Avaliações de hierarquização de risco de terceiros — Processo legado

  • Versão de lançamento: Washingtondc
  • Atualizado 1 de fev. de 2024
  • 2 min. de leitura

    • As organizações usam o hierarquização de risco para classificar seus terceiros em categorias de risco potencial apresentados no momento da integração. Os níveis de risco predefinidos padrão são Nenhum, Baixo, Secundário, Moderado, Alto e Crítico. Cada nível de risco tem perguntas de avaliação associadas e solicitações de documento.

    O processo de IRQ mais completo substitui a hierarquização

    Na aplicação TPRM, o IRQ é um questionário interno que melhora o processo de avaliação de hierarquização original. Os IRQs aprimoram as avaliações de risco interno com maior flexibilidade, controle e escalabilidade.

    Para habilitar uma transição perfeita para TPRM, você tem a opção de duplicar as avaliações de hierarquização existentes e designá-las como avaliações internas de IRQ. O hierarquização de risco é compatível como um processo legado imutável.

    Operação legada

    1. A maioria das organizações importa seu portfólio de terceiros por meio de uma planilha ou de uma integração com outra solução de integração. Os gerentes de TPR fazem atualizações contínuas nas informações de terceiros, incluindo pontuações de segurança de risco e níveis de risco.
    2. O gerente de TPR ou o avaliador de TPR determina o nível de risco ou as categorias de exposição de risco para o terceiro.
    3. O gerente de TPR seleciona o terceiro, atribui o modelo de questionário de hierarquização e atribui o avaliador interno necessário para concluir a avaliação. O gerente de risco de terceiros pode atribuir um avaliador específico a qualquer seção específica do questionário.
      Figura 1. Relacionamento da tabela de avaliação de hierarquização de risco
      Relacionamento da tabela de avaliação de hierarquização de risco.
      Nota:
      Figura 2. Relacionamentos da tabela de modelo de questionário de hierarquização de risco para avaliadores designados
      Relacionamentos da tabela de modelo de questionário de hierarquização de risco para avaliadores designados.
    4. Partes interessadas internas navegam até Autoatendimento > Minhas avaliações e pesquisas > para concluir e enviar a avaliação.
    5. Depois que os avaliadores responderem ao questionário, o sistema calculará a pontuação de hierarquização como a média de todas as pontuações. O gerente de TPR pode iniciar a avaliação de risco ou uma regra de negócios configurada pode enviar uma automaticamente. Quando a avaliação é encerrada, o sistema atribui um nível de risco ao terceiro com base na pontuação de hierarquização.
    Figura 3. Cálculo de nível de risco com base nas respostas
    Formulário de avaliação de hierarquização de risco.

    Escala de hierarquização de risco e cálculos de pontuação

    Figura 4. Processo de hierarquização de risco
    Questionário de hierarquização de risco e avaliação de hierarquização de risco, instâncias de avaliação, pontuação de hierarquização e nível de risco.
    1. A avaliação de hierarquização inicia uma instância de avaliação para cada avaliador atribuído. O avaliador vê somente as seções atribuídas a ele com base em sua função.
    2. As pontuações de resposta de todas as instâncias de avaliação são calculadas para gerar a pontuação de hierarquização.
    3. A pontuação de hierarquização é mapeada para camadas de risco.
    4. O nível de risco é atribuído ao terceiro quando a avaliação de hierarquização é encerrada.