Modelo de dados de gestão de riscos de terceiros
Use o. Gestão de risco de terceiros(TPRM) modelo de dados para avaliar, monitorar e mitigar os riscos do seu programa de gestão de riscos.
Visão geral do modelo de dados do TPRM
. Gestão de risco de terceirosa aplicação é uma das Governança, risco e conformidadeprodutos.O modelo a seguir é usado para oferecer suporte TPRMcapacidades de.
O modelo de dados de avaliação de risco de terceiros inclui vários componentes e relacionamentos:
Componentes:
- Pontuação de inteligência de risco [sn_vdr_risk_asmt_security _score]
- Avaliação interna [sn_vdr_asmt_internal_assessment]
- Avaliação de hierarquização [sn_vdr_risk_asmt_vdr_hiering_assessment]
- Histórico de gestão orientada por eventos [sn_tprm_dd_rule_execution_history]
- Solicitação de due diligence de terceiros [sn_tprm_dd_request]
- Empresa [core_company]
- Regra de gestão orientada por eventos [sn_tprm_dd_generation_rule]
- Avaliação de risco de terceiros [sn_vdr_risk_asmt_assessment]
- Compromisso de terceiros [sn_vdr_risk_asmt_vendor_engagement]
- Contato do fornecedor [vm_dr_contact]
- Tipo de métrica de avaliação [asmt_metric_type]
- Modelo de avaliação [sn_vdr_risk_asmt_assessment_template]
- Problema de risco de terceiros [sn_vdr_risk_asmt_issue]
- Regra de pontuação de risco do compromisso [sn_vdr_risk_asmt_engagement_risk_scoring_rule]
- Classificação de risco no nível de compromisso [sn_vdr_risk_asmt_engagement_level_rating]
- Risco [sn_risk_risk]
- Controle [sn_compliance_control]
Relacionamentos:
A tabela a seguir lista as funções necessárias para os componentes no TPRMmodelo de dados.- O componente de avaliação de risco de terceiros pode ter um relacionamento de um para muitos com os seguintes componentes:
- Históricos de gestão orientados por eventos
- Solicitações de due diligence de terceiros
- Empresa
- Compromissos de terceiros
- Ocorrências de risco de terceiros
- Modelos de avaliação
- O componente históricos de gestão orientado por eventos pode ter um relacionamento de muitos para um com o componente de regras de gestão orientado por eventos.
- O componente de regras de gestão orientada por eventos pode ter um relacionamento de um para muitos com o componente do tipo de métrica Avaliação e o componente Modelo de avaliação.
- O componente de compromisso de terceiros pode ter um relacionamento de um para muitos com os seguintes componentes:
- Empresa
- Regra de pontuação de risco do compromisso
- Ocorrência de risco de terceiros
- O componente de compromisso de terceiros pode ter um relacionamento muitos para muitos com o componente de contato do fornecedor.
- O componente de contato do fornecedor pode ter um relacionamento de um para muitos com a empresa e um componente de problema de risco de terceiros.
- O componente de classificação de risco de nível de compromisso pode ter um-para-muitos com o componente de compromisso de terceiros.
- O componente de compromisso de terceiros está relacionado ao componente Risco e controle.
- O componente de pontuação de inteligência de risco está relacionado ao componente de due diligence de terceiros.
- O componente de avaliação de hierarquização pode ter um relacionamento de um para muitos com os seguintes componentes:
- Due diligence de terceiros
- Compromisso de terceiros
- Empresa
- O componente de avaliação de classificação por níveis pode ter um relacionamento muitos para muitos com o componente do tipo de métrica Avaliação.
- O componente de due diligence de terceiros pode ter relacionamentos de um para muitos com os seguintes componentes:
- Histórico de gestão orientado por eventos
- Avaliação de risco de terceiros
- Empresa
- Os seguintes componentes estão relacionados à due diligence de risco:
- Regra de gestão orientada por eventos
- Histórico de gestão orientado por eventos
- Solicitação de due diligence de risco de terceiros
- Os seguintes componentes estão relacionados à gestão de terceiros:
- Pontuação de inteligência de risco
- Avaliação interna
- Avaliações de hierarquização
- Avaliação de risco de terceiros
- Compromisso de terceiros
- Modelo de avaliação
- Ocorrência de risco de terceiros
- Regra de pontuação de risco do compromisso
- Avaliação de risco do nível da compromisso
- O componente de avaliação interna é uma extensão do componente de avaliação de hierarquização.
- O componente de controle está relacionado a. Gestão de políticas e conformidade.
- O componente de risco está relacionado a. Gestão de riscos.
- Os seguintes componentes são globais:
- Contato do fornecedor
- Empresa
- Tipo de métrica de avaliação
| Função | Descrição |
|---|---|
| aprovador sn_vdr_risk_asmt.aprovador | Aprove solicitações de due diligence no processo de gestão de riscos de terceiros. |
| sn_vdr_risk_asmt.contract_negotiator | Trabalhar na fase do processo de risco contratual do processo de integração. |
| sn_vdr_risk_asmt.vendor_assessment_reviewer | Editar avaliações. |
| sn_vdr_risk_asmt.vendor_assador | Gerencie terceiros, contatos de terceiros, avaliações de risco de terceiros e problemas e conclua solicitações de avaliação de risco de terceiros. |
| sn_vdr_risk_asmt.vendor_risk_admin | Tenha controle total sobre todos os tipos de métricas de avaliação e dados de gestão de risco do fornecedor. |
| sn_vdr_risk_asmt.vendor_risk_manager | Gerenciar terceiros, contatos de terceiros, modelos de avaliação de terceiros, modelos de questionário, modelos de solicitação de documentação, e avaliações agendadas. |
Para obter mais informações sobre as funções, consulte Funções no Gestão de risco de terceiros.
Componentes principais
TPRM é baseado no envio de avaliações e no cálculo de pontuações das respostas recebidas.
Você pode usar estes componentes principais para executar avaliações:
- Avaliação de risco de terceiros
- Compromisso de terceiros
- Due diligence de terceiros
- Configuração de pontuação
- Inteligência de risco
O diagrama a seguir mostra as tabelas principais e o fluxo para uma avaliação de risco de terceiros do TPRMmodelo de dados.
Estes são os componentes e relacionamentos que compõem o modelo de dados de avaliação de risco de terceiros.
Componentes:
- Avaliações internas [sn_vdr_risk_asmt_internal_assessment]
- Avaliações de hierarquização [sn_vdr_risk_asmt_vdr_hiering_assessment]
- Avaliações externas [sn_vdr_risk_asmt_assessment]
- Modelo de avaliação [sn_vdr_risk_asmt_template]
- Modelos de questionário [asmt_metric_type]
- Instância do questionário [asmt_assessment_instance]
- Categoria [asmt_metric_category]
- Métrica [asmt_metric]
Relacionamentos:
- O componente Métrica pode ter um relacionamento muitos para um com o componente Categoria.
- O componente Categoria pode ter um relacionamento muitos para um com o componente Questionário.
- O componente de modelos de questionário pode ter um relacionamento de muitos para um com os seguintes componentes:
- Modelo de avaliação
- Avaliações de Hierarquização
- Avaliações externas
- O componente da instância do questionário pode ter um relacionamento muitos para um com os seguintes componentes:
- Avaliações externas
- Avaliações de Hierarquização
- O componente do modelo de avaliação pode ter relacionamentos de um para muitos com os seguintes componentes:
- Avaliações de Hierarquização
- Avaliações externas
- O componente de avaliação interna é uma extensão do componente de avaliação de classificação por níveis.
- Os componentes de avaliação interna estão relacionados à due diligence de risco.
- Os seguintes componentes estão relacionados à gestão de terceiros:
- Avaliações de Hierarquização
- Avaliações externas
- Modelos de avaliação
- Os seguintes componentes são globais:
- Modelos de questionário
- Categoria
- Métrica
- Instância de questionário
Para obter mais informações sobre avaliações, consulte Avaliando o risco de terceiros.
O diagrama a seguir mostra as tabelas principais e o fluxo que são usados para a due diligence no TPRMmodelo de dados.
Estes são os componentes e relacionamentos que compõem o modelo de dados de due diligence.
Componentes:
- Terceiro [core_company]
- Compromissos [sn_vdr_risk_asmt_vendor_engagement]
- Due diligence [sn_tprm_dd_request]
- Ocorrências [sn_vdr_risk_asmt_issue]
- Tarefas [sn_vdr_risk_asmt_task]
- Contatos do fornecedor [vm_vdr_contact]
- Pontuações de inteligência de risco [sn_vdr_risk_asmt_security_score]
- Avaliações externas [sn_vdr_risk_asmt_assessment]
- Avaliações de hierarquização [sn_vdr_risk_asmt_vdr_hiering_assessment]
- Avaliações internas [sn_vdr_risk_asmt_vdr_internal_assessment]
Relacionamentos:
- O componente de terceiros tem um relacionamento um-para-muitos com subsidiárias.
- O componente de terceiros tem um relacionamento de um para muitos com os seguintes componentes:
- Contatos do fornecedor
- Avaliações internas
- Avaliações externas
- Avaliações de Hierarquização
- Pontuações de inteligência de risco
- Ocorrências
- Tarefas
- O componente de due diligence tem um relacionamento de um para muitos com os seguintes componentes:
- Contatos do fornecedor
- Avaliações internas
- Avaliações de Hierarquização
- Pontuações de inteligência de risco
- O componente Compromissos tem um relacionamento de um para muitos com os seguintes componentes:
- Contatos do fornecedor
- Avaliações internas
- Avaliações externas
- Avaliações de Hierarquização
- Ocorrências
- Tarefas
- O componente de terceiros está relacionado ao componente de due diligence.
- O componente Compromissos está relacionado ao componente de due diligence.
- O componente Avaliações externas está relacionado ao componente de due diligence.
- O componente de avaliação interna é uma extensão do componente de avaliação de classificação por níveis.
- Os seguintes componentes estão relacionados à due diligence de risco:
- Due diligence
- Avaliações internas
- Os seguintes componentes estão relacionados à gestão de terceiros:
- Acordos
- Ocorrências
- Tarefas
- Pontuações de inteligência de risco
- Avaliações externas
- Avaliações de Hierarquização
- Os seguintes componentes são globais:
- Terceiro
- Contato do fornecedor
O diagrama a seguir mostra as funções, os processos e as opções necessários que fazem parte do fluxo de trabalho de due diligence.
Para obter mais informações sobre o fluxo de trabalho de due diligence, consulte Fluxo de trabalho de due diligence.
O diagrama a seguir mostra as tabelas principais que são usadas para pontuar o. TPRMmodelo de dados.
Estes são os componentes e relacionamentos que compõem o modelo de dados de pontuação.
Componentes:
- Terceiro [core_company]
- Regra de pontuação de risco de terceiros [sn_vdr_risk_asmt_vendor_risk_scoring_rule]
- Critérios de componente [sn_vdr_risk_asmt_component_criteria]
- Componentes [sn_vdr_risk_asmt_component]
- Compromisso [sn_vdr_risk_asmt_vendor_engagement]
- Regra de pontuação de risco do compromisso [sn_vdr_risk_asmt_engagement_risk_scoring_rule]
- Critérios da área de risco [sn_vdr_risk_asmt__risk_area_criteria]
- Domínios de risco [sn_vdr_risk_asmt_risk_area_definition]
Relacionamentos:
- O componente de critérios da área de risco tem um relacionamento de um para muitos com o componente de domínio de risco.
- O componente de critérios da área de risco tem um relacionamento de um para um com o componente de regra de pontuação de risco de compromisso e o componente de regra de pontuação de risco de terceiros.
- A regra de pontuação de risco do compromisso tem um relacionamento de um para muitos com o componente do compromisso.
- Os critérios do componente têm um relacionamento um-para-muitos com os componentes.
- Os critérios do componente têm um relacionamento de um para um com o componente de regra de pontuação de risco de terceiros.
- O componente da regra de pontuação de risco de terceiros tem um relacionamento de um para muitos com o componente de terceiros.
- Todos esses componentes estão relacionados à gestão de terceiros.
Use a configuração de pontuação em TPRMconfigure como as pontuações das avaliações de risco externas são agregadas aos compromissos e a terceiros. As tabelas de critérios têm as informações relacionadas à agregação das pontuações de vários registros (MIN, MAX, AVG) ou de várias tabelas (ponderações para cada tabela). Use as regras de pontuação para agrupar terceiros ou compromissos e atribuir critérios. Você pode configurar todos os registros nessas tabelas sem qualquer personalização.
Para obter mais informações sobre pontuação, consulte Cálculos de pontuação e classificações de risco de terceiros.
O diagrama do modelo a seguir mostra as tabelas principais usadas para inteligência de risco no TPRMmodelo de dados.
Estes são os componentes e relacionamentos que compõem o modelo de dados de inteligência de risco.
Componentes:
- Terceiro [core_company]
- Serviços do provedor [sn_vdr_risk_asmt_tpss_provider]
- Pontuações de inteligência de risco [sn_vdr_risk_asmt_security_score]
- Subfatores de pontuação [sn_vdr_risk_asmt_tpss_subfactor]
Relacionamentos:
- O componente Provedores de inteligência de risco tem um relacionamento de um para muitos com o componente Serviços de provedores.
- O componente Serviços de provedores tem um relacionamento um para muitos com o componente de pontuações de inteligência de risco.
- O componente de pontuações de inteligência de risco tem um relacionamento de um para muitos com o componente de subfatores de pontuações.
- O componente de pontuações de inteligência de risco está relacionado ao componente Provedores de inteligência de risco.
- Todos esses componentes estão relacionados à gestão de terceiros.
Para obter mais informações sobre inteligência de risco, consulte Gestão de solicitações de relatório de inteligência de risco.