Conformità alla dichiarazione di vigilanza SS2/21: una guida completa alla gestione del rischio di terze parti

Con la crescente complessità e interconnettività del mondo finanziario odierno, la gestione del rischio di terze parti è ora uno degli elementi essenziali per fare business. Consapevole di quanto sopra, la Prudential Regulation Authority (PRA) ha rilasciato una dichiarazione di vigilanza SS2/21 nel marzo 2021. Nell'applicare questo quadro, le società regolamentate nel Regno Unito hanno aspettative in merito all'outsourcing e alla gestione delle relazioni con terzi.

In particolare, la SS2/21 dedica particolare attenzione alla sana governance e alla gestione del rischio per l'intero ciclo di vita dei contratti di outsourcing. Pertanto, realizzando le linee guida esternalizzate dell'Autorità bancaria europea (EBA), il quadro è volto a migliorare la resilienza operativa, proteggere i processi necessari e mantenere i cambiamenti normativi.

Comprendere la gestione del rischio di terze parti

La gestione del rischio di terze parti consiste nell'identificazione, valutazione e controllo dei rischi associati ai fornitori di servizi di outsourcing. In SS2/21, viene fatta una distinzione tra accordi di esternalizzazione laddove gli impianti e le attività regolamentati sono esternalizzati e altri rapporti con terzi che non si riferiscono necessariamente alle operazioni regolamentate.

La proporzionalità è un'altra componente chiave della gestione di terze parti; le diverse relazioni devono contenere diversi gradi di supervisione in base al rischio potenziale che ciascuna rappresenta per l'impresa. Il quadro richiede politiche efficaci per ulteriori aspetti della continuità operativa dei servizi online, della protezione dei dati e della gestione del rischio.

Secondo PwC Regno Unito, la protezione dei dati rimane una base importante per la gestione di terze parti. I forum devono garantire che i fornitori di servizi rispettino il Regolamento generale sulla protezione dei dati (GDPR) e altri standard relativi alla protezione dei dati e garantire informazioni sicure e un basso rischio di perdita o fuga.

‍

Requisiti chiave della SS2/21

La SS2/21 stabilisce requisiti chiari per la gestione dei rischi di terze parti:

1. Governance e gestione del rischio

Le imprese dovevano sviluppare solidi quadri di governo societario che coprissero le relazioni con le terze parti per evitare che l'eventuale diluizione di queste efficienti sessantotto sinergie soffocasse la capacità delle organizzazioni di soddisfare i requisiti normativi.

2. Valutazioni di materialità

Gli accordi con terzi dovrebbero essere considerati rilevanti. Se le azioni e le decisioni possono compromettere la resilienza operativa, la conformità normativa o la stabilità finanziaria, un fallimento è considerato grave e sottoposto a un monitoraggio più attento.

3. Sicurezza dei dati

I fornitori di servizi sono vincolati dagli obblighi del GDPR e dagli standard ISO di sicurezza IT, incluso Cyber Essentials Plus, per garantire la riservatezza, l'integrità e l'accessibilità dei dati IS.

4. Continuità aziendale e pianificazione delle uscite

La continuità operativa completa e la gestione delle uscite sono fattori critici per la gestione delle interruzioni causate da fonti pianificate e non pianificate. Herbert Smith Freehills sottolinea che le aziende dovrebbero distinguere tra uscite stressate e non stressate.

5. Diritti di accesso e controllo

I contratti dovrebbero consentire alle aziende di ottenere dati, eseguire verifiche e ottenere certificazioni in grado di valutare in modo indipendente la conformità.

Approfondimenti dall'analisi del settore

I leader del settore hanno condiviso informazioni sull'impatto della SS2/21 sulle organizzazioni e sulle migliori pratiche per la conformità:

1. Finanza del Regno Unito raccomanda di collegare la governance e la resilienza operativa dell'organizzazione agli approcci basati sul rischio e di proporre la presenza di politiche e procedure complete.
2. Quando si tratta di conformità, PwC Regno Unito conferma che la tecnologia è preziosa per la valutazione dei processi e la gestione dei dati dei fornitori.
3. Piper DLA presta molta attenzione all'importanza di garantire che l'outsourcing corrisponda alla legislazione attuale, compresi il GDPR e l'EBA.

Queste analisi forniscono strategie pratiche per le aziende per affrontare le complessità della SS2/21 e migliorare le loro pratiche di gestione del rischio.

Soddisfare la conformità SS2/21 con la piattaforma Prevalent

La SS2/21 può sembrare opprimente a causa dei requisiti di conformità a più livelli e delle aree di rischio e, sebbene la valutazione possa a volte essere complicata, la piattaforma Prevalent TPM dispone di tutti gli strumenti successivi. Ogni attributo della piattaforma soddisfa alcuni dei requisiti del framework gestendo in modo efficiente i dati dei fornitori, automatizzando la valutazione del rischio e supportando il monitoraggio continuo.

Caratteristiche principali della piattaforma

• Valutazione della materialità: Semplifica la categorizzazione dei fornitori poiché elimina la necessità di una valutazione manuale della loro importanza e dei fattori di rischio. Ciò significa che le aziende sono in grado di dare priorità alla sorveglianza in base al rischio dei servizi dei propri fornitori.
• Monitoraggio del rischio: Sono disponibili informazioni continue e sempre aggiornate sulle minacce nel cyberspazio, sui potenziali danni alla reputazione, sui rischi associati alla finanza e sulle prestazioni operative dell'azienda. Pertanto, conoscere i rischi emergenti consente alle aziende di agire di conseguenza per prevenire potenziali perturbazioni.
• Mappatura della conformità: La piattaforma Prevalent collega i risultati della valutazione con i quadri normativi più comuni come GDPR, ISO-27001 e NIST. Questa funzionalità di mappatura semplifica il processo di rendicontazione e ottimizza la preparazione degli audit, consentendo alle aziende di dimostrare facilmente la conformità.
• Automazione del workflow: Anche dal semplice processo di avvio con un fornitore fino all'uscita, la piattaforma si occupa di tutti gli accordi e i problemi di approvvigionamento. Tra questi, includono valutazioni del rischio, contratti e azioni correttive, e si può fare di più automatizzando queste aree. I processi di conformità integrati garantiscono che i processi di conformità, in generale, siano ottimizzati al massimo.

Resilienza operativa migliorata

Oltre alla conformità normativa, la piattaforma Prevalent rafforza la resilienza operativa complessiva. Offre:

1. Gestione centralizzata dei dati: Con il consolidamento degli elenchi di fornitori, contratti e rischi, la piattaforma consente a tutte le parti interessate di avere pieno accesso a tutte le informazioni.
2. Valutazioni del rischio personalizzabili: Un set prevalente di modelli di valutazione originali e personalizzabili risponde direttamente a particolari problemi di conformità; questo set di modelli si concentra sulla sicurezza dei sistemi ICT, sulla conformità al GDPR dell'UE e sui risultati finanziari.
3. Monitoraggio continuo: le continue minacce informatiche, finanziarie e reputazionali alle aziende sono gestite tramite funzionalità native che prevengono i rischi che possono aggirare le valutazioni regolari. Le notifiche e i panel forniscono informazioni a supporto delle preoccupazioni da formulare senza indugio.
4. Scalabilità per esigenze diverse: Lo fa sia che l'utente gestisca una piccola azienda con pochi fornitori o una grande organizzazione con un complicato schema di catena di fornitura; questo rende la piattaforma sufficientemente flessibile senza dover sacrificare la conformità.

Vantaggi in pratica

• Efficienza: Ciò non solo riduce al minimo il carico di lavoro amministrativo, ma offre anche vantaggi significativi attraverso il consolidamento delle risorse per le operazioni di gestione del rischio.
• Precisione: gli aggiornamenti in tempo reale e la mappatura della conformità applicati sulla piattaforma eliminano le congetture e consentono alle aziende di rimanere dalla parte giusta della legge.
• Preparazione: Gli strumenti di gestione delle contingenze sono anche robusti nel monitoraggio e nella gestione delle crisi, consentendo alle organizzazioni di tenere il passo con diverse emergenze in modo efficace.

‍

Implementazione di una strategia di gestione del rischio di terzi

Per soddisfare efficacemente i requisiti SS2/21, le aziende dovrebbero adottare un approccio strutturato:

Sviluppo delle politiche

Inizia con lo sviluppo di politiche univoche per stabilire controlli per decidere la rilevanza delle divulgazioni, politiche di protezione dei dati o politiche relative alla valutazione dei fornitori di merci. Queste politiche dovrebbero essere flessibili e adattarsi all'ambito di attività dell'azienda.

Gestione del ciclo di vita

Implementa un processo sistematico per la gestione dei fornitori durante tutto il loro ciclo di vita:

1. Onboarding: È necessario effettuare una ricerca completa e una prima valutazione del rischio.
2. Monitoraggio continuo: Le valutazioni del rischio devono essere eseguite regolarmente e i risultati devono essere modificati in base alle situazioni che si verificano di volta in volta.
3. Disimbarco: È anche importante elaborare strategie di uscita per evitare l'interruzione del normale flusso di affari al momento della partenza.

Sfruttare la tecnologia

Le soluzioni moderne come la piattaforma Prevalent TPM possono alleggerire l'onere della conformità gestendo e analizzando i dati e i processi eseguiti.

Affrontare le sfide della conformità

I rischi di terze parti non sono facili da gestire, le insidie sono i rischi di concentrazione, il vincolo con il fornitore e ulteriori interruzioni delle operazioni. Le aziende devono affrontarli attraverso una combinazione di politiche solide e strumenti avanzati:

Rischi di concentrazione

La mancanza di diversificazione aumenta le passività; i rischi aumentano quando diversi componenti di origine provengono dallo stesso fornitore o dalla stessa regione. Le aziende dovrebbero eccellere nella gestione dei propri fornitori e mirare sempre ad avere relazioni diversificate nella catena di fornitura.

Lock-In del fornitore

Questa eccessiva dipendenza dai principali fornitori di servizi impedisce la flessibilità. I modi più efficaci per gestire questo tipo di rischio sono avere strategie di uscita molto chiare e la capacità di identificare altri fornitori del servizio.

Interruzioni operative

I guasti improvvisi tendono a interrompere alcune operazioni importanti per la maggior parte del tempo. Le organizzazioni devono creare e adottare strategie di implementazione in caso di crisi.

A tal fine, Prevalent si avvale di una piattaforma in grado di monitorare, individuare le dipendenze e gestire la resilienza in modo ottimale.

La differenza prevalente

Prevalent semplifica la SS2/21 perché è una soluzione centralizzata che automatizza il processo di gestione del rischio di terze parti. Le sue caratteristiche principali includono:

• Consolidamento dei fornitori per semplificare le operazioni di gestione in modo più efficace.
• Maggiore sorveglianza dei rischi in tempo reale.
• Funzioni di reporting integrate conformi alle norme e ai regolamenti per ridurre la complessità degli audit.

Consentono alle aziende di raggiungere gli imprevisti rispetto agli obiettivi strategici, affrontando al contempo adeguatamente i problemi normativi.

Conclusione

La dichiarazione di vigilanza SS2/21 è una linea guida molto importante per il miglioramento della resilienza operativa nelle aziende soggette alla regolamentazione del Regno Unito. Ciò significa che attraverso solide pratiche e strumenti di gestione del rischio di terze parti come Prevalent, un'organizzazione non deve affrontare le decisioni di conformità con incertezza.

SS2/21 non è solo un requisito normativo, ma anche un quadro di gestione per migliorare la gestione organizzativa della complessità nell'ambiente interconnesso. Le aziende che cercano la conformità saranno in grado di mitigare i rischi, salvaguardare gli interessi degli stakeholder e fornire valore in un contesto finanziario complesso e in continua evoluzione.

‍