Bewertung Ihres Drittparteirisikos

  • Freigeben Version: Yokohama
  • Aktualisiert 30. Januar 2025
  • 9 Minuten Lesedauer

    • Verwenden Risikomanagement von DrittparteienUm potenzielle Risiken zu identifizieren und zu bewerten, die mit Ihren Drittparteibeziehungen verbunden sind. Die Informationen, die aus internen Fragebogen, externen Fragebogen und Dokumentationsanforderungen gesammelt werden, helfen Ihnen, das Risikoprofil der Drittpartei zu verstehen, die entsprechenden Risikominderungsstrategien zu bestimmen und zu bestimmen, ob die Drittpartei oder das Projekt alle erforderlichen Compliance-Anforderungen erfüllt.

    Antwort auf Fragebogen

    Die folgenden Prozesse beschreiben den Zeitpunkt und die Methoden für die Beantwortung interner und externer Fragebogen:

    Prozess des Fragebogens für inhärentes Risiko (IRQ)

    Die folgende Infografik zeigt den IRQ-Prozess.


    Infografik, die den IRQ-Prozess im Due Diligence-Workflow anzeigt. Die Textbeschreibung finden Sie in den folgenden Prozessschritten.
    Im Folgenden sind die Schritte des IRQ-Prozesses aufgeführt.
    1. Nachdem die Sorgfaltspflicht-Anforderung vom TPR-Manager [sn_vdr_risk_asmt.vendor_risk_manager] oder TPR-Beurteiler [sn_vdr_risk_asmt.vendor_assessor] genehmigt wurde, der als Besitzer der Sorgfaltspflicht-Anforderung zugewiesen wurde, wählt er eine IRQ aus und hängt sie an eine interne Bewertung an.
    2. Das System sendet eine E-Mail-Benachrichtigung an den Mitarbeiter, der als IRQ-Beurteiler [snc_internal] zugewiesen wurde.
    3. Der IRQ-Beurteiler schließt die interne Risikobewertung ab, indem er auf die IRQ antwortet.
    4. Nachdem der IRQ-Beurteiler seine Antworten übermittelt und der TPR-Manager oder der Besitzer die IRQ überprüft und geschlossen hat, wird der Status der Sorgfaltspflicht-Anforderung von „IRQ in Bearbeitung“ zu „IRQ in Überprüfung“ aktualisiert.
    Hinweis:
    Ändern Sie eine Fragebogenvorlage nicht, nachdem sie als Teil einer internen Bewertung gesendet wurde. Duplizieren Sie stattdessen die Vorlage, indem Sie eine Kopie erstellen und Ihre Änderungen in der neuen Kopie vornehmen. Wenn Sie einen Fragebogen aktualisieren, nachdem er gesendet wurde, werden die Änderungen nicht in der Version angezeigt, die dem IRQ-Beurteiler angezeigt wird. Um eine aktualisierte Version zu senden, müssen Sie den vorhandenen Fragebogen abbrechen, indem Sie ihn von der internen Bewertung trennen und dann den Fragebogen mithilfe der aktualisierten Vorlage hinzufügen. Weitere Informationen finden Sie unter Erstellen Sie einen Fragebogen oder eine Dokumentanforderungsvorlage und Erstellen Sie einen Fragebogen oder eine Dokumentanforderungsvorlage mit dem Designer.

    Basierend auf den gesammelten Informationen bewerten der TPR-Manager und sein Team die potenziellen Risiken, die mit der Interaktion verbunden sind. Sie bewerten Faktoren wie die finanzielle Stabilität, die operative Kapazität, die Einhaltung von Qualitätsstandards, die Compliance mit Vorschriften und die Fähigkeit der Drittpartei, Lieferzeitpläne einzuhalten. Diese Bewertung hilft dem Team, das Risikoprofil der Drittpartei zu verstehen und die entsprechenden Risikominderungsstrategien zu bestimmen.

    Weitere Informationen zu IRQ finden Sie unter Antworten Sie auf eine IRQ.

    Drittpartei-Elementsammlungsprozess: Sammeln Sie TP-Elementinformationen

    Die folgende Infografik zeigt den TP-Elementsammlungsprozess.


    Infografik, die den TP-Elementsammlungsprozess im Due Diligence-Workflow anzeigt. Die Textbeschreibung finden Sie in den folgenden Prozessschritten.
    Im Folgenden sind die Schritte des TP-Elementsammlungsprozesses aufgeführt.
    1. Nachdem Ihre Sorgfaltspflicht-Anforderung den IRQ-Prozess abgeschlossen hat, wählt der TPR-Manager oder der Besitzer der Sorgfaltspflicht-Anforderung TP-Elemente aus Sammlung starten Und eine Sammlungsaufgabe wird erstellt.
    2. Der TPR-Manager oder -Besitzer weist einer externen Bewertung Fragebogen für TP-Elemente zu, um Elemente zu sammeln, und sendet diese Bewertung an eine Interaktion, um die erforderlichen Informationen für TP-Elemente zu sammeln.
    3. Das System sendet eine E-Mail-Benachrichtigung an den Drittpartei-Interaktionskontakt, dem der TP-Elementfragebogen zugewiesen wurde.
    4. Nachdem der Drittpartei-Interaktionskontakt seine Antworten übermittelt hat, überprüft der TPR-Manager oder Besitzer alle erforderlichen Informationen, die in den Fragebogen angegeben wurden.
    5. Der TPR-Manager oder -Besitzer navigiert dann zur Liste der Drittparteielemente und erstellt manuell einen Drittparteielementdatensatz für jeden Satz von Antworten in jedem Fragebogen.

      Weitere Informationen finden Sie unter Erstellen Sie einen Drittpartei-Elementdatensatz.

    6. Nachdem alle TP-Elemente erstellt wurden, schließt der TPR-Manager oder Besitzer die Bewertung der Sammlungsaufgabe. Das System ändert den Status der Anforderung von „Sammlung in Bearbeitung“ in „Sammlung in Überprüfung“.
    7. Die internen Stakeholder (TPR-Beurteiler, TPR-Genehmiger, TPR-Manager oder TPR-Administrator) überprüfen und genehmigen die Elementdatensätze.

    Dies ist ein optionaler Prozess zum Sammeln von TP-Elementen und zum Zuweisen an Interaktionen, damit sie als Teil des allgemeinen Due-Diligence-Workflows bewertet werden können. Weitere Informationen zu TP-Elementen finden Sie unter Überwachung von Drittparteielementen.

    Sorgfaltspflicht-Prozess: Compliance-Verifizierung

    Die folgende Infografik zeigt den Sorgfaltspflicht-Prozess.


    Infografik, die den Sorgfaltspflicht-Prozess im Sorgfaltspflicht-Workflow anzeigt. Die Textbeschreibung finden Sie in den folgenden Prozessschritten.
    Im Folgenden sind die Schritte des Sorgfaltspflicht-Prozesses aufgeführt.
    1. Nachdem der IRQ-Prozess oder der TP-Elementsammlung abgeschlossen ist, wählt der TPR-Manager oder -Besitzer Fragebogen und Dokumentationsanforderungen aus, die an externe Bewertungen angehängt werden, um sie an die Drittpartei oder Interaktion zu senden. Weitere Informationen zum Erstellen von Bewertungen finden Sie unter Erstellen Sie eine externe RisikobewertungUnd Drittpartei-Risikobewertungsformular.
      Hinweis:
      Wenn Sie den optionalen TP-Elementsammlungsprozess abgeschlossen haben, muss für jedes von Ihnen erstellte Drittparteielement ein Fragebogen ausgewählt und als Teil einer Bewertung zugewiesen werden. Die TP-Elementfragebogen werden vom Interaktionskontakt ausgefüllt.
    2. Das System sendet eine E-Mail-Benachrichtigung an die Drittpartei und den Interaktionskontakt, denen jede Bewertung zugewiesen wurde.
      Hinweis:
      Ändern Sie eine Fragebogenvorlage nicht, nachdem sie als Teil einer externen Bewertung gesendet wurde. Duplizieren Sie stattdessen die Vorlage, indem Sie eine Kopie erstellen und Ihre Änderungen in der neuen Kopie vornehmen. Wenn Sie einen Fragebogen aktualisieren, nachdem er gesendet wurde, werden die Änderungen nicht in der Version angezeigt, die im Drittparteiportal angezeigt wird. Um eine aktualisierte Version zu senden, müssen Sie den vorhandenen Fragebogen abbrechen, indem Sie ihn von der externen Bewertung trennen und dann den Fragebogen mithilfe der aktualisierten Vorlage hinzufügen. Weitere Informationen finden Sie unter Erstellen Sie einen Fragebogen oder eine Dokumentanforderungsvorlage und Erstellen Sie einen Fragebogen oder eine Dokumentanforderungsvorlage mit dem Designer.
    3. Nachdem die Drittpartei- und Interaktionskontakte ihre Antworten übermittelt haben, überprüft der TPR-Manager oder Besitzer alle erforderlichen Informationen, die in den Bewertungen bereitgestellt wurden. Probleme und Aufgaben werden erstellt, wenn eine Korrektur oder zusätzliche Informationen erforderlich sind.
    4. Der TPR-Manager oder -Besitzer genehmigt und schließt jede Bewertung.

    Der TPR-Manager kann entwickeln Bewertungsvorlagen Dient zur Vereinfachung und Automatisierung des Prozesses zur Bestimmung, welche Fragebogen und Dokumentanforderungen an eine Drittpartei dieses Typs gesendet werden sollen. Der TPR-Administrator kann Fragebogenvorlagen und Dokumentanforderungsvorlagen definieren, und dann kann der TPR-Manager sie in einer Bewertungsvorlage gruppieren. Ihre Organisation kann die Vorlage wiederverwenden, um die Fragebogen und Dokumentanforderungen in zukünftigen Bewertungen an ähnliche Drittparteien zu senden. Weitere Informationen zu Vorlagen finden Sie unter Erstellen Sie eine Bewertungsvorlage, Erstellen Sie einen Fragebogen oder eine Dokumentanforderungsvorlage, Und Erstellen Sie einen Fragebogen oder eine Dokumentanforderungsvorlage mit dem Designer.

    Der TPR-Manager und sein Team verwenden die Antworten und internen Analysen der Drittpartei, um zu bestimmen, ob die Drittpartei alle erforderlichen Compliance-Anforderungen erfüllt. Diese Anforderungen können die Überprüfung der Compliance der Drittpartei mit geltenden Gesetzen und Vorschriften umfassen, z. B. Umwelt- und Arbeitsgesetzen und Anti-Korruptionsrichtlinien.

    Hinweis:
    Der Drittpartei-Risikobewerter, -Manager oder -Administrator kann Fragen beantworten, Antworten ändern und externe Fragebogen im Namen von Drittparteien oder Interaktionen übermitteln. Weitere Informationen finden Sie unter Beantworten Sie einen Fragebogen für eine Drittpartei oder Interaktion.

    Aufgrund der Vertraulichkeit der beteiligten Elemente bewerten der TPR-Manager und sein Team die Datensicherheits- und Datenschutzpraktiken der Drittpartei. Sie bewerten die Informationssicherheitsmaßnahmen, Datenschutzrichtlinien, Zugriffssteuerungen und Schwachstellenmanagementprozesse der Drittpartei. Wenn die Drittpartei Zugriff auf proprietäre Informationen oder Kundendaten hat, kann sie verlangen, dass die Drittpartei einem Cybersicherheits-Audit unterzogen oder ihre Datenschutzmaßnahmen nachweist.

    Weitere Informationen zum Überprüfen von Antworten finden Sie unter Überprüfen Sie die Antworten auf externe Fragebogen.
    Hinweis:
    Ihr TPR-Beurteiler kann empfangene oder zurückgegebene Fragebogen nach exportieren MicrosoftMicrosoft Azure Event HubsExcel-Tabellen. Mit dieser Option kann Ihre Organisation die Tabellenkalkulationsumgebung verwenden, um die Fragen und Antworten zu überprüfen. Weitere Informationen zum Exportieren von Fragebogenantworten finden Sie unter Exportieren Sie Fragebogenantworten in eine Tabelle.

    Füllen Sie Fragebogen mit Antworten aus

    Der TPR-Manager oder TPR-Beurteiler kann Fragebogen für Drittparteien, Interaktionen und Entitäten vorab mit Antworten aus vollständigen Fragebogen ausfüllen, die derselben Drittpartei zugeordnet sind. Nach dem Senden der Bewertung wird der Fragebogen mit allen Antworten aus der zuletzt ausgefüllten Version dieses Fragebogens vorab ausgefüllt, unabhängig davon, ob die ursprüngliche zugehörige Bewertung abgeschlossen ist. Dies ist hilfreich für Fragebogen, bei denen die Antworten voraussichtlich konsistent bleiben, was den Prozess beschleunigt und es Drittparteikontakten ermöglicht, Antworten nur bei Bedarf zu überprüfen und zu aktualisieren. Weitere Informationen zum Erstellen von Bewertungen finden Sie unter Erstellen Sie eine externe Risikobewertung.
    Wichtig:
    Wenn der TPR-Manager oder TPR-Beurteiler einer Bewertung einen Fragebogen hinzufügt, kann er diese Option auf der Fragebogenseite auswählen oder deaktivieren. Die Option kann nicht geändert werden, nachdem der Fragebogen an die Drittpartei gesendet wurde. Weitere Informationen finden Sie unter Erstellen Sie einen Fragebogen oder eine Dokumentanforderungsvorlage und Bewertungsmetriktypformular.

    Wenn eine Drittpartei oder ein Interaktionskontakt einen vorab ausgefüllten Fragebogen im Drittparteiportal öffnet, erhält sie eine Benachrichtigung, dass die Antworten aus einem früheren Fragebogen kopiert wurden. Die Benachrichtigung enthält einen Link zur Bewertung, die die Antworten bereitgestellt hat, und zum Datum der letzten Aktualisierung, wie im folgenden Beispiel gezeigt.

    Benachrichtigung, dass die Antworten aus einem früheren Fragebogen kopiert wurden.

    Einschränkungen:
    • Einige Fragetypen und ihre Antworten können nicht vorab ausgefüllt werden, z. B. die Fragetypen „Anhang“, „Dauer“ und „Signatur“. Diese Antworten auf Fragen bleiben leer, und vorherige Antworten werden nicht berücksichtigt.
    • Antworten werden einmal aus der ursprünglichen Bewertung (Bewertung A) in die neuere Bewertung (Bewertung B) kopiert. Dieses Kopieren erfolgt, wenn Bewertung B an eine Drittpartei oder eine Interaktion übermittelt wird. Alle Änderungen, die Sie danach an Bewertung A vornehmen, werden in Bewertung B nicht berücksichtigt. Beide Bewertungen bleiben getrennt.

    Probleme und Aufgaben

    Die Rolle des TPR-Beurteilers [sn_vdr_risk_asmt.vendor_assessor] ist erforderlich, um Aufgaben und Probleme zu erstellen und zu verwalten.

    Der TPR-Manager, der TPR-Beurteiler oder der Vertragsverhandler kann Aufgaben erstellen, um sicherzustellen, dass ein Teammitglied oder der Drittparteikontakt auf Bedenken bezüglich der Antworten auf den Fragebogen oder der angeforderten Dokumente reagiert. Sie können vorhandene Aufgaben verwalten, um sicherzustellen, dass das zugewiesene Teammitglied oder der Drittparteikontakt auf eine Aufgabe reagiert und sie bei Bedarf aktualisiert. Weitere Informationen zum Erstellen und Verwalten von Problemen finden Sie unter Erstellen Sie eine Aufgabe für eine Drittpartei oder InteraktionUnd Verwalten Sie eine Aufgabe für eine Drittpartei oder Interaktion.

    Der TPR-Manager, der TPR-Beurteiler oder der Vertragsverhandler kann ein Problem erstellen, um sicherzustellen, dass Bedenken des Teams bezüglich einer Drittpartei oder eines Interesses behoben werden. Sie können auch die vorhandenen Probleme verwalten, um sicherzustellen, dass sie verstanden, für die richtigen Personen freigegeben und bei Bedarf bearbeitet werden. Weitere Informationen zum Erstellen und Verwalten von Aufgaben finden Sie unter Erstellen Sie ein Problem für eine Drittpartei oder InteraktionUnd Verwalten Sie Probleme.

    Zusätzliche Bewertungsaktionen

    Der TPR-Manager, der Besitzer der Sorgfaltspflicht-Anforderung oder der Vertragsverhandler muss möglicherweise eine Bewertung erneut öffnen, da neue Informationen verfügbar sind, die sich auf die Interaktion auswirken, oder ein anderer Change aufgetreten ist. Weitere Informationen finden Sie unter Warum Sie Sorgfaltspflicht durchführen.

    Wenn der TPR-Manager, der Besitzer der Sorgfaltspflicht-Anforderung oder der Vertragsverhandler weitere Informationen aus einer Interaktion sammeln muss, kann er einen zusätzlichen Fragebogen oder eine Dokumentanforderung senden, indem er eine Bewertung erneut öffnet und die folgenden Aktionen ausführt:
    1. Navigieren Sie zur Datensatzseite der Sorgfaltspflicht-Anforderung, indem Sie die entsprechende auswählen DDR Nummer.
    2. Zeigen Sie die zugehörige Drittpartei-Risikobewertung an, indem Sie auswählen VRA Nummer auf Drittpartei-Risikobewertung Registerkarte.
    3. Wählen Sie Aus Erneut öffnen .

    Der Status der Sorgfaltspflicht-Anforderung wird von „bereit für TPRM-Genehmigung“ zu „Sorgfaltspflicht“ aktualisiert. Der TPR-Manager, der Besitzer oder der Vertragsverhandler kann Fragebogen und Dokumentanforderungen nach Bedarf anfordern. Weitere Informationen finden Sie unter Öffnen Sie eine Bewertung erneut.

    Wenn der TPR-Manager, der Besitzer der Sorgfaltspflicht-Anforderung oder der Vertragsverhandler keine Bewertung für eine laufende Interaktion erfordert oder einen schnellen Abschluss für das Onboarding oder die Verlängerung einer Interaktion erfordert, kann er eine Bewertung abbrechen, indem er die folgenden Aktionen ausführt:
    1. Navigieren Sie zur Datensatzseite der Sorgfaltspflicht-Anforderung, indem Sie die entsprechende auswählen DDR Nummer.
    2. Zeigen Sie die zugehörige Drittpartei-Risikobewertung an, indem Sie auswählen VRA Nummer auf Drittpartei-Risikobewertung Registerkarte.
    3. Wählen Sie Abbrechen.
    Auch wenn eine oder alle Bewertungen abgebrochen werden, wird die Sorgfaltspflicht-Anforderung mit dem Genehmigungsprozess fortgesetzt.