Fluxo de trabalho de due diligence

  • Versão de lançamento: Zurich
  • Atualizado 31 de jul. de 2025
  • 11 min. de leitura

    • A gestão de risco de terceiros ( TPRM) os processos fornecem uma estrutura consistente para o seu programa de gestão de riscos de terceiros. Você pode personalizar os processos de fluxo de trabalho para atender às necessidades da sua organização.

    Processos no fluxo de trabalho de due diligence

    Cada tarefa em um processo deve ser concluída antes que a próxima tarefa possa ser iniciada. As funções dos usuários que executam as várias tarefas são descritas em Funções no Gestão de risco de terceiros. O diagrama a seguir descreve o fluxo de trabalho de due diligence.

    Figura 1. Fluxo de trabalho de due diligence

    Infográfico que mostra onde os processos no fluxo de trabalho de due diligence são executados. Para obter a descrição do texto, consulte as etapas do fluxo de trabalho a seguir.
    Processo de solicitação: Peça para iniciar um novo compromisso, reavaliar ou desligar um existente
    1. Um funcionário da sua organização solicita due diligence para um compromisso de terceiros.
      1. O funcionário faz login em Central do funcionário em sua instância. Eles abrem o formulário de solicitação de due diligence e especificam o nome do terceiro e o motivo da solicitação:
        • Integrar um novo compromisso
        • Reavalie um risco de um compromisso existente
        • Reavalie um compromisso existente para se preparar para uma renovação de contrato
        • Desligar um compromisso com due diligence
        • Desligar um compromisso sem due diligence
        Nota:
        Ao desligar um compromisso sem due diligence, o processo de coleta de elementos TP e due diligence não são aplicáveis.
      2. O funcionário fornece detalhes sobre o terceiro e o compromisso. As informações incluem o produto ou serviço que deve ser avaliado neste compromisso, o usuário que responderá ao avaliador do questionário de risco inerente (IRQ) e o contato de terceiros (TP) ou contato do compromisso que responderá aos questionários externos.
      3. Um provedor de inteligência de risco externo pode atualizar os dados de risco do terceiro a qualquer momento porque um gerente de risco de terceiros (TPR) pode ter integrado os serviços de um provedor de inteligência de risco ao configurar a aplicação.
      4. O funcionário envia o formulário.
      5. O sistema envia uma notificação por e-mail para o funcionário que fez a solicitação.
      6. O sistema envia uma notificação por e-mail para o grupo de atribuição de solicitação de due diligence. Um membro do grupo pode atribuir um gerente de TPR ou avaliador de TPR para atuar como o proprietário da solicitação. Esta ação aciona uma tarefa para o gerente de TPR.
    2. O gerente de TPR faz o escopo da solicitação, atualiza-a conforme necessário e a aprova ou rejeita.
      1. O gerente de TPR faz login no Espaço de gestão de fornecedores e navegam até a página de gestão de due diligence, onde revisam e atualizam a solicitação:
        • O gerente de TPR revisa a pessoa que foi sugerida como avaliador de IRQ. Se necessário, eles podem especificar uma pessoa diferente como avaliador de IRQ.
        • O gerente de TPR pode iniciar uma discussão com o solicitante e outros usuários selecionando Discutir . A mensagem é registrada na seção Atividade do Detalhes guia.

      2. O gerente de TPR rejeita ou aprova a solicitação. Se o gerente de TPR aceitar a solicitação, o processo de IRQ será iniciado.

    Nota:
    Os avaliadores de TPR podem criar avaliações recorrentes de terceiros para reavaliar um risco em uma programação regular. Para obter mais informações, consulte Configure uma avaliação de risco para se repetir em uma programação e Gestão orientada por eventos: Automatize os processos de avaliação.
    Processo de IRQ: Escopo do risco
    1. O gerente de TPR revisa e aprova o IRQ.
      1. Em Espaço de gestão de fornecedores, O gerente de TPR revisa e aprova o IRQ por a partir de uma lista no sistema.

        O administrador de TPR pode criar IRQs personalizados para uma organização. O conteúdo de cada IRQ é criado e mantido pela pessoa responsável pela área de negócios, pela região geográfica ou por terceiros aos quais as perguntas se destinam. Para definir um IRQ, o administrador de TPR adiciona perguntas de amostra a um modelo de questionário e modifica as perguntas conforme necessário. Os exemplos de perguntas são fornecidos em sistema base. Definir um IRQ é um processo sem código.

        Dica:
        O gerente de TPR pode usar a resposta a uma pergunta em um IRQ para determinar os questionários que são enviados ao terceiro que está sendo avaliado. Este recurso estará disponível somente se a aplicação Gestão de riscos de terceiros tiver sido ativada.

        Para obter mais informações, consulte Configure respostas de questionário interno para anexar automaticamente questionários externos às avaliações.

      2. O gerente de TPR rejeita a solicitação de due diligence ou a aprova. Quando a solicitação é aprovada, o sistema envia o IRQ para o avaliador de IRQ, que é uma parte interessada interna em uma organização.
      3. O avaliador de IRQ é notificado sobre o IRQ por e-mail e por uma nova tarefa em sua fila.
        Nota:
        O sistema também pode enviar automaticamente avaliações de risco de terceiros quando ocorrem mudanças em uma pontuação de risco.
    2. Usuários internos respondem ao IRQ:
      1. Em Central do funcionário Qualquer usuário interessado no compromisso é aberto e responde ao IRQ.

        Várias respostas geram mais dúvidas de esclarecimento. As respostas podem determinar quais questionários externos são gerados automaticamente e adicionados aos conjuntos que vão para o TP e o contato de compromisso.

        Por exemplo, se um avaliador de IRQ responder que o terceiro interage com funcionários do governo como parte do compromisso, um questionário antissuborno apropriado para o país do terceiro (ABAC nos EUA ou FCBA na UE e assim por diante) será incluído.

      2. O avaliador de IRQ envia o IRQ preenchido. Esta ação aciona uma tarefa para o gerente de TPR.
    3. As partes interessadas internas (revisor de avaliação de terceiros, avaliador de TPR, aprovador de TPR, gerente de TPR ou administrador de TPR) revisam as respostas de IRQ:
      1. Em Espaço de gestão de fornecedores, Os usuários revisam as respostas de IRQ.
      2. O gerente de TPR pode solicitar esclarecimentos ao avaliador de IRQ e, em seguida, rejeitar ou aprovar as respostas de IRQ.
      3. Se um usuário interessado interno aprovar as respostas de IRQ, ele passará para o próximo processo fechando a solicitação de compromisso.
    Nota:
    Depois que o processo de IRQ entrar no estado IRQ em andamento, você poderá solicitar relatórios de inteligência de risco associados à sua solicitação de due diligence. Para obter mais informações, consulte Usando relatórios e pontuações de inteligência de risco e Solicite um relatório de inteligência de risco associado a uma solicitação de due diligence.
    Processo de coleta de elemento TP: Coletar informações de elemento de terceiros (opcional)
    1. O gerente de TPR ou o proprietário da solicitação de due diligence inicia a coleta de elementos de terceiros.
      1. Em Espaço de gestão de fornecedores Se elementos de terceiros forem necessários, o gerente de TPR ou o proprietário selecionará Iniciar coleta e uma tarefa de coleta é criada.
      2. O gerente ou proprietário de TPR navega até a guia de tarefa de coleta e atribui os questionários de coleta de elementos de terceiros relevantes à avaliação externa para coletar elementos.
        Nota:
        Como parte do sistema de base, questionários de amostra para coleta e avaliação estão disponíveis para elementos de terceiros classificados como Instalação, Principal, Produtos ou Outros.
      3. O gerente de TPR ou o proprietário revisa e aprova os questionários e eles são enviados para o compromisso.
    2. O sistema envia uma notificação por e-mail para as pessoas no compromisso. As mensagens notificam o contato do compromisso para responder aos questionários de coleta de elementos de terceiros.

    3. No portal de terceiros, os contatos de compromisso respondem aos questionários diretamente ou atribuem as tarefas a outros contatos na organização.

    4. O contato de compromisso retorna os questionários preenchidos.
    5. O sistema muda o estado da avaliação para Respostas recebidas E envia alertas para o gerente de TPR e o proprietário.
    6. Em Espaço de gestão de fornecedores, O gerente ou proprietário do TPR abre os questionários e verifica se todas as informações necessárias foram fornecidas.
    7. O gerente ou proprietário de TPR navega até a lista de elementos de terceiros e cria manualmente um registro de elemento de terceiros para cada conjunto de respostas no questionário.
    8. Depois que todos os elementos de terceiros são criados, o gerente ou proprietário de TPR encerra a avaliação.
    9. O sistema muda o estado da solicitação para Coleção em revisão .
    10. As partes interessadas internas (avaliador de TPR, aprovador de TPR, gerente de TPR ou administrador de TPR) revisam e aprovam os registros de elemento.
    11. Em Espaço de gestão de fornecedores, O gerente ou proprietário de TPR abre o compromisso e adiciona elementos manualmente como entidades na guia Entidades.
    12. Depois que todas as entidades de elemento de terceiros forem atribuídas a um compromisso, você poderá iniciar o processo de due diligence.
    Processo de due diligence: Colete informações para gerar uma pontuação de risco
    1. Um dos seguintes processos resulta na seleção de questionários de due diligence externos:
      • Em Espaço de gestão de fornecedores, O gerente de TPR seleciona os questionários aos quais o TP e os contatos de engajamento respondem.
      • O sistema seleciona automaticamente os questionários de acordo com as configurações definidas para fazer as seleções. Para obter mais informações sobre como configurar questionários externos a serem selecionados com base nas respostas de questionários internos, consulte Configure respostas de questionário interno para anexar automaticamente questionários externos às avaliações.
      • O sistema seleciona automaticamente os questionários de acordo com as regras de negócios que foram definidas para fazer as seleções.

    2. Independentemente do método de seleção usado na etapa 1, dois questionários de due diligence externos são selecionados:

      • Um conjunto coleta informações sobre a organização de terceiros. O contato do TP responde a esse questionário.
      • O Outro conjunto coleta informações sobre a unidade de negócios na organização de terceiros que é o assunto do compromisso. O contato do compromisso (conforme especificado na solicitação de due diligence) responde a esse questionário.
      Nota:
      Se você concluiu o processo opcional de coleta de elemento TP, um questionário deverá ser selecionado e atribuído como parte de uma avaliação para cada elemento de terceiros criado. Os questionários de elemento de terceiros são preenchidos pelo contato de compromisso.
    3. Em Espaço de gestão de fornecedores, O gerente de TPR revisa os questionários selecionados automaticamente aos quais o TP e os contatos de engajamento respondem. O gerente de TPR valida ou modifica as seleções e aprova o conjunto de questionários. Para obter mais informações sobre como criar avaliações externas, consulte Crie uma avaliação externa.
    4. O sistema envia uma notificação por e-mail para as pessoas do terceiro. As mensagens notificam o contato TP e o contato de compromisso para responder aos questionários externos.
      Nota:
      Não faça mudanças em um modelo de questionário depois que ele já estiver em uso. Você pode duplicar o modelo fazendo uma cópia. Se você fizer mudanças em um questionário depois que ele for enviado como parte de uma avaliação externa, essas atualizações não serão exibidas no questionário exibido no portal de terceiros. Para obter mais informações, consulte Crie um questionário ou modelo de solicitação de documento e Crie um questionário ou modelo de solicitação de documento usando o Designer.
    5. No portal de terceiros, o TP e os contatos de engajamento respondem aos questionários diretamente ou atribuem as tarefas a outros contatos na organização de terceiros.
      Nota:
      O portal de terceiros está totalmente isolado da instância da sua organização.

      Em um processo iterativo, antes que o gerente de TPR encerre uma avaliação, o gerente de TPR pode gerar problemas e tarefas de não conformidade. O gerente de TPR se comunica com os contatos de TP e os contatos de compromisso usando comentários para encerrar os problemas e tarefas. O gerente de TPR também pode atribuir diferentes contatos conforme necessário. Para obter mais informações, consulte Gerenciar problemas.

    6. O contato de TP e o contato de compromisso retornam os questionários preenchidos.
    7. O sistema muda o estado da solicitação para Pronto para aprovação de TPRM E envia alertas para os gerentes de TPR.
    8. Em Espaço de gestão de fornecedores, O gerente de TPR valida se os questionários foram recebidos, concluídos e assinados, se necessário, e fecha a fase de avaliação para iniciar o processo de aprovação.
    Nota:
    Se o gerente de risco de terceiros ou o proprietário selecionar Ignorar processo de risco do contrato Opção Durante o processo de due diligence, o negociador de contrato atribuído não é notificado e o estado do processo de risco do contrato é ignorado. Um aprovador e proprietário podem atualizar o. Ignorar processo de risco do contrato seleção até que o processo de aprovação seja concluído. Para obter mais informações sobre esse processo, consulte Gestão de processos de solicitação de due diligence.
    Processo de aprovação: A parte interessada interna analisa cada aspecto do risco

    Todas as partes interessadas internas (aprovadores) revisam as respostas do questionário e os documentos de suporte dos contatos de terceiros e de compromisso. Se as respostas forem boas, um ou mais aprovadores aprovarão e fecharão a solicitação DD. Se um contrato for preparado, a solicitação aprovada será movida para Risco do contrato processo.

    • Os aprovadores podem aprovar ou rejeitar a solicitação e fechá-la.
    • Fechar a solicitação a move para o processo de risco do contrato ou, se nenhum contrato estiver envolvido, o compromisso será iniciado.
    Processo de risco do contrato

    Após a aprovação, todas as informações de due diligence podem ser disponibilizadas para o negociador do contrato. Usando o. Espaço de gestão de fornecedores, o negociador de contratos acessa todos os dados gerados durante os processos anteriores para projetar e liquidar o contrato:

    • O negociador de contratos pode ignorar o processo de risco do contrato se um contrato não for mais necessário.
    • O negociador de contrato pode solicitar due diligence adicional, se necessário.
    • Se o negociador de contrato executar com sucesso um contrato com o terceiro, ele poderá carregá-lo e especificar que o contrato foi executado para notificar automaticamente todas as principais partes interessadas.
    • O negociador de contrato pode especificar que o contrato não foi executado e que o terceiro não será contratado para negócios.
    • O negociador de contrato pode especificar que o contrato foi rescindido e que o terceiro não será contratado para negócios.
    Nota:
    A partir da versão 19,1.x da aplicação Gestão de riscos de terceiros, os fluxos de trabalho do questionário de classificação por níveis e lembretes de avaliação externa são descontinuados e migrados para Workflow Studio. Se você personalizou esses fluxos de trabalho, eles não serão descontinuados ou migrados como parte desta mudança.