Dans le cadre du livre blanc Gestion des tiers et conformité : le guide pratique, Trustpair donne la parole à Florence Carr pour expliquer comment les entreprises sont concernées par les normes de conformité.
Associée chez EY Consulting, Florence Carr dirige les activités Conformité, Sécurité Financière et Risque Opérationnel pour le secteur bancaire. Florence a plus de 20 ans d’expérience au sein de cabinets et d’institutions financières à dimension internationale. Son parcours professionnel l’a conduite à travailler sur toutes les grandes plateformes financières, notamment Londres, Hong Kong et New York.
Les normes réglementaires qui encadrent les données tiers en entreprise
Plusieurs textes encadrent les données tiers au niveau européen mais également au niveau français, à la fois directement et indirectement. Les guidelines de l’Autorité Bancaire Européenne, en vigueur depuis le 30 septembre 2019, encadrent notamment l’externalisation d’activités importantes et critiques au sein des établissements financiers mais également la gestion des risques liés aux tiers. La réglementation RGPD relative aux données, le devoir de vigilance, et tout l’attirail de réglementations LCB-FT, anti-corruption et Sanctions & Embargos est pertinent. Enfin, les obligations RSE (Responsabilités Sociétales des Entreprises) sont également pertinentes.
Quelles sont les obligations imposées aux entreprises et comment ces dernières les appréhendent-elles ?
Dans un contexte où les institutions financières ont recours à l’externalisation, il leur est demandé de recenser leurs activités critiques et importantes. Les prestataires de ces activités et la prestation en elle-même doivent désormais être suivis de près avant et après la contractualisation. Elles doivent dorénavant tenir un registre des arrangements critiques, effectuer des diligences sur leurs prestataires et mettre en place une gouvernance pour suivre les contrats actifs.
Il s’agit de processus nouveaux et complexes à mettre en place. Plusieurs fonctions doivent être impliquées comme les fonctions achats, les risques, les métiers, les services juridiques et conformité, et même les ressources humaines. Le TPRM (Third Party Risk Management) relève naturellement du risque opérationnel. Ainsi c’est souvent cette fonction qui a la responsabilité de mettre en place un dispositif de gestion du risque de tiers. Les établissements définissent leur modèle opérationnel, impliquant les directions citées ci-dessus avec une gouvernance et un système d’information idoine. Chaque établissement adapte son modèle en fonction de ses processus déjà existants.
Fraude, normes de conformité, réputation : les principaux risques associés aux tiers
Les tiers peuvent potentiellement contaminer les établissements de tout l’univers de risques. Mais sans être alarmiste, les principaux risques relèvent de 4 catégories : les risques financiers et de dépendance, les risques réputationnels et de responsabilité sociétale, les risques liés aux données (leur fuite, leur protection), les risques relevant de la sécurité financière, les risques cyber et IT et enfin ceux relevant du risque opérationnels (par exemple la continuité d’exploitation).
En quoi consiste le processus de Know Your supplier (KYS) ?
Le Know Your Supplier (« KYS) est une brique du TPRM qui vise à conduire des diligences sur un tiers avant de nouer une relation et tout au long de la durée de cette relation / contrat ; c’est le KYC des fournisseurs en fait. Ces diligences consistent entre autres à établir la structure actionnariale d’un fournisseur de l’entité et faire des recherches sur les bénéficiaires effectifs. D’autres éléments sont vérifiés comme par exemple l’examen d’antécédents en matière de réputation, la vérification vérifier ces certifications, la vérification du vérifier le code de conduite.
Evaluation des tiers : de quoi parle-t-on ? Et quel est le rôle des équipes financières ?
Prenons un exemple concret : un établissement bancaire fait appel à un prestataire externe pour la gestion de sa paie. Ce prestataire doit être évalué du point de vue de sa capacité à remplir la mission, en l’occurrence la gestion de la paie. Mais l’évaluation de ce tiers portera également sur des risques beaucoup plus larges : le risque de pertes de données personnelles, le risque de réputation à être associé à ce tiers si celui-ci se retrouve à la tête des journaux, etc.
Pour conclure : quel plan d’action mettre en place par les équipes Finance dans le cadre d’un dispositif de gestion des tiers en toute conformité ?
Il convient de définir un process de gestion et de contrôle des tiers, de bout en bout, c’est-à-dire couvrant l’intégralité du cycle de vie du TPRM. Pour un dispositif efficace, il est nécessaire d’impliquer dans cette gestion les services finance, achats, juridique, risque, conformité, ressources humaines, IT et peut s’avérer complexe à synchroniser. L’identification des arrangements critiques est une étape essentielle du plan d’action car elle permettra de définir un dispositif adapté à l’institution financière. La mise en place d’un outil est également une étape importante du dispositif TPRM, car il permettra de gérer le processus de bout en bout : de l’évaluation du prestataire au suivi du contrat. D’autres étapes plus opérationnelles devront également permettre de définir le dispositif de gestion des tiers comme la définition des procédures et la mise en place d’un plan de Change Management.
Pour en savoir plus sur les normes de conformité et la gestion des risques liés aux tiers, télécharger notre livre blanc dédié.