Section 4.2.1 Dispositifs de bonne gouvernance et risque de tiers
Circulaire CSSF 22/806 sur l'externalisation (modifiée par CSSF 25/883) · CSSF 22/806
tiers 30. Dans le cadre du dispositif de contrôle interne d’ensemble, y compris les mécanismes de contrôle interne 18, les Entités concernées doivent disposer d’un cadre global de gestion des risques à l’échelle de l’entité, s’étendant à toutes les activités et unités internes. Dans ce cadre, les Entités concernées doivent identifier et gérer tous les risques auxquels elles sont exposées, y compris les risques résultant d’arrangements avec des tiers. Le cadre de la gestion des risques doit également permettre aux Entités concernées de prendre des décisions éclairées en matière de prise de risques et de veiller à ce que les mesures de gestion des risques soient mises en œuvre de façon appropriée, notamment en ce qui concerne les cyber-risques 19.
31. Les Entités concernées, compte tenu du principe de proportionnalité, doivent identifier, évaluer, surveiller et gérer tous les risques auxquels elles sont ou pourraient être exposés dans le cadre d’arrangements conclus avec des tiers, qu’il s’agisse ou non d’accords d’externalisation. Les risques, en particulier les risques opérationnels, de tous les arrangements conclus avec des tiers, doivent être évalués conformément aux points 66 à 70.
32. Les Entités concernées doivent veiller à se conformer à toutes les exigences du RGPD, y compris en ce qui concerne les arrangements conclus avec des tiers et les accords d’externalisation.