Les points suivants seront abordés. La durée par point dépendra des besoins exprimés par les participants lors du tour de table de début de formation.
Le cadre réglementaire de l'externalisation
- Standards internationaux (BCBS Outsourcing Principles)
- Union Européenne : lignes directrices, règlements et directives, incidences de DORA
- Lois, décrets et arrêtés français (CRBF – arrêté du 3/11/2014 – doctrine AMF)
- Les exigences et les conséquences pour les établissements
L'attention des Superviseurs
- Thématiques clé annuelles
- Inspections et contrôles
- Sanctions
Les caractéristiques de l'externalisation
- Le processus de décision
- Le processus de mise en place
- Le processus d'exploitation
- Les connexions et interdépendances
Les risques de l'externalisation
- Pertinence et qualité de la prestation
- Coût complet de la prestation
- Dépendance et réversibilité
- Gestion des incidents
- Enjeux de conformité réglementaire
- Enjeux de protection des données
- Enjeux de sécurité informatique / cyber résilience
- Enjeux de continuité et de reprise d'activité
- Autres aspects.
Le Vendor Risk et le KYS (« Know Your Supplier »)
- Exigences Réglementaires
- Identification des personnes morales et bénéficiaires effectifs
- Fraudes classiques et faiblesses usuelles
- Agréments, compétences, certifications, capacités
- Enregistrement – procédures internes et solutions Tiers
- Lien avec le « cahier des charges d'audit volet général »
- Le TPRM
Le « Procurement Management »
- Les enjeux classiques de la fonction
- Les bonnes pratiques de la fonction Achats
- Les différences sectorielles fortes
- Une fonction incontournable… contournée
- Une fonction classique … perdue et bousculée par les interactions multiples
Le contrôle interne de l'externalisation
- Procédures et organisation …
- Registre des prestations externalisées
- Contrôles des achats et du cadre juridique
- Suivi de la prestation et gestion des incidents
- Utilisation d'indicateurs de performance (SLA) et de risques (KRI)
- Les outils du contrôle permanent (BitSight, …)
- Contrôles internes et collaboration
- Audits périodiques indépendants
L'externalisation par l'exemple
- Traitements opérationnels (chèques, cartes, transports de fonds, …)
- Cas des marchés financiers (services titres, conservation, …)
- Action commerciale (IOBSP, agents, …)
- Supports et Services Partagés (SSC – B/O – Finance) – Cas particulier des achats de la comptabilité, de l'audit et des services d'experts (modélisation, actuariat, …)
- Services informatiques (Cloud, …)
Le cadre d'audit
- L'externalisation dans le plan d'audit
- Les particularités de l'externalisation comme objet d'audit
- Auditer un tiers
- Audits propres vs audits mutualisés.
- Suivi des recommandations d'audit des PEE.
- Le cahier des charges « général »
- Conformité contractuelle.
- Situation financière du prestataire.
- Agréments, certifications et qualité.
- Dispositif Général de Gouvernance et de contrôle interne.
- Contrôle interne de la prestation fournie.
- Dispositif de traitement des incidents relatifs à la prestation.
- Fiabilité des états de suivi et de reporting.
- Systèmes d'information et Continuité d'Activité.
- Le cahier des charges « métier »
- Exemple opérationnel
- Exemple marché financier
- Exemple système