Terminologia
Saiba mais sobre os principais conceitos e termos usados no TPRMaplicação.
Terceiro, quarto e enésima partes
R terceiro é qualquer organização ou indivíduo com quem você interagiu ou entrou em um relacionamento comercial. Os terceiros podem ter subsidiárias e podem contratar terceiros. Por exemplo, os departamentos são subsidiárias. R quarta parte pode contratar outras partes (referidas como enésimos partes: quinto, sexto e assim por diante). Todas as partes descendentes (quarta a enésima partes) carregam o risco da mesma forma que os terceiros.
R fornecedor fornece os bens ou serviços que você usa para produzir ou entregar seus próprios bens ou serviços. Todos os fornecedores são terceiros, mas nem todos os terceiros são fornecedores. Aqui está uma lista de alguns outros tipos de terceiros:
- Fornecedores
- Afiliadas
- Contrapartes
- Consultores
- Parceiros
- Serviços profissionais
- Consultores
- Franquias
- Revendedores
- Revendedores
- Distribuidores
- Clientes
- Clientes
- Equipe terceirizada
Acordos
Um compromisso é o relacionamento informal ou contratado que você pretende formar com um terceiro que pode potencialmente expor sua organização a riscos. O compromisso descreve os serviços ou produtos a serem fornecidos pelo terceiro e outros detalhes do relacionamento. Esses detalhes podem incluir os termos de pagamento, requisitos de confidencialidade e a duração do relacionamento.
Você pode avaliar cada compromisso usando avaliações internas e externas. As ocorrências, tarefas, avaliações internas e avaliações externas estão associadas aos compromissos.
Neste exemplo, sua empresa interage com três terceiros e gerencia vários compromissos entre eles.
- Para obter uma discussão detalhada e um exemplo, consulte Por que você pode ter vários compromissos com um único terceiro.
- Para obter uma lista dos tipos de compromissos que você pode executar, consulte Tipos de compromisso com terceiros.
Subsidiárias
R subsidiária é uma organização de propriedade ou controlada pelo terceiro e é considerada parte da organização do terceiro. Normalmente, eles são gerenciados como parte do perfil de risco do terceiro. Eles são diferentes da quarta à enésima partes que têm contratos com terceiros e não são de propriedade ou controlados por esse terceiro.
A avaliação de risco para subsidiárias é a mesma que para outros terceiros. As classificações de risco das subsidiárias contribuem para a pontuação do terceiro controlador.
IRQ: O questionário de risco inerente
Durante o processo de avaliação de risco interno, os funcionários internos da sua organização respondem a perguntas no IRQ. Essas respostas ajudam a avaliar o risco inerente associado ao envolvimento com um terceiro. Um risco inerente refere-se ao nível de risco antes de implementar quaisquer medidas de mitigação de risco. Um IRQ oferece suporte às seguintes atividades:
- Determinação de fatores de risco
- A natureza dos serviços fornecidos pelo terceiro.
- A confidencialidade dos dados envolvidos.
- A localização geográfica do terceiro.
- A postura de segurança geral do terceiro.
- Determinando pontuação ou classificação
- As respostas ao questionário geralmente são pontuadas ou classificadas para ajudar a quantificar o risco inerente associado ao terceiro. Este sistema de pontuação pode ajudar a priorizar os esforços de gestão de riscos.
- Tomada de decisão
- Os resultados do IRQ são então usados no processo de tomada de decisão. Os administradores e gerentes de risco de terceiros (TPR) podem configurar os IRQs para enviar questionários de avaliação externa específicos (due diligence) aos terceiros com base nas respostas específicas às perguntas.
- Você deve se envolver com o terceiro?
- Que nível de due diligence é necessário?
- Que medidas específicas de mitigação de risco você deve implementar?
- Due diligence contínua
O IRQ também pode fazer parte da gestão contínua, com reavaliações periódicas para considerar mudanças nas operações, práticas de segurança ou outros fatores relevantes do terceiro.
Due diligence (DD)
Due diligence é o processo de conduzir uma investigação completa ou exame da integridade, reputação, estabilidade financeira, conformidade jurídica, capacidades operacionais, cadeia de suprimentos e outros fatores relevantes de um possível parceiro de negócios, fornecedor ou fornecedor. A realização de due diligence em terceiros é um componente crucial do seu programa abrangente de risco de terceiros. Você conduz a due diligence para tomar conhecimento dos riscos associados a um terceiro para que possa decidir com confiança como formar seu relacionamento. Use fluxos de trabalho de due diligence para integrar novos compromissos ou para reavaliar ou descontinuar compromissos existentes. Os fluxos de trabalho de due diligence incluem a coleta de informações por meio de avaliações internas, avaliações externas e inteligência de risco. Todas as pontuações dessas etapas são analisadas pelos gerentes de risco de terceiros para decidir se um compromisso deve ser integrado, reavaliado ou descontinuado. A due diligence também tem um processo de negociação de contrato opcional antes de fechar o fluxo de trabalho de due diligence.
Consulte Por que você conduz a due diligence e Tipos de due diligence.
Avaliações de risco de terceiros
Uma avaliação de risco de terceiros (TPRA) é um conjunto de questionários que você pode enviar a contatos de terceiros ou usuários internos para avaliar os riscos de terceiros e de compromisso. Uma avaliação que você envia para usuários internos é categorizada como uma avaliação interna. Uma avaliação que você envia para um contato de terceiros é chamada de avaliação externa.
Use um avaliação interna para calcular os terceiros e os níveis de compromisso. A classificação que você usa para identificar os questionários internos na tabela de modelos de questionário é o modelo de questionário de risco inerente [irq_template]. Você pode anexar automaticamente os questionários necessários para avaliações externas de acordo com as respostas que você recebe das avaliações internas. Você pode configurar esta opção em um questionário para tabela de mapeamento de pergunta [sn_tprm_dd_m2m_question_to_questionário].
Use um avaliação externa para avaliar os riscos associados ao terceiro e ao compromisso de acordo com as respostas de contato de terceiros que você recebe. As classificações de risco de uma avaliação externa são calculadas no nível de avaliação usando todos os questionários anexados à avaliação. Essas classificações de avaliação são agregadas e acumuladas para terceiros e compromissos. A agregação é MIN, MAX ou AVG e pode ser configurada em uma configuração de pontuação. Contatos de terceiros (usuários externos) do portal de terceiros https://<myCompany>.service-now.com/ svdp responda a essas avaliações externas.
Para obter mais informações sobre pontuação, consulte Cálculos de pontuação e classificações de risco de terceiros.
Fornecedores de inteligência de risco
Os provedores de inteligência de risco geram pontuações de risco para uma variedade de domínios de risco de terceiros. Sua organização pode comprar serviços de provedores que retornam dados análogos às pontuações de crédito pessoais. As pontuações fornecem informações sobre o quão confiável e seguro um terceiro específico pode ser.
Consulte Pontuações de integração de provedores de inteligência de risco.
Pontuações de inteligência de risco
Pontuações de inteligência de risco são avaliações numéricas que avaliam o nível de risco associado a uma determinada organização. Essas pontuações são geradas por provedores de inteligência de risco que coletam e analisam uma ampla variedade de fontes de dados. As pontuações podem vir em qualquer forma, sejam classificações ou números. O sistema mapeia o valor da pontuação para o apropriado TPRMclassificação. Essas pontuações podem ajudar sua empresa a tomar decisões informadas sobre como interagir com terceiros, gerenciar a conformidade e mitigar possíveis riscos. As pontuações de inteligência de risco estão disponíveis para terceiros a partir de Washington DCversão. As classificações de risco são calculadas pelas regras de pontuação associadas ao compromisso na configuração de pontuação.
Pontuações de terceiros
Pontuações de terceiros são avaliações numéricas que são um agregado de suas pontuações de inteligência de risco e pontuações determinadas por avaliações externas (questionários de compromisso e questionários de risco de terceiros).Essas pontuações ajudam as organizações a tomar decisões informadas sobre como selecionar e gerenciar relacionamentos com terceiros, permitindo o alinhamento com seus requisitos de tolerância a riscos e conformidade. Ao avaliar pontuações de terceiros, as organizações podem identificar riscos potenciais, priorizar os esforços de due diligence e implementar estratégias apropriadas de mitigação de riscos.
Componentes de classificação de risco
R componente é a entidade para a qual você pode avaliar o risco. O sistema base inclui compromissos, monitoramento externo, subsidiárias e avaliações de risco de terceiros. O risco é calculado para cada componente e, em seguida, o risco é agregado e acumulado para calcular uma classificação de risco de terceiros.
R critérios do componente é a definição de como um componente será usado por um terceiro. Um critério de componente é um grupo de componentes que deve ser aplicado a um tipo específico de terceiro ou compromisso.
R área ou domínio de risco define o tipo de risco a ser avaliado para um terceiro. Isso geralmente está alinhado à área/domínio em que o terceiro opera ou para o qual ele fornece um produto/serviço. Por exemplo, você pode querer avaliar um terceiro de gestão de dados em termos de risco de segurança e um banco em termos de risco financeiro.
R critérios da área de risco A definição de como as áreas de risco serão usadas por terceiros é definida nos critérios da área de risco. Um critério de área de risco de terceiros é um grupo (ou agrupamento) de domínios ou áreas de risco que podem se aplicar a um tipo específico de terceiro. Por exemplo, domínios de risco de segurança, financeiro e reputação podem ser agrupados em critérios de área de risco que devem ser aplicados a terceiros. É possível entender e mitigar melhor os riscos que um terceiro representa para sua organização, identificando os domínios de seus negócios para avaliar o risco e quantificando a importância (peso) de cada domínio.
Regras de pontuação
R regra de pontuação fornece o mecanismo para aplicar critérios de componente e critérios de área de risco a um terceiro e critérios de área de risco para um compromisso.
Para um terceiro, os critérios do componente determinam quais componentes específicos são aplicáveis e o método de pontuação relevante para cada componente. Esses componentes podem incluir localização geográfica, postura geral de segurança e resultados de avaliações internas e externas. Os métodos de pontuação para esses componentes são configurados na configuração de pontuação. Por exemplo, as avaliações internas para localização geográfica e postura de segurança geral fazem parte do processo de avaliação interna, enquanto as avaliações externas usam métodos como MIN, MAX ou AVG para calcular as classificações de risco. Além disso, as pontuações de inteligência de risco de provedores externos são mapeadas para classificações apropriadas e combinadas com as pontuações de avaliação externa para formar a pontuação geral de terceiros.
Para um terceiro, os critérios da área de risco determinam quais áreas de risco específicas (ou domínios) são aplicáveis e o método de pontuação relevante para cada área de risco.
- Violações de dados
- Tempo de inatividade
- Violações de conformidade
- Interrupção da cadeia de suprimentos
- Peças falsificadas
- Problemas de conformidade regulatória
- Propriedade oculta
- Risco reputacional
- Risco financeiro
- Local geográfico
- Postura de segurança
- Natureza dos serviços
- Confidencialidade de dados
- Elementos de terceiros
Para obter mais informações sobre configuração e pontuação da avaliação, consulte Configuração de avaliação, Cálculos de pontuação e classificações de risco de terceirose. Verificando classificações de risco e cálculos de pontuação.
Elementos de terceiros
Elementos de terceiros são as organizações externas das quais um terceiro ou compromisso depende para fornecer bens, serviços ou suporte. Essas organizações podem incluir fornecedores, fornecedores, prestadores de serviços, indivíduos ou qualquer outra organização externa que tenha acesso aos sistemas, dados ou instalações do terceiro ou do compromisso. Quaisquer vulnerabilidades ou falhas nesses elementos de terceiros podem ter um impacto significativo nas operações, reputação e segurança do terceiro ou do compromisso. Ao implementar esses controles e lidar com os riscos associados, as organizações podem aprimorar sua capacidade de gerenciar e mitigar os possíveis impactos negativos de terceiros e seus elementos de terceiros. Regularmente, reavaliar e atualizar esses controles é essencial para se adaptar às mudanças no ambiente de negócios e no cenário regulatório.
Estes são alguns exemplos de elementos de terceiros e seus controles associados e possíveis riscos.
- Datacenter
- Instalações ou locais onde terceiros ou compromissos terceirizam o armazenamento, o processamento e o gerenciamento de seus dados e infraestrutura de TI.
- Instalação de fabricação
- Instalações ou locais onde terceiros ou compromissos terceirizam a produção ou montagem de seus produtos.
- Proprietários efetivos
-
Indivíduos que, em última instância, possuem ou controlam uma organização envolvida em um relacionamento comercial ou transação. Esses indivíduos podem não ser os proprietários registrados ou legais da organização, mas têm influência ou controle significativo sobre suas operações, tomada de decisões ou assuntos financeiros.