Modelo de dados de gestão de risco de terceiros

  • Versão de lançamento: Zurich
  • Atualizado 31 de jul. de 2025
  • 9 min. de leitura

    • Use Gestão de risco de terceiros Modelo de dados (TPRM) para avaliar, monitorar e mitigar os riscos do seu programa de gestão de riscos.

    TPRM visão geral do modelo de dados

    . Gestão de risco de terceiros a aplicação é uma das Governança, risco e conformidade produtos.

    O modelo a seguir é usado para oferecer suporte a TPRM capacidades de .

    Figura 1. Modelo de dados de TPRM
    Relacionamento entre due diligence, gestão de terceiros, política e conformidade e tabelas principais de risco. Para obter uma descrição de texto, consulte o texto a seguir.

    O modelo de dados de avaliação de risco de terceiros inclui vários componentes e relacionamentos:

    Componentes:
    • Pontuação de inteligência de risco [sn_vdr_risk_asmt_security _score]
    • Avaliação interna [sn_vdr_asmt_internal_assessment]
    • Avaliação de hierarquização [sn_vdr_risk_asmt_vdr_tiering_assessment]
    • Histórico de gestão orientada por eventos [sn_tprm_dd_rule_execution_history]
    • Solicitação de due diligence de terceiros [sn_tprm_dd_request]
    • Empresa [core_company]
    • Regra de gestão orientada por eventos [sn_tprm_dd_generation_rule]
    • Avaliação de risco de terceiros [sn_vdr_risk_asmt_assessment]
    • Compromisso de terceiros [sn_vdr_risk_asmt_vendor_engagement]
    • Contato do fornecedor [vm_dr_contact]
    • Tipo de métrica de avaliação [asmt_metric_type]
    • Modelo de avaliação [sn_vdr_risk_asmt_assessment_template]
    • Problema de risco de terceiros [sn_vdr_risk_asmt_issue]
    • Regra de pontuação de risco de compromisso [sn_vdr_risk_asmt_engagement_risk_scoring_rule]
    • Classificação de risco no nível de compromisso [sn_vdr_risk_asmt_engagement_level_rating]
    • Risco [sn_risk_risk]
    • Controle [sn_compliance_control]
    Relacionamentos:
    • O componente de avaliação de risco de terceiros pode ter um relacionamento um para muitos com os seguintes componentes:
      • Históricos de gestão orientados por eventos
      • Solicitações de due diligence de terceiros
      • Empresa
      • Compromissos de terceiros
      • Ocorrências de risco de terceiros
      • Modelos de avaliação
    • O componente históricos de gestão orientada por eventos pode ter um relacionamento muitos para um com o componente de regras de gestão orientada por eventos.
    • O componente de regras de gestão orientada por eventos pode ter um relacionamento um para muitos com o componente de tipo de métrica Avaliação e o componente Modelo de avaliação.
    • O componente de compromisso de terceiros pode ter um relacionamento um para muitos com os seguintes componentes:
      • Empresa
      • Regra de pontuação de risco do compromisso
      • Ocorrência de risco de terceiros
    • O componente de compromisso de terceiros pode ter um relacionamento muitos para muitos com o componente de contato do fornecedor.
    • O componente de contato do fornecedor pode ter um relacionamento um para muitos com a empresa e um componente de problema de risco de terceiros.
    • O componente de classificação de risco de nível de compromisso pode ter um um para muitos com o componente de compromisso de terceiros.
    • O componente de compromisso de terceiros está relacionado ao componente Risco e controle.
    • O componente de pontuação de inteligência de risco está relacionado ao componente de due diligence de terceiros.
    • O componente de avaliação de classificação por níveis pode ter um relacionamento um para muitos com os seguintes componentes:
      • Due diligence de terceiros
      • Compromisso de terceiros
      • Empresa
    • O componente de avaliação de classificação por níveis pode ter um relacionamento muitos para muitos com o componente do tipo de métrica Avaliação.
    • O componente de due diligence de terceiros pode ter relacionamentos um para muitos com os seguintes componentes:
      • Histórico de gestão orientado por eventos
      • Avaliação de risco de terceiros
      • Empresa
    • Os seguintes componentes estão relacionados à due diligence de risco:
      • Regra de gestão orientada por eventos
      • Histórico de gestão orientado por eventos
      • Solicitação de due diligence de risco de terceiros
    • Os seguintes componentes estão relacionados à gestão de terceiros:
      • Pontuação de inteligência de risco
      • Avaliação interna
      • Avaliações de hierarquização
      • Avaliação de risco de terceiros
      • Compromisso de terceiros
      • Modelo de avaliação
      • Ocorrência de risco de terceiros
      • Regra de pontuação de risco do compromisso
      • Avaliação de risco do nível da compromisso
    • O componente de avaliação interna é uma extensão do componente de avaliação de classificação por níveis.
    • O componente Controle está relacionado a. Gestão de políticas e conformidade.
    • O componente de risco está relacionado a. Gestão de riscos.
    • Os seguintes componentes são globais:
      • Contato do fornecedor
      • Empresa
      • Tipo de métrica de avaliação
    A tabela a seguir lista as funções necessárias para os componentes do TPRM modelo de dados.
    Tabela 1. Funções do TPRM modelo de dados
    Função Descrição
    sn_vdr_risk_asmt.aprovador Aprove solicitações de due diligence no processo de gestão de riscos de terceiros.
    sn_vdr_risk_asmt.contract_negotiator Trabalhar na fase do processo de risco de contrato do processo de integração.
    sn_vdr_risk_asmt.vendor_assessment_reviewer Editar avaliações.
    sn_vdr_risk_asmt.vendor_assessor Gerencie terceiros, contatos de terceiros, avaliações de risco de terceiros e problemas e conclua solicitações de avaliação de risco de terceiros.
    sn_vdr_risk_asmt.vendor_risk_admin Tenha controle total sobre todos os dados de gestão de risco do fornecedor e os tipos de métrica de avaliação.
    sn_vdr_risk_asmt.vendor_risk_manager Gerenciar terceiros, contatos de terceiros, modelos de avaliação de terceiros, modelos de questionário, modelos de solicitação de documentação, e avaliações programadas.

    Para obter mais informações sobre as funções, consulte Funções no Gestão de risco de terceiros.

    Componentes principais

    TPRM é baseado no envio de avaliações e no cálculo de pontuações das respostas recebidas.

    Você pode usar estes componentes principais para executar avaliações:
    • Avaliação de risco de terceiros
    • Compromisso de terceiros
    • Due diligence de terceiros
    • Configuração de pontuação
    • Inteligência de risco

    O diagrama a seguir mostra as principais tabelas e o fluxo para uma avaliação de risco de terceiros do TPRM modelo de dados.

    Figura 2. Modelo de dados de avaliação de risco de terceiros
    Relacionamento entre due diligence, gestão de terceiros, política e conformidade e tabelas principais de risco ou avaliações de risco de terceiros. Para obter uma descrição de texto, consulte o texto a seguir.

    Estes são os componentes e os relacionamentos que compõem o modelo de dados de avaliação de risco de terceiros.

    Componentes:
    • Avaliações internas [sn_vdr_risk_asmt_internal_assessment]
    • Avaliações de hierarquização [sn_vdr_risk_asmt_vdr_tiering_assessment]
    • Avaliações externas [sn_vdr_risk_asmt_assessment]
    • Modelo de avaliação [sn_vdr_risk_asmt_template]
    • Modelos de questionário [asmt_metric_type]
    • Instância de questionário [asmt_assessment_instance]
    • Categoria [asmt_metric_category]
    • Métrica [asmt_metric]
    Relacionamentos:
    • O componente Métrica pode ter um relacionamento muitos para um com o componente Categoria.
    • O componente Categoria pode ter um relacionamento muitos para um com o componente Questionário.
    • O componente de modelos de questionário pode ter um relacionamento muitos para um com os seguintes componentes:
      • Modelo de avaliação
      • Avaliações de Hierarquização
      • Avaliações externas
    • O componente da instância do questionário pode ter um relacionamento muitos para um com os seguintes componentes:
      • Avaliações externas
      • Avaliações de Hierarquização
    • O componente do modelo de avaliação pode ter relacionamentos um para muitos com os seguintes componentes:
      • Avaliações de Hierarquização
      • Avaliações externas
    • O componente de avaliação interna é uma extensão do componente de avaliação de classificação por níveis.
    • Os componentes de avaliação interna estão relacionados à due diligence de risco.
    • Os seguintes componentes estão relacionados à gestão de terceiros:
      • Avaliações de Hierarquização
      • Avaliações externas
      • Modelos de avaliação
    • Os seguintes componentes são globais:
      • Modelos de questionário
      • Categoria
      • Métrica
      • Instância de questionário

    Para obter mais informações sobre avaliações, consulte Avaliar o risco de terceiros.

    O diagrama a seguir mostra as tabelas principais e o fluxo que são usados para a due diligence no TPRM modelo de dados.

    Figura 3. Modelo de dados de due diligence
    Relacionamento entre a due diligence de risco, gestão de terceiros, política e conformidade e tabelas principais de risco usadas para due diligence. Para obter uma descrição de texto, consulte o texto a seguir.

    Estes são os componentes e os relacionamentos que compõem o modelo de dados de due diligence.

    Componentes:
    • Terceiro [core_company]
    • Compromissos [sn_vdr_risk_asmt_vendor_engagement]
    • Due diligence [sn_tprm_dd_request]
    • Problemas [sn_vdr_risk_asmt_issue]
    • Tarefas [sn_vdr_risk_asmt_task]
    • Contatos do fornecedor [vm_vdr_contact]
    • Pontuações de inteligência de risco [sn_vdr_risk_asmt_security_score]
    • Avaliações externas [sn_vdr_risk_asmt_assessment]
    • Avaliações de hierarquização [sn_vdr_risk_asmt_vdr_tiering_assessment]
    • Avaliações internas [sn_vdr_risk_asmt_vdr_internal_assessment]
    Relacionamentos:
    • O componente de terceiros tem um relacionamento um para muitos com subsidiárias.
    • O componente de terceiros tem um relacionamento um para muitos com os seguintes componentes:
      • Contatos do fornecedor
      • Avaliações internas
      • Avaliações externas
      • Avaliações de Hierarquização
      • Pontuações de inteligência de risco
      • Problemas
      • Tarefas
    • O componente de due diligence tem um relacionamento um para muitos com os seguintes componentes:
      • Contatos do fornecedor
      • Avaliações internas
      • Avaliações de Hierarquização
      • Pontuações de inteligência de risco
    • O componente Compromissos tem um relacionamento um para muitos com os seguintes componentes:
      • Contatos do fornecedor
      • Avaliações internas
      • Avaliações externas
      • Avaliações de Hierarquização
      • Problemas
      • Tarefas
    • O componente de terceiros está relacionado ao componente de due diligence.
    • O componente Compromissos está relacionado ao componente de due diligence.
    • O componente Avaliações externas está relacionado ao componente de due diligence.
    • O componente de avaliação interna é uma extensão do componente de avaliação de classificação por níveis.
    • Os seguintes componentes estão relacionados à due diligence de risco:
      • Due diligence
      • Avaliações internas
    • Os seguintes componentes estão relacionados à gestão de terceiros:
      • Compromissos
      • Problemas
      • Tarefas
      • Pontuações de inteligência de risco
      • Avaliações externas
      • Avaliações de Hierarquização
    • Os seguintes componentes são globais:
      • Terceiro
      • Contato do fornecedor

    O diagrama a seguir mostra as funções, os processos e as opções necessários que fazem parte do fluxo de trabalho de due diligence.

    Figura 4. Fluxo de trabalho de due diligence
    Fluxo de trabalho que mostra as funções, os processos e as opções necessárias que existem como parte do fluxo de trabalho de due diligence.

    Para obter mais informações sobre o fluxo de trabalho de due diligence, consulte Fluxo de trabalho de due diligence.

    O diagrama a seguir mostra as tabelas principais que são usadas para pontuar o. TPRM modelo de dados.

    Figura 5. Modelo de dados de pontuação
    Relacionamento entre due diligence, gestão de terceiros, política e conformidade e tabelas principais de risco que são usadas para pontuar o risco. Para obter uma descrição de texto, consulte o texto a seguir.

    Estes são os componentes e os relacionamentos que compõem o modelo de dados de pontuação.

    Componentes:
    • Terceiro [core_company]
    • Regra de pontuação de risco de terceiros [sn_vdr_risk_asmt_vendor_risk_scoring_rule]
    • Critérios de componente [sn_vdr_risk_asmt_component_criteria]
    • Componentes [sn_vdr_risk_asmt_component]
    • Compromisso [sn_vdr_risk_asmt_vendor_engagement]
    • Regra de pontuação de risco de compromisso [sn_vdr_risk_asmt_engagement_risk_scoring_rule]
    • Critérios da área de risco [sn_vdr_risk_asmt__risk_area_criteria]
    • Domínios de risco [sn_vdr_risk_asmt_risk_area_definition]
    Relacionamentos:
    • O componente Critérios da área de risco tem um relacionamento um para muitos com o componente do domínio de risco.
    • O componente Critérios da área de risco tem um relacionamento de um para um com o componente de regra de pontuação de risco de compromisso e o componente de regra de pontuação de risco de terceiros.
    • A regra de pontuação de risco de compromisso tem um relacionamento um para muitos com o componente de compromisso.
    • Os critérios do componente têm um relacionamento um para muitos com os componentes.
    • Os critérios do componente têm um relacionamento um para um com o componente de regra de pontuação de risco de terceiros.
    • O componente de regra de pontuação de risco de terceiros tem um relacionamento um para muitos com o componente de terceiros.
    • Todos esses componentes estão relacionados à gestão de terceiros.

    Use a configuração de pontuação em TPRM configure como as pontuações das avaliações de risco externas são agregadas aos compromissos e terceiros. As tabelas de critérios têm as informações relacionadas à agregação das pontuações de vários registros (MIN, MAX, AVG) ou de várias tabelas (pesos para cada tabela). Use as regras de pontuação para agrupar terceiros ou compromissos e atribuir critérios. Você pode configurar todos os registros nessas tabelas sem qualquer personalização.

    Para obter mais informações sobre pontuação, consulte Cálculos de pontuação usando o mecanismo de avaliação clássico.

    O diagrama do modelo a seguir mostra as principais tabelas usadas para inteligência de risco no TPRM modelo de dados.

    Figura 6. Modelo de inteligência de risco
    Relacionamento entre a due diligence de risco, gestão de terceiros, política e conformidade e tabelas principais de risco. Para obter uma descrição de texto, consulte o texto a seguir.

    Estes são os componentes e os relacionamentos que compõem o modelo de dados de inteligência de risco.

    Componentes:
    • Terceiro [core_company]
    • Serviços do provedor [sn_vdr_risk_asmt_tpss_provider]
    • Pontuações de inteligência de risco [sn_vdr_risk_asmt_security_score]
    • Subfatores de pontuação [sn_vdr_risk_asmt_tpss_subfactor]
    Relacionamentos:
    • O componente Provedores de inteligência de risco tem um relacionamento um para muitos com o componente Serviços de provedores.
    • O componente Serviços de provedores tem um relacionamento um para muitos com o componente Pontuações de inteligência de risco.
    • O componente Pontuações de inteligência de risco tem um relacionamento um para muitos com o componente de subfatores de pontuações.
    • O componente Pontuações de inteligência de risco está relacionado ao componente Provedores de inteligência de risco.
    • Todos esses componentes estão relacionados à gestão de terceiros.

    Para obter mais informações sobre inteligência de risco, consulte Gestão de solicitações de relatório de inteligência de risco.