Monitoramento de elementos de terceiros

  • Versão de lançamento: Zurich
  • Atualizado 31 de jul. de 2025
  • 5 min. de leitura

    • Você pode monitorar elementos de terceiros por meio de modelos de pontuação escalonáveis, análise de relacionamento e integração de fluxo de trabalho de due diligence usando Gestão de risco de terceiros aplicação. Monitorar elementos de terceiros e aproveitar essas informações pode ajudar a conduzir avaliações de risco mais informadas como parte do seu programa de risco de terceiros.

    Visão geral de elementos de terceiros

    Elementos de terceiros (Elementos TP) são as organizações externas das quais um compromisso depende para fornecer bens, serviços ou suporte. Essas organizações podem incluir fornecedores, prestadores de serviço, instalações, indivíduos ou qualquer outra organização externa que possa acessar os sistemas, dados ou instalações do compromisso.

    Vamos ver alguns exemplos de classe de elemento TP e risco:
    Datacenter
    Uma instalação ou local onde um compromisso ou terceiro terceiriza o armazenamento, o processamento e o gerenciamento de seus dados e infraestrutura de TI. Um datacenter pode sofrer uma violação de dados, tempo de inatividade ou violação de conformidade que expõe seus compromissos a riscos inesperados. Este exemplo seria classificado como um elemento TP de instalação.
    Instalação de fabricação
    Uma instalação ou local onde um compromisso ou terceiro terceiriza a produção ou montagem de seus produtos. Uma instalação de fabricação pode sofrer uma interrupção da cadeia de suprimentos, uma peça falsificada ou um problema de conformidade regulatória que expõe seus compromissos a um risco inesperado. Este exemplo seria classificado como um elemento TP de instalação.
    Beneficiário efetivo
    Um indivíduo que possui ou controla uma organização envolvida em um relacionamento ou transação comercial. Esses indivíduos podem não ser os proprietários registrados ou legais da organização, mas têm influência ou controle significativo sobre suas operações, tomada de decisões ou assuntos financeiros. Este exemplo seria classificado como um elemento TP principal.

    O infográfico a seguir mostra o processo de coleta de elementos TP.


    Infográfico que mostra o processo de coleta de elemento TP no fluxo de trabalho de due diligence. Para obter a descrição do texto, consulte o texto a seguir.

    Para obter mais informações sobre elementos de terceiros (TP) e exemplos de seus controles associados e possíveis riscos, consulte Terminologia.

    Coletar e revisar elementos de terceiros

    Coletar e revisar elementos de terceiros é opcional. Se você tiver a função de avaliador de risco de terceiros (TPR) [sn_vdr_risk_asmt.vendor_assador] e for o responsável pela solicitação de due diligence ou gerente de TPR [sn_vdr_risk_asmt.vendor_risk_manager], poderá iniciar este processo depois que sua solicitação de due diligence concluir o processo de IRQ (IRQ).

    Você deve seguir este processo para coletar e revisar elementos TP:
    1. Em Espaço de gestão de fornecedores Se elementos TP forem necessários, o gerente de risco de terceiros (TPR) ou o proprietário da solicitação de due diligence selecionará Iniciar coleta e uma tarefa de coleta é criada.
    2. O gerente ou proprietário de TPR abre a avaliação externa para coletar elementos e adiciona os questionários de coleta de elementos TP relevantes.
    3. O gerente de TPR ou o proprietário revisa e aprova os questionários e eles são enviados para o compromisso. Para obter mais informações sobre avaliações, consulte Avaliar o risco de terceiros.
    4. Em Espaço de gestão de fornecedores, O gerente ou proprietário de TPR abre os questionários e verifica se todas as informações necessárias foram fornecidas.
    5. O gerente ou proprietário de TPR navega até a lista de elementos TP e cria manualmente um registro de elemento TP para cada conjunto de respostas em cada questionário.
    6. Depois que todos os elementos de TP são criados, o gerente ou proprietário de TPR fecha a avaliação da tarefa de coleta. O sistema muda o estado da solicitação de Coleção em andamento . Coleção em revisão .
    7. As partes interessadas internas (avaliador de TPR, aprovador de TPR, gerente de TPR ou administrador de TPR) revisam e aprovam os registros de elemento.
    Para obter mais informações, consulte Crie um registro de elemento de terceiros.

    Adição de elementos de terceiros a compromissos

    Depois que os elementos de TP são revisados e aprovados pelo gerente de TPR e pelas partes interessadas internas em Espaço de gestão de fornecedores, O gerente ou proprietário de TPR abre o compromisso e adiciona manualmente os elementos de TP revisados e aprovados como entidades no Entidades do compromisso. Para obter mais informações, consulte Adicione um registro de elemento de terceiros a um compromisso. Depois de adicionar todas as entidades de elemento TP a um compromisso, você pode iniciar o processo de due diligence. Durante o processo de due diligence, você deve selecionar e atribuir um questionário como parte de uma avaliação externa para cada elemento de TP que você criou. O contato de terceiros conclui os questionários de elemento TP. Para obter mais informações, consulte Avaliar o risco de terceiros.

    Pontuação de elemento de terceiros

    Cada elemento TP pode ser categorizado em um dos seguintes tipos: Instalação, Produto, Principal ou Outro. Esta classificação ajuda você a organizar os critérios de avaliação e a pontuação subsequente. A pontuação em um elemento TP é determinada pela média das classificações de risco de suas avaliações de risco de terceiros associadas. Se você conduzir várias avaliações para o mesmo elemento de TP, o sistema considerará somente a avaliação mais recente de cada compromisso para pontuação, desconsiderando duplicatas. Este processo ajuda a garantir que a classificação de risco do elemento TP reflita a avaliação mais atual. Por exemplo, se um elemento TP tiver avaliações com classificações de risco muito altas e muito baixas, a média dessas classificações fará com que o risco geral seja moderado.

    Depois que um elemento é avaliado e uma classificação de risco é determinada, essa classificação é agregada primeiro em uma pontuação de componente baseada em sua classificação, como Instalação. Por exemplo, todos os elementos do tipo Instalação são agregados em uma única pontuação de componente, o que contribui para a pontuação geral do compromisso. A pontuação de compromisso é compilada agregando as pontuações de todas as pontuações de componentes relevantes nesse compromisso. Se várias avaliações ou elementos de TP estiverem em um compromisso, cada um será pontuado individualmente e combinado para formar a pontuação geral de compromisso. A pontuação de compromisso é acumulada para o nível de terceiros agregando as pontuações de todos os compromissos associados a um terceiro específico. A agregação neste nível pode ser baseada em regras diferentes, como calcular a média, obter as pontuações mínima ou máxima, dependendo das regras de pontuação definidas no sistema. Esta pontuação acumulada representa o risco geral ou a pontuação de desempenho do terceiro e reflete todos os compromissos e elementos associados a ele.

    Nota:
    Você pode criar suas próprias classificações de elemento TP para atender aos requisitos específicos do programa de risco. Para obter mais informações sobre como criar classificações e atribuir pesos para pontuação, consulte Formulário Elemento de terceiros e. Defina critérios de componente.