Avaliações de hierarquização de risco de terceiros — Processo legado

  • Versão de lançamento: Xanadu
  • Atualizado 1 de ago. de 2024
  • 2 min. de leitura

    • As organizações usam o hierarquização de risco para classificar seus terceiros em categorias de risco potencial apresentados no momento da integração. Os níveis de risco predefinidos padrão são Nenhum, Baixo, Secundário, Moderado, Alto e Crítico. Cada nível de risco tem perguntas de avaliação e solicitações de documentos associadas.

    O processo de IRQ mais completo substitui a hierarquização

    Na aplicação TPRM, o IRQ é um questionário interno que melhora o processo de avaliação de hierarquização original. Os IRQs aprimoram as avaliações de risco internas com maior flexibilidade, controle e escalabilidade. Ao contrário de uma avaliação de hierarquização em que os questionários externos são determinados exclusivamente pelo nível de risco, um IRQ pode acionar dinamicamente questionários externos com base nas respostas dos entrevistados e no nível de risco.

    Para habilitar uma transição perfeita para TPRM, você tem a opção de duplicar as avaliações de hierarquização existentes e designá-las como avaliações internas de IRQ. O nível de risco é compatível como um processo legado imutável.

    Operação legada

    1. A maioria das organizações importa o portfólio de terceiros por meio de uma planilha ou de uma integração com outra solução de integração. Os gerentes de risco de terceiros (TPR) fazem atualizações contínuas nas informações de terceiros, incluindo pontuações de segurança de risco e níveis de risco.
    2. O gerente de TPR ou avaliador de TPR determina o nível de risco ou as categorias de exposição de risco para o terceiro.
    3. O gerente de TPR seleciona o terceiro, atribui o modelo de questionário de hierarquização e atribui o avaliador interno necessário para concluir a avaliação.
      Figura 1. Relacionamento da tabela de avaliação de hierarquização de risco
      Relacionamento da tabela de avaliação de hierarquização de risco.
    4. As partes interessadas internas navegam até Autoatendimento > Minhas avaliações e pesquisas para concluir e enviar a avaliação.
    5. Depois que o avaliador interno respondeu ao questionário, o sistema calcula a pontuação de hierarquização como a média de todas as pontuações. O gerente de TPR pode iniciar a avaliação de risco ou uma regra de negócio configurada pode enviar uma automaticamente. Quando a avaliação é encerrada, o sistema atribui um nível de risco ao terceiro com base na pontuação de hierarquização.
    Figura 2. Cálculo de nível de risco com base nas respostas
    Formulário de avaliação de hierarquização de risco.

    Escala de hierarquização de risco e cálculos de pontuação

    Figura 3. Processo de hierarquização de risco
    Questionário de hierarquização de risco e avaliação de hierarquização de risco, instâncias de avaliação, pontuação de hierarquização e nível de risco.
    1. A avaliação de hierarquização inicia uma instância de avaliação para o avaliador interno atribuído.
    2. As pontuações de resposta são calculadas para gerar a pontuação de hierarquização.
    3. A pontuação de hierarquização é mapeada para camadas de risco.
    4. O nível de risco é atribuído ao terceiro quando a avaliação de hierarquização é encerrada.