Bewertung Ihres Drittparteirisikos

  • Freigeben Version: Zurich
  • Aktualisiert 31. Juli 2025
  • 9 Minuten Lesedauer
  • Verwenden Risikomanagement von Drittparteien Um potenzielle Risiken zu identifizieren und zu bewerten, die mit Ihren Drittparteibeziehungen verbunden sind. Die aus internen Fragebogen, externen Fragebogen und Dokumentationsanforderungen gesammelten Informationen helfen Ihnen, das Risikoprofil der Drittpartei zu verstehen, die entsprechenden Risikominderungsstrategien zu bestimmen und zu bestimmen, ob die Drittpartei oder die Interaktion alle erforderlichen Compliance-Anforderungen erfüllt.

    Antworten auf Fragebogen

    Die folgenden Prozesse beschreiben den Zeitpunkt und die Methoden für die Beantwortung interner und externer Fragebogen:

    Prozess des Fragebogens für inhärentes Risiko (IRQ)

    Die folgende Infografik zeigt den IRQ-Prozess.


    Infografik, die den IRQ-Prozess im Due-Diligence-Workflow zeigt. Die Textbeschreibung finden Sie in den folgenden Prozessschritten.
    Im Folgenden sind die Schritte des IRQ-Prozesses aufgeführt.
    1. Nachdem die Sorgfaltspflicht-Anforderung vom Drittpartei-Risikomanager [sn_vdr_Risk_asmt.Vendor_Risk_Manager] oder TPR-Beurteiler [sn_vdr_Risk_asmt.Vendor_Assessor] genehmigt wurde, der als Besitzer der Sorgfaltspflicht-Anforderung zugewiesen wurde, wählen sie eine IRQ aus und hängen sie an eine interne Bewertung an.
    2. Das System sendet eine E-Mail-Benachrichtigung an den Mitarbeiter, der als IRQ-Beurteiler zugewiesen wurde [snc_internal].
    3. Der IRQ-Beurteiler schließt die interne Bewertung ab, indem er auf die IRQ antwortet.
    4. Nachdem der IRQ-Beurteiler seine Antworten übermittelt hat und der TPR-Manager oder Besitzer die IRQ überprüft und geschlossen hat, wird der Status der Sorgfaltspflicht-Anforderung von IRQ in Bearbeitung zu IRQ in Überprüfung aktualisiert.
    Hinweis:
    Ändern Sie eine Fragebogenvorlage nicht, nachdem sie als Teil einer internen Bewertung gesendet wurde. Duplizieren Sie stattdessen die Vorlage, indem Sie eine Kopie erstellen, und nehmen Sie Ihre Änderungen in der neuen Kopie vor. Wenn Sie einen Fragebogen aktualisieren, nachdem er gesendet wurde, werden die Änderungen nicht in der Version angezeigt, die dem IRQ-Beurteiler angezeigt wird. Um eine aktualisierte Version zu senden, müssen Sie den vorhandenen Fragebogen abbrechen, indem Sie ihn von der internen Bewertung trennen und dann den Fragebogen mithilfe der aktualisierten Vorlage hinzufügen. Weitere Informationen finden Sie unter Erstellen Sie einen Fragebogen oder eine Dokumentanforderungsvorlage und Erstellen Sie mit dem Designer einen Fragebogen oder eine Dokumentanforderungsvorlage.

    Basierend auf den gesammelten Informationen bewerten der TPR-Manager und sein Team die potenziellen Risiken, die mit der Interaktion verbunden sind. Sie bewerten Faktoren wie die finanzielle Stabilität, die operative Kapazität, die Einhaltung von Qualitätsstandards, die Compliance mit Vorschriften und die Fähigkeit der Drittpartei, Lieferzeitpläne einzuhalten. Diese Bewertung hilft dem Team, das Risikoprofil der Drittpartei zu verstehen und die entsprechenden Risikominderungsstrategien zu bestimmen.

    Weitere Informationen zu IRQs oder internen Bewertungen finden Sie unter Erstellen Sie eine interne Bewertung Und Beantworten Sie eine interne Bewertung.

    Prozess zur Elementsammlung von Drittparteien (TP): Sammeln Sie TP-Elementinformationen

    Die folgende Infografik zeigt den TP-Elementsammlungsprozess.


    Infografik, die den TP-Elementsammlungsprozess im Due-Diligence-Workflow zeigt. Die Textbeschreibung finden Sie in den folgenden Prozessschritten.
    Im Folgenden finden Sie die Schritte des TP-Elementsammlungsprozesses.
    1. Nachdem Ihre Sorgfaltspflicht-Anforderung den IRQ-Prozess abgeschlossen hat und TP-Elemente benötigt werden, wählt der TPR-Manager oder der Besitzer der Sorgfaltspflicht-Anforderung aus Sammlung starten Und eine Sammlungsaufgabe wird erstellt.
    2. Der TPR-Manager oder -Besitzer weist einer externen Bewertung Fragebogen für TP-Elemente zu, um Elemente zu sammeln, und sendet diese Bewertung an eine Interaktion, um erforderliche Informationen für TP-Elemente zu sammeln.
    3. Das System sendet eine E-Mail-Benachrichtigung an den Drittpartei-Interaktionskontakt, dem der TP-Elementfragebogen zugewiesen wurde.
    4. Nachdem der Drittpartei-Interaktionskontakt seine Antworten übermittelt hat, überprüft und verifiziert der TPR-Manager oder -Besitzer alle erforderlichen Informationen in den Fragebogen.
    5. Der TPR-Manager oder -Besitzer navigiert dann zur Liste der Drittparteielemente und erstellt manuell einen Drittparteielementdatensatz für jeden Satz von Antworten in jedem Fragebogen.

      Weitere Informationen finden Sie unter Erstellen Sie einen Datensatz für ein Drittpartei-Element.

    6. Nachdem alle TP-Elemente erstellt wurden, schließt der TPR-Manager oder -Besitzer die Bewertung der Sammlungsaufgabe. Das System ändert den Status der Anforderung von „Sammlung in Bearbeitung“ zu „Sammlung in Überprüfung“.
    7. Die internen Stakeholder (TPR-Beurteiler, TPR-Genehmiger, TPR-Manager oder TPR-Administrator) überprüfen und genehmigen die Elementdatensätze.

    Dies ist ein optionaler Prozess zum Sammeln von TP-Elementen und deren Zuweisung zu Interaktionen, damit sie als Teil des allgemeinen Due-Diligence-Workflows bewertet werden können. Weitere Informationen zu TP-Elementen finden Sie unter Überwachung von Drittparteielementen.

    Sorgfaltspflicht-Prozess: Compliance-Verifizierung

    Die folgende Infografik zeigt den Sorgfaltspflicht-Prozess.


    Infografik, die den Sorgfaltspflicht-Prozess im Sorgfaltspflicht-Workflow zeigt. Die Textbeschreibung finden Sie in den folgenden Prozessschritten.
    Im Folgenden finden Sie die Schritte des Sorgfaltspflicht-Prozesses.
    1. Nachdem der IRQ-Prozess oder der TP-Elementerfassung abgeschlossen ist, wählt der TPR-Manager oder -Besitzer Fragebogen und Dokumentationsanforderungen aus, die an externe Bewertungen angehängt werden, um sie an die Drittpartei oder die Interaktion zu senden. Weitere Informationen zum Erstellen von Bewertungen finden Sie unter Erstellen Sie eine externe Bewertung Und Formular für Drittpartei-Risikobewertung.
      Hinweis:
      Wenn Sie den optionalen TP-Elementsammlungsprozess abgeschlossen haben, muss für jedes von Ihnen erstellte Drittparteielement ein Fragebogen ausgewählt und als Teil einer Bewertung zugewiesen werden. Die TP-Elementfragebogen werden vom Interaktionskontakt ausgefüllt.
    2. Das System sendet eine E-Mail-Benachrichtigung an die Drittpartei und den Interaktionskontakt, denen jede Bewertung zugewiesen wurde.
      Hinweis:
      Ändern Sie eine Fragebogenvorlage nicht, nachdem sie als Teil einer externen Bewertung gesendet wurde. Duplizieren Sie stattdessen die Vorlage, indem Sie eine Kopie erstellen, und nehmen Sie Ihre Änderungen in der neuen Kopie vor. Wenn Sie einen Fragebogen aktualisieren, nachdem er gesendet wurde, werden die Änderungen nicht in der im Drittparteiportal angezeigten Version angezeigt. Um eine aktualisierte Version zu senden, müssen Sie den vorhandenen Fragebogen abbrechen, indem Sie ihn von der externen Bewertung trennen und dann den Fragebogen mithilfe der aktualisierten Vorlage hinzufügen. Weitere Informationen finden Sie unter Erstellen Sie einen Fragebogen oder eine Dokumentanforderungsvorlage und Erstellen Sie mit dem Designer einen Fragebogen oder eine Dokumentanforderungsvorlage.
    3. Nachdem die Drittpartei und Interaktionskontakte ihre Antworten übermittelt haben, überprüft der TPR-Manager oder -Besitzer alle erforderlichen Informationen, die in den Bewertungen bereitgestellt wurden. Probleme und Aufgaben werden erstellt, wenn eine Korrektur oder zusätzliche Informationen erforderlich sind.
    4. Der TPR-Manager oder -Besitzer genehmigt und schließt jede Bewertung.

    Der TPR-Manager kann entwickeln Bewertungsvorlagen Vereinfacht und automatisiert den Prozess zur Bestimmung, welche Fragebogen und Dokumentanforderungen an eine Drittpartei dieses Typs gesendet werden sollen. Der TPR-Administrator kann Fragebogenvorlagen und Dokumentanforderungsvorlagen definieren, und dann kann der TPR-Manager sie in einer Bewertungsvorlage gruppieren. Ihre Organisation kann die Vorlage wiederverwenden, um die Fragebogen und Dokumentanforderungen in zukünftigen Bewertungen an ähnliche Drittparteien zu senden. Weitere Informationen zu Vorlagen finden Sie unter Erstellen Sie eine externe Bewertungsvorlage, Erstellen Sie einen Fragebogen oder eine Dokumentanforderungsvorlage, Und Erstellen Sie mit dem Designer einen Fragebogen oder eine Dokumentanforderungsvorlage.

    Der TPR-Manager und sein Team verwenden die Antworten der Drittpartei und die interne Analyse, um festzustellen, ob die Drittpartei alle erforderlichen Compliance-Anforderungen erfüllt. Diese Anforderungen können die Überprüfung der Compliance der Drittpartei mit geltenden Gesetzen und Vorschriften wie Umwelt-, Arbeitsgesetzen und Anti-Korruptionsrichtlinien umfassen.

    Hinweis:
    Der Drittpartei-Risikobewerter, -Manager oder -Administrator kann Fragen beantworten, Antworten ändern und externe Fragebogen im Namen von Drittparteien oder Interaktionen übermitteln. Weitere Informationen finden Sie unter Beantworten Sie einen Fragebogen für eine Drittpartei oder Interaktion.

    Aufgrund der Vertraulichkeit der beteiligten Elemente bewerten der TPR-Manager und sein Team die Datensicherheits- und Datenschutzpraktiken der Drittpartei. Sie bewerten die Informationssicherheitsmaßnahmen, Datenschutzrichtlinien, Zugriffssteuerungen und Schwachstellenmanagementprozesse der Drittpartei. Wenn die Drittpartei Zugriff auf proprietäre Informationen oder Kundendaten hat, kann sie verlangen, dass die Drittpartei einem Cybersicherheits-Audit unterzogen wird oder ihre Datenschutzmaßnahmen nachweist.

    Weitere Informationen zum Überprüfen von Antworten finden Sie unter Überprüfen Sie die Antworten auf externe Fragebogen.
    Hinweis:
    Ihr TPR-Beurteiler kann empfangene oder zurückgegebene Fragebogen nach exportieren Microsoft Excel-Tabellen. Mit dieser Option kann Ihre Organisation die Tabellenkalkulationsumgebung verwenden, um die Fragen und Antworten zu überprüfen. Weitere Informationen zum Exportieren von Fragebogenantworten finden Sie unter Exportieren Sie Fragebogenantworten in eine Tabelle.

    Füllen Sie Fragebogen mit Antworten aus

    Der TPR-Manager oder TPR-Beurteiler kann Fragebogen für Drittparteien, Interaktionen und Entitäten vorab mit Antworten aus vollständigen Fragebogen ausfüllen, die derselben Drittpartei zugeordnet sind. Nach dem Senden der Bewertung wird der Fragebogen mit allen Antworten aus der zuletzt ausgefüllten Version dieses Fragebogens vorab ausgefüllt, unabhängig davon, ob die ursprüngliche zugehörige Bewertung abgeschlossen ist. Dies ist hilfreich für Fragebogen, bei denen die Antworten voraussichtlich konsistent bleiben, was den Prozess beschleunigt und es Drittparteikontakten ermöglicht, Antworten nur bei Bedarf zu überprüfen und zu aktualisieren. Weitere Informationen zum Erstellen von Bewertungen finden Sie unter Erstellen Sie eine externe Bewertung.
    Wichtig:
    Wenn der TPR-Manager oder TPR-Beurteiler einer Bewertung einen Fragebogen hinzufügt, hat er die Möglichkeit, die Option vorherige Antworten einbeziehen auf der Fragebogenseite auszuwählen oder abzuwählen. Die Option kann nicht geändert werden, nachdem der Fragebogen an die Drittpartei gesendet wurde. Weitere Informationen finden Sie unter Erstellen Sie einen Fragebogen oder eine Dokumentanforderungsvorlage und Formular „Bewertungsmetriktyp“.

    Wenn eine Drittpartei oder ein Interaktionskontakt einen vorab ausgefüllten Fragebogen im Drittparteiportal öffnet, erhalten sie eine Benachrichtigung, dass die Antworten aus einem früheren Fragebogen kopiert wurden. Die Benachrichtigung enthält einen Link zu der Bewertung, die die Antworten bereitgestellt hat, und dem Datum der letzten Aktualisierung, wie im folgenden Beispiel gezeigt.

    Benachrichtigung, dass die Antworten aus einem früheren Fragebogen kopiert wurden.

    Einschränkungen:
    • Einige Fragetypen und ihre Antworten können nicht vorab ausgefüllt werden, z. B. die Fragetypen „Anhang“, „Dauer“ und „Signatur“. Diese Fragenantworten bleiben leer, und vorherige Antworten werden nicht berücksichtigt.
    • Antworten werden einmal aus der ursprünglichen Bewertung (Bewertung A) in die neuere Bewertung (Bewertung B) kopiert. Dieses Kopieren erfolgt, wenn Bewertung B an eine Drittpartei oder eine Interaktion übermittelt wird. Alle Änderungen, die Sie danach an Bewertung A vornehmen, werden nicht in Bewertung B berücksichtigt. Beide Bewertungen bleiben getrennt.

    Probleme und Aufgaben

    Die Rolle des TPR-Gutachters [sn_vdr_Risk_asmt.Vendor_Assessor] ist erforderlich, um Aufgaben und Probleme zu erstellen und zu verwalten.

    Der TPR-Manager, der TPR-Beurteiler oder der Vertragsverhandler kann Aufgaben erstellen, um sicherzustellen, dass ein Teammitglied oder der Drittparteikontakt auf Bedenken bezüglich der Fragebogenantworten oder angeforderten Dokumente reagiert. Sie können vorhandene Aufgaben verwalten, um sicherzustellen, dass das zugewiesene Teammitglied oder der Drittparteikontakt auf eine Aufgabe reagiert, und sie nach Bedarf aktualisieren. Weitere Informationen zum Erstellen und Verwalten von Problemen finden Sie unter Erstellen Sie eine Aufgabe für eine Drittpartei oder Interaktion Und Verwalten Sie eine Aufgabe für eine Drittpartei oder Interaktion.

    Der TPR-Manager, der TPR-Beurteiler oder der Vertragsverhandler kann ein Problem erstellen, um sicherzustellen, dass Bedenken des Teams bezüglich einer Drittpartei oder einer Interaktion behoben werden. Sie können auch die vorhandenen Probleme verwalten, um sicherzustellen, dass sie verstanden, für die richtigen Personen freigegeben und bei Bedarf bearbeitet werden. Weitere Informationen zum Erstellen und Verwalten von Aufgaben finden Sie unter Erstellen Sie ein Problem für eine Drittpartei oder Interaktion Und Verwalten Sie Probleme.

    Zusätzliche Bewertungsaktionen

    Der TPR-Manager, der Besitzer der Sorgfaltspflicht-Anforderung oder der Vertragsverhandler muss möglicherweise eine Bewertung erneut öffnen, da neue Informationen verfügbar sind, die sich auf die Interaktion auswirken, oder ein anderer Change aufgetreten ist. Weitere Informationen finden Sie unter Warum Sie Sorgfaltspflicht durchführen.

    Wenn der TPR-Manager, der Besitzer der Sorgfaltspflicht-Anforderung oder der Vertragsverhandler weitere Informationen aus einer Interaktion sammeln muss, kann er einen zusätzlichen Fragebogen oder eine Dokumentanforderung senden, indem er eine Bewertung erneut öffnet und die folgenden Aktionen ausführt:
    1. Navigieren Sie zur Datensatzseite der Sorgfaltspflicht-Anforderung, indem Sie die entsprechende auswählen DDR Nummer.
    2. Zeigen Sie die zugehörige Drittpartei-Risikobewertung an, indem Sie auswählen VRA Nummer auf der Externe Bewertungen Registerkarte.
    3. Wählen Sie Aus Erneut öffnen .

    Der Status der Sorgfaltspflicht-Anforderung wird von bereit für TPRM-Genehmigung zu Sorgfaltspflicht aktualisiert. Der TPR-Manager, der Besitzer oder der Vertragsverhandler kann Fragebogen und Dokumentanforderungen nach Bedarf anfordern. Weitere Informationen finden Sie unter Öffnen Sie eine Bewertung erneut.

    Wenn der TPR-Manager, der Besitzer der Sorgfaltspflicht-Anforderung oder der Vertragsverhandler keine Bewertung für eine laufende Interaktion erfordert oder einen schnellen Abschluss für das Onboarding oder die Verlängerung einer Interaktion erfordert, kann er eine Bewertung abbrechen, indem er die folgenden Aktionen ausführt:
    1. Navigieren Sie zur Datensatzseite der Sorgfaltspflicht-Anforderung, indem Sie die entsprechende auswählen DDR Nummer.
    2. Zeigen Sie die zugehörige Drittpartei-Risikobewertung an, indem Sie auswählen VRA Nummer auf der Externe Bewertungen Registerkarte.
    3. Wählen Sie Abbrechen.
    Auch wenn eine oder alle Bewertungen abgebrochen werden, wird die Sorgfaltspflicht-Anforderung mit dem Genehmigungsprozess fortgesetzt.