Nouvelles lignes directrices B-10 du BSIF sur la gestion des risques liés aux tiers | JD Supra (2023)

Table of Contents
Date effective Champ d'application Gestion Gestion et atténuation des risques liés aux tiers Risques technologiques et cyber liés aux contrats avec des tiers Succursales étrangères Amendements au projet de lignes directrices Prochaines étapes pour l'IFF Veuillez nous contacter pour plus d'informations

Le 24 avril 2023, l'Autorité de surveillance financière (« BSIF »), l'autorité fédérale de surveillance des institutions financières au Canada, a publié de nouvellesLignes directrices sur la gestion des risques liés aux tiers(B-10) ("Nouvelles directives B-10"). La publication tant attendue de ces dernières a fait suite à la publication du projet de lignes directrices le 27 avril 2022 et à la période de consultation qui a suivi. Vous trouverez ci-dessous un résumé des principales modifications apportées au projet de lignes directrices.

La nouvelle ligne directrice B-10 remplacera la version actuelle de la ligne directrice B-10 du BSIF intituléeExternalisation d'activités, d'opérations et de méthodes, qui a été publiée pour la première fois en 2001 et révisée pour la dernière fois en 2009. Elle énonce les attentes du BSIF à l'égard des institutions financières sous réglementation fédérale (« IFF ») canadiennes en matière de gestion des risques liés aux tiers et vise à appuyer l'adoption des meilleures pratiques de l'industrie en matière de services financiers dans les contrats avec des tiers. Comparativement à la version actuelle de la Ligne directrice B-10, cette nouvelle version considère un ensemble plus complet de risques afin de mieux refléter l'écosystème croissant de tiers que les IFF utilisent actuellement.

En vertu de la nouvelle ligne directrice B10, les institutions financières devraient réévaluer leur approche de la gestion de leurs relations avec plusieurs tiers, y compris les contrats.

La nouvelle ligne directrice B-10 introduit un certain nombre de changements par rapport à la version actuelle. En particulier, il se concentre davantage sur les programmes de gouvernance et de gestion des risques. Il définit également des attentes axées sur la performance et fondées sur des principes en matière de gestion des risques de tiers, bien que quelques exigences restent assez restrictives. La nouvelle ligne directrice B-10 étend le champ d'application de la version actuelle pour couvrir un éventail plus large de contrats avec des tiers (au-delà de la simple sous-traitance). En outre, il couvre davantage de risques (tels que les risques de matérialité et de concentration) et fournit des lignes directrices pour l'adhésion.

Il convient de noter que la nouvelle ligne directrice B-10 remplace le seuil de matérialité existant par une approche fondée sur les risques. Il précise également que le risque et la criticité doivent être pris en compte lors de la détermination du degré de rigueur à appliquer aux attentes énoncées dans la nouvelle ligne directrice B-10. Ce dernier prévoit également des exigences contractuelles plus strictes.critiquesetRisque élevéa été conclu avec des tiers. Enfin, il contient une liste mise à jour des conditions contractuelles minimales et des questions de diligence raisonnable pour ces contrats.

La nouvelle ligne directrice B-10 est en partie conforme aux conclusions du rapportComment renforcer la gestion des risques tiers(publié par le BSIF en 2019), estimations relevées en 2019Document de travail sur les risques technologiquespublié par le BSIF en 2020, commentaires des intervenants du secteur sur le projet de lignes directrices;Gestion des risques technologiques et cyber(« ligne directrice B-13 ») présentée par le BSIF avec la version antérieure de la ligne directrice B-10.

Date effective

La nouvelle directive B-10 entrera en vigueur le1EstMai 2024. BSIFcélèbreque cette période transitoire vise à donner aux IFF suffisamment de temps pour évaluer leur situation et mettre en œuvre des programmes de gestion des risques liés aux tiers conformément aux nouvelles exigences des lignes directrices.

Accords avec des tiers qui entreront en vigueur le 1EstÀ partir de mai 2024 ou plus tard, il devra se conformer à toutes les sections applicables de la nouvelle ligne directrice B-10. Il convient de noter que les IFF doivent examiner et mettre à jour les contrats existants conclus avant cette date à la prochaine date de renouvellement ou d'examen afin de répondre aux attentes de la nouvelle ligne directrice B-10 au moment de son entrée en vigueur ou dès que possible. .

Champ d'application

La portée de la nouvelle ligne directrice B-10 est beaucoup plus large que dans la version actuelle, notamment parce qu'elle redéfinit l'attente du BSIF de gérer le risque associé à la plupart des contrats de tiers, plutôt que de se concentrer sur les grands contrats d'impartition. En effet, dans la nouvelle ligne directrice B-10, la définition de « contrat avec un tiers » est large, seules de rares exceptions l'évitant. Cela s'applique aux contrats conclus par les IFF avec leurs clients ou employés qui sont exonérés. Par contre, les contrats de services conclus par les IFF avec des « partenaires » (c'est-à-dire des membres de leur groupe) sont visés par la nouvelle définition de « contrats avec des tiers ». À ce titre, nous serons assujettis aux exigences de la nouvelle ligne directrice B-10 ainsi qu'aux lois sur les opérations entre apparentés.

Les succursales de banques étrangères et les succursales de sociétés d'assurance étrangères exerçant leurs activités au Canada ne sont pas visées par la nouvelle ligne directrice B-10, mais sont toujours assujetties aux exigences relatives aux ententes d'impartition énoncées dans la ligne directrice E-4 du BSIF, comme il est expliqué ci-dessous.

Le BSIF précise également que les nouvelles lignes directrices B-10 ne visent en aucune façon à interférer avec la création par le gouvernement fédéral d'un système bancaire ouvert qui, selon lui, réglementera « la mobilité des données des consommateurs dans le secteur financier », en utilisant la terminologie récemment proposée par le gouvernement fédéral. Comité consultatif sur les banques ouvertes. À la suite de l'introduction de ce cadre, le BSIF recommande que des directives appropriées soient fournies au besoin.

Gestion

La nouvelle directive B-10 met davantage l'accent sur la gestion efficace des contrats avec des tiers. Le BSIF s'attend à ce que les IFF établissent des structures de gouvernance et de responsabilisation claires et élaborent des cadres et des stratégies complets de gestion des risques qui contribuent de façon continue à la résilience opérationnelle et financière.

IFF est responsable en dernier ressort de toutes les activités, fonctions et services externalisés, et de la gestion des risques associés et des interactions avec les contrats. Par conséquent, le BSIF s'attend à ce que les IFF établissent un cadre de gestion des risques liés aux tiers à l'échelle de l'entreprise qui définit clairement les rôles, les responsabilités, les politiques et les procédures pour identifier, gérer, atténuer, surveiller et communiquer les risques associés au recours à des tiers. La nouvelle ligne directrice B-10 décrit également les éléments de base d'un cadre de gestion des risques liés aux tiers. Les IFF devraient envisager d'évaluer leurs programmes de gestion des fournisseurs par rapport aux nouvelles exigences de gestion de la nouvelle ligne directrice B-10 afin d'identifier et de combler toute lacune importante.

Gestion et atténuation des risques liés aux tiers

Le BSIF s'attend à ce que le cadre de gestion des risques liés aux tiers de l'IFF :

  • L'IFFR identifie et évalue les risques posés par des tiers;

  • L'IFF gère et atténue les risques liés aux tiers conformément à son cadre de gestion de l'appétit pour le risque;

  • les performances des tiers sont évaluées et surveillées, et les risques et incidents sont traités de manière proactive.

Adoptant une approche fondée sur le risque, le BSIF s'attend à ce que les IFF gèrent le risque de tiers d'une manière proportionnée au niveau de risque et à la complexité de l'écosystème de tiers qu'elles utilisent, d'où le concept de « criticité », introduit et défini dans la nouvelle ligne directrice B -dix. La criticité indique l'importance pour l'entreprise, la stratégie, la situation financière ou la réputation de l'IFF et met l'accent sur l'impact d'un événement qui crée un risque, quelle que soit la probabilité de sa survenance.

Le BSIF s'attend à ce que les IFF évaluent le risque et la criticité de tout contrat conclu avec un tiers tout au long de son cycle de vie. Par conséquent, les IFF devraient effectuer de telles évaluations avant de conclure un contrat avec un tiers, sur une base régulière tout au long de la durée du contrat (avec une fréquence et une portée appropriées pour refléter l'importance du contrat) et chaque fois qu'il y a un changement important au contrat. La diligence raisonnable que doit effectuer l'IFF à l'égard d'un contrat avec un tiers doit être proportionnelle au niveau de risque évalué et à la criticité de ce contrat. Le BSIF note également que, le cas échéant, l'IFF doit tenir une liste des tiers en fonction du niveau de risque et de criticité.

Le BSIF souligne plusieurs facteurs clés dont les IFF devraient tenir compte lorsqu'elles déterminent le risque et la criticité. Ces facteurs comprennent, sans toutefois s'y limiter, la possibilité que le tiers ou ses sous-traitants ne soient pas en mesure de répondre aux attentes en raison de leur insolvabilité ou de l'interruption de leurs activités, le recours à des sous-traitants tiers, la capacité de l'IFF à évaluer les contrôles de tiers , la capacité de remplacer le tiers, la du tiers et tout autre risque matériel associé à l'utilisation du tiers. La nouvelle ligne directrice B-10 fournit également des indications précises sur les ententes de sous-traitance.

Semblable à la version actuelle de la ligne directrice B-10, la nouvelle ligne directrice B-10 s'attend généralement à ce que les IFF concluent des contrats avec des tiers sous la forme d'un contrat écrit. L'annexe 2 de la nouvelle ligne directrice B-10 contient une liste non exhaustive des dispositions que les IFF doivent inclure dans les contrats avec des tiers critiques et à risque élevé. Cette liste reprend en grande partie les dispositions contractuelles de la version actuelle de la ligne directrice B-10, mais avec quelques modifications. Le texte de la nouvelle ligne directrice B-10 fournit des indications sur les conditions contractuelles prévues et doit être lu conjointement avec l'annexe 2 pour déterminer si un contrat est conforme aux lignes directrices (et lors de la préparation de la liste de contrôle du contrat). Dans le cadre de ces examens, l'IFF devrait également consulter la ligne directrice B-13,Gestion des risques technologiques et cyberet une publicité avec un titreSignalement des incidents liés à la technologie et à la cybersécuritéqui contiennent des dispositions pouvant concerner des contrats avec des tiers.

Le BSIF s'attend également à ce que les IFF surveillent leurs ententes avec des tiers afin de vérifier leur capacité à continuer de respecter leurs obligations et de gérer efficacement les risques. Selon la nouvelle ligne directrice B-10, l'IFF et le tiers devraient avoir des procédures documentées pour identifier, enquêter et prendre des mesures correctives efficaces en cas d'incidents susceptibles d'affecter la capacité du tiers à fournir les biens ou les services prévus dans l'accord. Il convient de noter que les IFF devraient s'assurer que leurs contrats avec des tiers contiennent des dispositions qui leur permettent de respecter les importantes obligations de déclaration découlant des conseils du BSIF surSignalement des incidents liés à la technologie et à la cybersécurité, qui exige le signalement de tous les incidents technologiques et de cybersécurité.

La nouvelle ligne directrice B-10 maintient l'exigence selon laquelle le contrat de tiers doit donner à l'IFF et au BSIF le droit d'évaluer les pratiques des tiers, y compris en nommant des vérificateurs, et contient des dispositions plus détaillées sur les vérifications qui doivent être prévues dans les contrats de tiers. .

Dans la nouvelle ligne directrice B-10, le BSIF reconnaît que certaines ententes avec des tiers ne peuvent être incluses dans un contrat individualisé. Dans de tels cas, le BSIF continue de s'attendre à ce que le programme de gestion des risques liés aux tiers de l'IFF tienne compte de ces relations et, le cas échéant, à ce que l'IFF accepte les risques associés à ces conventions d'adhésion.

La nouvelle ligne directrice B-10 énonce également les attentes concernant les ententes pouvant être conclues entre les IFF et les vérificateurs externes qui sont semblables à celles énoncées dans la version actuelle de la ligne directrice B-10.

Les nouvelles directives B-10 précisent que les attentes énumérées ci-dessus sont les attentes minimales pour les transactions critiques et à haut risque pour les IFF.

Risques technologiques et cyber liés aux contrats avec des tiers

Compte tenu de la vulnérabilité accrue posée par la technologie et les cyberrisques, la dernière partie des nouvelles directives B-10 énonce les attentes supplémentaires du BSIF quant à la façon dont l'IFF traite ces risques dans ses ententes avec des tiers. Il précise également que les technologies tierces et les activités de cyber-risque doivent être transparentes, fiables et sécurisées.

Reconnaissant l'importance croissante des services d'infonuagique et la nécessité d'établir des exigences propres à l'infonuagique, le BSIF s'attend à ce que les IFF tiennent compte de la portabilité de l'infonuagique lorsqu'elles concluent des contrats avec des tiers (et des facteurs atténuants en l'absence d'une telle portabilité) et veillent à l'adoption planifiée et stratégique de cette technologie. pour assurer une interopérabilité optimale, tout en respectant la volonté affichée d'IFF de prendre des risques.

Succursales étrangères

Les succursales de banques étrangères et les succursales de compagnies d'assurance étrangères faisant affaire au Canada («succursales») ne sont pas visées par la nouvelle ligne directrice B-10, contrairement à la version actuelle de la ligne directrice B-10 qui contient des dispositions ciblant spécifiquement les ententes d'impartition. entre une succursale et son siège social ou ses filiales. Cependant, il convient de noter quedirective E-4,Entités étrangères ayant une succursale au Canada(Directive E-4 du BSIF), entrée en vigueur en 2022, prévoit que lorsque le siège social d'une entité étrangère exerce des fonctions essentielles pour le compte d'une succursale, soit directement, soit par le biais de ses propres ententes d'impartition, le BSIF s'attend à ce que la succursale gestionnaire documente ces dispositions.

Dans une note de bas de page de la ligne directrice E-4, le BSIF précise que cette documentation doit contenir les éléments du contrat de service décrits à la ligne directrice B-10. Sous réserve de directives supplémentaires du BSIF, le contrat de service signé par la succursale et son établissement principal peut donc exiger la prise en compte des nouveaux éléments du contrat avec un tiers énoncés à l'annexe 2 de la nouvelle ligne directrice B-10.

BSIF macélèbrequ'elle examine actuellement les directives E-4 et prévoit publier des clarifications plus tard cette année pour s'assurer que les risques associés à ses opérations canadiennes sont gérés conformément au cadre juridique et réglementaire national. Cette explication peut expliquer l'interaction entre la ligne directrice E-4 et la nouvelle ligne directrice B-10.

Amendements au projet de lignes directrices

BSIFcélèbreque la nouvelle ligne directrice B-10 est basée sur les commentaires formulés pendant la période de consultation pour le projet de ligne directrice B-10. Les parties consultées ont demandé au BSIF de clarifier la portée de la ligne directrice B-10, de la fonder davantage sur des principes soulignant l'importance d'utiliser une approche fondée sur le risque pour régler les problèmes d'impartition et de risque de concentration, d'établir une période de transition et d'aborder l'intersection entre les attentes contenues dans la ligne directrice B-10 et d'autres directives du BSIF.

Une comparaison du projet de directives B-10 avec la version finale de cette dernière montre que des modifications relativement mineures ont été apportées à la formulation, mais à certains égards, elles améliorent son aspect pratique. La nouvelle directive B-10 couvre :

  • précise que le risque et la criticité des accords avec des tiers doivent être pris en compte lors de la détermination du degré de rigueur des attentes énoncées dans la nouvelle ligne directrice B-10 ;

  • mettre davantage l'accent sur la criticité et préciser que la criticité peut être utilisée pour ajuster les évaluations des risques (comme mentionné précédemment, la criticité est définie dans la nouvelle ligne directrice B-10 et fait référence à l'impact du risque d'un événement catastrophique qu'une IFF, quel que soit le probabilité d'occurrence);

  • préciser que les facteurs à prendre en compte dans le cadre de la diligence raisonnable (énoncés à l'annexe 1) et les dispositions relatives aux contrats avec des tiers énoncées à l'annexe 2 ne s'appliquent qu'aux contrats critiques et à haut risque et non à tous les contrats avec des tiers les accords des parties (qui correspondent mieux à la norme d'importance relative de l'édition 2009 de la ligne directrice B-10);

  • mettre à jour certaines des attentes du BSIF concernant les ententes contractuelles avec des tiers afin qu'elles soient désormais moins restrictives, y compris la séparation des données et des dossiers de l'IFF détenus par le tiers, la planification de la stratégie de sortie et le droit d'IFF de demander ou d'effectuer une vérification par un entrepreneur externe et de recevoir une rapport;

  • ajouter certaines autres attentes concernant les ententes contractuelles avec des tiers, y compris la notification par l'IFF des changements de propriété des tiers, de la non-conformité importante aux exigences réglementaires ou des litiges avec des tiers (annexe 2h).

  • définir "l'acceptation du risque" comme la décision d'accepter un risque identifié et de ne pas prendre de mesures d'atténuation, supplémentaires ou autres ; Le BSIF reconnaît également que l'acceptation des risques peut s'appliquer aux adhésions non négociées, à condition que le programme de gestion des risques liés aux tiers de l'IFF traite de telles relations.

  • Expliquez qu'un contrat à court terme à faible risque avec un tiers peut ne pas nécessiter d'examen juridique.

Prochaines étapes pour l'IFF

Pour se conformer à la nouvelle ligne directrice B-10, les IFF devront revoir leur approche de la gestion des relations avec plusieurs tiers, y compris les contrats. Ils devraient également examiner les accords existants avec des tiers pour assurer la conformité et, si nécessaire, les mettre à jour. Ce faisant, les IFF devraient tenir compte non seulement des attentes énoncées dans la nouvelle ligne directrice B-10, mais également de celles énoncées dans les lignes directrices et les documents d'orientation récemment publiés ou mis à jour afin de déterminer leur conformité aux exigences pertinentes du BSIF.

Veuillez nous contacter pour plus d'informations

Nos équipes s'emploient à accompagner nos clients dans leurs démarches de mise à jour de leurs pratiques contractuelles et contrats fournisseurs pour répondre aux exigences de la nouvelle directive B-10. Pour plus d'informations à ce sujet, veuillez contacter :

Annick Demers+1-514-982-4017
Main ensoleillée+1-514-982-4008
David Felman+1-416-863-4021
Roberta Percivala+1-416-863-5297
Roberta Tremblaya+1-416-863-3304
Paul Bélanger+1-416-863-4284
Vladimir Shatyrian+1-416-863-4154

ou un autre membre de notre équipeTechnologieleRéglementation des services financiers.

Top Articles
Latest Posts
Article information

Author: Ms. Lucile Johns

Last Updated: 04/18/2023

Views: 5793

Rating: 4 / 5 (41 voted)

Reviews: 88% of readers found this page helpful

Author information

Name: Ms. Lucile Johns

Birthday: 1999-11-16

Address: Suite 237 56046 Walsh Coves, West Enid, VT 46557

Phone: +59115435987187

Job: Education Supervisor

Hobby: Genealogy, Stone skipping, Skydiving, Nordic skating, Couponing, Coloring, Gardening

Introduction: My name is Ms. Lucile Johns, I am a successful, friendly, friendly, homely, adventurous, handsome, delightful person who loves writing and wants to share my knowledge and understanding with you.