Configurer VRM des hiérarchies et des engagements de tiers

  • Rversion finale: Zurich
  • Mis à jour 31 juil. 2025
  • 3 minutes de lecture

    • Créez des hiérarchies de tiers en définissant les relations parent-enfant entre le tiers parent et toutes ses filiales. Vous effectuez cette tâche parce que certaines organisations travaillent avec des tiers qui ont des filiales (ou des filiales de filiales) qui peuvent présenter un risque potentiel pour votre entreprise. Vous pouvez effectuer des évaluations dans chaque organisation filiale et cumuler les résultats pour calculer un score de risque global pour le tiers parent.

    Hiérarchie de tiers

    Dans cet exemple, l’organisation mère Acme a deux filiales et Acme NA a deux filiales. Dans cette hiérarchie, vous effectuez des évaluations des risques pour le tiers parent et toutes les filiales et calculez les scores de risque pour chaque entité. Vous pouvez ensuite regrouper (cumuler) les scores de risque pour calculer le score de risque pour ACME.

    Hiérarchie de tiers.

    Hiérarchie des tiers avec filiales et engagements

    Les engagements représentent des produits ou des services fournis à l’organisation mère, directement ou par des filiales, dont vous pouvez évaluer le risque. Dans le cas où une filiale fournit des engagements, les scores de risque affectés aux engagements sont cumulés pour calculer le score de risque de la filiale, qui à son tour est repris sur l’organisation mère.

    Dans cet exemple, la filiale Acme US a trois engagements. Comme dans l’exemple précédent, le risque est évalué pour la société mère, toutes ses filiales et tous leurs engagements. Les scores de risque sont ensuite cumulés pour calculer le score de risque du parent.

    Une hiérarchie de tiers avec des filiales et des engagements.

    Consultez Définir un VRM engagement.

    Vue d’ensemble : Configuration d’une hiérarchie de tiers

    Remarque :
    Les procédures de configuration de cette section ne s’appliquent que si vous travaillez avec des tiers multicouches ; c’est-à-dire des tiers qui exploitent des filiales. Ils vous guident également dans la mise en place des engagements proposés par les filiales. Si ce ne sont pas les types de tiers avec lesquels vous travaillez et que vous ne souhaitez pas configurer de hiérarchies tierces, ces procédures sont facultatives.
    Tableau 1. Configurer des procédures pour les hiérarchies tierces
    Procédure de configuration Description
    Définissez les domaines de risque de tiers.

    Un domaine de risque définit le type de risque à évaluer pour un tiers. Par exemple, vous pouvez évaluer un tiers de gestion des données en termes de risque de sécurité et une banque en termes de risque financier. Le risque de sécurité et le risque financier sont des domaines de risque. Certaines applications de plateforme appellent les domaines à risque des « domaines à risque ».

    Consultez Définir un domaine de risque de tiers.
    Définissez des critères de domaine de risque de tiers.

    Un critère de domaine de risque de tiers est un groupe de domaines de risque (parfois appelés domaines de risque dans d’autres fonctionnalités de la plateforme) qui s’applique à un type particulier de tiers.

    Consultez Définir des critères de domaine de risque de tiers.
    Définissez des critères de composant.

    Les composants correspondent aux entités pour lesquelles vous pouvez évaluer les risques. Cela système de base comprend les composants des engagements, de la surveillance externe, des filiales et des évaluations des risques de tiers. Le risque est calculé pour chaque composant, puis le risque est agrégé et déployé pour calculer une cote de risque de tiers.

    Consultez Définir des critères de composant.
    Définir des engagements pour un tiers Définissez un engagement afin de pouvoir évaluer les risques associés aux services ou produits proposés par un tiers. Les engagements peuvent également représenter les produits ou services fournis au tiers parent, soit directement, soit par des départements, des partenaires ou des filiales dont vous pouvez également évaluer le risque.

    Au fur et à mesure que les engagements sont définis, vous pouvez définir des contacts principaux et secondaires pour les tiers et les engagements. Chaque type de contact peut effectuer des activités spécifiques dans le portail du tiers.

    Consultez Définir un VRM engagement.
    Définissez les règles de notation du risque de l’engagement.

    Une règle de notation du risque de l’engagement spécifie les critères du composant qui déterminent quels engagements sont sélectionnés pour l’évaluation. Par exemple, une règle pourrait activer les évaluations pour les engagements qui impliquent plus de 40 000 $ par an. Les règles de notation d’engagement s’appliquent uniquement aux engagements.

    Consultez Définir les règles de notation du risque de l’engagement.
    Définissez des règles de notation de risque de tiers.

    Définissez des critères, basés sur les scores de risque, qui déterminent quels tiers nécessitent des évaluations. Les règles de notation du risque de tiers s’appliquent aux filiales et aux engagements, ainsi qu’aux domaines de risque de tiers.

    Consultez Définir des règles de notation de risque de tiers.