Les agences bancaires fédérales publient des directives interagences finales sur la gestion des risques dans les relations avec des tiers

La Réserve fédérale, la FDIC et l’OCC ont publié des directives interinstitutions finales pour leurs organisations bancaires supervisées respectives sur la gestion des risques associés aux relations avec des tiers, y compris les relations avec des entités axées sur la technologie financière telles que les accords de parrainage de banques/fintech. Les orientations visent à fournir des principes de gestion efficace des risques liés aux tiers pour tous les types de relations avec des tiers, quelle que soit leur structure. Dans le même temps, les agences déclarent que les organisations bancaires disposent d’une flexibilité dans leur approche pour évaluer les risques posés par chaque relation avec un tiers et décider de la pertinence des considérations discutées dans les orientations finales.

Les directives finales annulent et remplacent les directives précédemment publiées par chaque agence sur les pratiques de gestion des risques pour les relations avec des tiers. Dans leur proposition de juillet 2021, les agences avaient inclus en annexe une FAQ publiée par l’OCC pour compléter les directives existantes de 2013 de l’OCC sur la gestion des risques liés aux tiers. Les orientations proposées incluaient les FAQ révisées en tant que pièce jointe et les organismes ont sollicité des commentaires sur la mesure dans laquelle les concepts abordés dans les FAQ devraient être intégrés dans les orientations finales. Dans leur discussion sur les orientations finales, les agences identifient les concepts de la FAQ qui ont été incorporés dans les orientations finales.

Les directives finales stipulent :

Ces directives traitent de tout accord commercial entre une organisation bancaire et une autre entité, par contrat ou autrement. Une relation avec un tiers peut exister malgré l’absence de contrat ou de rémunération. Les relations avec des tiers peuvent inclure, mais sans s’y limiter, des services externalisés, l’utilisation de consultants indépendants, des accords de recommandation, des services de traitement des paiements marchands, des services fournis par des sociétés affiliées et des filiales et des coentreprises. Certaines organisations bancaires peuvent nouer des relations avec des tiers avec des structures et des caractéristiques nouvelles ou novatrices, telles que celles observées dans les relations avec certaines entreprises de technologie financière (fintech). Les rôles et responsabilités respectifs d’un organisme bancaire et d’un tiers peuvent différer en fonction des circonstances particulières de la relation. Lorsque la relation avec un tiers implique la fourniture de produits ou de services à des clients ou toute autre interaction avec eux, l’organisme bancaire et le tiers peuvent avoir divers degrés d’interaction avec ces clients.

Dans une note de bas de page, les agences indiquent que le terme « arrangement commercial » est censé être interprété au sens large et est synonyme du terme « relation avec un tiers ». La proposition stipulait que l’expression « relation d’affaires » excluait généralement une relation client. Dans leur discussion sur les orientations finales, les agences indiquent que ce texte a été supprimé des orientations finales car certaines relations commerciales peuvent intégrer des éléments ou des caractéristiques d’une relation client.

Les directives finales commencent par un aperçu de la gestion des risques dans lequel les agences reconnaissent que toutes les relations avec des tiers ne présentent pas le même niveau de risque et ne nécessitent donc pas toutes le même niveau ou type de surveillance ou de gestion des risques. Elle prévoit que, dans le cadre d’une saine gestion des risques, chaque établissement bancaire a la responsabilité d’analyser les risques associés à chaque relation avec des tiers et d’adapter ses processus de gestion des risques, en fonction de la taille, de la complexité et du profil de risque de l’établissement bancaire et de la nature de la relation avec le tiers. De plus, dans le cadre d’une saine gestion des risques, les organismes bancaires doivent s’engager dans une surveillance plus complète et plus rigoureuse des relations avec les tiers qui soutiennent les activités à haut risque, y compris les activités critiques. Les activités critiques peuvent inclure des activités qui pourraient (1) exposer un organisme bancaire à un risque important si le tiers ne répond pas aux attentes, (2) avoir des répercussions importantes sur les clients, ou (3) avoir un impact important sur la situation financière d’un organisme bancaire ou opérations.

Les agences reconnaissent que bien que chaque organisation bancaire soit responsable d’avoir une méthodologie solide pour identifier ses activités critiques et les relations avec les tiers qui soutiennent ces activités, une activité qui est critique pour une organisation bancaire peut ne pas l’être pour une autre.

Comme indiqué ci-dessous, les autres sections des directives traitent du cycle de vie des relations avec des tiers, de la gouvernance et des examens de supervision des relations avec des tiers.

Cycle de vie de la relation avec un tiers. Les agences déclarent que la mesure dans laquelle les exemples de considérations discutés dans les directives sont pertinentes pour chaque organisation bancaire est basée sur des faits et des circonstances spécifiques et les exemples donnés peuvent ne pas s’appliquer à toutes les relations avec des tiers d’une organisation bancaire. Les orientations soulignent l’importance d’impliquer du personnel possédant les connaissances et les compétences requises à chaque étape du cycle de vie de la gestion des risques, ainsi que des experts de toutes les disciplines, telles que la conformité, les risques ou la technologie, des conseillers juridiques et un soutien externe. Les orientations traitent des étapes suivantes du cycle de vie :

• Planifier une relation en évaluant et en considérant comment gérer les risques avant d’entrer dans une relation avec un tiers
• Due diligence et sélection de tiers
• Négociation de contrat
• Surveillance continue
• Résiliation

Pour chaque étape du cycle de vie, les orientations traitent d’une série de facteurs qu’un organisme bancaire prend généralement en compte en fonction du degré de risque et de complexité de la relation avec un tiers.

Gouvernance. Les orientations proposées incluaient la surveillance et la responsabilisation en tant qu’étapes distinctes du cycle de vie. Dans leur discussion sur la règle finale, les agences déclarent qu’elles ont réorganisé les directives pour préciser que la surveillance et la responsabilité se produisent tout au long du cycle de vie de la gestion des risques et ne constituent pas une étape spécifique. Les orientations finales incluent la surveillance et la responsabilité dans le cadre de la gouvernance. Il distingue les responsabilités du conseil de celles de la direction et énumère divers facteurs qu’un conseil d’administration (ou un comité désigné du conseil) prend généralement en compte tout au long du cycle de vie de la gestion des risques de tiers dans l’exercice de sa responsabilité de surveillance de la gestion des risques de tiers. et tenir la direction responsable. D’autres pratiques que les agences identifient comme généralement considérées par les organisations bancaires tout au long du cycle de vie de la gestion des risques sont les examens indépendants, la documentation et les rapports. Les directives énumèrent divers facteurs généralement pris en compte dans les examens indépendants périodiques et fournissent des exemples de processus qui soutiennent une documentation et des rapports internes efficaces que les agences ont observés.

Examens de surveillance des relations avec des tiers. Les directives stipulent que chaque agence examinera la gestion des risques des relations avec des tiers de ses organisations bancaires supervisées dans le cadre de ses processus de surveillance standard. Les revues prudentielles évalueront les risques et l’efficacité de la gestion des risques afin de déterminer si les activités sont menées de manière sûre et saine et en conformité avec les lois et réglementations applicables. Les orientations indiquent que la portée d’un examen prudentiel dépendra du degré de risque et de la complexité associés aux activités de l’organisme bancaire et aux processus de gestion par des tiers. Il énumère diverses activités généralement menées par les examinateurs lors de l’examen des processus de gestion des risques de tiers. Les agences notent que lorsque les circonstances le justifient, elles peuvent utiliser leur autorité légale pour examiner les fonctions ou les opérations qu’un tiers exécute au nom d’un organisme bancaire et ces examens peuvent évaluer la capacité du tiers à remplir ses obligations de manière sûre et saine et à se conformer aux lois et réglementations applicables, y compris celles conçues pour protéger les consommateurs et fournir un accès équitable au crédit.

Les orientations finales démontrent l’attention accrue que les régulateurs entendent accorder aux relations avec les tiers et, en particulier, aux programmes de partenariat bancaire. Étant donné que les directives n’énoncent pas d’attentes concrètes applicables à tous ces arrangements, nous prévoyons, malheureusement, que les directives finales seront citées pour étayer les critiques d’examen de manière incohérente d’un établissement à l’autre. De plus, nous sommes d’accord avec la gouverneure de la Fed Michelle Bowman, qui a déclaré qu’elle pensait que les banques communautaires trouveraient les directives finales difficiles à mettre en œuvre et a critiqué les agences pour ne pas avoir fourni de ressources avec la publication des directives finales afin de réduire la confusion et le fardeau réglementaire sur ceux établissements. Quel que soit le type d’institution, les directives finales obligeront les institutions à reconsidérer les processus concernant leurs partenaires bancaires tout au long du cycle de vie de la relation avec un tiers et à documenter leurs processus ou à faire face à des critiques importantes. Les avocats du groupe des services financiers aux consommateurs de Ballard Spahr ont une vaste expérience pour aider les clients à s’assurer que leurs relations avec des tiers sont entièrement conformes aux attentes des régulateurs.