Terminologia

Governança, risco e conformidade de Washington DC

Release

washingtondc

ft:locale

pt-BR

ft:publication_title

Governança, risco e conformidade de Washington DC

ft:clusterId

grc

bundleId

grc

workflow

Technology

Terminologia

Versão de lançamento: Washingtondc

Atualizado 7 de fev. de 2024

3 min. de leitura

Saiba mais sobre os principais conceitos e termos usados na aplicação TPRM.

Terceiro, quarto e partes externas

Um terceiro é qualquer organização ou indivíduo com quem você interagiu ou estabeleceu um relacionamento comercial. Os terceiros podem ter subsidiárias e podem contratar quarteirizados. Por exemplo, departamentos são subsidiárias. Um quarteirizado pode contratar outras partes (conhecidas como partes externas - quinta, sexta e assim por diante). Todas as partes descendentes (quarto a nth partes) correm o risco da mesma forma que os terceiros.

Um fornecedor fornece os bens ou serviços que você usa para produzir ou entregar seus próprios bens ou serviços. Todos os fornecedores são terceiros, mas nem todos os terceiros são fornecedores. Esta é uma lista de alguns outros tipos de terceiros:

Fornecedores
Associados
Contrapartes
Consultores
Parceiros
Serviços profissionais
Consultores
Franquias
Revendedores
Revendedores
Distribuidores
Clientes
Clientes
Equipe terceirizada

Compromissos

Um compromisso é o relacionamento informal ou contratado que você pretende formar com um terceiro que pode expor sua organização a riscos. O compromisso descreve os serviços ou produtos a serem fornecidos pelo terceiro e outros detalhes do relacionamento. Esses detalhes podem incluir os termos de pagamento, requisitos de confidencialidade e a duração do relacionamento.

Neste exemplo, Sua empresa interage com três terceiros e gerencia vários compromissos entre eles.

Exemplo de hierarquia de três terceiros e seus compromissos associados.

Os compromissos específicos de terceiros que você pode ter dependem do seu setor, tamanho e requisitos operacionais. Cada compromisso traz seu próprio conjunto de riscos e requer medidas de gestão de riscos apropriadas (due diligence) para proteger seus interesses.

Para obter uma discussão detalhada e um exemplo, consulte Por que você pode ter vários compromissos com um único terceiro.
Para obter uma lista dos tipos de compromissos que você pode executar, consulte Tipos de compromisso com terceiros.

IRQ — Questionário de risco inerente

Durante o processo de avaliação de risco interno, os funcionários internos da sua organização respondem a perguntas no IRQ. Essas respostas ajudam a avaliar o risco inerente associado à interação com um terceiro. Um risco inerente se refere ao nível de risco antes de implementar qualquer medida de redução de risco. Um IRQ oferece suporte às seguintes atividades:

Determinação de fatores de risco

A natureza dos serviços fornecidos pelo terceiro.
A confidencialidade dos dados envolvidos.
A localização geográfica do terceiro.
A postura geral de segurança do terceiro.

Determinar pontuação ou classificação

As respostas ao questionário geralmente são pontuadas ou classificadas para ajudar a quantificar o risco inerente associado ao terceiro. Este sistema de pontuação pode ajudar a priorizar os esforços de gestão de riscos.

tomada de decisão

Os resultados do IRQ são usados no processo de tomada de decisão. Os administradores e gerentes de risco de terceiros (TPR) podem configurar IRQs para enviar questionários de avaliação externa específicos (due diligence) para terceiros com base nas respostas específicas às perguntas.

Você deve interagir com o terceiro?
Qual nível de diligência é necessário?
Quais medidas específicas de redução de risco você deve implementar?

Diligência prévia em andamento

O IRQ também pode fazer parte da gestão contínua, com reavaliações periódicas para considerar mudanças nas operações de terceiros, práticas de segurança ou outros fatores relevantes.

Diligência prévia (DD)

Adue diligence é o processo de conduzir uma investigação ou exame completo da integridade, reputação, estabilidade financeira, conformidade jurídica, capacidades operacionais, cadeia de suprimentos e outros fatores relevantes de um possível parceiro de negócios, fornecedor ou fornecedor. Realizar a devida diligência em terceiros é um componente crucial do seu programa abrangente de risco de terceiros. Você realiza a devida diligência para se tornar ciente dos riscos associados a um terceiro para que possa decidir com segurança como formar seu relacionamento.

Consulte Por que você realiza a devida diligência e Tipos de due diligence.

Fornecedores de inteligência de risco

Os provedores de inteligência de risco geram pontuações de risco para uma variedade de domínios de risco de terceiros. Sua organização pode comprar serviços de provedores que retornam dados semelhantes às pontuações de crédito pessoal. As pontuações fornecem informações sobre o quão confiável e seguro um terceiro específico pode ser.

Consulte Integração de pontuações de provedores de inteligência de risco.