Beantwortung von Fragebogen

Die folgenden Prozesse beschreiben das Timing und die Methoden für die Beantwortung interner und externer Fragebogen:

Prozess für den Fragebogen zum inhärenten Risiko (IRQ).

Nachdem die Sorgfaltspflicht-Anforderung vom Manager für Drittparteirisiken (TPR) [sn_vdr_risk_asmt.vendor_risk_manager] genehmigt wurde, schließt der IRQ-Gutachter [snc_internal] die interne Risikobewertung ab, indem er auf den IRQ antwortet.

Nachdem der IRQ-Gutachter seine Antworten übermittelt hat und der TPR-Manager oder Besitzer den IRQ überprüft und schließt, wird der Status der Sorgfaltspflicht-Anforderung von „IRQ in Bearbeitung“ zu „IRQ in Überprüfung“ aktualisiert.

Basierend auf den gesammelten Informationen bewerten der TPR-Manager und sein Team die potenziellen Risiken, die mit der Interaktion verbunden sind. Sie bewerten Faktoren wie die finanzielle Stabilität, die Betriebskapazität, die Einhaltung von Qualitätsstandards, die Compliance mit Vorschriften und die Fähigkeit der Drittpartei, Lieferfristen einzuhalten. Diese Bewertung hilft dem -Team, das Risikoprofil der Drittpartei zu verstehen und geeignete Risikominderungsstrategien zu bestimmen.

Weitere Informationen zu IRQs finden Sie unter Auf eine IRQ antworten.

TP-Element-Sammlungsprozess: Erfassen Sie Informationen zu Drittpartei-Elementen

Nachdem Ihre Sorgfaltspflicht-Anforderung den IRQ-Prozess abgeschlossen hat, kann der TPR-Manager oder der Besitzer der Sorgfaltspflicht-Anforderung den Drittpartei-Elementsammlungsprozess (TP) starten. Dies ist ein optionaler Prozess zum Sammeln von TP-Elementen und zum Zuweisen von Interaktionen, damit sie als Teil des gesamten Sorgfaltspflicht-Workflows bewertet werden können. Weitere Informationen zu TP-Elementen finden Sie unter Elemente von Drittparteien werden überwacht.

Der TPR-Manager oder -Besitzer weist einer externen Bewertung TP-Elementfragebögen zu, um Elemente zu sammeln, und sendet diese Bewertung an eine Interaktion, um die erforderlichen Informationen für TP-Elemente zu sammeln. Nachdem der Interaktionskontakt seine Antworten übermittelt hat, prüft und verifiziert der TPR-Manager oder Besitzer, dass alle erforderlichen Informationen in den Fragebogen angegeben wurden.

Der TPR-Manager oder -Besitzer navigiert dann zur Liste der Drittparteielemente und erstellt manuell einen Drittparteielement-Datensatz für jeden Satz von Antworten in jedem Fragebogen. Nachdem alle Drittparteielemente erstellt wurden, schließt der TPR-Manager oder Besitzer die Bewertung. Das System ändert den Status der Anforderung in Sammlung in Überprüfung. Weitere Informationen finden Sie unter Erstellen Sie einen Drittpartei-Elementdatensatz.

Sorgfaltspflichtprozess: Compliance-Überprüfung

Wenn der IRQ-Prozess oder der TP-Element-Sammlungsprozess abgeschlossen ist, sendet die Anwendung TPRM Fragebogen und Anforderungen zur Dokumentation an die Drittpartei und die Interaktion. Im Rahmen einer Bewertung sendet Ihre Organisation möglicherweise mehrere Fragebogen und Dokumentanforderungen. Beispielsweise kann der TPR-Manager die Zertifizierungen, Lizenzen oder Audit-Berichte der Drittpartei anfordern, um die Compliance zu validieren.

Wenn Sie den optionalen TP-Elementsammlungsprozess abgeschlossen haben, muss für jedes von Ihnen erstellte Drittparteielement ein Fragebogen ausgewählt und als Teil einer Bewertung zugewiesen werden. Die TP-Element-Fragebogen werden vom Interaktionskontakt ausgefüllt.

Hinweis:

Der TPR-Manager kann Bewertungsvorlagen entwickeln, um den Prozess der Bestimmung, welche Fragebogen und Dokumentanforderungen an eine Drittpartei dieses Typs gesendet werden sollen, zu vereinfachen und zu automatisieren. Der TPR-Administrator kann Fragebogenvorlagen und Dokumentanforderungsvorlagen definieren, und der TPR-Manager kann sie dann in einer Bewertungsvorlage gruppieren. Ihre Organisation kann die Vorlage wiederverwenden, um die Fragebögen und Dokumentanforderungen in zukünftigen Bewertungen an ähnliche Drittparteien zu senden. Weitere Informationen zu Vorlagen finden Sie unter Erstellen Sie einen Fragebogen oder eine Dokumentanforderungsvorlage und Erstellen Sie mit dem Designer einen Fragebogen oder eine Dokumentanforderungsvorlage.

Der TPR-Manager und sein Team verwenden die Antworten und internen Analysen der Drittpartei, um zu bestimmen, ob die Drittpartei alle erforderlichen Compliance-Anforderungen erfüllt. Diese Anforderungen können die Überprüfung der Compliance der Drittpartei mit geltenden Gesetzen und Vorschriften umfassen, z. B. Umweltvorschriften, Arbeitsgesetze und Antikorruptionsrichtlinien.

Hinweis:

Der Gutachter für das Drittparteirisiko, der Manager oder der Administrator kann im Namen von Drittparteien oder Interaktionen Fragen beantworten, Antworten ändern und externe Fragebogen übermitteln. Weitere Informationen finden Sie unter Beantworten Sie einen Fragebogen für eine Drittpartei oder Interaktion.

Aufgrund der Vertraulichkeit der beteiligten Elemente bewerten der TPR-Manager und sein Team die Datensicherheits- und Datenschutzpraktiken der Drittpartei. Sie bewerten die Informationssicherheitsmaßnahmen, Datenschutzrichtlinien, Zugriffskontrollen und Schwachstellenmanagementprozesse der Drittpartei. Wenn die Drittpartei Zugriff auf proprietäre Informationen oder Kundendaten hat, kann sie von der Drittpartei verlangen, sich einem Cybersicherheitsaudit zu unterziehen oder Nachweise über ihre Datenschutzmaßnahmen zu erbringen.

Weitere Informationen zum Überprüfen von Antworten finden Sie unter Überprüfen Sie die Antworten auf externe Fragebogen.

Hinweis:

Ihr TPR-Gutachter kann empfangene oder zurückgegebene Fragebögen in Microsoft Excel-Tabellen exportieren. Mit dieser Option kann Ihre Organisation die Tabellenkalkulationsumgebung verwenden, um die Fragen und Antworten zu überprüfen. Weitere Informationen zum Exportieren von Fragebogen-Antworten finden Sie unter Exportieren Sie die Fragebogenantworten in eine Tabelle.

Zusätzliche Assessment-Aktionen

Der TPR-Manager, der Besitzer der Sorgfaltspflicht-Anforderung oder der Vertragsverhandler müssen möglicherweise eine Bewertung erneut öffnen, da neue Informationen verfügbar sind, die sich auf die Interaktion auswirken, oder weil eine andere Änderung aufgetreten ist. Weitere Informationen finden Sie unter Warum Sie Sorgfaltspflicht durchführen.

Der Status der Sorgfaltspflicht-Anforderung wird von „Für TPRM-Genehmigung bereit“ in „Sorgfaltspflicht“ geändert. Der TPR-Manager, Eigentümer oder Vertragsverhandler kann nach Bedarf Fragebogen und Dokumentanforderungen anfordern. Weitere Informationen finden Sie unter Öffnen Sie eine Bewertung erneut.

Probleme und Aufgaben

Die Rolle des TPR-Gutachters [sn_vdr_risk_asmt.vendor_assessor] ist erforderlich, um Aufgaben und Probleme zu erstellen und zu verwalten.

Der TPR-Manager, TPR-Gutachter oder Vertragsverhandler kann Aufgaben erstellen, um sicherzustellen, dass ein Teammitglied oder der Drittparteikontakt auf Bedenken hinsichtlich der Antworten auf den Fragebogen oder der angeforderten Dokumente reagiert. Sie können vorhandene Aufgaben verwalten, um zu überprüfen, ob das zugewiesene Teammitglied oder der Drittparteikontakt auf eine Aufgabe reagiert und sie bei Bedarf aktualisiert. Weitere Informationen zum Erstellen und Verwalten von Problemen finden Sie unter Erstellt eine Aufgabe für eine Drittpartei oder Interaktion und Verwalten Sie eine Aufgabe für eine Drittpartei oder Interaktion.

Der TPR-Manager, TPR-Gutachter oder Vertragsverhandler kann ein Problem erstellen, um sicherzustellen, dass die Bedenken des Teams hinsichtlich einer Drittpartei oder Interaktion ausräumen. Sie können auch die vorhandenen Probleme verwalten, um sicherzustellen, dass sie verstanden, an die richtigen Personen weitergegeben und nach Bedarf bearbeitet werden. Weitere Informationen zum Erstellen und Verwalten von Aufgaben finden Sie unter Erstellt ein Problem für eine Drittpartei oder Interaktion und Verwalten Sie Probleme.