Exemplo de processo de integração

Processo de solicitação

Qualquer funcionário (normalmente um usuário que deseja fazer negócios com um terceiro) cria o caso de negócios para iniciar o processo de due diligence para uma avaliação de risco.

Um gerente de risco de terceiros (TPR) revisa a solicitação de due diligence para o compromisso e a aprova.

Questionário de risco inerente (IRQ)

Após a aprovação da solicitação, o avaliador de IRQ conclui a avaliação de risco interna respondendo ao IRQ.

Com base nas informações coletadas, a Acme avalia os possíveis riscos associados ao terceiro. Eles avaliam fatores como estabilidade financeira, capacidade operacional, adesão aos padrões de qualidade, conformidade com regulamentos e a capacidade do terceiro de cumprir os cronogramas de entrega. Esta avaliação ajuda a Acme a entender o perfil de risco do terceiro e determinar as estratégias apropriadas de mitigação de risco.

Processo de due diligence: Verificação de conformidade e avaliação de segurança de dados e privacidade

Quando o processo de IRQ estiver concluído, acme TPRMa aplicação envia questionários e solicitações de documentação para o terceiro. Como parte de uma avaliação, você pode enviar vários questionários e solicitações de documentos. A ACME pode solicitar documentos: Certificações, licenças ou relatórios de auditoria de terceiros para validar a conformidade.

Nota:

Para simplificar e automatizar o processo de determinar quais questionários e solicitações de documentos enviar a terceiros desse tipo, a equipe da Acme desenvolveu modelos de avaliação . Eles definiram modelos de questionário, modelos de solicitação de documento ou ambos e os agruparam em um modelo de avaliação. A ACME pode reutilizar o modelo para enviar os questionários apropriados, solicitações de documentos ou ambos para terceiros semelhantes em avaliações futuras.

A ACME usa as respostas do terceiro e a análise interna para determinar se o terceiro atende a todos os requisitos de conformidade necessários. Isso inclui verificar a conformidade do terceiro com as leis e regulamentações aplicáveis, como regulamentações ambientais, leis trabalhistas e políticas anticorrupção.

Dada a natureza confidencial dos componentes envolvidos, a Acme avalia as práticas de privacidade e segurança de dados do terceiro. Eles avaliam as medidas de segurança da informação do terceiro, as políticas de proteção de dados, os controles de acesso e os processos de gestão de vulnerabilidades. Se o terceiro tiver acesso às informações proprietárias da Acme ou aos dados do cliente, poderá exigir que o terceiro passe por uma auditoria de segurança cibernética ou forneça evidências de suas medidas de proteção de dados.

Acordos Contratuais e Mitigação de Risco

Para proteger seus interesses, o negociador de contratos de TPR na ACME (geralmente advogado corporativo) incorpora disposições contratuais específicas para lidar com os riscos identificados. O negociador de contratos usa as informações obtidas nos processos de IRQ e due diligence para incluir cláusulas relacionadas a conformidade, padrões de qualidade, confidencialidade, proteção de dados, continuidade de negócios, e mecanismos de resolução de disputas. O contrato também pode descrever métricas de desempenho, expectativas e cláusulas de rescisão se houver uma não conformidade ou violação.

Monitoramento e revisão contínuos

A ACME estabelece um processo de monitoramento contínuo para avaliar regularmente o desempenho do terceiro e a adesão aos termos acordados. As pessoas em sua organização podem executar manualmente revisões financeiras periódicas, auditorias de qualidade, visitas ao local ou pesquisas. Eles também estabelecem canais de comunicação para lidar com quaisquer preocupações ou mudanças no perfil de risco do terceiro.