Terceiro, quarto e enésima partes

. terceiros é qualquer organização ou indivíduo com quem você interagiu ou entrou em um relacionamento comercial. Terceiros podem ter subsidiárias e podem contratar quarteirizados. Por exemplo, os departamentos são subsidiárias. . quarteirista pode contratar outras partes (referidas como enésimas partes - quinta, sexta e assim por diante). Todas as partes descendentes (quarteirizados a enésimos partes) carregam o risco da mesma forma que terceiros.

. fornecedor fornece os bens ou serviços que você usa para produzir ou entregar seus próprios bens ou serviços. Todos os fornecedores são terceiros, mas nem todos os terceiros são fornecedores. Aqui está uma lista de alguns outros tipos de terceiros:

• Fornecedores
• Afiliadas
• Contrapartes
• Consultores
• Parceiros
• Serviços profissionais
• Consultores
• Franquias
• Revendedores
• Revendedores
• Distribuidores
• Clientes
• Clientes
• Equipe terceirizada

Compromissos

Um compromisso é o relacionamento informal ou contratado que você pretende formar com um terceiro que pode expor sua organização a riscos. O compromisso descreve os serviços ou produtos a serem fornecidos pelo terceiro e outros detalhes do relacionamento. Esses detalhes podem incluir as condições de pagamento, requisitos de confidencialidade e a duração do relacionamento.

Você pode avaliar cada compromisso usando avaliações internas e externas. Os problemas, tarefas, avaliações internas e avaliações externas estão associados aos compromissos.

Neste exemplo, sua empresa interage com três terceiros e gerencia vários compromissos entre eles.

Subsidiárias

. subsidiária é uma organização de propriedade ou controlada pelo terceiro e é considerada parte da organização do terceiro. Normalmente, eles são gerenciados como parte do perfil de risco do terceiro. Eles são diferentes da quarta à enésima parte que têm contratos com terceiros e não são de propriedade ou controlados por esse terceiro.

A avaliação de risco para subsidiárias é a mesma que para outros terceiros. As classificações de risco das subsidiárias contribuem para a pontuação do terceiro controlador.

IRQ: O questionário de risco inerente

Durante o processo de avaliação interna, os funcionários internos da sua organização respondem a perguntas no IRQ. Essas respostas ajudam a avaliar o risco inerente associado ao envolvimento com um terceiro. Um risco inerente refere-se ao nível de risco antes de implementar quaisquer medidas de mitigação de risco. Um IRQ oferece suporte às seguintes atividades:

Determinar fatores de risco

• A natureza dos serviços fornecidos pelo terceiro.
• A confidencialidade dos dados envolvidos.
• A localização geográfica do terceiro.
• A postura de segurança geral do terceiro.

Determinar pontuação ou classificação

As respostas ao questionário geralmente são pontuadas ou classificadas para ajudar a quantificar o risco inerente associado ao terceiro. Este sistema de pontuação pode ajudar a priorizar os esforços de gestão de riscos.

Tomada de decisão

Os resultados do IRQ são então usados no processo de tomada de decisão. Os administradores e gerentes de risco de terceiros (TPR) podem configurar os IRQs para enviar questionários de avaliação externa específicos (due diligence) aos terceiros com base nas respostas específicas às perguntas.

• Você deve se envolver com o terceiro?
• Que nível de due diligence é necessário?
• Que medidas específicas de mitigação de risco você deve implementar?

Due diligence contínua

O IRQ também pode fazer parte da gestão contínua, com reavaliações periódicas para considerar mudanças nas operações de terceiros, práticas de segurança ou outros fatores relevantes.

Due diligence (DD)

Due diligence é o processo de conduzir uma investigação completa ou exame da integridade, reputação, estabilidade financeira, conformidade jurídica, capacidades operacionais, cadeia de suprimentos e outros fatores relevantes de um parceiro de negócios, fornecedor ou fornecedor em potencial. Conduzir due diligence em terceiros é um componente crucial do seu programa abrangente de risco de terceiros. Você realiza a due diligence para tomar conhecimento dos riscos associados a terceiros para que possa decidir com confiança como formar seu relacionamento. Use fluxos de trabalho de due diligence para integrar novos compromissos ou para reavaliar ou desativar compromissos existentes. Os fluxos de trabalho de due diligence incluem a coleta de informações por meio de avaliações internas, avaliações externas e inteligência de risco. Todas as pontuações dessas etapas são analisadas pelos gerentes de risco de terceiros para decidir se integrar, reavaliar ou descontinuar um compromisso. A due diligence também tem um processo de negociação de contrato opcional antes de fechar o fluxo de trabalho de due diligence.

Consulte Por que você realiza a due diligence e Tipos de due diligence.

Avaliações de risco de terceiros

Uma avaliação de risco de terceiros (TPRA) é um conjunto de questionários que você pode enviar para contatos de terceiros ou usuários internos para avaliar os riscos de terceiros e de compromisso. Uma avaliação que você envia para usuários internos é categorizada como uma avaliação interna. Uma avaliação que você envia para um contato de terceiros é chamada de avaliação externa.

Use um avaliação interna calcular os níveis de compromisso e de terceiros. A classificação que você usa para identificar os questionários internos na tabela Modelos de questionário é o modelo de questionário de risco inerente [irq_template]. Você pode anexar automaticamente os questionários necessários para avaliações externas de acordo com as respostas que você recebe das avaliações internas. Você pode configurar esta opção em um questionário para tabela de mapeamento de perguntas [sn_tprm_dd_m2m_question_to_question].

Use um avaliação externa avaliar os riscos associados ao terceiro e ao compromisso de acordo com as respostas de contato de terceiros que você recebe. As classificações de risco de uma avaliação externa são calculadas no nível de avaliação usando todos os questionários anexados à avaliação. Essas classificações de avaliação são agregadas e acumuladas para terceiros e compromissos. A agregação é MIN, MAX ou AVG e pode ser configurada em uma configuração de pontuação. Contatos de terceiros (usuários externos) do portal de terceiros https://<myCompany>.service-now.com/ svdp responda a essas avaliações externas.

Para obter mais informações sobre pontuação, consulte Cálculos de pontuação usando o mecanismo de avaliação clássico.

Fornecedores de inteligência de risco

Os provedores de inteligência de risco geram pontuações de risco para uma variedade de domínios de risco de terceiros. Sua organização pode comprar serviços de provedores que retornam dados semelhantes às pontuações de crédito pessoais. As pontuações fornecem informações sobre o quão confiável e seguro um terceiro específico pode ser.

Consulte Integrar pontuações de provedores de inteligência de risco.

Pontuações de inteligência de risco

Pontuações de inteligência de risco são avaliações numéricas que avaliam o nível de risco associado a uma organização específica. Essas pontuações são geradas por provedores de inteligência de risco que coletam e analisam uma ampla variedade de fontes de dados. As pontuações podem vir em qualquer forma, sejam classificações ou números. O sistema mapeia o valor da pontuação para o apropriado TPRM classificação. Essas pontuações podem ajudar sua organização a tomar decisões fundamentadas sobre como interagir com terceiros, gerenciar a conformidade e mitigar possíveis riscos. As pontuações de inteligência de risco estão disponíveis para terceiros a partir do Washington DC versão. As classificações de risco são calculadas pelas regras de pontuação associadas ao compromisso na configuração de pontuação.

Pontuações de terceiros

Essas pontuações ajudam as organizações a tomar decisões informadas sobre como selecionar e gerenciar relacionamentos com terceiros, permitindo o alinhamento com seus requisitos de tolerância a riscos e conformidade. Ao avaliar pontuações de terceiros, as organizações podem identificar possíveis riscos, priorizar os esforços de due diligence e implementar estratégias apropriadas de mitigação de riscos.

Componentes de classificação de risco

. componente é a entidade para a qual você pode avaliar o risco. O sistema de base inclui compromissos, monitoramento externo, subsidiárias e avaliações de risco de terceiros. O risco é calculado para cada componente e, em seguida, o risco é agregado e acumulado para calcular uma classificação de risco de terceiros.

. critérios do componente é a definição de como um componente será usado por terceiros. Um critério de componente é um grupo de componentes que deve ser aplicado a um tipo específico de terceiro ou compromisso.

. área ou domínio de risco define o tipo de risco a ser avaliado para um terceiro. Normalmente, isso está alinhado à área/domínio em que o terceiro opera ou para o qual ele fornece um produto/serviço. Por exemplo, você pode avaliar um terceiro de gestão de dados em termos de risco à segurança e um banco em termos de risco financeiro.

. critérios da área de risco A definição de como as áreas de risco serão usadas por terceiros é definida nos critérios da área de risco. Um critério de área de risco de terceiros é um grupo (ou agrupamento) de domínios ou áreas de risco que podem se aplicar a um tipo específico de terceiro. Por exemplo, domínios de risco de segurança, financeiro e reputação podem ser agrupados em critérios de área de risco que devem ser aplicados a terceiros. É possível entender e mitigar melhor os riscos que um terceiro representa para sua organização, identificando os domínios de seus negócios para avaliar o risco e quantificando a importância (peso) de cada domínio.

Regras de pontuação

. regra de pontuação fornece o mecanismo para aplicar critérios de componente e critérios de área de risco a critérios de terceiros e de área de risco para um compromisso.

Para terceiros, os critérios do componente determinam quais componentes específicos são aplicáveis e o método de pontuação relevante para cada componente. Esses componentes podem incluir localização geográfica, postura geral de segurança e resultados de avaliações internas e externas. Os métodos de pontuação desses componentes são configurados na configuração de pontuação. Por exemplo, as avaliações internas de localização geográfica e postura geral de segurança fazem parte do processo de avaliação interna, enquanto as avaliações externas usam métodos como MIN, MAX ou AVG para calcular as classificações de risco. Além disso, as pontuações de inteligência de risco de provedores externos são mapeadas para classificações apropriadas e combinadas com as pontuações de avaliação externa para formar a pontuação geral de terceiros.

Para terceiros, os critérios da área de risco determinam quais áreas de risco específicas (ou domínios) são aplicáveis e o método de pontuação relevante para cada área de risco.

Elementos de terceiros

Elementos de terceiros são as organizações externas das quais um terceiro ou compromisso depende para fornecer bens, serviços ou suporte. Essas organizações podem incluir fornecedores, prestadores de serviço, indivíduos ou qualquer outra organização externa que tenha acesso aos sistemas, dados ou instalações de terceiros ou do compromisso. Quaisquer vulnerabilidades ou falhas nesses elementos de terceiros podem ter um impacto significativo nas operações, reputação e segurança do terceiro ou do compromisso. Ao implementar esses controles e lidar com os riscos associados, as organizações podem aprimorar sua capacidade de gerenciar e mitigar os possíveis impactos negativos de terceiros e seus elementos de terceiros. Reavaliar e atualizar regularmente esses controles é essencial para se adaptar às mudanças no ambiente de negócios e no cenário regulatório.

Aqui estão alguns exemplos de elementos de terceiros e seus controles associados e possíveis riscos.

Datacenter

Instalações ou locais onde terceiros ou compromissos terceirizam o armazenamento, o processamento e o gerenciamento de seus dados e infraestrutura DE TI.

Controles:

• Avaliações de segurança do fornecedor: Avalie regularmente as medidas e práticas de segurança de fornecedores terceirizados que fornecem serviços, como hospedagem em nuvem ou armazenamento de dados.
• Criptografia de dados: Confirme se os dados armazenados no datacenter estão criptografados para protegê-los contra acesso não autorizado.
• Controles de acesso: Implemente controles de acesso rigorosos para limitar o acesso físico e virtual às instalações e servidores do datacenter.
• Plano de resposta a incidentes: Desenvolva e mantenha um plano de resposta a incidentes abrangente para lidar com quaisquer incidentes de segurança imediatamente.

Riscos:

• Violações de dados: Uma violação no datacenter de terceiros pode levar ao acesso não autorizado e ao comprometimento de informações confidenciais.
• Tempo de inatividade: A dependência de um datacenter de terceiros coloca a empresa em risco de tempo de inatividade se o provedor de serviços enfrentar problemas técnicos.
• Violações de conformidade: A falha do datacenter em aderir aos padrões de conformidade normativa ou do setor pode levar a consequências jurídicas e financeiras para a organização.

Instalação de fabricação

Instalações ou locais onde terceiros ou compromissos terceirizam a produção ou montagem de seus produtos.

Controles:

• Auditorias do fornecedor: Audite e avalie regularmente as práticas de segurança dos fornecedores que fornecem componentes ou serviços críticos para o processo de fabricação.
• Padrões de garantia de qualidade: Impor padrões de garantia de qualidade para fornecedores terceirizados para promover a integridade e a segurança de matérias-primas e componentes.
• Visibilidade da cadeia de suprimentos: Mantenha a visibilidade de toda a cadeia de suprimentos para identificar e lidar com possíveis vulnerabilidades.
• Acordos Contratuais: Estabeleça acordos contratuais claros com os fornecedores, descrevendo os requisitos de segurança e as consequências da não conformidade.

Riscos:

• Interrupção da cadeia de suprimentos: A dependência de fornecedores terceirizados expõe a organização ao risco de interrupções na cadeia de suprimentos, afetando a produção.
• Peças falsificadas: Controles inadequados na cadeia de suprimentos podem levar ao uso de componentes falsificados ou abaixo do padrão, comprometendo a qualidade do produto.
• Problemas de conformidade regulatória: A falha dos fornecedores em cumprir os padrões regulatórios pode resultar em consequências jurídicas e regulatórias para a instalação de fabricação.

Proprietários efetivos

Indivíduos que, em última instância, possuem ou controlam uma organização envolvida em um relacionamento ou transação comercial. Esses indivíduos podem não ser os proprietários registrados ou legais da organização, mas têm influência ou controle significativo sobre suas operações, tomada de decisões ou assuntos financeiros.

Controles:

• Due diligence: Incorpore um processo robusto de due diligence para identificar e verificar os proprietários beneficiários, incluindo verificações de antecedentes, revisões de documentos e entrevistas, quando necessário.
• Obrigações contratuais: Incluir cláusulas em contratos com terceiros que exigem que eles divulguem quaisquer mudanças na propriedade beneficiária e confirmem a conformidade com as leis e regulamentos aplicáveis.
• Monitoramento e emissão de relatórios: Estabeleça um sistema de monitoramento contínuo dos proprietários beneficiários para detectar quaisquer mudanças ou desenvolvimentos que possam afetar o perfil de risco do terceiro.
• Treinamento e conscientização: Forneça treinamento à equipe relevante sobre a importância de entender e monitorar a propriedade beneficiária, incluindo sinais de alerta e procedimentos de emissão de relatórios.
• Programa de conformidade regulatória: Desenvolva e mantenha um programa que verifica a conformidade com todas as leis e regulamentações relevantes relacionadas à propriedade beneficiária, incluindo requisitos de emissão de relatórios e divulgação.
• Procedimentos de escalação: Estabeleça procedimentos de escalação claros para casos em que preocupações ou irregularidades relacionadas à propriedade beneficiária sejam identificadas, promovendo ações oportunas e apropriadas.

Riscos:

• Propriedade oculta: Os proprietários beneficiários podem ocultar deliberadamente sua propriedade, tornando difícil avaliar os possíveis riscos associados à influência deles sobre o terceiro.
• Risco à reputação: Se os proprietários beneficiários tiverem uma reputação questionável, o envolvimento com eles poderá prejudicar a reputação da sua organização.
• Conformidade regulatória: O não cumprimento das regulamentações relacionadas à emissão de relatórios de propriedade beneficiária e à transparência pode levar a consequências jurídicas e regulatórias.
• Risco financeiro: Proprietários beneficiários com instabilidade financeira ou envolvimento em atividades fraudulentas podem representar riscos financeiros para o terceiro e, consequentemente, para sua organização.