Due-Diligence-Workflow

  • Freigeben Version: Zurich
  • Aktualisiert 31. Juli 2025
  • 9 Minuten Lesedauer

    • Das Drittpartei-Risikomanagement ( TPRM) Prozesse bieten ein konsistentes Framework für Ihr Drittpartei-Risikomanagementprogramm. Sie können die Workflow-Prozesse an die Anforderungen Ihrer Organisation anpassen.

    Prozesse im Due-Diligence-Workflow

    Jede Aufgabe in einem Prozess muss abgeschlossen werden, bevor die nächste Aufgabe gestartet werden kann. Die Rollen der Anwender, die die verschiedenen Aufgaben ausführen, werden in beschrieben Rollen in Risikomanagement von Drittparteien. Das folgende Diagramm beschreibt den Due-Diligence-Workflow.

    Abbildung : 1. Due-Diligence-Workflow

    Infografik, die zeigt, wo die Prozesse im Due-Diligence-Workflow ausgeführt werden. Die Textbeschreibung finden Sie in den folgenden Workflow-Schritten.
    Anforderungsprozess: Fordern Sie auf, eine neue Interaktion zu starten, eine vorhandene erneut zu bewerten oder Offboarding durchzuführen
    1. Ein Mitarbeiter in Ihrer Organisation fordert Sorgfaltspflicht für eine Drittpartei-Interaktion an.
      1. Der Mitarbeiter meldet sich bei an Mitarbeiter-Center In ihrer Instanz. Sie öffnen das Formular „Sorgfaltspflicht-Anforderung“ und geben den Namen der Drittpartei und den Grund für die Anforderung an:
        • Onboarding für eine neue Interaktion
        • Bewerten Sie ein Risiko für eine vorhandene Interaktion neu
        • Bewerten Sie eine vorhandene Interaktion neu, um sich auf eine Vertragsverlängerung vorzubereiten
        • Offboarding einer Interaktion mit Sorgfaltspflicht
        • Offboarding einer Interaktion ohne Sorgfaltspflicht
        Hinweis:
        Beim Offboarding einer Interaktion ohne Sorgfaltspflicht gelten die TP-Elementerfassung und der Sorgfaltspflicht-Prozess nicht.
      2. Der Mitarbeiter stellt Details zur Drittpartei und zur Interaktion bereit. Die Informationen umfassen das Produkt oder den Service, das in dieser Interaktion bewertet werden soll, den Anwender, der den Beurteiler des Fragebogens für inhärente Risiken (IRQ) beantwortet, und den Drittpartei-Kontakt oder Interaktionskontakt, der die externen Fragebogen beantwortet.
      3. Ein externer Risk Intelligence-Anbieter kann die Risikodaten für die Drittpartei jederzeit aktualisieren, da ein Drittpartei-Risikomanager (TPR) die Services eines Risk Intelligence-Providers während der Konfiguration der Anwendung integriert hat.
      4. Der Mitarbeiter übermittelt das Formular.
      5. Das System sendet eine E-Mail-Benachrichtigung an den Mitarbeiter, der die Anforderung gestellt hat.
      6. Das System sendet eine E-Mail-Benachrichtigung an die Zuweisungsgruppe der Sorgfaltspflicht-Anforderung. Ein Mitglied der Gruppe kann einen TPR-Manager oder TPR-Beurteiler zuweisen, der als Besitzer der Anforderung fungiert. Diese Aktion löst eine Aufgabe für den TPR-Manager aus.
    2. Der TPR-Manager definiert den Umfang der Anforderung, aktualisiert sie nach Bedarf und genehmigt sie oder lehnt sie ab.
      1. Der TPR-Manager meldet sich bei an Vendor Management-Arbeitsbereich Und navigiert zur Seite „Sorgfaltspflicht-Management“, auf der die Anforderung überprüft und aktualisiert wird:
        • Der TPR-Manager überprüft die Person, die als IRQ-Beurteiler vorgeschlagen wurde. Bei Bedarf kann eine andere Person als IRQ-Beurteiler angegeben werden.
        • Der TPR-Manager kann eine Diskussion mit der anfordernden Person und anderen Anwendern beginnen, indem er auswählen Besprechen . Die Nachricht wird im Abschnitt „Aktivität“ von aufgezeichnet Details Registerkarte.

      2. Der TPR-Manager lehnt die Anforderung entweder ab oder genehmigt sie. Wenn der TPR-Manager die Anforderung akzeptiert, wird der IRQ-Prozess gestartet.

    Hinweis:
    TPR-Beurteiler können wiederkehrende Drittpartei-Bewertungen erstellen, um ein Risiko regelmäßig neu zu bewerten. Weitere Informationen finden Sie unter Konfigurieren Sie eine Risikobewertung, die nach einem Zeitplan wiederholt werden soll und Ereignisgesteuerte Verwaltung – Automatisieren Sie Bewertungsprozesse.
    IRQ-Prozess: Umfang des Risikos
    1. Der TPR-Manager überprüft und genehmigt die IRQ.
      1. In Vendor Management-Arbeitsbereich, Überprüft und genehmigt der TPR-Manager die IRQ von aus einer Liste im System.

        Der TPR-Administrator kann anwenderdefinierte IRQs für eine Organisation erstellen. Der Inhalt jeder IRQ wird von der Person erstellt und verwaltet, die für den Geschäftsbereich, die Geografie oder die Drittpartei verantwortlich ist, für die die Fragen bestimmt sind. Um eine IRQ zu definieren, fügt der TPR-Administrator einer Fragebogenvorlage Beispielfragen hinzu und ändert die Fragen nach Bedarf. Die Beispielfragen werden in bereitgestellt Basissystem. Das Definieren eines IRQ ist ein Prozess ohne Code.

        Tipp:
        Der TPR-Manager kann die Antwort auf eine Frage in einer IRQ verwenden, um die Fragebogen zu bestimmen, die an die zu bewertende Drittpartei gesendet werden. Diese Funktion ist nur verfügbar, wenn die Drittpartei-Risikomanagement-Anwendung aktiviert wurde.

        Weitere Informationen finden Sie unter Richten Sie interne Fragebogenantworten ein, um externe Fragebogen automatisch an Bewertungen anzuhängen.

      2. Der TPR-Manager lehnt die Sorgfaltspflicht-Anforderung entweder ab oder genehmigt sie. Wenn die Anforderung genehmigt wird, sendet das System die IRQ an den IRQ-Beurteiler, der ein interner Stakeholder in einer Organisation ist.
      3. Der IRQ-Beurteiler wird sowohl per E-Mail als auch durch eine neue Aufgabe in seiner Warteschlange über das IRQ benachrichtigt.
        Hinweis:
        Das System kann auch Risikobewertungen von Drittparteien automatisch senden, wenn Änderungen an einer Risikopunktzahl auftreten.
    2. Interne Anwender antworten auf die IRQ:
      1. In Mitarbeiter-Center, Jeder Anwender, der an der Interaktion interessiert ist, wird geöffnet und antwortet auf die IRQ.

        Mehrere Antworten generieren weitere klärende Fragen. Die Antworten können bestimmen, welche externen Fragebogen automatisch generiert und den Sätzen hinzugefügt werden, die an den TP und den Interaktionskontakt gehen.

        Wenn beispielsweise ein IRQ-Beurteiler antwortet, dass die Drittpartei im Rahmen der Interaktion mit Regierungsbeamten interagiert, wird ein Fragebogen zur Bekämpfung von Bestechung enthalten, der für das Land der Drittpartei (ABAC in den USA oder FCBA in der EU usw.) geeignet ist.

      2. Der IRQ-Beurteiler übermittelt die abgeschlossene IRQ. Diese Aktion löst eine Aufgabe für den TPR-Manager aus.
    3. Die internen Stakeholder (Drittpartei-Bewertungsüberprüfer, TPR-Beurteiler, TPR-Genehmiger, TPR-Manager oder TPR-Administrator) überprüfen die IRQ-Antworten:
      1. In Vendor Management-Arbeitsbereich, Überprüfen die Anwender die IRQ-Antworten.
      2. Der TPR-Manager kann den IRQ-Beurteiler um Klärung bitten und dann die IRQ-Antworten entweder ablehnen oder genehmigen.
      3. Wenn ein interner Stakeholder-Anwender die IRQ-Antworten genehmigt, wechselt er zum nächsten Prozess, indem er die Interaktionsanforderung schließt.
    Hinweis:
    Nachdem der IRQ-Prozess in den Status „IRQ in Bearbeitung“ übergegangen ist, können Sie Risk Intelligence-Berichte anfordern, die Ihrer Sorgfaltspflicht-Anforderung zugeordnet sind. Weitere Informationen finden Sie unter Mithilfe von Risk Intelligence-Berichten und -Punktzahlen und Fordern Sie einen Risk Intelligence-Bericht an, der einer Sorgfaltspflicht-Anforderung zugeordnet ist.
    TP-Elementsammlungsprozess: Informationen zu Drittpartei-Elementen erfassen (optional)
    1. Der TPR-Manager oder der Besitzer der Sorgfaltspflicht-Anforderung startet die Erfassung von Drittpartei-Elementen.
      1. In Vendor Management-Arbeitsbereich, Wenn Drittparteielemente benötigt werden, wählt der TPR-Manager oder -Besitzer aus Sammlung starten Und eine Sammlungsaufgabe wird erstellt.
      2. Der TPR-Manager oder -Besitzer navigiert zur Registerkarte „Sammlungsaufgabe“ und weist der externen Bewertung zum Sammeln von Elementen die relevanten Fragebogen für Drittpartei-Elemente zu.
        Hinweis:
        Als Teil des Basissystems sind Beispielfragebogen für Sammlung und Bewertung für Drittparteielemente verfügbar, die als Facility, Prinzipal, Produkte oder andere klassifiziert sind.
      3. Der TPR-Manager oder -Besitzer überprüft und genehmigt die Fragebogen, und sie werden an die Interaktion gesendet.
    2. Das System sendet eine E-Mail-Benachrichtigung an Personen bei der Interaktion. Die Nachrichten benachrichtigen den Interaktionskontakt, um die Fragebogen zur Erfassung von Drittparteielementen zu beantworten.

    3. Im Drittparteiportal beantworten die Interaktionskontakte entweder direkt die Fragebogen, oder weisen die Aufgaben anderen Kontakten in der Organisation zu.

    4. Der Interaktionskontakt gibt die ausgefüllten Fragebogen zurück.
    5. Das System ändert den Status der Bewertung in Antworten erhalten Und sendet Warnungen an den TPR-Manager und -Besitzer.
    6. In Vendor Management-Arbeitsbereich, Öffnet der TPR-Manager oder -Besitzer die Fragebogen und überprüft, ob alle erforderlichen Informationen bereitgestellt wurden.
    7. Der TPR-Manager oder -Besitzer navigiert dann zur Liste der Drittparteielemente und erstellt manuell einen Drittparteielementdatensatz für jeden Satz von Antworten im Fragebogen.
    8. Nachdem alle Drittparteielemente erstellt wurden, schließt der TPR-Manager oder -Besitzer die Bewertung.
    9. Das System ändert den Status der Anforderung in Sammlung wird überprüft .
    10. Die internen Stakeholder (TPR-Beurteiler, TPR-Genehmiger, TPR-Manager oder TPR-Administrator) überprüfen und genehmigen die Elementdatensätze.
    11. In Vendor Management-Arbeitsbereich, Der TPR-Manager oder -Besitzer öffnet die Interaktion und fügt Elemente manuell als Entitäten auf der Registerkarte „Entitäten“ hinzu.
    12. Nachdem alle Entitäten von Drittpartei-Elementen einer Interaktion zugewiesen wurden, können Sie den Sorgfaltspflicht-Prozess starten.
    Sorgfaltspflicht-Prozess: Sammeln Sie Informationen, um eine Risikopunktzahl zu generieren
    1. Bei einem der folgenden Prozesse werden externe Fragebogen zur Sorgfaltspflicht ausgewählt:
      • In Vendor Management-Arbeitsbereich, Der TPR-Manager wählt die Fragebogen aus, auf die der TP und die Interaktionskontakte antworten.
      • Das System wählt die Fragebogen automatisch gemäß den Konfigurationen aus, die für die Auswahl festgelegt wurden. Weitere Informationen zum Konfigurieren externer Fragebogen, die basierend auf internen Fragebogenantworten ausgewählt werden sollen, finden Sie unter Richten Sie interne Fragebogenantworten ein, um externe Fragebogen automatisch an Bewertungen anzuhängen.
      • Das System wählt die Fragebogen automatisch gemäß den Geschäftsregeln aus, die für die Auswahl definiert wurden.

    2. Unabhängig von der in Schritt 1 verwendeten Auswahlmethode werden zwei externe Fragebogen zur Sorgfaltspflicht ausgewählt:

      • Ein Satz sammelt Informationen zur Drittparteiorganisation. Der TP-Kontakt beantwortet diesen Fragebogen.
      • Der andere Satz sammelt Informationen über den Geschäftsbereich innerhalb der Drittparteiorganisation, der Gegenstand der Interaktion ist. Der Interaktionskontakt (wie in der Sorgfaltspflicht-Anforderung angegeben) beantwortet diesen Fragebogen.
      Hinweis:
      Wenn Sie den optionalen TP-Elementsammlungsprozess abgeschlossen haben, muss für jedes von Ihnen erstellte Drittparteielement ein Fragebogen ausgewählt und als Teil einer Bewertung zugewiesen werden. Die Fragebogen zu Drittpartei-Elementen werden vom Interaktionskontakt ausgefüllt.
    3. In Vendor Management-Arbeitsbereich, Überprüft der TPR-Manager die automatisch ausgewählten Fragebogen, auf die TP- und Interaktionskontakte antworten. Der TPR-Manager validiert oder ändert die Auswahl und genehmigt dann den Satz der Fragebogen. Weitere Informationen zum Erstellen externer Bewertungen finden Sie unter Erstellen Sie eine externe Bewertung.
    4. Das System sendet eine E-Mail-Benachrichtigung an Personen bei der Drittpartei. Die Nachrichten benachrichtigen den TP-Kontakt und den Interaktionskontakt, um die externen Fragebogen zu beantworten.
      Hinweis:
      Nehmen Sie keine Änderungen an einer Fragebogenvorlage vor, nachdem sie bereits verwendet wurde. Sie können die Vorlage stattdessen duplizieren, indem Sie eine Kopie erstellen. Wenn Sie Änderungen an einem Fragebogen vornehmen, nachdem er als Teil einer externen Bewertung gesendet wurde, werden diese Aktualisierungen nicht im Fragebogen angezeigt, der im Drittparteiportal angezeigt wird. Weitere Informationen finden Sie unter Erstellen Sie einen Fragebogen oder eine Dokumentanforderungsvorlage und Erstellen Sie mit dem Designer einen Fragebogen oder eine Dokumentanforderungsvorlage.
    5. Im Drittparteiportal beantworten TP- und Interaktionskontakte entweder direkt die Fragebogen oder weisen die Aufgaben anderen Kontakten in der Drittparteiorganisation zu.
      Hinweis:
      Das Drittparteiportal ist vollständig von der Instanz Ihrer Organisation isoliert.

      In einem iterativen Prozess kann der TPR-Manager Probleme und Aufgaben mit Nichteinhaltung generieren, bevor der TPR-Manager eine Bewertung schließt. Der TPR-Manager kommuniziert mit den TP-Kontakten und Interaktionskontakten, indem er Kommentare verwendet, um die Probleme und Aufgaben zu schließen. Der TPR-Manager kann bei Bedarf auch verschiedene Kontakte zuweisen. Weitere Informationen finden Sie unter Verwalten Sie Probleme.

    6. Der TP-Kontakt und der Interaktionskontakt geben die ausgefüllten Fragebogen zurück.
    7. Das System ändert den Status der Anforderung in Bereit für TPRM-Genehmigung Und sendet Warnungen an die TPR-Manager.
    8. In Vendor Management-Arbeitsbereich, Der TPR-Manager validiert, ob die Fragebogen empfangen, ausgefüllt und bei Bedarf unterzeichnet wurden, und schließt dann die Bewertungsphase, um den Genehmigungsprozess zu starten.
    Hinweis:
    Wenn der Drittpartei-Risikomanager oder -Besitzer auswählt Vertragsrisikoprozess überspringen Option während des Sorgfaltspflicht-Prozesses wird der zugewiesene Vertragsverhandler nicht benachrichtigt, und der Status des Vertragsrisikoprozesses wird übersprungen. Ein Genehmiger und ein Besitzer können aktualisieren Vertragsrisikoprozess überspringen Auswahl bis zum Abschluss des Genehmigungsprozesses. Weitere Informationen zu diesem Prozess finden Sie unter Prozessmanagement für Sorgfaltspflicht-Anforderungen.
    Genehmigungsprozess: Interner Stakeholder analysiert jeden Aspekt des Risikos

    Alle internen Stakeholder (Genehmiger) überprüfen die Fragebogenantworten und Begleitdokumente der Drittpartei- und Interaktionskontakte. Wenn die Antworten gut sind, genehmigt mindestens ein Genehmiger die DD-Anforderung und schließt sie dann. Wenn ein Vertrag vorbereitet wird, wird die genehmigte Anforderung in verschoben Vertragsrisiko Prozess.

    • Genehmiger können die Anforderung genehmigen oder ablehnen und dann schließen.
    • Wenn Sie die Anforderung schließen, wird sie entweder in den Vertragsrisikoprozess verschoben, oder wenn kein Vertrag beteiligt ist, wird die Interaktion gestartet.
    Vertragsrisikoprozess

    Nach der Genehmigung können alle Sorgfaltspflicht-Informationen für den Vertragsverhandler verfügbar gemacht werden. Mithilfe von Vendor Management-Arbeitsbereich, Der Vertragsverhandler greift auf alle Daten zu, die während der vorangehenden Prozesse generiert werden, um den Vertrag zu entwerfen und zu regeln:

    • Der Vertragsverhandler kann den Vertragsrisikoprozess überspringen, wenn kein Vertrag mehr erforderlich ist.
    • Der Vertragsverhandler kann bei Bedarf zusätzliche Sorgfaltspflicht anfordern.
    • Wenn der Vertragsverhandler einen Vertrag mit der Drittpartei erfolgreich ausführt, kann er ihn hochladen und angeben, dass der Vertrag ausgeführt wird, um automatisch alle wichtigen Stakeholder zu benachrichtigen.
    • Der Vertragsverhandler kann angeben, dass der Vertrag nicht ausgeführt wird und die Drittpartei nicht geschäftlich einbezogen wird.
    • Der Vertragsverhandler kann angeben, dass der Vertrag gekündigt wird und die Drittpartei nicht geschäftlich einbezogen wird.
    Hinweis:
    Ab Version 19.1.x der Drittpartei-Risikomanagement-Anwendung sind der abgestufte Fragebogen und externe Bewertungserinnerungen-Workflows veraltet und migriert zu Workflow-Studio. Wenn Sie diese Workflows angepasst haben, werden sie im Rahmen dieses Change nicht veraltet oder migriert.