Dritte, vierte und n-te Parteien

A Drittpartei Ist eine Organisation oder Person, mit der Sie interagiert haben oder mit der Sie eine Geschäftsbeziehung eingegangen sind. Drittparteien können Tochterunternehmen haben und Verträge mit Viertparteien abschließen. Beispielsweise sind Abteilungen Tochterunternehmen. A Viertpartei Kann Verträge mit weiteren Parteien abschließen (als n-te Parteien bezeichnet – fünfte, sechste usw.). Alle nachgelagerten Parteien (Viertparteien bis n-te Parteien) tragen Risiken auf die gleiche Weise wie Drittparteien.

A Lieferant Stellt die Waren oder Services bereit, die Sie zur Herstellung oder Lieferung Ihrer eigenen Waren oder Services verwenden. Alle Lieferanten sind Drittparteien, aber nicht alle Drittparteien sind Lieferanten. Hier ist eine Liste einiger anderer Arten von Drittparteien:

• Lieferanten
• Verbundene Unternehmen
• Gegenparteien
• Berater
• Partner
• Professionelle Services
• Berater
• Franchises
• Händler
• Wiederverkäufer
• Distributoren
• Kunden
• Clients
• Ausgelagerte Mitarbeiter

Interaktionen

Ein Interaktion Ist die informelle oder vertraglich vereinbarte Beziehung, die Sie mit einer Drittpartei eingehen möchten, die Ihr Unternehmen potenziell einem Risiko aussetzen könnte. Die Interaktion beschreibt die von der Drittpartei zu bereitstellenden Services oder Produkte und andere Details der Beziehung. Diese Details können die Zahlungsbedingungen, Vertraulichkeitsanforderungen und die Dauer der Beziehung umfassen.

Sie können jede Interaktion anhand interner und externer Bewertungen bewerten. Die Probleme, Aufgaben, internen Bewertungen und externen Bewertungen sind den Interaktionen zugeordnet.

In diesem Beispiel interagiert Ihr Unternehmen mit drei Drittparteien und verwaltet mehrere Interaktionen unter ihnen.

Tochterunternehmen

A Tochterunternehmen Ist eine Organisation im Besitz oder unter der Kontrolle der Drittpartei und gilt als Teil der Organisation der Drittpartei. Sie werden normalerweise als Teil des Risikoprofils der Drittpartei verwaltet. Sie unterscheiden sich von Viertparteien bis n-ten Parteien, die Verträge mit einer Drittpartei haben und sich nicht im Besitz dieser Drittpartei befinden oder von dieser kontrolliert werden.

Die Risikobewertung für Tochterunternehmen ist dieselbe wie für andere Drittparteien. Die Risikobewertungen der Tochterunternehmen tragen zur Punktzahl ihrer kontrollierenden Drittpartei bei.

IRQ: Fragebogen zu inhärenten Risiken

Während des internen Bewertungsprozesses beantworten interne Mitarbeiter in Ihrer Organisation Fragen im IRQ. Diese Antworten helfen bei der Bewertung des inhärenten Risikos, das mit der Interaktion mit einer Drittpartei verbunden ist. Ein inhärentes Risiko bezieht sich auf das Risikoniveau vor der Implementierung von Risikominderungsmaßnahmen. Ein IRQ unterstützt die folgenden Aktivitäten:

Bestimmen von Risikofaktoren

• Die Art der von der Drittpartei bereitgestellten Services.
• Die Vertraulichkeit der beteiligten Daten.
• Der geografische Standort der Drittpartei.
• Die allgemeine Sicherheitslage der Drittpartei.

Bewertung oder Bewertung bestimmen

Antworten auf den Fragebogen werden häufig bewertet oder bewertet, um das inhärente Risiko zu quantifizieren, das mit der Drittpartei verbunden ist. Dieses Bewertungssystem kann bei der Priorisierung von Risikomanagementmaßnahmen helfen.

Entscheidungsfindung

Die Ergebnisse des IRQ werden dann im Entscheidungsprozess verwendet. Administratoren und Manager von Drittpartei-Risiken (TPR) können IRQs so konfigurieren, dass sie basierend auf den spezifischen Antworten auf Fragen bestimmte Fragebogen zu externen Bewertungen (Sorgfaltspflicht) an Drittparteien senden.

• Sollten Sie mit der Drittpartei interagieren?
• Welches Maß an Sorgfaltspflicht ist erforderlich?
• Welche spezifischen Risikominderungsmaßnahmen sollten Sie implementieren?

Laufende Sorgfaltspflicht

Die IRQ kann auch Teil der laufenden Verwaltung sein, mit regelmäßigen Neubewertungen, um Änderungen am Betrieb, Sicherheitspraktiken oder anderen relevanten Faktoren der Drittpartei zu berücksichtigen.

Sorgfaltspflicht (DD)

Sorgfaltspflicht Ist der Prozess der Durchführung einer gründlichen Untersuchung oder Untersuchung der Integrität, Reputation, Finanzstabilität, rechtlichen Compliance, Betriebsfähigkeiten, Lieferkette und andere relevante Faktoren eines potenziellen Geschäftspartners, Lieferanten oder Lieferanten. Die Durchführung von Sorgfaltspflicht für Drittparteien ist eine entscheidende Komponente Ihres umfassenden Drittpartei-Risikoprogramms. Sie führen eine Sorgfaltspflicht durch, um sich der Risiken bewusst zu werden, die mit einer Drittpartei verbunden sind, damit Sie sicher entscheiden können, wie Sie Ihre Beziehung aufbauen möchten. Verwenden Sie Due-Diligence-Workflows, um neue Interaktionen zu onboarden oder vorhandene Interaktionen neu zu bewerten oder außer Kraft zu setzen. Due-Diligence-Workflows umfassen das Sammeln von Informationen durch interne Bewertungen, externe Bewertungen und Risk Intelligence. Alle Punktzahlen aus diesen Schritten werden von Drittpartei-Risikomanagern analysiert, um zu entscheiden, ob eine Interaktion aufgenommen, neu bewertet oder außer Kraft gesetzt werden soll. Die Sorgfaltspflicht verfügt auch über einen optionalen Vertragsverhandlungsprozess, bevor der Sorgfaltspflicht-Workflow geschlossen wird.

Siehe Warum Sie Sorgfaltspflicht durchführen und Typen der Sorgfaltspflicht.

Drittpartei-Risikobewertungen

Eine Drittpartei-Risikobewertung (TPRA) ist eine Reihe von Fragebogen, die Sie an Drittparteikontakte oder interne Anwender senden können, um die Drittpartei- und Interaktionsrisiken zu bewerten. Eine Bewertung, die Sie an interne Anwender senden, wird als interne Bewertung kategorisiert. Eine Bewertung, die Sie an einen Drittparteikontakt senden, wird als externe Bewertung bezeichnet.

Verwenden Sie einen Interne Bewertung Zur Berechnung der Drittpartei- und Interaktionsstufen. Die Klassifizierung, die Sie zum Identifizieren der internen Fragebogen in der Tabelle „Fragebogenvorlagen“ verwenden, ist die Vorlage „Fragebogen für inhärentes Risiko“ [irq_template]. Sie können die erforderlichen Fragebogen für externe Bewertungen automatisch entsprechend den Antworten anhängen, die Sie von den internen Bewertungen erhalten. Sie können diese Option in einem Fragebogen für die Fragenzuordnungstabelle [sn_tprm_dd_m2m_question_to_Fragebogen] konfigurieren.

Verwenden Sie einen Externe Bewertung Zur Bewertung der Risiken, die mit der Drittpartei und der Interaktion verbunden sind, anhand der Kontaktantworten der Drittpartei, die Sie erhalten. Die Risikobewertungen aus einer externen Bewertung werden auf Bewertungsebene mithilfe aller an die Bewertung angehängten Fragebogen berechnet. Diese Bewertungsbewertungen werden aggregiert und für die Drittparteien und Interaktionen zusammengefasst. Die Zusammenfassung ist entweder MIN, MAX oder AVG und kann in einem Bewertungs-Setup konfiguriert werden. Drittparteikontakte (externe Anwender) aus dem Drittparteiportal https://<myCompany>.service-now.com/ Service Antworten Sie auf diese externen Bewertungen.

Weitere Informationen zur Bewertung finden Sie unter Bewertungsberechnungen mit der klassischen Bewertungs-Engine.

Risk Intelligence-Provider

Risk Intelligence-Anbieter generieren Risikopunktzahlen für eine Vielzahl von Risikodomänen von Drittparteien. Ihre Organisation kann Services von Anbietern erwerben, die Daten zurückgeben, die den persönlichen Kreditpunktzahlen entsprechen. Die Punktzahlen bieten Einblicke in die Vertrauenswürdigkeit und Sicherheit einer bestimmten Drittpartei.

Weitere Informationen finden Sie unter Integration von Punktzahlen von Risk Intelligence-Anbietern.

Risk Intelligence-Punktzahlen

Risk Intelligence-Punktzahlen Sind numerische Bewertungen, die das mit einer bestimmten Organisation verbundene Risikostufe bewerten. Diese Punktzahlen werden von Risk Intelligence-Anbietern generiert, die eine Vielzahl von Datenquellen erfassen und analysieren. Punktzahlen können in beliebiger Form vorliegen, sei es Bewertungen oder Zahlen. Das System ordnet den Punktzahlwert dem entsprechenden zu TPRM Bewertung. Diese Punktzahlen können Ihrer Organisation helfen, fundierte Entscheidungen über die Zusammenarbeit mit Drittparteien, die Compliance-Verwaltung und die Minimierung potenzieller Risiken zu treffen. Risk Intelligence-Punktzahlen sind für Drittparteien ab verfügbar Washington DC Release. Die Risikobewertungen werden von den Bewertungsregeln berechnet, die der Interaktion im Bewertungs-Setup zugeordnet sind.

Drittpartei-Punktzahlen

Diese Punktzahlen helfen Organisationen, fundierte Entscheidungen über die Auswahl und Verwaltung ihrer Drittparteibeziehungen zu treffen, wodurch sie die Anpassung an ihre Risikotoleranz- und Compliance-Anforderungen ermöglichen. Durch die Bewertung von Drittpartei-Punktzahlen können Organisationen potenzielle Risiken identifizieren, Sorgfaltspflicht priorisieren und entsprechende Risikominderungsstrategien implementieren.

Risikobewertungskomponenten

A Komponente Ist die Entität, für die Sie das Risiko bewerten können. Das Basissystem umfasst Interaktionen, externe Überwachung, Tochterunternehmen und Risikobewertungen von Drittparteien. Das Risiko wird für jede Komponente berechnet. Dann wird das Risiko aggregiert und zusammengefasst, um eine Drittpartei-Risikobewertung zu berechnen.

A Komponentenkriterien Ist die Definition, wie eine Komponente von einer Drittpartei verwendet wird. Ein Komponentenkriterium ist eine Gruppe von Komponenten, die für eine bestimmte Art von Drittpartei oder Interaktion gelten sollen.

A Risikobereich oder -Domäne Definiert die Art des Risikos, das für eine Drittpartei bewertet werden soll. Dies ist normalerweise an dem Bereich/der Domäne ausgerichtet, in dem die Drittpartei tätig ist oder für die sie ein Produkt/einen Service bereitstellt. Beispielsweise möchten Sie eine Drittpartei für die Datenverwaltung hinsichtlich des Sicherheitsrisikos und eine Bank hinsichtlich des finanziellen Risikos bewerten.

A Kriterien für Risikobereich Ist die Definition, wie Risikobereiche von einer Drittpartei verwendet werden, in den Risikobereichskriterien definiert. Ein Drittpartei-Risikobereichskriterium ist eine Gruppe (oder Gruppierung) von Risikodomänen oder -Bereichen, die für einen bestimmten Typ von Drittpartei gelten können. Beispielsweise können Sicherheits-, Finanz- und Reputationsrisikodomänen in Risikobereichskriterien gruppiert werden, die für jede Drittpartei gelten sollen. Sie können die Risiken, die eine Drittpartei für Ihre Organisation darstellt, besser verstehen und mindern, indem Sie die Domänen ihres Unternehmens identifizieren, um das Risiko zu bewerten, und die Wichtigkeit (Gewichtung) jeder Domäne quantifizieren.

Bewertungsregeln

A Bewertungsregel Bietet den Mechanismus zum Anwenden von Komponentenkriterien und Risikobereichskriterien auf eine Drittpartei und Risikobereichskriterien für eine Interaktion.

Für eine Drittpartei bestimmen die Komponentenkriterien, welche spezifischen Komponenten anwendbar sind, und die relevante Bewertungsmethode für jede Komponente. Diese Komponenten können den geografischen Standort, die allgemeine Sicherheitslage und Ergebnisse aus internen und externen Bewertungen umfassen. Die Bewertungsmethoden für diese Komponenten werden im Bewertungs-Setup konfiguriert. Beispielsweise sind interne Bewertungen für den geografischen Standort und die allgemeine Sicherheitslage Teil des internen Bewertungsprozesses, während externe Bewertungen Methoden wie MIN, MAX oder AVG verwenden, um Risikobewertungen zu berechnen. Darüber hinaus werden Risk Intelligence-Punktzahlen von externen Anbietern entsprechenden Bewertungen zugeordnet und mit den externen Bewertungspunktzahlen kombiniert, um die Gesamtpunktzahl der Drittpartei zu bilden.

Für eine Drittpartei bestimmen die Risikobereichskriterien, welche spezifischen Risikobereiche (oder Domänen) anwendbar sind, und die relevante Bewertungsmethode für jeden Risikobereich.

Drittpartei-Elemente

Drittpartei-Elemente Sind die externen Organisationen, auf die eine Drittpartei oder Interaktion angewiesen ist, um Waren, Services oder Support bereitzustellen. Diese Organisationen können Lieferanten, Lieferanten, Auftragnehmer, Einzelpersonen oder andere externe Organisationen umfassen, die Zugriff auf die Systeme, Daten oder Einrichtungen der Drittpartei oder Interaktion haben. Alle Schwachstellen oder Fehler in diesen Drittparteielementen können erhebliche Auswirkungen auf den Betrieb, die Reputation und die Sicherheit der Drittpartei oder der Interaktion haben. Durch die Implementierung dieser Kontrollen und die Behandlung der zugehörigen Risiken können Organisationen ihre Fähigkeit verbessern, die potenziellen negativen Auswirkungen von Drittparteien und ihren Drittparteielementen zu verwalten und zu mindern. Die regelmäßige Neubewertung und Aktualisierung dieser Kontrollen ist wichtig, um sich an Änderungen in der Geschäftsumgebung und der regulatorischen Landschaft anzupassen.

Hier sind einige Beispiele für Drittparteielemente und die zugehörigen Steuerungen und potenziellen Risiken.

Rechenzentrum

Einrichtungen oder Standorte, an denen Drittparteien oder Interaktionen die Speicherung, Verarbeitung und Verwaltung ihrer Daten und IT-Infrastruktur auslagern.

Steuerungen:

• Sicherheitsbewertungen für Lieferanten: Bewerten Sie regelmäßig die Sicherheitsmaßnahmen und -Praktiken von Drittparteien, die Services wie Cloud-Hosting oder Datenspeicherung bereitstellen.
• Datenverschlüsselung: Bestätigen Sie, dass die im Rechenzentrum gespeicherten Daten verschlüsselt sind, um sie vor nicht autorisiertem Zugriff zu schützen.
• Zugriffskontrollen: Implementieren Sie strikte Zugriffskontrollen, um den physischen und virtuellen Zugriff auf die Rechenzentrumseinrichtungen und -Server zu beschränken.
• Plan für die Reaktion auf Incidents: Entwickeln und pflegen Sie einen umfassenden Plan für die Reaktion auf Incidents, um Security Incidents umgehend zu beheben.

Risiken:

• Datenschutzverletzungen: Ein Verstoß im Rechenzentrum einer Drittpartei kann zu nicht autorisiertem Zugriff und Gefährdung vertraulicher Informationen führen.
• Ausfallzeit: Die Abhängigkeit von einem Rechenzentrum einer Drittpartei führt zu einem Risiko von Ausfallzeiten, wenn beim Service Provider technische Probleme auftreten.
• Compliance-Verstöße: Die Nichteinhaltung branchenspezifischer oder regulatorischer Compliance-Standards durch das Rechenzentrum kann zu rechtlichen und finanziellen Konsequenzen für die Organisation führen.

Produktionsanlage

Einrichtungen oder Standorte, an denen Drittparteien oder Interaktionen die Produktion oder Montage ihrer Produkte auslagern.

Steuerungen:

• Lieferanten-Audits: Überprüfen und bewerten Sie regelmäßig die Sicherheitspraktiken von Lieferanten, die kritische Komponenten oder Services für den Produktionsprozess bereitstellen.
• Qualitätssicherungsstandards: Setzen Sie Qualitätssicherungsstandards für Drittparteilieferanten durch, um die Integrität und Sicherheit von Rohmaterialien und Komponenten zu fördern.
• Transparenz der Lieferkette: Sorgen Sie für Transparenz in der gesamten Lieferkette, um potenzielle Schwachstellen zu identifizieren und zu beheben.
• Vertragliche Vereinbarungen: Legen Sie klare vertragliche Vereinbarungen mit Lieferanten fest, in denen Sicherheitsanforderungen und Konsequenzen für Nichteinhaltung dargelegt werden.

Risiken:

• Unterbrechung der Lieferkette: Die Abhängigkeit von Drittparteilieferanten setzt die Organisation dem Risiko von Unterbrechungen der Lieferkette aus, die sich auf die Produktion auswirken.
• Gefälschte Teile: Unzureichende Kontrollen in der Lieferkette können zur Verwendung gefälschter oder minderwertiger Komponenten führen, was die Produktqualität beeinträchtigt.
• Probleme mit regulatorischer Compliance: Die Nichteinhaltung regulatorischer Standards durch Lieferanten kann rechtliche und regulatorische Konsequenzen für die Produktionsanlage haben.

Wirtschaftlich Berechtigte

Personen, die letztendlich eine Organisation besitzen oder steuern, die an einer Geschäftsbeziehung oder Transaktion beteiligt ist. Diese Personen sind möglicherweise nicht die registrierten oder rechtlichen Besitzer der Organisation, haben jedoch erheblichen Einfluss oder Kontrolle über ihre Vorgänge, Entscheidungen oder finanziellen Angelegenheiten.

Steuerungen:

• Sorgfaltspflicht: Integrieren Sie einen robusten Sorgfaltspflicht-Prozess, um wirtschaftliche Besitzer zu identifizieren und zu verifizieren, einschließlich Hintergrundprüfungen, Dokumentüberprüfungen und bei Bedarf Interviews.
• Vertragliche Verpflichtungen: Schließen Sie Klauseln in Verträge mit Drittparteien ein, die von ihnen verlangen, Änderungen am wirtschaftlichen Eigentum offenzulegen und die Compliance mit geltenden Gesetzen und Vorschriften zu bestätigen.
• Überwachung und Berichterstellung: Richten Sie ein System für die laufende Überwachung wirtschaftlicher Besitzer ein, um Änderungen oder Entwicklungen zu erkennen, die sich auf das Risikoprofil der Drittpartei auswirken können.
• Schulung und Bewusstsein: Schulung relevanter Mitarbeiter zur Wichtigkeit des Verständnisses und der Überwachung des wirtschaftlichen Besitzes, einschließlich Warnmeldungen und Berichterstellungsverfahren.
• Regulatorisches Compliance-Programm: Entwickeln und pflegen Sie ein Programm, das die Compliance mit allen relevanten Gesetzen und Vorschriften im Zusammenhang mit dem wirtschaftlichen Eigentum überprüft, einschließlich Berichterstellungs- und Offenlegungsanforderungen.
• Eskalationsverfahren: Legen Sie klare Eskalationsverfahren für Fälle fest, in denen Bedenken oder Unregelmäßigkeiten im Zusammenhang mit dem wirtschaftlichen Eigentum identifiziert werden, und fördern Sie rechtzeitige und angemessene Maßnahmen.

Risiken:

• Ausgeblendeter Besitz: Wirtschaftliche Besitzer könnten ihren Besitz absichtlich verbergen, was die Bewertung der potenziellen Risiken im Zusammenhang mit ihrem Einfluss auf die Drittpartei schwierig macht.
• Reputationsrisiko: Wenn die wirtschaftlich Berechtigten einen fragwürdigen Ruf haben, kann die Beteiligung an ihnen den Ruf Ihrer Organisation schädigen.
• Regulatorische Compliance: Die Nichteinhaltung von Vorschriften im Zusammenhang mit der Meldung über wirtschaftliche Eigentümer und Transparenz kann rechtliche und regulatorische Konsequenzen haben.
• Finanzielles Risiko: Wirtschaftlich Berechtigte mit finanzieller Instabilität oder Beteiligung an betrügerischen Aktivitäten können finanzielle Risiken für die Drittpartei und folglich für Ihre Organisation darstellen.