Explorando Gestão de risco de terceiros
. Gestão de risco de terceiros a aplicação centraliza e padroniza os processos, os materiais de origem, as pessoas responsáveis e os métodos do seu programa de gestão de riscos de terceiros. Você pode melhorar suas operações gerenciando seu portfólio de terceiros e identificando, rastreando e mitigando os problemas que surgem com terceiros.
Visão geral Gestão de risco de terceiros
Para proteger os ativos, a reputação e as operações da sua organização, o programa de gestão de riscos de terceiros deve identificar, avaliar e mitigar os riscos associados a partes externas. . TPRM a aplicação ajuda você a evitar que provedores, parceiros e fornecedores terceirizados criem uma interrupção nos negócios ou um impacto negativo no desempenho dos negócios. Usando o. TPRM, você pode reduzir a carga manual e os custos do seu processo de avaliação de riscos por meio da automação.
TPRM traz todas as informações de risco de terceiros em um ambiente.
- Fluxos de trabalho de integração, desligamento, renovações e due diligence adicionais
- Gestão de avaliações
- Monitoramento contínuo de riscos
- Gestão de desempenho de risco
Gestão de risco de terceiros Usuários
| Usuário | Descrição |
|---|---|
| Solicitantes de due diligence | Os solicitantes podem ser qualquer funcionário da sua organização interessado em integrar, reavaliar ou desligar um compromisso. Para obter mais informações sobre os diferentes tipos de solicitações de due diligence, consulte Solicitação de due diligence de risco de terceiros. |
| TPRM Avaliadores | TPRM Os avaliadores são membros da equipe do gerente de risco que ajudam a mitigar o risco de um possível compromisso, analisando as informações coletadas por meio do processo de due diligence. Eles podem ser potencialmente atribuídos como proprietários de solicitações de due diligence com base em sua experiência ou conhecimento do compromisso. Aqui estão alguns exemplos de diferentes tipos de avaliadores e como eles afetariam o processo de due diligence para TPRM:
|
| TPRM Aprovadores |
TPRM os aprovadores são normalmente um membro sênior da organização. Eles são responsáveis pela revisão final e aprovação das descobertas de due diligence. Eles ajudam a confirmar que todos os requisitos de gestão de riscos foram atendidos satisfatoriamente antes de prosseguir com qualquer compromisso de terceiros, seja envolvendo integração, continuidade ou desligamento de um compromisso. Estes são alguns exemplos de diferentes tipos de aprovadores:
|
| Negociador de contratos | Os negociadores de contratos orquestram e finalizam acordos entre sua organização e possíveis compromissos. Eles usam todas as informações coletadas por meio do processo de due diligence para ajudar a garantir que todos os contratos reflitam seus interesses estratégicos e sigam seus protocolos de gestão de risco. |
| Gerente de risco | Os gerentes de risco conduzem avaliações de risco completas de terceiros e compromissos. Com base nas informações coletadas e revisadas pelo gerente de risco e sua equipe, eles priorizam os riscos, desenvolvem estratégias de mitigação e usam TPRM para monitorar e gerenciar relacionamentos contínuos com terceiros de forma eficaz. |
| TPRM Administrador | Os administradores gerenciam funções de usuário, permissões e configurações do sistema para configurar TPRM para atender às necessidades específicas de gestão de riscos e requisitos de conformidade da sua organização. |
Para obter mais informações sobre TPRM funções, consulte Funções no Gestão de risco de terceiros.
Fluxo de trabalho do Gestão de risco de terceiros
O infográfico a seguir mostra o fluxo de trabalho dos processos mais importantes que você pode usar para gerenciar riscos.
- Solicitar due diligence para um compromisso
Um funcionário da sua organização solicita due diligence para um compromisso de terceiros. A solicitação de due diligence é revisada e aprovada pelo gerente de risco de terceiros (TPR) [sn_vdr_risk_asmt.vendor_risk_manager].
Para obter mais informações, consulte Solicitação de due diligence de risco de terceiros.- Avalie o risco usando uma avaliação interna que contém um questionário de risco inerente (IRQ)
-
Um IRQ é um conjunto de perguntas que pontuam e escoçam a due diligence necessária sobre terceiros ou compromissos. Após a solicitação de due diligence ser aprovada pelo gerente de TPR ou avaliador de TPR [sn_vdr_risk_asmt.vendor_asstor] que foi atribuído como o responsável pela solicitação de due diligence, eles selecionam um IRQ e o anexam a uma avaliação interna.
Nota:Após o processo de IRQ entrar no estado IRQ em andamento, você poderá solicitar relatórios de inteligência de risco associados à sua solicitação de due diligence. Para obter mais informações, consulte Usando relatórios e pontuações de inteligência de risco e Solicite um relatório de inteligência de risco associado a uma solicitação de due diligence.Para obter mais informações, consulte Avaliar o risco de terceiros.
- Crie elementos de terceiros
-
Depois que sua solicitação de due diligence concluir o processo de IRQ, se elementos de TP forem necessários, o gerente de TPR ou o proprietário da solicitação de due diligence selecionará Iniciar coleta e uma tarefa de coleta é criada. Um questionário de elemento de terceiros é enviado para o contato de compromisso de terceiros. O gerente de TPR ou o proprietário cria manualmente registros de elementos de terceiros com base nas respostas.
Para obter mais informações, consulte Avaliar o risco de terceiros e Elementos de terceiros de monitoramento.
- Avalie o risco usando uma avaliação externa
- Após a conclusão do processo de IRQ ou do processo de coleta de elementos TP, o gerente ou proprietário de TPR seleciona questionários e solicitações de documentação para anexar a avaliações externas para envio ao terceiro ou compromisso. Para obter mais informações sobre como criar avaliações, consulte Crie uma avaliação externa e. Formulário de avaliação de risco de terceiros.
Para obter mais informações sobre este processo, consulte Avaliar o risco de terceiros e. Elementos de terceiros de monitoramento.
Nota:Se você tiver alguma inteligência de risco integrada, as informações relevantes serão extraídas neste momento. - Integre pontuações usando provedores de inteligência de risco
-
Sua organização pode comprar serviços de provedores que retornam dados semelhantes às pontuações de crédito pessoais. As pontuações fornecem informações sobre o quão confiável e seguro um terceiro específico pode ser.
Para obter mais informações, consulte Integrar pontuações de provedores de inteligência de risco.
- Solicitar relatórios e pontuações de inteligência de risco
-
Se você for o avaliador de TPR e for o proprietário da solicitação de due diligence ou tiver a função de gerente de TPR, poderá usar o. TPRM aplicação para solicitar pontuações ou relatórios para terceiros usando o formulário de solicitação de inteligência de risco. Depois que os relatórios e as pontuações são gerados pelo provedor de inteligência de risco, os links para esses relatórios são entregues e associados a esse registro de relatório de inteligência de risco. Se você tiver alguma inteligência de risco integrada, as informações relevantes serão extraídas neste momento. Para obter mais informações, consulte Usando relatórios e pontuações de inteligência de risco.
- Exibir pontuações e informações relacionadas
-
As informações coletadas são pontuadas e combinadas em uma exibição única do processo de due diligence para exibir todas as pontuações, questionários concluídos, ocorrências, aprovações e comentários.
Para obter mais informações sobre pontuação, consulte Cálculos de pontuação usando o mecanismo de avaliação clássico e. Verificando cálculos de pontuação usando o mecanismo de avaliação clássico. Consulte Configuração de avaliação clássica para obter informações sobre como a pontuação pode ser configurada no nível de avaliação e questionário.
- Aprovar solicitações de due diligence
-
Todos os aprovadores podem revisar a due diligence e ver as informações detalhadas antes de fazer uma aprovação. Depois que todos os aprovadores aprovam a solicitação de due diligence, todas as informações de due diligence podem ser disponibilizadas para a pessoa que está negociando o contrato. O processo de risco do contrato só se aplica se um contrato for necessário.
Para obter mais informações, consulte Aprovação ou rejeição de solicitações de due diligence.
- Negocie um contrato
-
O negociador do contrato pode ver as informações detalhadas de todas as pontuações e questionários. Se for necessária uma due diligence adicional, eles poderão solicitá-la. Se o negociador de contrato executar com sucesso um contrato com o terceiro, ele poderá carregá-lo e especificar que o contrato foi executado. Esta ação notifica automaticamente todas as principais partes interessadas sobre o status do contrato. O negociador de contratos também pode ignorar o processo de risco do contrato, rejeitar a solicitação de due diligence ou especificar que o contrato não foi executado e que o terceiro não está envolvido em negócios.
Nota:Se o gerente de risco de terceiros ou o proprietário selecionar Ignorar processo de risco do contrato Opção Durante o processo de due diligence, o negociador de contrato atribuído não é notificado e o estado do processo de risco do contrato é ignorado. Um aprovador e proprietário podem atualizar o. Ignorar processo de risco do contrato seleção até que o processo de aprovação seja concluído. Para obter mais informações sobre este processo, consulte Gestão de processos de solicitação de due diligence.Para obter mais informações sobre este processo, consulte Gerenciar o processo de risco do contrato.
- Monitorar risco de terceiros
- Os gerentes de TPR, avaliadores de TPR e revisores de avaliação de terceiros [sn_vdr_risk_asmt.vendor_assessment_reviewer] podem monitorar e revisar o desempenho de terceiros com o. Espaço de gestão de fornecedores.
Para obter mais informações, consulte Monitoramento do risco de terceiros.
- Gerencie o portal de terceiros
-
Os gerentes de TPR podem gerenciar contatos de terceiros, incluindo criar logins, atribuir funções e acompanhar o andamento em questionários e tarefas por meio do portal de terceiros. Os contatos de terceiros podem usar o portal para responder a avaliações, delegar tarefas e gerenciar suas informações, com opções para usar modelos do Microsoft Excel ou o questionário SIG para respostas.
Para obter mais informações, consulte Gerenciar o processo de risco do contrato.
Para obter uma descrição detalhada do TPRM Fluxo de trabalho de due diligence, consulte Fluxo de trabalho de due diligence.
Benefícios da Gestão de risco de terceiros
A tabela a seguir mostra os benefícios do Gestão de risco de terceiros aplicação.
| Benefício | Recurso | Usuários |
|---|---|---|
| Exiba informações importantes de risco e acesse rapidamente as ações. | Página inicial da TPRM | Todos TPRM usuários |
| Use relatórios de gestão de due diligence para rastrear, priorizar e gerenciar responsabilidades. | TPRM Relatórios de gestão de due diligence | Todos TPRM usuários |
| Identifique e avalie o risco potencial associado ao seu relacionamento com terceiros. | TPRM Página de atividade de risco | Todos TPRM usuários |
| Identifique as localizações geográficas de terceiros ativos e compromissos. Você pode configurar filtros para exibir classificações de risco específicas e tipos de compromisso. | TPRM Mapa de concentração de risco | Todos TPRM usuários |
| Priorize avaliações, problemas e tarefas que precisam de atenção. | TPRM Página de atividade de risco | Todos TPRM usuários |
| Tarefas de acesso atribuídas a você e aos membros do seu grupo. | TPRM Página de tarefa | Todos TPRM usuários |
| Acesse todos os itens que você pode exibir ou agir em TPRM. | TPRM Página de lista | Todos TPRM usuários |
| Use a página Compromisso para acessar todas as informações e status atuais de um terceiro ou compromisso. | Obtenha uma visão geral de um terceiro | Todos os usuários internos |
| Importar dados existentes (terceiros, compromissos, avaliações, questionários, ocorrências, e assim por diante) de outros sistemas (como Aravo. ProcessUnity e assim por diante). Você não será cobrado pela importação dos dados. | Importe dados existentes de outros sistemas | Gerentes de TPR e administradores de TPR |
| Trabalhe em todos os processos no fluxo de trabalho para uma solicitação de due diligence: IRQs, due diligence externa, aprovação, risco de contrato e solicitações encerradas. | Monitoramento do processo de solicitação de due diligence | Gerentes de TPR e administradores de TPR |
| Use o portal de terceiros como um ponto primário de interação para terceiros e avaliadores de risco. | Gerenciar o portal de terceiros | Gerentes de TPR, avaliadores de TPR e terceiros |
Para obter mais informações sobre a terminologia usada em TPRM, consulte Terminologia.
O que explorar a seguir
Para saber mais sobre como configurar e usar o Gestão de risco de terceiros, consulte:
- Configuração da Gestão de risco de terceiros
- Configuração de avaliação clássica
- Configuração de avaliação inteligente
- Solicitação de due diligence de risco de terceiros
- Avaliar o risco de terceiros
- Monitoramento do risco de terceiros
- Aprovação ou rejeição de solicitações de due diligence
- Gerenciar o processo de risco do contrato
- Registros de terceiros de resiliência digital
- Gerenciar o portal de terceiros
- Usando relatórios e pontuações de inteligência de risco
- Integrar pontuações de provedores de inteligência de risco
- Referência do Gestão de risco de terceiros