A ACME, uma grande empresa de fabricação, está em processo de integração de um novo terceiro para fornecer componentes críticos para sua linha de produção. Para ajudar a garantir a confiabilidade do terceiro e mitigar possíveis riscos, a Acme inicia um processo completo de integração da gestão de riscos de terceiros.

Exemplo de processo de integração

Processo de solicitação
Qualquer funcionário (normalmente um usuário que deseja fazer negócios com um terceiro) cria o caso de negócios para iniciar o processo de due diligence para uma avaliação de risco.

Um gerente de risco de terceiros (TPR) revisa a solicitação de due diligence para o compromisso e a aprova.

Processo do Questionário de risco inerente (IRQ)

Depois que a solicitação é aprovada, o avaliador de IRQ conclui a avaliação interna respondendo ao IRQ.

Com base nas informações coletadas, a Acme avalia os possíveis riscos associados ao terceiro. Eles avaliam fatores como estabilidade financeira, capacidade operacional, adesão aos padrões de qualidade, conformidade com regulamentações e a capacidade do terceiro de atender aos cronogramas de entrega. Esta avaliação ajuda a Acme a entender o perfil de risco do terceiro e determinar as estratégias de mitigação de risco apropriadas.

Processo de due diligence: Verificação de conformidade e avaliação de segurança de dados e privacidade

Quando o processo de IRQ estiver concluído, Acme TPRM a aplicação envia questionários e solicitações de documentação para o terceiro. Como parte de uma avaliação, você pode enviar vários questionários e solicitações de documentos. A ACME pode solicitar documentos: Certificações, licenças ou relatórios de auditoria de terceiros para validar a conformidade.

Nota: Para simplificar e automatizar o processo de determinar quais questionários e solicitações de documento enviar a terceiros desse tipo, a equipe da Acme desenvolveu modelos de avaliação . Eles definiram modelos de questionário, modelos de solicitação de documento ou ambos e os agruparam em um modelo de avaliação. A ACME pode reutilizar o modelo para enviar os questionários apropriados, solicitações de documentos ou ambos para terceiros semelhantes em avaliações futuras.

A ACME usa as respostas de terceiros e a análise interna para determinar se o terceiro atende a todos os requisitos de conformidade necessários. Isso inclui verificar a conformidade do terceiro com as leis e regulamentações aplicáveis, como regulamentações ambientais, leis trabalhistas e políticas anticorrupção.

Dada a natureza confidencial dos componentes envolvidos, a Acme avalia as práticas de privacidade e segurança de dados de terceiros. Eles avaliam as medidas de segurança da informação de terceiros, as políticas de proteção de dados, os controles de acesso e os processos de gestão de vulnerabilidades. Se o terceiro tiver acesso às informações proprietárias da Acme ou aos dados do cliente, poderá exigir que o terceiro passe por uma auditoria de segurança cibernética ou forneça evidências de suas medidas de proteção de dados.

Acordos Contratuais e Mitigação de Risco

Para proteger seus interesses, o negociador de contratos de TPR na ACME (geralmente advogado corporativo) incorpora disposições contratuais específicas para lidar com os riscos identificados. O negociador de contratos usa as informações obtidas nos processos de IRQ e due diligence para incluir cláusulas relacionadas a conformidade, padrões de qualidade, confidencialidade, proteção de dados, continuidade de negócios, e mecanismos de resolução de litígios. O contrato também pode descrever métricas de desempenho, expectativas e cláusulas de rescisão se houver uma não conformidade ou violação.

Monitoramento e revisão contínuos

A ACME estabelece um processo de monitoramento contínuo para avaliar regularmente o desempenho do terceiro e a adesão aos termos acordados. As pessoas em sua organização podem executar manualmente revisões financeiras periódicas, auditorias de qualidade, visitas ao local ou pesquisas. Eles também estabelecem canais de comunicação para lidar com quaisquer preocupações ou mudanças no perfil de risco do terceiro.