Beispiel für Onboarding-Prozess

Anforderungsprozess

Jeder Mitarbeiter (normalerweise ein Anwender, der Geschäfte mit einer Drittpartei tätigen möchte) veranlasst den Geschäftsfall, den Sorgfaltspflicht-Prozess für eine Risikobewertung zu starten.

Ein Drittpartei-Risikomanager (TPR) überprüft die Anforderung auf Sorgfaltspflicht für die Interaktion und genehmigt sie.

Prozess des Fragebogens für inhärentes Risiko (IRQ)

Nachdem die Anforderung genehmigt wurde, schließt der IRQ-Beurteiler die interne Bewertung ab, indem er auf die IRQ antwortet.

Basierend auf den gesammelten Informationen bewertet Acme die potenziellen Risiken im Zusammenhang mit der Drittpartei. Sie bewerten Faktoren wie finanzielle Stabilität, Betriebskapazität, Einhaltung von Qualitätsstandards, Compliance mit Vorschriften und Fähigkeit der Drittpartei, Lieferzeitpläne einzuhalten. Diese Bewertung hilft Acme, das Risikoprofil der Drittpartei zu verstehen und die entsprechenden Risikominderungsstrategien zu bestimmen.

Sorgfaltspflicht-Prozess: Compliance-Verifizierung und Bewertung der Datensicherheit und des Datenschutzes

Wenn der IRQ-Prozess abgeschlossen ist, Acme TPRM Die Anwendung sendet Fragebogen und Dokumentationsanforderungen an die Drittpartei. Im Rahmen einer Bewertung können Sie mehrere Fragebogen und Dokumentanforderungen senden. Acme kann Dokumente anfordern: Zertifizierungen, Lizenzen oder Audit-Berichte der Drittpartei, um die Compliance zu validieren.

Hinweis:

Um den Prozess der Bestimmung zu vereinfachen und zu automatisieren, welche Fragebogen und Dokumentanforderungen an eine Drittpartei dieses Typs gesendet werden sollen, haben die Mitarbeiter von Acme entwickelt Bewertungsvorlagen . Sie definierten Fragebogenvorlagen, Dokumentanforderungsvorlagen oder beides und gruppierten sie dann in einer Bewertungsvorlage. Acme kann die Vorlage wiederverwenden, um die entsprechenden Fragebogen, Dokumentanforderungen oder beides in zukünftigen Bewertungen an ähnliche Drittparteien zu senden.

Acme verwendet die Antworten der Drittpartei und die interne Analyse, um festzustellen, ob die Drittpartei alle erforderlichen Compliance-Anforderungen erfüllt. Dies umfasst die Überprüfung der Compliance der Drittpartei mit geltenden Gesetzen und Vorschriften, z. B. Umweltvorschriften, Arbeitsgesetze und Anti-Korruptionsrichtlinien.

Angesichts der Vertraulichkeit der beteiligten Komponenten bewertet Acme die Datensicherheits- und Datenschutzpraktiken der Drittpartei. Sie bewerten die Informationssicherheitsmaßnahmen, Datenschutzrichtlinien, Zugriffssteuerungen und Schwachstellenmanagementprozesse der Drittpartei. Wenn die Drittpartei Zugriff auf die proprietären Informationen oder Kundendaten von Acme hat, kann sie verlangen, dass die Drittpartei einem Cybersicherheits-Audit unterzogen wird oder ihre Datenschutzmaßnahmen nachweist.

Vertragliche Vereinbarungen und Risikominderung

Zum Schutz ihrer Interessen enthält der TPR-Vertragsverhandler bei Acme (häufig Unternehmensbeistand) spezifische vertragliche Bestimmungen, um identifizierte Risiken zu behandeln. Der Vertragsverhandler verwendet die im IRQ- und Due-Diligence-Prozess gewonnenen Informationen, um Klauseln im Zusammenhang mit Compliance, Qualitätsstandards, Vertraulichkeit, Datenschutz, Geschäftskontinuität, und Konfliktlösungsmechanismen. Der Vertrag kann auch Leistungsmetriken, Erwartungen und Kündigungsklauseln beschreiben, wenn eine Nichteinhaltung oder ein Verstoß vorliegt.

Laufende Überwachung und Überprüfung

Acme richtet einen laufenden Überwachungsprozess ein, um die Leistung der Drittpartei und die Einhaltung der vereinbarten Bedingungen regelmäßig zu bewerten. Personen in Ihrer Organisation können regelmäßige Finanzüberprüfungen, Qualitäts-Audits, Standortbesuche oder Umfragen manuell durchführen. Sie richten auch Kommunikationskanäle ein, um auf Bedenken oder Änderungen im Risikoprofil der Drittpartei zu reagieren.