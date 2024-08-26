La gestion des risques liés aux tiers reste une priorité absolue pour les régulateurs fédéraux et étatiques américains, qui ont récemment pris des mesures coercitives à l’encontre d’institutions financières. Cela a entraîné des millions d’amendes civiles pour violation du Bank Security Act (BSA) et pour les faibles contrôles de gestion des risques liés aux tiers.
Les mesures récentes montrent que les organismes de réglementation tiennent de plus en plus les établissements financiers responsables de leurs relations avec des tiers, dont les entités fintech. En effet, ils attendent de ces établissements qu’ils mettent en place des pratiques basées sur les risques afin de mener une vérification préalable adéquate de ces tiers et de surveiller, d’évaluer et de contrôler en permanence les risques liés à ces relations.
Au cours des 18 derniers mois, les organismes de réglementation ont intensifié leurs efforts en publiant des directives détaillées et plusieurs ordonnances de consentement sur la gestion des risques liés aux tiers.
En juin 2023 aux États-Unis, l’Office of the Comptroller of the Currency (OCC), le Federal Reserve Board et la Federal Deposit Insurance Corporation (FDIC) ont publié des directives interagences sur la gestion des risques liés aux tiers pour les établissements financiers. Ces directives doivent servir de feuille de route pour établir les attentes réglementaires, et visent à gérer efficacement les risques associés aux relations avec les tiers et aux bonnes pratiques.
Moins d’un an plus tard, l’OCC a émis une ordonnance de consentement à l’encontre d’une banque régionale de l’Atlantique Sud après avoir identifié des faiblesses dans son programme de gestion des risques liés aux tiers.
La FDIC a déterminé qu’une fintech du nord-est se livrait à des pratiques bancaires dangereuses et malsaines. Elle a émis une ordonnance de consentement concernant, entre autres, l’absence de contrôles internes et de systèmes d’information adaptés à la taille de la banque. L’ordonnance traitait également de la nature, de la portée, de la complexité et du risque de ses relations avec des tiers.
La FDIC a également émis une ordonnance de consentement enjoignant une banque régionale du Midwest d’élaborer des politiques et des procédures appropriées concernant la gestion des risques liés aux tiers. Elle a également appelé à améliorer la diligence raisonnable et la surveillance des tiers en charge de la lutte contre le blanchiment d’argent (AML) et le financement du terrorisme (CFT).
Les établissements s’appuient souvent sur des fournisseurs de services tiers pour gérer leurs contrôles FCC. Historiquement, les services tiers se limitaient à l’identification des informations négatives, au filtrage des sanctions et à la surveillance des transactions. Récemment, ces services se sont étendus à des processus tels que la vérification de l’identité des clients, la vérification des données électroniques, l’intelligence artificielle générative dans la gestion des cas de vérification préalable renforcée, les enquêtes d’alerte et les évaluations des risques.
Certains établissements peuvent avoir mis en place un processus interne rigoureux de surveillance continue. Cependant, sans étendre ces normes et pratiques aux tiers, ils risquent d’accepter des clients indésirables, de clore des alertes injustifiées ou de ne pas signaler des activités suspectes. Les établissements qui effectuent des vérifications préalables adéquates ou des évaluations périodiques des risques liés aux fournisseurs peuvent éviter les risques de non-conformité introduits par des tiers.
Malgré les avantages retirés en faisant appel à un tiers, il est essentiel que les institutions financières reconnaissent et gèrent les risques FCC que cela représente. Pour ce faire, elles doivent mettre en place un programme de gestion des risques liés aux tiers facilitant la gestion des risques et le suivi des activités des tiers afin de s’assurer du respect de leurs obligations réglementaires.
La gestion des risques liés aux tiers comprend trois éléments clés : la vérification préalable, la surveillance continue et l’évaluation des risques.
De nombreux établissements financiers renforcent leur examen de conformité standard dans le cadre de la vérification préalable lors de la phase contractuelle avec tout nouveau tiers. Comme le décrit la récente directive interagences, cela comprend l’évaluation de l’efficacité de la gestion globale des risques du tiers, y compris ses politiques, ses processus et ses contrôles internes. Cela implique également de vérifier qu’il est en phase avec les politiques et les attentes relatives à l’activité.
La diligence raisonnable doit également comprendre un examen des technologies utilisées afin de vérifier que la partie concernée n’introduit pas d’autres risques. L’unité de conformité de l’institution financière peut effectuer des tests initiaux pour contrôler la qualité des services fournis. Cela permet également de s’assurer que le tiers est en mesure de respecter le seuil de tolérance au risque de l’institution.
Les directives interagences établissent des normes en matière de sécurité et de fiabilité des informations pour la surveillance continue des bonnes pratiques. Les organismes de réglementation attendent des établissements financiers qu’ils surveillent les performances des tiers tout au long de la relation. Cela permet de s’assurer qu’ils répondent aux attentes, d’identifier les changements nécessaires dans la relation et de mettre en œuvre les changements qui en découlent en matière de risques et de contrôles. Les principales activités de gestion des risques dans la phase de surveillance continue comprennent :
Afin de mieux déterminer leur profil de risque et d’identifier plus précisément les risques de non-conformité en matière de criminalité financière, les établissements financiers peuvent améliorer les évaluations des risques annuelles existantes en matière de lutte contre le blanchiment d’argent et en vertu du Bank Secrecy Act (BSA). Ils sont ainsi en mesure d’identifier les risques liés aux tiers et de mettre en place des contrôles pour les atténuer. Ils peuvent également établir des correspondances entre les relations et les exigences réglementaires et documenter les points de données clés relatifs aux tiers.
Tous les tiers ne nécessitent pas le même niveau de vérification préalable et de surveillance, mais une évaluation globale des risques liés aux tiers permet de déterminer la bonne approche en fonction des risques.
Notre équipe d’experts améliore et renforce les programmes de gestion des risques liés aux tiers. Nos services de conseil peuvent aider votre entreprise à évaluer les politiques et procédures de gestion des risques liés aux tiers. Nous pouvons également évaluer la couverture de votre programme de gestion des risques liés aux tiers en matière de lutte contre le blanchiment d’argent afin de nous assurer qu’il est adapté à la tolérance au risque de votre entreprise.
IBM Promontory vous aide à développer un programme de vérification préalable et de surveillance continue en matière de lutte contre le blanchiment d’argent afin de garantir la conformité des tiers agissant pour le compte de votre entreprise avec les lois en vigueur. IBM Promontory peut évaluer vos modèles de contrats utilisés avec des tiers afin de s’assurer qu’ils répondent aux contrôles en matière de lutte contre le blanchiment d’argent. IBM Promontory peut également développer des procédures de gouvernance, de reporting et d’atténuation des risques pour les tiers qui jouent un rôle dans la mise en œuvre des contrôles en matière de lutte contre le blanchiment d’argent.
En collaboration avec IBM, IBM Promontory est idéalement placé pour fournir une analyse automatisée des données, des résumés et des partitionnements générés par l’IA, ainsi que des rapports alimentés par l’IA. IBM watsonx Discovery peut analyser de grandes quantités de données relatives aux tiers, notamment les informations de vérification préalable, les enregistrements de transactions et les documents organisationnels. L’outil peut identifier des schémas, des anomalies et des relations qui pourraient échapper aux analystes humains. Il peut également fournir des visualisations et des résumés. Cette fonction permet de découvrir les facteurs clés impliqués dans la vérification préalable et la notation des risques.
IBM Cloud Pak for Data permet de résumer et de procéder au partitionnement des tiers en fonction de leurs données, de leur notation de risque et d’autres facteurs pertinents. L’outil peut également fournir des recommandations pour traiter les problèmes sous-jacents, tels que le renforcement de la surveillance ou la suppression. IBM Cognos Analytics peut générer des rapports détaillés sur les tendances et les schémas relatifs aux tiers, qui peuvent informer la direction, les organismes de réglementation et les autres parties prenantes.
Les organismes de réglementation ont clairement indiqué qu’ils se concentraient sur la manière dont les établissements gèrent les risques liés aux tiers et à la criminalité financière. Les établissements financiers doivent mettre en place des programmes efficaces pour effectuer une vérification préalable sur les tiers et surveiller, évaluer et contrôler en permanence les risques découlant de ces relations.