La gestion des risques peut-elle être externalisée ?

En résumé, une gestion efficace des risques dans les projets peut aider à prévoir et à prévenir les problèmes majeurs de mise en œuvre avant qu’ils ne se produisent. Les DSI peuvent utiliser les stratégies suivantes pour atténuer certains des types de risques d’externalisation des TI les plus courants et les plus importants. Sources : 2,17,9]

De même, la gestion des risques liés à l’externalisation peut faciliter la réalisation d’audits de conformité pour les entreprises. Elle peut également aider les entreprises à rationaliser les processus pour leurs fonctions de ressources humaines et à mieux contrôler les risques juridiques. L’externalisation pourrait également permettre aux entreprises de bénéficier de systèmes plus sophistiqués qui pourraient réduire considérablement les risques. Sources : 8,9,0]

Découvrez nos solutions sans obligation d’achat

ESSAI GRATUIT 15 JOURS

La gestion des risques des tiers du NIST permet aux entreprises d’allouer et d’utiliser efficacement les ressources de gestion des risques. Quel que soit le profil de risque de votre entreprise, la mise en place d’un cadre de gestion des risques des tiers est l’un des moyens les plus efficaces de réduire l’exposition aux risques. Ils peuvent se protéger contre les risques de cyberattaques, de violations de données et autres menaces de cybersécurité. [Sources : 7,3,3,3]

Les institutions financières qui pratiquent l’externalisation doivent disposer d’un programme de gestion des risques axé sur les risques et prévoyant une supervision et des contrôles en adéquation avec les risques posés par le système d’externalisation. FRE, qui s’occupe de l’externalisation de matériaux, devrait élaborer, surveiller et mettre en œuvre des procédures pour surveiller et contrôler les risques liés à l’externalisation conformément aux directives du NIST pour la gestion des risques liés à l’externalisation. [Sources : 11,10]

La Directive B-10 exige également que les entreprises mettent en œuvre un programme de gestion des risques applicable à toutes les ententes d’impartition de matériel. En général, le BSIF s’attend à ce que les EF conçoivent un programme de gestion des risques applicable à une entente d’impartition qui n’est manifestement pas pertinente et que les ressources d’atténuation des risques utilisées dans le programme conviennent à cette entente d’impartition particulière. [Sources : 1,10]

En bref, avant de vous engager dans une relation d’externalisation, réfléchissez à tous les risques possibles auxquels votre entreprise sera confrontée, et soyez également conscient des risques potentiels pour votre entreprise et vos employés, clients et autres parties prenantes avant de poursuivre le partenariat. Plusieurs risques associés à l’externalisation doivent être soigneusement compris et gérés, tels que le risque de rupture de contrat, d’échec d’un accord ou de perte de contrôle. En évaluant les risques associés au projet d’externalisation et aux régimes associés, la gestion de ces risques peut être étendue pour prendre en compte d’autres risques, tels que l’impact d’événements défavorables sur la situation financière de l’entreprise ou l’impact sur ses employés. Sources : 5,1,13]

Si vous choisissez un prestataire pour vous aider à gérer les cyber-risques, vous devez vous familiariser avec le cadre de gestion des risques du tiers. Les experts en externalisation de la gestion des risques ont l’expérience et l’expertise nécessaires pour aider les organisations à optimiser les activités de gestion des risques. RSI Security est un partenaire expérimenté qui vous aide à gérer les risques auxquels sont exposés vos partenaires et fournisseurs par le biais de tiers appropriés et de riskManagement.com. [Sources : 3,3,4]

L’externalisation des opérations peut s’avérer rentable, mais si l’entreprise n’est pas consciente des risques encourus, la démarche peut finalement coûter plus cher que les économies escomptées. Les initiatives d’externalisation peuvent aider les organisations à devenir plus résilientes et plus rentables. L’externalisation fiscale peut être une aubaine pour les organisations à but non lucratif qui se sentent mal – et qui ne sont préparées qu’à d’autres risques financiers. Sources : 9,16,15]

Alors qu’une organisation pourrait embaucher son propre personnel de gestion des risques, l’externalisation est probablement une option moins coûteuse, car le prestataire peut répartir les coûts de personnel sur une plus longue période, par opposition à l’entreprise qui paie le coût total de l’augmentation du personnel. Bien qu’il puisse y avoir des économies potentielles, l’un des principaux avantages de l’externalisation de la gestion des risques informatiques est que les fournisseurs ont une expérience et une expertise qui vont bien au-delà de ce qui pourrait être réalisé en interne. Sources : 8,8]

L’accès au prestataire de services est un risque majeur associé à l’externalisation. La gestion des risques doit tenir compte de qui a accès aux données, même si elles sont protégées des processus internes de gestion des risques. Evaluez le document contractuel pour tous les domaines où les responsabilités en matière de gestion des risques ont été identifiées et assurez-vous que la matrice de responsabilité des risques montre quels fournisseurs de services sont contractuellement responsables de quoi. [Sources : 14,3,12]

Tout d’abord, demandez à l’institution quels sont les risques de l’externalisation dans le secteur financier, tels que la nature des fonctions externalisées, la portée de ces fonctions externalisées et le risque associé au prestataire de services. Ils suggèrent comment soutenir la mise en œuvre des activités de gestion des risques par l’externalisation et font des recommandations pour une réorientation du risque de l’organisation – des gestionnaires qui répondent aux attentes de la direction. Sources : 4,6]

Sources :

  • [0] : https://qgengroup.com/should-your-risk-management-and-compliance-be-handled-in-house-or-outsourced/
  • [2] : https://djangostars.com/blog/outsourcing-risks-and-ways-to-mitigate-them/
  • [3] : https://blog.rsisecurity.com/basics-of-the-third-party-risk-management-framework/
  • [4] : https://www.marsh.com/us/services/marsh-risk-consulting/risk-management-outsourcing.html
  • [5] : https://intetics.com/blog/outsourcing-risk-management-loss-of-visibility-and-control
  • [6] : https://www.law.ox.ac.uk/business-law-blog/blog/2018/10/financial-institutions-and-outsourcing-how-risk-managed
  • [7] : https://blog.riskrecon.com/you-cant-outsource-risk
  • [8] : https://searchdisasterrecovery.techtarget.com/answer/What-are-the-benefits-of-outsourcing-risk-mitigation-and-management
  • [9] : https://www.protiviti.com/CA-en/insights/managing-outsourcing-and-offshoring-risk
  • [10] : https://www.osfi-bsif.gc.ca/Eng/fi-if/rg-ro/gdn-ort/gl-ld/Pages/b10.aspx
  • [11] : https://analystprep.com/study-notes/frm/part-2/operational-and-integrated-risk-management/guidance-on-managing-outsourcing-risk/
  • [12] : https://isg-one.com/events-landing/2019/ssow-2019/tips-for-managing-risk-in-your-outsourcing-services-engagement
  • [13] : https://www.fedpartnership.gov/bank-life-cycle/start-a-bank/outsourcing-and-vendor-management
  • [14] : https://www.kmco.com/resource-center/article/leading-edge/managing-risks-associated-with-outsourcing/
  • [15] : http://www.rmmagazine.com/2015/05/01/the-hidden-risks-of-outsourcing/
  • [16] : https://nonprofitrisk.org/resources/articles/in-is-out-and-out-is-in-outsourcing-the-finance-or-accounting-function-in-a-nonprofit/
  • [17] : https://deloitte.wsj.com/cio/2012/07/10/it-outsourcing-4-serious-risks-and-ways-to-mitigate-them/