Sorgfaltspflicht-Workflow

  • Freigeben Version: Yokohama
  • Aktualisiert 30. Januar 2025
  • 9 Minuten Lesedauer

    • Das Drittpartei-Risikomanagement ( TPRM) Prozesse bieten ein konsistentes Framework für Ihr Drittpartei-Risikomanagementprogramm. Sie können die Workflow-Prozesse an die Anforderungen Ihrer Organisation anpassen.

    Prozesse im Due Diligence-Workflow

    Jede Aufgabe in einem Prozess muss abgeschlossen werden, bevor die nächste Aufgabe gestartet werden kann. Die Rollen der Anwender, die die verschiedenen Aufgaben ausführen, werden in beschrieben Rollen in Risikomanagement von Drittparteien. Das folgende Diagramm beschreibt den Due Diligence-Workflow.

    Abbildung : 1. Sorgfaltspflicht-Workflow

    Infografik, die anzeigt, wo die Prozesse im Due Diligence-Workflow ausgeführt werden. Die Textbeschreibung finden Sie in den folgenden Workflow-Schritten.
    Anforderungsprozess: Fordern Sie auf, eine neue Interaktion zu starten, eine vorhandene zu bewerten oder zu offboarden
    1. Ein Mitarbeiter in Ihrer Organisation fordert Sorgfaltspflicht für eine Drittpartei-Interaktion an.
      1. Der Mitarbeiter meldet sich bei an Mitarbeiter-CenterIn ihrer Instanz. Sie öffnen das Formular „Sorgfaltspflicht-Anforderung“ und geben den Namen der Drittpartei und den Grund für die Anforderung an:
        • Onboarding für eine neue Interaktion
        • Bewerten Sie ein Risiko für eine vorhandene Interaktion neu
        • Bewerten Sie eine vorhandene Interaktion neu, um sich auf eine Vertragsverlängerung vorzubereiten
        • Offboarding einer Interaktion mit Sorgfaltspflicht
        • Offboarding einer Interaktion ohne Sorgfaltspflicht
        Hinweis:
        Beim Offboarding einer Interaktion ohne Sorgfaltspflicht sind die TP-Elementsammlung und der Sorgfaltspflicht-Prozess nicht anwendbar.
      2. Der Mitarbeiter stellt Details zur Drittpartei und zur Interaktion bereit. Die Informationen umfassen das Produkt oder den Service, das in dieser Interaktion bewertet werden soll, den Anwender, der auf den Beurteiler des Fragebogens für inhärente Risiken (IRQ) antwortet, und den Drittpartei-Kontakt oder Interaktionskontakt, der die externen Fragebogen beantwortet.
      3. Ein externer Risk Intelligence-Anbieter kann die Risikodaten für die Drittpartei jederzeit aktualisieren, da ein Drittpartei-Risikomanager (TPR) die Services eines Risk Intelligence-Providers bei der Konfiguration der Anwendung integriert hat.
      4. Der Mitarbeiter übermittelt das Formular.
      5. Das System sendet eine E-Mail-Benachrichtigung an den Mitarbeiter, der die Anforderung gestellt hat.
      6. Das System sendet eine E-Mail-Benachrichtigung an die Zuweisungsgruppe der Sorgfaltspflicht-Anforderung. Ein Mitglied der Gruppe kann einen TPR-Manager oder TPR-Beurteiler zuweisen, der als Besitzer der Anforderung fungiert. Diese Aktion löst eine Aufgabe für den TPR-Manager aus.
    2. Der TPR-Manager definiert den Umfang der Anforderung, aktualisiert sie nach Bedarf und genehmigt sie dann oder lehnt sie ab.
      1. Der TPR-Manager meldet sich bei an Vendor Management-ArbeitsbereichUnd navigiert zur Seite „Sorgfaltspflicht-Management“, auf der die Anforderung überprüft und aktualisiert wird:
        • Der TPR-Manager überprüft die Person, die als IRQ-Beurteiler vorgeschlagen wurde. Bei Bedarf kann eine andere Person als IRQ-Beurteiler angegeben werden.
        • Der TPR-Manager kann eine Diskussion mit der anfordernden Person und anderen Anwendern beginnen, indem er auswählen Besprechen . Die Nachricht wird im Abschnitt „Aktivität“ von aufgezeichnet Details Registerkarte.

      2. Der TPR-Manager lehnt die Anforderung entweder ab oder genehmigt sie. Wenn der TPR-Manager die Anforderung akzeptiert, wird der IRQ-Prozess gestartet.

    Hinweis:
    TPR-Beurteiler können wiederkehrende Drittpartei-Bewertungen erstellen, um ein Risiko nach einem regulären Zeitplan neu zu bewerten. Weitere Informationen finden Sie unter Konfigurieren Sie eine Risikobewertung, die nach einem Zeitplan wiederholt wird.
    IRQ-Prozess: Umfang des Risikos
    1. Der TPR-Manager überprüft und genehmigt die IRQ.
      1. In Vendor Management-Arbeitsbereich, Überprüft und genehmigt der TPR-Manager die IRQ von aus einer Liste im System.

        Der TPR-Administrator kann anwenderdefinierte IRQs für eine Organisation erstellen. Der Inhalt jeder IRQ wird von der Person erstellt und verwaltet, die für den Geschäftsbereich, die Geografie oder die Drittpartei verantwortlich ist, für die die Fragen bestimmt sind. Zum Definieren einer IRQ fügt der TPR-Administrator einer Fragebogenvorlage Beispielfragen hinzu und ändert die Fragen nach Bedarf. Die Beispielfragen werden in bereitgestellt Basissystem. Das Definieren einer IRQ ist ein Prozess ohne Code.

        Tipp:
        Der TPR-Manager kann die Antwort auf eine Frage in einer IRQ verwenden, um die Fragebogen zu bestimmen, die an die bewertete Drittpartei gesendet werden. Diese Funktion ist nur verfügbar, wenn die Drittpartei-Risikomanagement-Anwendung aktiviert wurde.

        Weitere Informationen finden Sie unter Richten Sie interne Fragebogenantworten ein, um externe Fragebogen automatisch an Bewertungen anzuhängen.

      2. Der TPR-Manager lehnt die Sorgfaltspflicht-Anforderung entweder ab oder genehmigt sie. Wenn die Anforderung genehmigt wird, sendet das System die IRQ an den IRQ-Beurteiler, der ein interner Stakeholder in einer Organisation ist.
      3. Der IRQ-Beurteiler wird sowohl per E-Mail als auch durch eine neue Aufgabe in seiner Warteschlange über die IRQ benachrichtigt.
        Hinweis:
        Das System kann auch Risikobewertungen von Drittparteien automatisch senden, wenn Änderungen an einer Risikopunktzahl auftreten.
    2. Interne Anwender antworten auf die IRQ:
      1. In Mitarbeiter-Center, Jeder Anwender, der an der Interaktion interessiert ist, wird geöffnet und antwortet auf die IRQ.

        Mehrere Antworten generieren weitere klärende Fragen. Die Antworten können bestimmen, welche externen Fragebogen automatisch generiert und den Sätzen hinzugefügt werden, die an den TP und den Interaktionskontakt gehen.

        Wenn beispielsweise ein IRQ-Beurteiler antwortet, dass die Drittpartei im Rahmen der Interaktion mit Regierungsbeamten interagiert, wird ein Fragebogen zur Bekämpfung von Bestechung aufgenommen, der für das Land der Drittpartei (ABAC in den USA oder FCBA in der EU usw.) geeignet ist.

      2. Der IRQ-Beurteiler übermittelt die abgeschlossene IRQ. Diese Aktion löst eine Aufgabe für den TPR-Manager aus.
    3. Die internen Stakeholder (Drittpartei-Bewertungsüberprüfer, TPR-Beurteiler, TPR-Genehmiger, TPR-Manager oder TPR-Administrator) überprüfen die IRQ-Antworten:
      1. In Vendor Management-Arbeitsbereich, Die Anwender überprüfen die IRQ-Antworten.
      2. Der TPR-Manager kann den IRQ-Beurteiler um Klärung bitten und dann die IRQ-Antworten entweder ablehnen oder genehmigen.
      3. Wenn ein interner Stakeholder-Anwender die IRQ-Antworten genehmigt, wechselt er zum nächsten Prozess, indem er die Interaktionsanforderung schließt.
    Hinweis:
    Nachdem der IRQ-Prozess in den Status „IRQ in Bearbeitung“ übergegangen ist, können Sie Risk Intelligence-Berichte anfordern, die Ihrer Sorgfaltspflicht-Anforderung zugeordnet sind. Weitere Informationen finden Sie unter Mithilfe von Risk Intelligence-Berichten und -Punktzahlen und Fordern Sie einen Risk Intelligence-Bericht an, der einer Sorgfaltspflicht-Anforderung zugeordnet ist.
    TP-Elementsammlungsprozess: Informationen zu Drittpartei-Elementen erfassen (optional)
    1. Der TPR-Manager oder der Besitzer der Sorgfaltspflicht-Anforderung startet die Sammlung von Drittpartei-Elementen.
      1. In Vendor Management-Arbeitsbereich, Wenn Drittparteielemente benötigt werden, wählt der TPR-Manager oder -Besitzer aus Sammlung starten Und eine Sammlungsaufgabe wird erstellt.
      2. Der TPR-Manager oder -Besitzer navigiert zur Registerkarte „Sammlungsaufgabe“ und weist der externen Bewertung die relevanten Fragebogen zur Erfassung von Elementen zu.
        Hinweis:
        Als Teil des Basissystems sind Beispielfragebogen für Sammlung und Bewertung für Drittparteielemente verfügbar, die als Einrichtung, Prinzipal, Produkte oder andere klassifiziert sind.
      3. Der TPR-Manager oder -Besitzer überprüft und genehmigt die Fragebogen, und sie werden an die Interaktion gesendet.
    2. Das System sendet eine E-Mail-Benachrichtigung an Personen bei der Interaktion. Die Nachrichten benachrichtigen den Interaktionskontakt, um die Fragebogen zur Erfassung von Drittpartei-Elementen zu beantworten.

    3. Im Drittparteiportal beantworten die Interaktionskontakte entweder direkt die Fragebogen, oder weisen Sie die Aufgaben anderen Kontakten in der Organisation zu.

    4. Der Interaktionskontakt gibt die ausgefüllten Fragebogen zurück.
    5. Das System ändert den Status der Bewertung in Antworten erhalten Und sendet Warnungen an den TPR-Manager und Besitzer.
    6. In Vendor Management-Arbeitsbereich, Der TPR-Manager oder -Besitzer öffnet die Fragebogen und überprüft, ob alle erforderlichen Informationen bereitgestellt wurden.
    7. Der TPR-Manager oder -Besitzer navigiert dann zur Liste der Drittparteielemente und erstellt manuell einen Drittparteielementdatensatz für jeden Satz von Antworten im Fragebogen.
    8. Nachdem alle Drittparteielemente erstellt wurden, schließt der TPR-Manager oder -Besitzer die Bewertung.
    9. Das System ändert den Status der Anforderung in Sammlung wird überprüft .
    10. Die internen Stakeholder (TPR-Beurteiler, TPR-Genehmiger, TPR-Manager oder TPR-Administrator) überprüfen und genehmigen die Elementdatensätze.
    11. In Vendor Management-Arbeitsbereich, Der TPR-Manager oder -Besitzer öffnet die Interaktion und fügt Elemente manuell als Entitäten auf der Registerkarte „Entitäten“ hinzu.
    12. Nachdem alle Drittpartei-Elemententitäten einer Interaktion zugewiesen wurden, können Sie den Sorgfaltspflicht-Prozess starten.
    Sorgfaltspflicht-Prozess: Sammeln Sie Informationen, um eine Risikopunktzahl zu generieren
    1. Einer der folgenden Prozesse führt zur Auswahl externer Sorgfaltspflicht-Fragebogen:
      • In Vendor Management-Arbeitsbereich, Der TPR-Manager wählt die Fragebogen aus, auf die der TP und die Interaktionskontakte antworten.
      • Das System wählt die Fragebogen automatisch gemäß den für die Auswahl festgelegten Konfigurationen aus. Weitere Informationen zum Konfigurieren externer Fragebogen, die basierend auf internen Fragebogenantworten ausgewählt werden sollen, finden Sie unter Richten Sie interne Fragebogenantworten ein, um externe Fragebogen automatisch an Bewertungen anzuhängen.
      • Das System wählt die Fragebogen automatisch gemäß den Business-Regeln aus, die für die Auswahl definiert wurden.

    2. Unabhängig von der in Schritt 1 verwendeten Auswahlmethode werden zwei externe Sorgfaltspflicht-Fragebogen ausgewählt:

      • Ein Satz erfasst Informationen zur Drittpartei-Organisation. Der TP-Kontakt beantwortet diesen Fragebogen.
      • Der andere Satz erfasst Informationen zum Geschäftsbereich innerhalb der Drittpartei-Organisation, der Gegenstand der Interaktion ist. Der Interaktionskontakt (wie in der Sorgfaltspflicht-Anforderung angegeben) beantwortet diesen Fragebogen.
      Hinweis:
      Wenn Sie den optionalen TP-Elementsammlungsprozess abgeschlossen haben, muss für jedes von Ihnen erstellte Drittparteielement ein Fragebogen ausgewählt und als Teil einer Bewertung zugewiesen werden. Die Fragebogen für Drittpartei-Elemente werden vom Interaktionskontakt ausgefüllt.
    3. In Vendor Management-Arbeitsbereich, Der TPR-Manager überprüft die automatisch ausgewählten Fragebogen, auf die der TP und die Interaktionskontakte antworten. Der TPR-Manager validiert oder ändert die Auswahl und genehmigt dann den Satz der Fragebogen. Weitere Informationen zum Erstellen externer Bewertungen finden Sie unter Erstellen Sie eine externe Risikobewertung.
    4. Das System sendet eine E-Mail-Benachrichtigung an Personen der Drittpartei. Die Nachrichten benachrichtigen den TP-Kontakt und den Interaktionskontakt, um die externen Fragebogen zu beantworten.
      Hinweis:
      Nehmen Sie keine Änderungen an einer Fragebogenvorlage vor, nachdem sie bereits verwendet wurde. Sie können die Vorlage stattdessen duplizieren, indem Sie eine Kopie erstellen. Wenn Sie Änderungen an einem Fragebogen vornehmen, nachdem er als Teil einer externen Bewertung gesendet wurde, werden diese Updates nicht im Fragebogen angezeigt, der im Drittparteiportal angezeigt wird. Weitere Informationen finden Sie unter Erstellen Sie einen Fragebogen oder eine Dokumentanforderungsvorlage und Erstellen Sie einen Fragebogen oder eine Dokumentanforderungsvorlage mit dem Designer.
    5. Im Drittparteiportal beantworten der TP und die Interaktionskontakte entweder direkt die Fragebogen, oder weisen die Aufgaben anderen Kontakten in der Drittparteiorganisation zu.
      Hinweis:
      Das Drittpartei-Portal ist vollständig von der Instanz Ihrer Organisation isoliert.

      In einem iterativen Prozess kann der TPR-Manager Probleme und Aufgaben mit Nichteinhaltung generieren, bevor der TPR-Manager eine Bewertung schließt. Der TPR-Manager kommuniziert mit den TP-Kontakten und Interaktionskontakten, indem er Kommentare verwendet, um die Probleme und Aufgaben zu schließen. Der TPR-Manager kann bei Bedarf auch verschiedene Kontakte zuweisen.Weitere Informationen finden Sie unter Verwalten Sie Probleme.

    6. Der TP-Kontakt und der Interaktionskontakt geben die ausgefüllten Fragebogen zurück.
    7. Das System ändert den Status der Anforderung in Bereit für TPRM-Genehmigung Und sendet Warnungen an die TPR-Manager.
    8. In Vendor Management-Arbeitsbereich, Der TPR-Manager validiert, dass die Fragebogen empfangen, ausgefüllt und bei Bedarf signiert wurden, und schließt dann die Bewertungsphase, um den Genehmigungsprozess zu starten.
    Hinweis:
    Wenn der Drittpartei-Risikomanager oder -Besitzer auswählt Vertragsrisikoprozess überspringen Option während des Sorgfaltspflicht-Prozesses wird der zugewiesene Vertragsverhandler nicht benachrichtigt, und der Status des Vertragsrisikoprozesses ist übersprungen. Genehmiger und Besitzer können aktualisieren Vertragsrisikoprozess überspringen Auswahl bis zum Abschluss des Genehmigungsprozesses. Weitere Informationen zu diesem Prozess finden Sie unter Prozessmanagement für Sorgfaltspflicht-Anforderungen.
    Genehmigungsprozess: Interner Stakeholder analysiert jeden Aspekt des Risikos

    Alle internen Stakeholder (Genehmiger) überprüfen die Fragebogenantworten und Begleitdokumente der Drittpartei- und Interaktionskontakte. Wenn die Antworten in Ordnung sind, genehmigt mindestens ein Genehmiger die DD-Anforderung und schließt sie dann. Wenn ein Vertrag vorbereitet wird, wird die genehmigte Anforderung zu verschoben Vertragsrisiko Prozess.

    • Genehmiger können die Anforderung genehmigen oder ablehnen und dann schließen.
    • Wenn Sie die Anforderung schließen, wird sie entweder in den Vertragsrisikoprozess verschoben, oder wenn kein Vertrag beteiligt ist, beginnt die Interaktion.
    Vertragsrisikoprozess

    Nach der Genehmigung können alle Sorgfaltspflicht-Informationen für den Vertragsverhandler verfügbar gemacht werden. Durch Verwendung von Vendor Management-Arbeitsbereich, Der Vertragsverhandler greift auf alle Daten zu, die während der vorangehenden Prozesse generiert werden, um den Vertrag zu entwerfen und zu regeln:

    • Der Vertragsverhandler kann den Vertragsrisikoprozess überspringen, wenn ein Vertrag nicht mehr erforderlich ist.
    • Der Vertragsverhandler kann bei Bedarf zusätzliche Sorgfaltspflicht anfordern.
    • Wenn der Vertragsverhandler einen Vertrag mit der Drittpartei erfolgreich ausführt, kann er ihn hochladen und angeben, dass der Vertrag ausgeführt wird, um automatisch alle wichtigen Stakeholder zu benachrichtigen.
    • Der Vertragsverhandler kann angeben, dass der Vertrag nicht ausgeführt wird und die Drittpartei nicht geschäftlich involviert wird.
    • Der Vertragsverhandler kann angeben, dass der Vertrag gekündigt wird und die Drittpartei nicht geschäftlich involviert wird.
    Hinweis:
    Ab Version 19.1.x der Drittpartei-Risikomanagement-Anwendung sind der abgestufte Fragebogen und externe Bewertungserinnerungen-Workflows veraltet und migriert zu Workflow-Studio. Wenn Sie diese Workflows angepasst haben, werden sie als Teil dieses Change nicht veraltet oder migriert.