-vous créé des dépendances avec un tiers qui pourraient désormais vous poser problème si quelque chose arrivait à ce tiers ? La qualité de votre service est-elle constante de bout en bout avec vos tiers ? Avez-vous évalué le coût total ? Y a-t-il des coûts supplémentaires ou cachés dont vous devez tenir compte, car il y a ce que vous avez stipulé dans le contrat et ce que vous avez accepté, mais lorsque vous commencez à revenir en arrière et à mettre votre programme en place, vous vous rendez compte que vos fournisseurs vont s'y opposer. Et avez-vous pris en considération l'augmentation des risques opérationnels ? Parce que tout cela est vraiment important pour nous, car si nous ne réfléchissons pas à cela en dehors des exigences réglementaires, si nous ne réfléchissons pas à la manière dont nous mettons réellement en place un programme, nous finissons par augmenter notre risque. Nous ne respecterons pas les directives, ce qui aura un impact sur notre bénéfice par action et sur notre réputation dans le secteur. Passons à la diapositive suivante. Passons aux questions et réponses. Je sais que j'ai parcouru assez rapidement un certain nombre de ces diapositives. Nous voulions organiser une deuxième session pour approfondir le sujet, mais il y avait énormément de choses que je voulais aborder, pour m'assurer que vous puissiez toutes les voir, car il est vraiment important pour nous de réfléchir à cela. Euh, parce que ces nouvelles directives viennent de sortir et, comme vous le savez, une fois que les directives sont publiées, c'est dans un court laps de temps, elles vont commencer à sortir et on va commencer à voir comment vous adaptez le programme aux nouvelles directives. Alors, euh, avec ça, avez-vous des questions ?

Ashley: Merci Joseph. Scott, avez-vous des remarques finales à faire à ce sujet ? Je suis désolée, nous n'avons pas vraiment eu le temps de répondre aux questions, mais Joseph animera une deuxième partie lors d'un prochain webinaire, où nous pourrons aborder plus en détail ces informations. Scott.

Scott Lang: Euh non, rien d'autre pour moi. On peut... on peut continuer.

Ashley: Très bien. Merci beaucoup à tous d'avoir participé. Je vous souhaite une excellente fin de journée et un excellent week-end, et j'ai hâte de vous retrouver lors du prochain webinaire. À bientôt.