Überwachung von Drittparteielementen

  • Freigeben Version: Zurich
  • Aktualisiert 31. Juli 2025
  • 4 Minuten Lesedauer

    • Mit können Sie Drittparteielemente durch skalierbare Bewertungsmodelle, Beziehungsanalyse und Due-Diligence-Workflow-Integration überwachen Risikomanagement von Drittparteien Anwendung. Die Überwachung von Elementen von Drittparteien und die Nutzung dieser Informationen können bei der Durchführung von fundierteren Risikobewertungen im Rahmen Ihres Drittpartei-Risikoprogramms helfen.

    Übersicht über Drittpartei-Elemente

    Drittpartei-Elemente (TP-Elemente) sind die externen Organisationen, auf die eine Interaktion angewiesen ist, um Waren, Services oder Support bereitzustellen. Zu diesen Organisationen können Lieferanten, Auftragnehmer, Einrichtungen, Einzelpersonen oder andere externe Organisationen gehören, die auf die Systeme, Daten oder Einrichtungen der Interaktion zugreifen können.

    Sehen wir uns einige TP-Elementklassen- und Risikobeispiele an:
    Rechenzentrum
    Eine Einrichtung oder ein Standort, an der eine Interaktion oder Drittpartei die Speicherung, Verarbeitung und Verwaltung ihrer Daten und IT-Infrastruktur auslagert. Ein Rechenzentrum kann potenziell zu Datenschutzverletzungen, Ausfallzeiten oder Compliance-Verstößen führen, die seine Interaktionen einem unerwarteten Risiko aussetzen. Dieses Beispiel würde als Facility TP-Element klassifiziert werden.
    Produktionsanlage
    Eine Einrichtung oder ein Standort, an der eine Interaktion oder Drittpartei die Produktion oder Montage ihrer Produkte auslagert. In einer Produktionsanlage kann es potenziell zu einer Unterbrechung der Lieferkette, einem gefälschten Teil oder einem Compliance-Problem kommen, das ihre Interaktionen einem unerwarteten Risiko aussetzt. Dieses Beispiel würde als Facility TP-Element klassifiziert werden.
    Wirtschaftlicher Besitzer
    Eine Person, die eine Organisation besitzt oder kontrolliert, die an einer Geschäftsbeziehung oder Transaktion beteiligt ist. Diese Personen sind möglicherweise nicht die registrierten oder rechtlichen Besitzer der Organisation, haben jedoch erheblichen Einfluss oder Kontrolle über ihre Vorgänge, Entscheidungen oder finanziellen Angelegenheiten. Dieses Beispiel wird als Prinzipalelement TP klassifiziert.

    Die folgende Infografik zeigt den TP-Elementsammlungsprozess.


    Infografik, die den TP-Elementsammlungsprozess im Due-Diligence-Workflow zeigt. Die Textbeschreibung finden Sie im folgenden Text.

    Weitere Informationen zu Elementen von Drittparteien (TP) und Beispielen der zugehörigen Steuerungen und potenziellen Risiken finden Sie unter Terminologie.

    Erfassen und Überprüfen von Drittparteielementen

    Das Sammeln und Überprüfen von Drittparteielementen ist optional. Wenn Sie über die Rolle „Drittpartei-Risikobewerter (TPR)“ [sn_vdr_Risk_asmt.Vendor_Assessor] verfügen und die Rolle „Besitzer der Sorgfaltspflicht“ oder „TPR-Manager“ [sn_vdr_Risk_asmt.Vendor_Risk_Manager] sind, können Sie diesen Prozess starten, nachdem Ihre Sorgfaltspflicht-Anforderung den Fragebogen für inhärentes Risiko (IRQ) abgeschlossen hat.

    Sie folgen diesem Prozess, um TP-Elemente zu erfassen und zu überprüfen:
    1. In Vendor Management-Arbeitsbereich, Wenn TP-Elemente erforderlich sind, wählt der Drittpartei-Risikomanager (TPR) oder der Besitzer der Sorgfaltspflicht-Anforderung aus Sammlung starten Und eine Sammlungsaufgabe wird erstellt.
    2. Der TPR-Manager oder -Besitzer öffnet die externe Bewertung zum Sammeln von Elementen und fügt die relevanten TP-Elementsammlungsfragebogen hinzu.
    3. Der TPR-Manager oder -Besitzer überprüft und genehmigt die Fragebogen, und sie werden an die Interaktion gesendet. Weitere Informationen zu Bewertungen finden Sie unter Bewertung Ihres Drittparteirisikos.
    4. In Vendor Management-Arbeitsbereich, Öffnet der TPR-Manager oder -Besitzer die Fragebogen und überprüft, ob alle erforderlichen Informationen bereitgestellt wurden.
    5. Der TPR-Manager oder -Besitzer navigiert dann zur Liste der TP-Elemente und erstellt manuell einen TP-Elementdatensatz für jeden Satz von Antworten in jedem Fragebogen.
    6. Nachdem alle TP-Elemente erstellt wurden, schließt der TPR-Manager oder -Besitzer die Bewertung der Sammlungsaufgabe. Das System ändert den Status der Anforderung von Sammlung wird ausgeführt Bis Sammlung wird überprüft .
    7. Die internen Stakeholder (TPR-Beurteiler, TPR-Genehmiger, TPR-Manager oder TPR-Administrator) überprüfen und genehmigen die Elementdatensätze.
    Weitere Informationen finden Sie unter Erstellen Sie einen Datensatz für ein Drittpartei-Element.

    Hinzufügen von Drittparteielementen zu Interaktionen

    Nachdem die TP-Elemente vom TPR-Manager und internen Stakeholdern in überprüft und genehmigt wurden Vendor Management-Arbeitsbereich, Öffnet der TPR-Manager oder -Besitzer die Interaktion und fügt die überprüften und genehmigten TP-Elemente manuell als Entitäten in hinzu Entitäten Registerkarte der Interaktion. Weitere Informationen finden Sie unter Fügen Sie einer Interaktion einen Drittpartei-Elementdatensatz hinzu. Nachdem Sie einer Interaktion alle TP-Elemententitäten hinzugefügt haben, können Sie den Sorgfaltspflicht-Prozess starten. Während des Sorgfaltspflicht-Prozesses müssen Sie einen Fragebogen als Teil einer externen Bewertung für jedes von Ihnen erstellte TP-Element auswählen und zuweisen. Der Drittparteikontakt füllt die TP-Elementfragebogen aus. Weitere Informationen finden Sie unter Bewertung Ihres Drittparteirisikos.

    Drittpartei-Elementbewertung

    Sie können jedes TP-Element in einen der folgenden Typen kategorisieren: Einrichtung, Produkt, Prinzipal oder andere. Diese Klassifizierung hilft Ihnen bei der Organisation der Bewertungskriterien und der nachfolgenden Bewertung. Die Bewertung eines TP-Elements wird durch die Mittelung der Risikobewertungen aus den zugehörigen Drittpartei-Risikobewertungen bestimmt. Wenn Sie mehrere Bewertungen für dasselbe TP-Element durchführen, berücksichtigt das System nur die neueste Bewertung für jede Interaktion für die Bewertung, ohne Rücksicht auf Duplikate. Dieser Prozess trägt dazu bei, sicherzustellen, dass die Risikobewertung des TP-Elements die aktuelle Bewertung widerspiegelt. Wenn beispielsweise ein TP-Element Bewertungen mit Risikobewertungen von sehr hoch und sehr niedrig hat, führt der Durchschnitt dieser Bewertungen dazu, dass das Gesamtrisiko moderat ist.

    Nachdem ein Element bewertet und eine Risikobewertung festgelegt wurde, wird diese Bewertung zuerst in einer Komponentenpunktzahl aggregiert, die auf seiner Klassifizierung basiert, z. B. „Einrichtung“. Beispielsweise werden alle Elemente vom Typ „Facility“ in einer einzelnen Komponentenpunktzahl zusammengefasst, die zur Gesamtpunktzahl der Interaktion beiträgt. Die Interaktionspunktzahl wird dann kompiliert, indem die Punktzahlen aus allen relevanten Komponentenpunktzahlen innerhalb dieser Interaktion zusammengefasst werden. Wenn sich mehrere Bewertungen oder TP-Elemente innerhalb einer Interaktion befinden, wird jedes einzeln bewertet und dann kombiniert, um die Gesamtpunktzahl für die Interaktion zu bilden. Die Interaktionspunktzahl wird dann auf Drittparteiebene zusammengefasst, indem die Punktzahlen aus allen Interaktionen zusammengefasst werden, die einer bestimmten Drittpartei zugeordnet sind. Die Zusammenfassung auf dieser Ebene kann je nach im System festgelegten Bewertungsregeln auf verschiedenen Regeln basieren, z. B. Mittelung, Berechnung der Mindest- oder Höchstpunktzahlen. Diese Rollup-Punktzahl stellt die Gesamtrisiko- oder Leistungspunktzahl der Drittpartei dar und spiegelt alle ihr zugeordneten Interaktionen und Elemente wider.

    Hinweis:
    Sie können eigene TP-Elementklassifizierungen erstellen, um Ihre spezifischen Risikoprogrammanforderungen zu erfüllen. Weitere Informationen zum Erstellen von Klassifizierungen und zum Zuweisen von Gewichtungen für die Bewertung finden Sie unter Formular „Drittpartei-Element“ Und Definieren Sie Komponentenkriterien.