Évaluation de votre risque lié aux tiers

  • Rversion finale: Washingtondc
  • Mis à jour 1 févr. 2024
  • 5 minutes de lecture

    • Utilisez cette fonction Gestion des risques liés aux tiers pour identifier et évaluer les risques potentiels associés à vos relations avec des tiers. Les informations recueillies à partir de questionnaires internes, de questionnaires externes et de demandes de documentation vous aident à comprendre le profil de risque du tiers, à déterminer les stratégies d’atténuation des risques appropriées et à déterminer si le tiers ou la mission répond à toutes les exigences de conformité nécessaires.

    Répondre aux questionnaires

    Les processus suivants décrivent le calendrier et les méthodes de réponse aux questionnaires internes et externes :

    Processus de questionnaire sur les risques inhérents (IRQ)

    Une fois la demande de diligence raisonnable approuvée par le gestionnaire des risques de tiers (TPR) [sn_vdr_risk_asmt.vendor_risk_manager], l’évaluateur de l’IRQ [snc_internal] termine l’évaluation des risques interne en répondant à l’IRQ.

    Une fois que l’évaluateur de l’IRQ a soumis ses réponses et que le gestionnaire ou le propriétaire du TPR a examiné et fermé l’IRQ, l’état de la demande de diligence raisonnable est mis à jour de l’IRQ en cours à l’IRQ en cours de révision.

    Sur la base des informations recueillies, le gestionnaire TPR et son équipe évaluent les risques potentiels associés à la mission. Ils évaluent des facteurs tels que la stabilité financière, la capacité opérationnelle, le respect des normes de qualité, le respect de la réglementation et la capacité du tiers à respecter les délais de livraison. Cette évaluation aide l’équipe à comprendre le profil de risque du tiers et à déterminer les stratégies d’atténuation des risques appropriées.

    Pour plus d’informations sur les IRQ, reportez-vous à la section Répondre à un questionnaire sur les risques inhérents (IRQ).

    Processus de diligence raisonnable : vérification de la conformité

    Lorsque le processus IRQ est terminé, l’application TPRM envoie des questionnaires et des demandes de documentation au tiers et à l’engagement. Dans le cadre d’une évaluation, votre organisation peut envoyer plusieurs questionnaires et demandes de documents. Par exemple, le gestionnaire TPR peut demander les certifications, licences ou rapports d’audit du tiers pour valider la conformité.

    Remarque :
    Le gestionnaire TPR peut développer des modèles d’évaluation afin de simplifier et d’automatiser le processus de détermination des questionnaires et des demandes de documents à envoyer à un tiers de ce type. L’administrateur TPR peut définir des modèles de questionnaire et des modèles de demande de documents, puis le gestionnaire TPR peut les regrouper dans un modèle d’évaluation. Votre organisation peut réutiliser le modèle pour envoyer les questionnaires et les demandes de documents à des tiers similaires lors des évaluations futures. Pour plus d’informations sur les modèles, consultez Créer un modèle de questionnaire ou un modèle de demande de documentCréer un modèle de demande de documentet .

    Le gestionnaire TPR et son équipe utilisent les réponses et l’analyse interne du tiers pour déterminer si le tiers répond à toutes les exigences de conformité requises. Ces exigences peuvent inclure la vérification de la conformité du tiers avec les lois et réglementations applicables, telles que les réglementations environnementales, le droit du travail et les politiques de lutte contre la corruption.

    En raison de la nature sensible des éléments concernés, le gestionnaire TPR et son équipe évaluent les pratiques du tiers en matière de sécurité et de confidentialité des données. Ils évaluent les mesures de sécurité de l’information, les politiques de protection des données, les contrôles d’accès et les processus de gestion des vulnérabilités du tiers. Si le tiers a accès à des informations exclusives ou à des données client, il peut exiger du tiers qu’il se soumette à un audit de cybersécurité ou qu’il fournisse des preuves de ses mesures de protection des données.

    Pour en savoir plus sur l’examen des réponses, reportez-vous à Examiner les réponses aux questionnaires externes.
    Remarque :
    Votre évaluateur TPR peut exporter les questionnaires reçus ou retournés vers des feuilles de Microsoft calcul Excel. Cette option permet à votre organisation d’utiliser l’environnement de feuille de calcul pour examiner les questions et les réponses. Pour plus d’informations sur l’exportation des réponses au questionnaire, reportez-vous à Exporter les réponses au questionnaire vers une feuille de calcul.

    Actions d’évaluation supplémentaires

    Il se peut que le gestionnaire TPR doive rouvrir une évaluation parce qu’il existe de nouvelles informations disponibles qui ont un impact sur l’engagement ou qu’un autre changement s’est produit. Pour plus d'informations, consultez Pourquoi faites-vous preuve de diligence raisonnable ?.

    Si le gestionnaire TPR doit recueillir plus d’informations à partir d’une mission, il peut envoyer un questionnaire ou une demande de document supplémentaire en rouvrant une évaluation et en effectuant les actions suivantes :
    1. Accédez à la page d’enregistrement de demande de diligence raisonnable en sélectionnant le numéro DDR pertinent.
    2. Affichez l’évaluation des risques de tiers connexe en sélectionnant le numéro VRA dans l’onglet Évaluation des risques de tiers .
    3. Sélectionnez Rouvrir.

    L’état de la demande de diligence raisonnable est mis à jour et passe de Prêt pour l’approbation TPRM à Diligence raisonnable. Le gestionnaire TPR peut demander des questionnaires et des demandes de documents selon les besoins. Pour plus d'informations, consultez Rouvrir une évaluation.

    Si le gestionnaire TPR n’exige pas d’évaluation pour un engagement en cours ou a besoin d’une clôture rapide pour l’intégration ou le renouvellement d’un engagement, il peut annuler une évaluation en procédant comme suit :
    1. Accédez à la page d’enregistrement de demande de diligence raisonnable en sélectionnant le numéro DDR pertinent.
    2. Affichez l’évaluation des risques de tiers connexe en sélectionnant le numéro VRA dans l’onglet Évaluation des risques de tiers .
    3. Sélectionnez Annuler.
    Même si une ou toutes les évaluations sont annulées, la demande de diligence raisonnable passe au processus d’approbation.

    Problèmes et tâches

    Le rôle de gestionnaire TPR [sn_vdr_risk_asmt.vendor_risk_manager] ou d’évaluateur TPR [sn_vdr_risk_asmt.vendor_assessor] est requis pour créer et gérer à la fois des tâches et des problèmes.

    Les gestionnaires ou les évaluateurs TPR peuvent créer des tâches pour s’assurer qu’un membre de l’équipe ou le contact tiers répond aux préoccupations concernant les réponses au questionnaire ou les documents demandés. Il peut gérer les tâches existantes pour vérifier que le membre de l’équipe affecté ou le contact de tiers répond à une tâche et la met à jour si nécessaire. Pour plus d’informations sur la création et la gestion des problèmes, consultez Créer une tâche pour un tiers ou un engagement et Gérer une tâche pour un tiers ou un engagement.

    Les gestionnaires ou évaluateurs TPR peuvent créer un problème pour aider à corriger les préoccupations de l’équipe concernant un tiers ou l’engagement. Ils peuvent également gérer les problèmes existants pour vérifier qu’ils sont compris, partagés avec les bonnes personnes et qu’ils sont traités au besoin. Pour en savoir plus sur la création et la gestion des tâches, reportez-vous aux sections Créer un problème pour un tiers ou un engagement et Gérer les problèmes.