Section 4.3.3 Controle des fonctions externalisees
Circulaire CSSF 22/806 sur l'externalisation (modifiée par CSSF 25/883) · CSSF 22/806
104. Les Entités concernées doivent effectuer le suivi permanent des performances des prestataires de services en ce qui concerne tous les dispositifs d’externalisation selon une approche fondée sur les risques, l’accent étant mis principalement sur l’externalisation de fonctions critiques ou importantes, en veillant notamment à garantir la continuité des services fournis dans le cadre de l’accord et la disponibilité, l’intégrité et la sécurité des données et des informations. Lorsque le risque, la nature ou l’ampleur d’une fonction externalisée a changé de manière significative, les Entités concernées doivent réévaluer le caractère critique ou important de cette fonction.
105. Les Entités concernées doivent faire preuve de la compétence, du soin et de la diligence nécessaires dans la planification, la mise en œuvre, le suivi et la gestion des dispositifs d’externalisation.
106. Les Entités concernées doivent régulièrement mettre à jour leur évaluation des risques conformément aux points 66 à 70 et informer périodiquement l’organe de direction des risques identifiés en ce qui concerne l’externalisation de fonctions critiques ou importantes.
107. Les Entités concernées doivent surveiller et gérer les risques internes de concentration auxquels elles sont confrontées en lien avec les dispositifs d’externalisation, compte tenu des points 66 à 70.
108. Les Entités concernées doivent veiller en permanence à ce que les dispositifs d’externalisation répondent à des normes d’exécution et de qualité appropriées conformément à leurs politiques, en mettant particulièrement l’accent sur les fonctions critiques ou importantes externalisées ; à cet effet, elles doivent :
a. s’assurer qu’elles reçoivent des rapports appropriés des prestataires de services ;
b. évaluer les performances des prestataires de services à l’aide d’outils tels que des indicateurs clés de performance, des indicateurs de contrôle clés, des rapports sur les prestations de services, l’autocertification ou des examens indépendants ; et
c. examiner toutes les autres informations pertinentes reçues du prestataire de services, y compris les rapports sur les mesures visant à assurer la continuité de l’activité, et les tester.
109. Les Entités concernées doivent prendre des mesures appropriées si elles constatent des lacunes dans l’exercice de la fonction externalisée. En particulier, les Entités concernées doivent assurer le suivi de toute indication selon laquelle les prestataires de services pourraient ne pas exercer la fonction critique ou importante externalisée d’une manière efficace ou conforme aux lois et aux exigences réglementaires applicables. Si des lacunes sont constatées, les Entités concernées doivent prendre les mesures correctives ou de redressement appropriées. Ces mesures peuvent notamment comprendre la résiliation de l’accord d’externalisation avec effet immédiat, si nécessaire.
110. Les Entités concernées 31 doivent informer l’autorité compétente sans délai des changements significatifs et/ou événements graves concernant leurs dispositifs d’externalisation qui pourraient avoir une incidence significative sur la poursuite de leurs activités commerciales, afin de permettre à l’autorité compétente d’évaluer si une action réglementaire est requise.