Avaliar o risco de terceiros

  • Versão de lançamento: Australia
  • Atualizado 12 de mar. de 2026
  • 10 min. de leitura

    • Uso Gestão de risco de terceiros para identificar e avaliar possíveis riscos associados aos seus relacionamentos com terceiros. As informações coletadas de questionários internos, questionários externos e solicitações de documentação ajudam você a entender o perfil de risco do terceiro, determinar as estratégias apropriadas de mitigação de risco e determinar se o terceiro ou o compromisso atende a todos os requisitos de conformidade necessários.

    Responder a questionários

    Os processos a seguir descrevem o tempo e os métodos para responder a questionários internos e externos:

    Processo do Questionário de risco inerente (IRQ)

    O infográfico a seguir mostra o processo de IRQ.


    Infográfico que mostra o processo de IRQ no fluxo de trabalho de due diligence. Para obter a descrição do texto, consulte as etapas do processo a seguir.
    A seguir estão as etapas do processo de IRQ.
    1. Após a solicitação de due diligence ser aprovada pelo gerente de risco de terceiros (TPR) [sn_vdr_risk_asmt.vendor_risk_manager] ou avaliador de TPR [sn_vdr_risk_asmt.vendor_asst] que foi atribuído como o proprietário da solicitação de due diligence, ele seleciona um IRQ e o anexa a uma avaliação interna.
    2. O sistema envia uma notificação por e-mail para o funcionário que foi atribuído como avaliador de IRQ [snc_internal].
    3. O avaliador de IRQ conclui a avaliação interna respondendo ao IRQ.
    4. Depois que o avaliador de IRQ envia suas respostas e o gerente ou proprietário de TPR revisa e fecha o IRQ, o estado da solicitação de due diligence é atualizado do IRQ em andamento para o IRQ em revisão.
    Nota:
    Não mude um modelo de questionário depois que ele tiver sido enviado como parte de uma avaliação interna. Em vez disso, duplique o modelo fazendo uma cópia e faça suas mudanças na nova cópia. Se você atualizar um questionário após ele ter sido enviado, as mudanças não aparecerão na versão mostrada ao avaliador de IRQ. Para enviar uma versão atualizada, você deve cancelar o questionário existente desassociando-o da avaliação interna e, em seguida, adicionar o questionário usando o modelo atualizado. Para obter mais informações, consulte Crie um questionário ou modelo de solicitação de documento, Crie um questionário ou modelo de solicitação de documento usando o Designer, Crie um TPRM SAE questionário ou modelo de solicitação de documento.

    Com base nas informações coletadas, o gerente de TPR e sua equipe avaliam os possíveis riscos associados ao compromisso. Eles avaliam fatores como a estabilidade financeira, a capacidade operacional, a adesão aos padrões de qualidade, a conformidade com regulamentos e a capacidade do terceiro de cumprir os cronogramas de entrega. Esta avaliação ajuda a equipe a entender o perfil de risco do terceiro e a determinar as estratégias de mitigação de risco apropriadas.

    Para obter mais informações sobre IRQs ou avaliações internas, consulte Crie uma avaliação interna e. Responder a uma avaliação interna.

    Processo de coleta de elemento de terceiros (TP): Colete informações do elemento TP

    O infográfico a seguir mostra o processo de coleta de elementos TP.


    Gráfico que mostra o processo de coleta de elementos TP no fluxo de trabalho de due diligence. Para obter a descrição do texto, consulte as etapas do processo a seguir.
    A seguir estão as etapas do processo de coleta de elementos TP.
    1. Depois que sua solicitação de due diligence concluir o processo de IRQ, se elementos de TP forem necessários, o gerente de TPR ou o proprietário da solicitação de due diligence selecionará Iniciar coleta e uma tarefa de coleta é criada.
    2. O gerente ou proprietário de TPR atribui questionários de elemento de TP a uma avaliação externa para coletar elementos e envia essa avaliação a um compromisso de terceiros para coletar as informações necessárias para elementos de TP.
    3. O sistema envia uma notificação por e-mail para o contato de compromisso terceirizado que foi atribuído ao questionário de elemento TP.
    4. Após o contato de compromisso terceirizado enviar suas respostas, o gerente de TPR ou o proprietário revisa e verifica se todas as informações necessárias foram fornecidas nos questionários.
    5. Em seguida, o gerente ou proprietário de TPR navega até a lista de elementos de terceiros e cria manualmente um registro de elemento de terceiros para cada conjunto de respostas em cada questionário.

      Para obter mais informações, consulte Crie um registro de elemento de terceiros.

    6. Depois que todos os elementos de TP são criados, o gerente de TPR ou o proprietário fecha a avaliação da tarefa de coleta. O sistema muda o estado da solicitação de Coleção em andamento para Coleção em revisão.
    7. As partes interessadas internas (avaliador de TPR, aprovador de TPR, gerente de TPR ou administrador de TPR) revisam e aprovam os registros de elemento.

    Este é um processo opcional para coletar elementos de TP e atribuí-los a compromissos para que eles possam ser avaliados como parte do fluxo de trabalho geral de due diligence. Para obter mais informações sobre elementos TP, consulte Elementos de terceiros de monitoramento.

    Processo de due diligence: Verificação de conformidade

    O infográfico a seguir mostra o processo de due diligence.


    Infográfico que mostra o processo de due diligence no fluxo de trabalho de due diligence. Para obter a descrição do texto, consulte as etapas do processo a seguir.
    A seguir estão as etapas do processo de due diligence.
    1. Após a conclusão do processo de IRQ ou do processo de coleta de elementos TP, o gerente ou proprietário de TPR seleciona questionários e solicitações de documentação para anexar a avaliações externas para envio ao terceiro ou compromisso. Para obter mais informações sobre como criar avaliações, consulte Crie uma avaliação externa e. Formulário de avaliação de risco de terceiros.
      Nota:
      Se você concluiu o processo opcional de coleta de elemento TP, um questionário deverá ser selecionado e atribuído como parte de uma avaliação para cada elemento de terceiro que você criou. Os questionários do elemento TP são preenchidos pelo contato do compromisso.
    2. O sistema envia uma notificação por e-mail ao terceiro e ao contato de compromisso que foi atribuído a cada avaliação.
      Nota:
      Não mude um modelo de questionário depois que ele tiver sido enviado como parte de uma avaliação externa. Em vez disso, duplique o modelo fazendo uma cópia e faça suas mudanças na nova cópia. Se você atualizar um questionário após ele ter sido enviado, as mudanças não aparecerão na versão mostrada no portal de terceiros. Para enviar uma versão atualizada, você deve cancelar o questionário existente desassociando-o da avaliação externa e, em seguida, adicionar o questionário usando o modelo atualizado. Para obter mais informações, consulte Crie um questionário ou modelo de solicitação de documento, Crie um questionário ou modelo de solicitação de documento usando o Designer, Crie um TPRM SAE questionário ou modelo de solicitação de documento.
    3. Depois que os contatos de terceiros e do compromisso enviarem suas respostas, o gerente de TPR ou o proprietário revisa e verifica se todas as informações necessárias foram fornecidas nas avaliações. Os problemas e tarefas serão criados se a correção ou informações adicionais forem necessárias.
    4. O gerente ou proprietário de RFP aprova e encerra cada avaliação.

    O gerente de TPR pode desenvolver modelos de avaliação para simplificar e automatizar o processo de determinar quais questionários e solicitações de documento enviar a um terceiro desse tipo. O administrador de TPR pode definir modelos de questionário, modelos de solicitação de documento e, em seguida, o gerente de TPR pode agrupá-los em um modelo de avaliação. Sua organização pode reutilizar o modelo para enviar questionários e solicitações de documentos para terceiros semelhantes em avaliações futuras. Para obter mais informações sobre modelos, consulte Crie um modelo de avaliação externa, Crie um questionário ou modelo de solicitação de documento e. Crie um questionário ou modelo de solicitação de documento usando o Designer.

    O gerente de TPR e sua equipe usam as respostas do terceiro e a análise interna para determinar se o terceiro atende a todos os requisitos de conformidade necessários. Esses requisitos podem incluir a verificação da conformidade do terceiro com as leis e regulamentações aplicáveis, como regulamentações ambientais, leis trabalhistas e políticas anticorrupção.

    Nota:
    O avaliador de risco de terceiros, gerente ou administrador pode responder a perguntas, modificar respostas e enviar questionários externos em nome de terceiros ou compromissos. Para obter mais informações, consulte Responder a um questionário para um terceiro ou compromisso.

    Devido à natureza confidencial dos itens envolvidos, o gerente de TPR e sua equipe avaliam as práticas de privacidade e segurança de dados do terceiro. Eles avaliam as medidas de segurança da informação do terceiro, as políticas de proteção de dados, os controles de acesso e os processos de gestão de vulnerabilidades. Se o terceiro tiver acesso a informações proprietárias ou dados do cliente, ele poderá exigir que o terceiro passe por uma auditoria de segurança cibernética ou forneça evidências de suas medidas de proteção de dados.

    Para obter mais informações sobre como revisar respostas, consulte Revise as respostas a questionários externos.
    Nota:
    Seu avaliador de TPR pode exportar questionários recebidos ou retornados para Microsoft Planilhas do Excel. Esta opção permite que sua organização use o ambiente de planilha para revisar as perguntas e respostas. Para obter mais informações sobre como exportar respostas do questionário, consulte Exporte respostas do questionário para uma planilha.

    Preencha previamente os questionários com respostas

    O gerente de TPR ou avaliador de TPR pode preencher previamente questionários para terceiros e compromissos com respostas de questionários preenchidos associados ao mesmo terceiro. Depois de enviar a avaliação, o questionário é preenchido previamente com todas as respostas da versão concluída mais recente desse questionário, independentemente de a avaliação associada original ter sido concluída ou não. Isso é útil para questionários em que as respostas devem permanecer consistentes, agilizando o processo e permitindo que contatos de terceiros revisem e atualizem as respostas somente se necessário. Para obter mais informações sobre como criar avaliações, consulte Crie uma avaliação externa.
    Importante:
    Quando o gerente de TPR ou avaliador de TPR adiciona um questionário a uma avaliação, ele tem a opção de marcar ou desmarcar a opção Incluir respostas anteriores na página Questionário. A opção não pode ser alterada depois que o questionário é enviado ao terceiro. Para obter mais informações, consulte Crie um questionário ou modelo de solicitação de documento e Formulário de tipo de métrica de avaliação.

    Quando um contato de terceiro ou de compromisso abre um questionário pré-preenchido no portal de terceiros, ele recebe uma notificação de que as respostas foram copiadas de um questionário anterior. A notificação inclui um link para a avaliação que forneceu as respostas e sua data da última atualização, conforme mostrado no exemplo a seguir.

    Notificação de que as respostas foram copiadas de um questionário anterior.

    Limitações:
    • Alguns tipos de pergunta e suas respostas não podem ser preenchidos previamente, como os tipos de pergunta de anexo, duração e assinatura. Essas respostas de pergunta permanecem em branco e as respostas anteriores não são incluídas.
    • As respostas são copiadas da avaliação original (Avaliação A) para a avaliação mais recente (Avaliação B) uma vez. Esta cópia ocorre quando a Avaliação B é enviada a um terceiro ou a um compromisso. As mudanças feitas na Avaliação A posteriormente não serão refletidas na Avaliação B. As duas avaliações permanecem separadas.

    Problemas e tarefas

    A função do avaliador de TPR [sn_vdr_risk_asmt.vendor_assor] é necessária para criar e gerenciar tarefas e ocorrências.

    O gerente de TPR, avaliador de TPR ou negociador de contratos pode criar tarefas para ajudar a garantir que um membro da equipe ou o contato de terceiros responda às preocupações sobre as respostas do questionário ou documentos solicitados. Eles podem gerenciar tarefas existentes para verificar se o membro da equipe atribuído ou o contato de terceiros responde a uma tarefa e a atualiza conforme necessário. Para obter mais informações sobre como criar e gerenciar ocorrências, consulte Crie uma tarefa para um terceiro ou compromisso e. Gerencie uma tarefa para um terceiro ou compromisso.

    O gerente de TPR, avaliador de TPR ou negociador de contratos pode criar um problema para ajudar a garantir que as preocupações da equipe sobre um terceiro ou compromisso sejam corrigidas. Eles também podem gerenciar os problemas existentes para verificar se eles foram compreendidos, compartilhados com as pessoas corretas e se foram tratados conforme necessário. Para obter mais informações sobre como criar e gerenciar tarefas, consulte Crie um problema para um terceiro ou compromisso e. Gerenciar problemas.

    Ações de avaliação adicionais

    O gerente de TPR, o proprietário da solicitação de due-diligence ou o negociador de contrato pode precisar reabrir uma avaliação porque há novas informações disponíveis que afetam o compromisso ou ocorreu alguma outra mudança. Para obter mais informações, consulte Por que você realiza a due diligence.

    Se o gerente de TPR, o proprietário da solicitação de due diligence ou o negociador de contrato precisarem coletar mais informações de um compromisso, eles poderão enviar um questionário adicional ou solicitação de documento reabrindo uma avaliação e executando as seguintes ações:
    1. Navegue até a página de registro de solicitação de due diligence selecionando o relevante DDR número.
    2. Exiba a avaliação de risco de terceiros relacionada selecionando VRA número no Avaliações externas guia.
    3. Selecione Reabra .

    O estado da solicitação de due diligence é atualizado de Pronto para aprovação de TPRM para due diligence. O gerente de TPR, o proprietário ou o negociador de contratos pode solicitar questionários e solicitações de documentos conforme necessário. Para obter mais informações, consulte Reabra uma avaliação.

    Se o gerente de TPR, o proprietário da solicitação de due diligence ou negociador de contrato não exigir uma avaliação para um compromisso contínuo ou exigir um fechamento rápido para integração ou renovação de um compromisso, ele poderá cancelar uma avaliação executando as seguintes ações:
    1. Navegue até a página de registro de solicitação de due diligence selecionando o relevante DDR número.
    2. Exiba a avaliação de risco de terceiros relacionada selecionando VRA número no Avaliações externas guia.
    3. Selecione Cancelar.
    Mesmo que uma ou todas as avaliações sejam canceladas, a solicitação de due diligence prossegue para o processo de aprovação.