Guideline B-10

Question 1

Quels sont les objectifs à atteindre par la gestion du risque lié aux tiers?

Answer 1

1. Les structures de gouvernance et de responsabilité sont claires et des stratégies et cadres exhaustifs de gestion du risque sont mis en place.
2. L’institution cerne et évalue les risques posés par les tiers.
3. L’institution gère et atténue les risques posés par les tiers selon son cadre.
4. Le rendement des tiers est suivi et évalué.
5. Le programme de gestion du risque lié aux tiers permet à l’institution de cerner et gérer en continu une gamme de relations avec des tiers.
6. Les activités liées aux technologies et au cyberrisque menées par des tiers sont transparentes, fiables et sécurisées.

Question 2

Quels facteurs doivent être pris en compte lors de l’évaluation de la criticité d’une entente avec un tiers?

Answer 2

• La gravité de la perte ou du préjudice potentiel si le sous-traitant ne répond pas aux attentes (interruption ou insolvabilité).
• La possibilité de remplacer le tiers.
• Le fait que le sous-traitant assure le soutien d’une activité essentielle de l’institution.
• L’incidence potentielle sur les activités de l’institution si elle devait se retirer de l’entente.

Question 3

Qu’est-ce qui doit être évalué par l’institution financière avant de conclure une entente?

Answer 3

• Déterminer si l’entente cadre avec la propension à prendre des risques.
• Documenter le criticité de l’entente.
• Établir le niveau de risque de l’entente.
• Élaborer un plan afin de gérer le risque lié à l’entente.

Question 4

L’entente avec un tiers doit s’accompagner d’un plan de continuité pour des événements graves mais probables. Que doit-on retrouver dans ce plan?

Answer 4

• Les éléments qui déclenchent l’activation du plan de sortie ou d’urgence.
• Les activités à réaliser pour assurer le maintien des activités essentielles.
• Les activités à réaliser lors d’une sortie planifiée et gérée.
• Assez de détails pour permettre une exécution rapide.