Processos no fluxo de trabalho de diligência prévia

Cada tarefa em um processo deve ser concluída antes que a próxima tarefa possa ser iniciada. As funções dos usuários que executam as várias tarefas são descritas em Funções no Gestão de risco de terceiros. O diagrama a seguir descreve o fluxo de trabalho de diligência prévia.

Processo de solicitação: pedir para iniciar um novo compromisso, reavaliar ou desativar um existente

1. Um funcionário da sua organização solicita a devida diligência para um compromisso de terceiros.
   1. O funcionário faz login em Central do funcionário em sua instância. Eles abrem o formulário de solicitação de diligência prévia e especificam o nome do terceiro e o motivo da solicitação:
      • Integrar um novo compromisso
      • Reavaliar um risco para um compromisso existente
      • Reavaliar um compromisso existente para se preparar para uma renovação de contrato
      • Desligar um compromisso com due diligence
      • Desligar um compromisso sem due diligence
   2. O funcionário fornece detalhes sobre o terceiro e o compromisso. As informações incluem o produto ou serviço que deve ser avaliado neste compromisso, o usuário que responderá ao avaliador do questionário de risco inerente (IRQ) e o contato do terceiro ou do compromisso que responderá aos questionários externos.
   3. A qualquer momento, um provedor de inteligência de risco externo pode atualizar os dados de risco para o terceiro porque um gerente de risco de terceiros (TPR) pode ter integrado os serviços de um provedor de inteligência de risco ao configurar a aplicação.
   4. O funcionário envia o formulário.
   5. O sistema envia uma confirmação por e-mail para o funcionário que fez a solicitação.
   6. O sistema envia uma notificação por e-mail para o grupo de atribuição de solicitação de diligência prévia. Um membro do grupo pode atribuir um gerente de TPR ou avaliador de TPR para atuar como o proprietário da solicitação. Esta ação aciona uma tarefa para o gerenciador de TPR.
2. O gerente de TPR define o escopo da solicitação, a atualiza conforme necessário e a aprova ou rejeita.
   1. O gerente de TPR faz login no Espaço de gestão de fornecedores e navega até a página de gestão de diligência prévia, onde revisa e atualiza a solicitação:
      • O gerente de TPR revisa a pessoa que foi sugerida como avaliador de IRQ. Se necessário, eles podem especificar uma pessoa diferente como avaliador de IRQ.
      • O gerente de TPR pode iniciar uma discussão com o solicitante e outros usuários selecionando Discutir. A mensagem é registrada na seção Atividade da guia Detalhes.

   2. O gerente de TPR rejeita ou aprova a solicitação. Se o gerente de TPR aceitar a solicitação, o processo de IRQ será iniciado.

Nota:

Os avaliadores de TPR podem criar avaliações de terceiros recorrentes para reavaliar um risco em uma programação regular. Para obter mais informações, consulte Configurar avaliação de risco para se repetir em uma programação.

Processo de IRQ: definir o escopo do risco

1. O gerente de TPR revisa e aprova o IRQ.
   1. No Espaço de gestão de fornecedores, o gerente de TPR revisa e aprova o IRQ selecionando um questionário que foi criado automaticamente por uma regra de negócios ou a partir de uma lista no sistema.

      O administrador do TPR pode criar IRQs personalizados para uma organização. O conteúdo de cada IRQ é criado e mantido pela pessoa responsável pela área de negócios, pela região ou pelo terceiro a quem as perguntas se destinam. Para definir um IRQ, o administrador de TPR adiciona perguntas de amostra a um modelo de questionário e modifica as perguntas conforme necessário. Os exemplos de perguntas são fornecidos no sistema base. Definir um IRQ é um processo sem código. O gerente de TPR pode definir as regras de negócios que selecionam automaticamente o IRQ a ser usado para um compromisso.

      Dica:

      O gerente de TPR pode usar a resposta a uma pergunta em um IRQ para determinar os questionários que são enviados ao terceiro que está sendo avaliado. Este recurso estará disponível somente se a aplicação Gestão de riscos de terceiros tiver sido ativada.

      Para obter mais informações, consulte Criar e configurar um questionário externo.

   2. O gerente de TPR rejeita a solicitação de diligência prévia ou a aprova. Quando a solicitação é aprovada, o sistema envia o IRQ para o avaliador de IRQ, que é uma parte interessada interna de uma organização.
   3. O avaliador de IRQ é notificado do IRQ por e-mail e por uma nova tarefa na fila.
      Nota:

      O sistema também pode enviar automaticamente avaliações de risco de terceiros quando ocorrem mudanças em uma pontuação de risco.
2. Usuários internos respondem ao IRQ:
   1. No Central do funcionário, qualquer usuário que esteja interessado no compromisso abre e responde ao IRQ.

      Várias respostas geram perguntas de esclarecimento adicionais. As respostas podem determinar quais questionários externos são gerados automaticamente e adicionados ao conjunto que vai para o contato do terceiro.

      Por exemplo, se um avaliador de IRQ responder que o terceiro interage com funcionários do governo como parte do compromisso, um questionário antissuborno que seja apropriado para o país do terceiro (ABAC nos EUA ou FCBA na UE e assim por diante) ) está incluído.

   2. O avaliador de IRQ envia o IRQ concluído. Esta ação aciona uma tarefa para o gerenciador de TPR.
3. As partes interessadas internas (revisor de avaliação de terceiro, avaliador de TPR, aprovador de TPR, gerente de TPR ou administrador de TPR) revisam as respostas de IRQ:
   1. No Espaço de gestão de fornecedores, os usuários revisam as respostas de IRQ.
   2. O gerente de TPR pode solicitar esclarecimentos ao avaliador de IRQ e rejeitar ou aprovar as respostas de IRQ.
   3. Se um usuário de parte interessada interna aprovar as respostas de IRQ, ele iniciará o processo de due diligence fechando a solicitação de compromisso.

Processo de diligência prévia: coletar informações para gerar uma pontuação de risco

1. Qualquer um dos seguintes processos resulta na seleção de questionários de diligência externa:
   • No Espaço de gestão de fornecedores, o gerente de TPR seleciona os questionários aos quais os contatos do terceiro respondem.
   • O sistema seleciona automaticamente os questionários de acordo com as regras de negócios que foram definidas para fazer as seleções.

2. Independentemente do método de seleção usado na etapa 1, dois questionários de diligência externa são selecionados:

   • Um conjunto coleta informações sobre a organização de terceiros. O contato do terceiro responde a esse questionário.
   • O outro conjunto coleta informações sobre a unidade de negócios na organização de terceiros que é o assunto do compromisso. O contato do compromisso (conforme especificado na solicitação de diligência prévia) responde a esse questionário.
3. No Espaço de gestão de fornecedores, o gerente de TPR revisa os questionários selecionados automaticamente aos quais os contatos do terceiro respondem. O gerente de TPR valida ou modifica as seleções e aprova o conjunto de questionários.
4. O sistema envia uma notificação por e-mail para as pessoas no terceiro. As mensagens notificam o contato do terceiro e o contato do compromisso para responder aos questionários externos.
5. No portal de terceiros, os contatos do terceiro respondem aos questionários diretamente ou atribuem as tarefas a outros contatos na organização do terceiro.

   Nota:

   O portal de terceiros está totalmente isolado da instância da sua organização.

   Em um processo iterativo, antes que o gerente de TPR feche uma avaliação, o gerente de TPR pode gerar problemas e tarefas de não conformidade. O gerente de TPR se comunica com os contatos de TP usando comentários para fechar os problemas e tarefas. O gerente de TPR também pode atribuir diferentes contatos de TP, conforme necessário. Para obter mais informações, consulte Gerenciar problemas.

6. O contato de TP e o contato do compromisso retornam os questionários preenchidos.
7. O sistema muda o estado da solicitação para Pronto para aprovação de TPRM e envia alertas para os gerentes de TPR.
8. No Espaço de gestão de fornecedores, o gerente de TPR valida que os questionários foram recebidos, concluídos e assinados, se necessário, e fecha a fase de avaliação para iniciar o processo de aprovação.

Processo de aprovação: a parte interessada interna analisa cada aspecto do risco

Todas as partes interessadas internas (aprovadores) revisam as respostas do questionário e os documentos de suporte do contato do terceiro. Se as respostas forem boas, um ou mais aprovadores aprovarão e fecharão a solicitação de DD. Se um contrato for preparado, a solicitação aprovada será movida para o processo de risco do contrato.

• Os aprovadores podem aprovar ou rejeitar a solicitação e fechá-la. Os aprovadores criam problemas para correção, conforme necessário.
  • Acorreção de um problema ocorre quando o problema subjacente que causa uma falha de controle ou exposição ao risco é corrigido. Quando um problema é criado para uma pergunta, um indicador visual aparece ao lado da pergunta no portal de terceiros.
  • Aceitar um problema é quando uma exceção é criada para uma falha de controle ou riscoconhecido.
  • Os controles que são Aceitos permanecem em um estado fora de conformidade até que o controle seja reavaliado. Dessa forma, o problema pode ser usado para documentar observações durante as auditorias.
• Fechar a solicitação a move para o processo de risco do contrato ou, se nenhum contrato estiver envolvido, o compromisso será iniciado.

Processo de risco de contrato

Após a aprovação, todas as informações de diligência prévia podem ser disponibilizadas para o negociador de contratos. Ao usar o Espaço de gestão de fornecedores, o negociador de contratos acessa todos os dados gerados durante os processos anteriores para projetar e liquidar o contrato:

• O negociador do contrato pode solicitar diligência adicional, se necessário.
• Se o negociador de contratos executar com sucesso um contrato com o terceiro, ele poderá carregá-lo e especificar que o contrato é executado para notificar automaticamente todas as principais partes interessadas.
• O negociador de contratos pode especificar que o contrato não seja executado e que o terceiro não seja contratado para negócios.
• O negociador de contratos pode especificar que o contrato foi rescindido e que o terceiro não será contratado para negócios.