Elementos de terceiros de monitoramento
Você pode monitorar elementos de terceiros por meio de modelos de pontuação escaláveis, análise de relacionamento e integração de fluxo de trabalho de due diligence usando o. Gestão de risco de terceirosaplicação. Monitorar elementos de terceiros e aproveitar essas informações pode ajudar a conduzir avaliações de risco mais informadas como parte do seu programa de risco de terceiros.
Visão geral de elementos de terceiros
Elementos de terceiros (Elementos TP) são as organizações externas das quais um compromisso depende para fornecer bens, serviços ou suporte. Essas organizações podem incluir fornecedores, prestadores de serviços, instalações, indivíduos ou qualquer outra organização externa que possa acessar os sistemas, dados ou instalações do compromisso.
Vejamos alguns exemplos de classe de elemento TP e risco:- Datacenter
- Uma instalação ou local em que um compromisso ou terceiro terceiriza o armazenamento, o processamento e o gerenciamento de seus dados e infraestrutura DE TI. Um datacenter pode sofrer uma violação de dados, tempo de inatividade ou violação de conformidade que expõe seus compromissos a riscos inesperados. Este exemplo seria classificado como um elemento TP de instalação.
- Instalação de fabricação
- Uma instalação ou local onde um compromisso ou terceiro terceiriza a produção ou montagem de seus produtos. Uma instalação de fabricação pode sofrer uma interrupção na cadeia de suprimentos, uma peça falsificada ou um problema de conformidade regulatória que expõe seus compromissos a riscos inesperados. Este exemplo seria classificado como um elemento TP de instalação.
- Beneficiário efetivo
- Um indivíduo que possui ou controla uma organização envolvida em um relacionamento comercial ou transação. Esses indivíduos podem não ser os proprietários registrados ou legais da organização, mas têm influência ou controle significativo sobre suas operações, tomada de decisões ou assuntos financeiros. Este exemplo seria classificado como um elemento TP principal.
O infográfico a seguir mostra o processo de coleta de elementos TP.
Para obter mais informações sobre elementos de terceiros (TP) e exemplos de seus controles associados e riscos potenciais, consulte Terminologia.
Coletando e analisando elementos de terceiros
A coleta e revisão de elementos de terceiros é opcional. Se você tiver a função de avaliador de risco de terceiros (TPR) [sn_vdr_risk_asmt.vendor_assador] e for o responsável pela solicitação de due diligence ou gerente de TPR [sn_vdr_risk_asmt.vendor_risk_manager], poderá iniciar este processo depois que sua solicitação de due diligence concluir o processo de questionário de IRQ (IRQ).
- Em Espaço de gestão de fornecedores, Se elementos TP forem necessários, o gerente de risco de terceiros (TPR) ou o proprietário da solicitação de due diligence selecionará Iniciar coleta e uma tarefa de coleta é criada.
- O gerente ou proprietário de TPR abre a avaliação externa para coletar elementos e adiciona os questionários de coleta de elementos de TP relevantes.
- O gerente de TPR ou responsável revisa e aprova os questionários e eles são enviados para o compromisso. Para obter mais informações sobre avaliações, consulte Avaliando o risco de terceiros.
- Em Espaço de gestão de fornecedores, O gerente ou proprietário do TPR abre os questionários e verifica se todas as informações necessárias foram fornecidas.
- O gerente ou proprietário de TPR navega até a lista de elementos de TP e cria manualmente um registro de elemento de TP para cada conjunto de respostas em cada questionário.
- Depois que todos os elementos de TP são criados, o gerente de TPR ou o proprietário fecha a avaliação da tarefa de coleta. O sistema muda o estado da solicitação de Coleta em andamento para Coleção em revisão .
- As partes interessadas internas (avaliador de TPR, aprovador de TPR, gerente de TPR ou administrador de TPR) revisam e aprovam os registros de elemento.
Adição de elementos de terceiros aos compromissos
Depois que os elementos de TP são revisados e aprovados pelo gerente de TPR e pelas partes interessadas internas em Espaço de gestão de fornecedores, O gerente de TPR ou o proprietário abre o compromisso e adiciona manualmente os elementos de TP revisados e aprovados como entidades no Entidades do compromisso. Para obter mais informações, consulte Adicione um registro de elemento de terceiros a um compromisso. Depois de adicionar todas as entidades de elemento TP a um compromisso, você pode iniciar o processo de due diligence. Durante o processo de due diligence, você deve selecionar e atribuir um questionário como parte de uma avaliação externa para cada elemento de TP que você criou. O contato de terceiros conclui os questionários de elemento TP. Para obter mais informações, consulte Avaliando o risco de terceiros.
Pontuação de elemento de terceiros
Você pode categorizar cada elemento TP em um dos seguintes tipos: Instalação, Produto, Principal ou Outro. Esta classificação ajuda você a organizar os critérios de avaliação e a pontuação subsequente. A pontuação em um elemento TP é determinada pela média das classificações de risco de suas avaliações de risco de terceiros associadas. Se você conduzir várias avaliações para o mesmo elemento de TP, o sistema considerará somente a avaliação mais recente de cada compromisso para pontuação, desconsiderando duplicatas. Este processo ajuda a garantir que a classificação de risco do elemento TP reflita a avaliação mais atual. Por exemplo, se um elemento TP tiver avaliações com classificações de risco muito altas e muito baixas, a média dessas classificações fará com que o risco geral seja moderado.
Depois que um elemento é avaliado e uma classificação de risco é determinada, essa classificação é agregada em primeiro lugar em uma pontuação de componente baseada em sua classificação, como Instalação. Por exemplo, todos os elementos do tipo Instalação são agregados em uma única pontuação de componente, o que contribui para a pontuação geral do compromisso. A pontuação de compromisso é compilada agregando as pontuações de todas as pontuações de componentes relevantes nesse compromisso. Se várias avaliações ou elementos de TP estiverem em um compromisso, cada um será pontuado individualmente e, em seguida, combinado para formar a pontuação geral do compromisso. A pontuação de compromisso é acumulada para o nível de terceiro agregando as pontuações de todos os compromissos associados a um terceiro específico. A agregação neste nível pode ser baseada em regras diferentes, como calcular a média, obter as pontuações mínima ou máxima, dependendo das regras de pontuação definidas no sistema. Esta pontuação acumulada representa a pontuação geral de risco ou desempenho do terceiro e reflete todos os compromissos e elementos associados a ele.