Fluxo de trabalho de due diligence
A gestão de riscos de terceiros ( TPRM) os processos fornecem uma estrutura consistente para o seu programa de gestão de riscos de terceiros. Você pode personalizar os processos de fluxo de trabalho para atender às necessidades da sua organização.
Processos no fluxo de trabalho de due diligence
Cada tarefa em um processo deve ser concluída antes que a próxima tarefa possa ser iniciada. As funções dos usuários que executam as várias tarefas são descritas em Funções no Gestão de risco de terceiros. O diagrama a seguir descreve o fluxo de trabalho de due diligence.
- Processo de solicitação: Peça para iniciar um novo compromisso, reavaliar ou desligar um existente
- Um funcionário da sua organização solicita due diligence para um compromisso de terceiros.
- O funcionário faz login em Central do funcionárioem sua instância. Eles abrem o formulário de solicitação de due diligence e especificam o nome do terceiro e o motivo da solicitação:
- Integrar um novo compromisso
- Reavalie um risco de um compromisso existente
- Reavalie um compromisso existente para se preparar para uma renovação de contrato
- Desligar um compromisso com due diligence
- Desconectar um compromisso sem due diligence
Nota:Ao desligar um compromisso sem due diligence, o processo de coleta de elementos TP e due diligence não são aplicáveis. - O funcionário fornece detalhes sobre o terceiro e o compromisso. As informações incluem o produto ou serviço que deve ser avaliado neste compromisso, o usuário que responderá ao avaliador de questionário de risco inerente (IRQ) e o contato de terceiro (TP) ou contato de compromisso que responderá aos questionários externos.
- A qualquer momento, um provedor de inteligência de risco externo pode atualizar os dados de risco do terceiro porque um gerente de risco de terceiros (TPR) pode ter integrado os serviços de um provedor de inteligência de risco ao configurar a aplicação.
- O funcionário envia o formulário.
- O sistema envia uma notificação por e-mail ao funcionário que fez a solicitação.
- O sistema envia uma notificação por e-mail para o grupo de atribuição de solicitação de due diligence. Um membro do grupo pode atribuir um gerente de TPR ou avaliador de TPR para agir como o proprietário da solicitação. Esta ação aciona uma tarefa para o gerente de TPR.
- O funcionário faz login em Central do funcionárioem sua instância. Eles abrem o formulário de solicitação de due diligence e especificam o nome do terceiro e o motivo da solicitação:
- O gerente de TPR faz o escopo da solicitação, a atualiza conforme necessário e a aprova ou rejeita.
- O gerente de TPR faz login no Espaço de gestão de fornecedorese navega até a página de gestão de due diligence, onde revisam e atualizam a solicitação:
- O gerente de TPR revisa a pessoa que foi sugerida como avaliador de IRQ. Se necessário, eles podem especificar uma pessoa diferente como avaliador de IRQ.
- O gerente de TPR pode iniciar uma discussão com o solicitante e outros usuários selecionando Discutir . A mensagem é registrada na seção Atividade do Detalhes .
O gerente de TPR rejeita ou aprova a solicitação. Se o gerente de TPR aceitar a solicitação, o processo de IRQ será iniciado.
- O gerente de TPR faz login no Espaço de gestão de fornecedorese navega até a página de gestão de due diligence, onde revisam e atualizam a solicitação:
Nota:Os avaliadores de TPR podem criar avaliações recorrentes de terceiros para reavaliar um risco em uma programação regular. Para obter mais informações, consulte Configure uma avaliação de risco para se repetir em uma programação.- Um funcionário da sua organização solicita due diligence para um compromisso de terceiros.
- Processo de IRQ: Defina o escopo do risco
- O gerente de TPR revisa e aprova o IRQ.
- Em Espaço de gestão de fornecedores, O gerente de TPR revisa e aprova o IRQ em de uma lista no sistema.
O administrador de TPR pode criar IRQs personalizadas para uma organização. O conteúdo de cada IRQ é criado e mantido pela pessoa responsável pela área de negócios, pela região geográfica ou pelo terceiro ao qual as perguntas se destinam. Para definir um IRQ, o administrador de TPR adiciona perguntas de amostra a um modelo de questionário e modifica as perguntas conforme necessário. As perguntas de amostra são fornecidas em sistema base. A definição de um IRQ é um processo sem código.
Dica:O gerente de TPR pode usar a resposta a uma pergunta em um IRQ para determinar os questionários que são enviados ao terceiro que está sendo avaliado. Este recurso estará disponível somente se a aplicação Gestão de riscos de terceiros tiver sido ativada.Para obter mais informações, consulte Configure respostas internas do questionário para anexar questionários externos automaticamente às avaliações.
- O gerente de TPR rejeita a solicitação de due diligence ou a aprova. Quando a solicitação é aprovada, o sistema envia o IRQ para o avaliador de IRQ, que é uma parte interessada interna em uma organização.
- O avaliador de IRQ é notificado sobre o IRQ por e-mail e por uma nova tarefa em sua fila.Nota:O sistema também pode enviar automaticamente avaliações de risco de terceiros quando ocorrem mudanças em uma pontuação de risco.
- Em Espaço de gestão de fornecedores, O gerente de TPR revisa e aprova o IRQ em de uma lista no sistema.
- Os usuários internos respondem ao IRQ:
- Em Central do funcionárioQualquer usuário interessado no compromisso é aberto e responde ao IRQ.
Várias respostas geram mais perguntas esclarecedoras. As respostas podem determinar quais questionários externos são gerados automaticamente e adicionados aos conjuntos que vão para o TP e o contato de compromisso.
Por exemplo, se um avaliador de IRQ responder que o terceiro interage com funcionários do governo como parte do compromisso, um questionário antissuborno apropriado para o país do terceiro (ABAC nos EUA ou FCBA na UE e assim por diante) será incluído.
- O avaliador de IRQ envia o IRQ concluído. Esta ação aciona uma tarefa para o gerente de TPR.
- Em Central do funcionárioQualquer usuário interessado no compromisso é aberto e responde ao IRQ.
- As partes interessadas internas (revisor de avaliação de terceiros, avaliador de TPR, aprovador de TPR, gerente de TPR ou administrador de TPR) revisam as respostas de IRQ:
- Em Espaço de gestão de fornecedores, Os usuários revisam as respostas de IRQ.
- O gerente de TPR pode solicitar esclarecimentos ao avaliador de IRQ e, em seguida, rejeitar ou aprovar as respostas de IRQ.
- Se um usuário interessado interno aprovar as respostas de IRQ, ele passará para o próximo processo fechando a solicitação de compromisso.
Nota:Após o processo de IRQ entrar no estado IRQ em andamento, você poderá solicitar relatórios de inteligência de risco associados à sua solicitação de due diligence. Para obter mais informações, consulte Usando relatórios e pontuações de inteligência de risco e Solicite um relatório de inteligência de risco associado a uma solicitação de due diligence.- O gerente de TPR revisa e aprova o IRQ.
- Processo de coleta de elemento TP: Coletar informações de elemento de terceiros (opcional)
-
- O gerente de TPR ou o proprietário da solicitação de due diligence inicia a coleta de elementos de terceiros.
- Em Espaço de gestão de fornecedores, Se elementos de terceiros forem necessários, o gerente de TPR ou o proprietário selecionará Iniciar coleta e uma tarefa de coleta é criada.
- O gerente ou proprietário de TPR navega até a guia de tarefa de coleta e atribui os questionários de coleta de elementos de terceiros relevantes à avaliação externa para coletar elementos.Nota:Como parte do sistema de base, questionários de amostra para coleta e avaliação estão disponíveis para elementos de terceiros classificados como Instalação, Principal, Produtos ou Outros.
- O gerente de TPR ou responsável revisa e aprova os questionários e eles são enviados para o compromisso.
- O sistema envia uma notificação por e-mail para as pessoas no compromisso. As mensagens notificam o contato do compromisso para responder aos questionários de coleta de elementos de terceiros.
-
No portal de terceiros, os contatos de compromisso respondem aos questionários diretamente ou atribuem as tarefas a outros contatos na organização.
- O contato de compromisso retorna os questionários preenchidos.
- O sistema muda o estado da avaliação para Respostas recebidas E envia alertas para o gerente de TPR e o proprietário.
- Em Espaço de gestão de fornecedores, O gerente ou proprietário do TPR abre os questionários e verifica se todas as informações necessárias foram fornecidas.
- Em seguida, o gerente ou proprietário de TPR navega até a lista de elementos de terceiros e cria manualmente um registro de elemento de terceiros para cada conjunto de respostas no questionário.
- Após a criação de todos os elementos de terceiros, o gerente ou o proprietário de TPR encerra a avaliação.
- O sistema muda o estado da solicitação para Coleção em revisão .
- As partes interessadas internas (avaliador de TPR, aprovador de TPR, gerente de TPR ou administrador de TPR) revisam e aprovam os registros de elemento.
- Em Espaço de gestão de fornecedores, O gerente de TPR ou o proprietário abre o compromisso e adiciona manualmente elementos como entidades na guia Entidades.
- Depois que todas as entidades de elemento de terceiros forem atribuídas a um compromisso, você poderá iniciar o processo de due diligence.
- O gerente de TPR ou o proprietário da solicitação de due diligence inicia a coleta de elementos de terceiros.
- Processo de due diligence: Colete informações para gerar uma pontuação de risco
- Um dos seguintes processos resulta na seleção de questionários de due diligence externos:
- Em Espaço de gestão de fornecedores, O gerente de TPR seleciona os questionários aos quais o TP e os contatos de compromisso respondem.
- O sistema seleciona automaticamente os questionários de acordo com as configurações definidas para fazer as seleções. Para obter mais informações sobre como configurar questionários externos a serem selecionados com base nas respostas internas do questionário, consulte Configure respostas internas do questionário para anexar questionários externos automaticamente às avaliações.
- O sistema seleciona automaticamente os questionários de acordo com as regras de negócios que foram definidas para fazer as seleções.
Independentemente do método de seleção usado na etapa 1, dois questionários de due diligence externos são selecionados:
- Um conjunto coleta informações sobre a organização de terceiros. O contato do TP responde a esse questionário.
- O outro conjunto coleta informações sobre a unidade de negócios na organização terceirizada que é o assunto do compromisso. O contato do compromisso (conforme especificado na solicitação de due diligence) responde a esse questionário.
Nota:Se você concluiu o processo opcional de coleta de elemento TP, um questionário deverá ser selecionado e atribuído como parte de uma avaliação para cada elemento de terceiro que você criou. Os questionários de elemento de terceiros são preenchidos pelo contato do compromisso.- Em Espaço de gestão de fornecedores, O gerente de TPR revisa os questionários selecionados automaticamente aos quais o TP e os contatos de compromisso respondem. O gerente de TPR valida ou modifica as seleções e, em seguida, aprova o conjunto de questionários. Para obter mais informações sobre como criar avaliações externas, consulte Crie uma avaliação de risco externa.
- O sistema envia uma notificação por e-mail para as pessoas do terceiro. As mensagens notificam o contato TP e o contato de compromisso para responder aos questionários externos.Nota:Não faça mudanças em um modelo de questionário depois que ele já estiver em uso. Você pode duplicar o modelo fazendo uma cópia. Se você fizer mudanças em um questionário depois que ele for enviado como parte de uma avaliação externa, essas atualizações não serão exibidas no questionário exibido no portal de terceiros. Para obter mais informações, consulte Crie um modelo de solicitação de questionário ou documento e Crie um modelo de solicitação de questionário ou documento usando o Designer.
- No portal de terceiros, o TP e os contatos de compromisso respondem aos questionários diretamente ou atribuem as tarefas a outros contatos na organização de terceiros.Nota:O portal de terceiros está totalmente isolado da instância da sua organização.
Em um processo iterativo, antes que o gerente de TPR encerre uma avaliação, o gerente de TPR pode gerar problemas e tarefas de não conformidade. O gerente de TPR se comunica com os contatos de TP e os contatos de compromisso usando comentários para encerrar os problemas e tarefas. O gerente de TPR também pode atribuir contatos diferentes conforme necessário.Para obter mais informações, consulte Gerenciar ocorrências.
- O contato de TP e o contato de compromisso retornam os questionários preenchidos.
- O sistema muda o estado da solicitação para Pronto para aprovação de TPRM E envia alertas para os gerentes de TPR.
- Em Espaço de gestão de fornecedores, O gerente de TPR valida se os questionários foram recebidos, concluídos e assinados, se necessário, e fecha a fase de avaliação para iniciar o processo de aprovação.
Nota:Se o gerente de risco de terceiros ou o proprietário selecionar Ignorar processo de risco do contrato Durante o processo de due diligence, o negociador de contrato atribuído não é notificado e o estado do processo de risco do contrato é ignorado. Um aprovador e proprietário podem atualizar o. Ignorar processo de risco do contrato seleção até que o processo de aprovação seja concluído. Para obter mais informações sobre este processo, consulte Gestão de processos de solicitação de due diligence.- Um dos seguintes processos resulta na seleção de questionários de due diligence externos:
- Processo de aprovação: A parte interessada interna analisa cada aspecto do risco
Todas as partes interessadas internas (aprovadores) revisam as respostas do questionário e os documentos de apoio dos contatos de terceiros e do compromisso. Se as respostas forem boas, um ou mais aprovadores aprovam e encerram a solicitação de DD. Se um contrato for preparado, a solicitação aprovada será movida para Risco do contrato processo.
- Os aprovadores podem aprovar ou rejeitar a solicitação e fechá-la.
- O fechamento da solicitação a move para o processo de risco do contrato ou, se nenhum contrato estiver envolvido, o compromisso será iniciado.
- Processo de risco do contrato
Após a aprovação, todas as informações de due diligence podem ser disponibilizadas para o negociador do contrato. Usando o. Espaço de gestão de fornecedores, o negociador de contratos acessa todos os dados gerados durante os processos anteriores para projetar e liquidar o contrato:
- O negociador de contratos pode ignorar o processo de risco do contrato se um contrato não for mais necessário.
- O negociador de contratos pode solicitar due diligence adicional, se necessário.
- Se o negociador de contrato executar com sucesso um contrato com o terceiro, ele poderá carregá-lo e especificar que o contrato foi executado para notificar automaticamente todas as partes interessadas principais.
- O negociador de contratos pode especificar que o contrato não foi executado e que o terceiro não será contratado para negócios.
- O negociador de contrato pode especificar que o contrato foi rescindido e o terceiro não será contratado para negócios.