Beispiel für Onboarding-Prozess

Anforderungsprozess

Jeder Mitarbeiter (normalerweise ein Anwender, der Geschäfte mit einer Drittpartei tätigen möchte) erstellt den Geschäftsfall, um den Sorgfaltspflicht-Prozess für eine Risikobewertung zu starten.

Ein Drittpartei-Risikomanager (TPR) überprüft die Anforderung zur Sorgfaltspflicht für die Interaktion und genehmigt sie.

Prozess des Fragebogens für inhärentes Risiko (IRQ)

Nachdem die Anforderung genehmigt wurde, schließt der IRQ-Beurteiler die interne Risikobewertung ab, indem er auf die IRQ antwortet.

Basierend auf den gesammelten Informationen bewertet Acme die potenziellen Risiken im Zusammenhang mit der Drittpartei. Sie bewerten Faktoren wie finanzielle Stabilität, operative Kapazität, Einhaltung von Qualitätsstandards, Compliance mit Vorschriften und Fähigkeit der Drittpartei, Lieferzeitpläne einzuhalten. Diese Bewertung hilft Acme, das Risikoprofil der Drittpartei zu verstehen und die entsprechenden Risikominderungsstrategien zu bestimmen.

Sorgfaltspflicht-Prozess: Compliance-Verifizierung und Bewertung der Datensicherheit und des Datenschutzes

Wenn der IRQ-Prozess abgeschlossen ist, Acme TPRMDie Anwendung sendet Fragebogen und Dokumentationsanforderungen an die Drittpartei. Im Rahmen einer Bewertung können Sie mehrere Fragebogen und Dokumentanforderungen senden. Acme kann Dokumente anfordern: Zertifizierungen, Lizenzen oder Audit-Berichte der Drittpartei, um die Compliance zu validieren.

Hinweis:

Um den Prozess der Bestimmung zu vereinfachen und zu automatisieren, welche Fragebogen und Dokumentanforderungen an eine Drittpartei dieses Typs gesendet werden sollen, haben die Mitarbeiter von Acme entwickelt Bewertungsvorlagen . Sie definierten Fragebogenvorlagen, Dokumentanforderungsvorlagen oder beides und gruppierten sie dann in einer Bewertungsvorlage. Acme kann die Vorlage wiederverwenden, um die entsprechenden Fragebogen, Dokumentanforderungen oder beides in zukünftigen Bewertungen an ähnliche Drittparteien zu senden.

Acme verwendet die Antworten der Drittpartei und die interne Analyse, um zu bestimmen, ob die Drittpartei alle erforderlichen Compliance-Anforderungen erfüllt. Dies umfasst die Überprüfung der Compliance der Drittpartei mit geltenden Gesetzen und Vorschriften, z. B. Umweltvorschriften, Arbeitsgesetze und Richtlinien zur Korruptionsbekämpfung.

Angesichts der Vertraulichkeit der beteiligten Komponenten bewertet Acme die Datensicherheits- und Datenschutzpraktiken der Drittpartei. Sie bewerten die Informationssicherheitsmaßnahmen, Datenschutzrichtlinien, Zugriffssteuerungen und Schwachstellenmanagementprozesse der Drittpartei. Wenn die Drittpartei Zugriff auf die proprietären Informationen oder Kundendaten von Acme hat, muss sie möglicherweise von der Drittpartei ein Cybersicherheits-Audit durchführen oder ihre Datenschutzmaßnahmen nachweisen.

Vertragliche Vereinbarungen und Risikominderung

Zum Schutz ihrer Interessen umfasst der TPR-Vertragsverhandler bei Acme (häufig Unternehmensbeistand) spezifische vertragliche Bestimmungen, um identifizierte Risiken zu behandeln. Der Vertragsverhandler verwendet die im IRQ- und Due-Diligence-Prozess gewonnenen Informationen, um Klauseln im Zusammenhang mit Compliance, Qualitätsstandards, Vertraulichkeit, Datenschutz, Geschäftskontinuität, und Konfliktlösungsmechanismen. Der Vertrag kann auch Leistungsmetriken, Erwartungen und Kündigungsklauseln beschreiben, wenn eine Nichteinhaltung oder ein Verstoß vorliegt.

Laufende Überwachung und Überprüfung

Acme richtet einen laufenden Überwachungsprozess ein, um die Leistung der Drittpartei und die Einhaltung der vereinbarten Bedingungen regelmäßig zu bewerten. Personen in Ihrer Organisation führen möglicherweise regelmäßige Finanzüberprüfungen, Qualitätsprüfungen, Standortbesuche oder Umfragen durch. Sie richten auch Kommunikationskanäle ein, um auf Bedenken oder Änderungen im Risikoprofil der Drittpartei zu reagieren.