Exemplo de processo de integração

Processo de solicitação

Qualquer funcionário (normalmente um usuário que deseja fazer negócios com um terceiro) apresenta o caso de negócios para iniciar o processo de diligência prévia para uma avaliação de risco.

Um gerente de risco de terceiros (TPR) revisa a solicitação de diligência prévia para o compromisso e a aprova.

Processo de Questionário de Risco Inerente (IRQ)

Depois que a solicitação é aprovada, o avaliador de IRQ conclui a avaliação de risco interno respondendo ao IRQ.

Com base nas informações coletadas, a Acme avalia os riscos potenciais associados ao terceiro. Eles avaliam fatores como estabilidade financeira, capacidade operacional, adesão a padrões de qualidade, conformidade com regulamentos e capacidade do terceiro de cumprir os cronogramas de entrega. Essa avaliação ajuda a Acme a entender o perfil de risco do terceiro e a determinar as estratégias de redução de risco apropriadas.

Processo de diligência prévia: verificação de conformidade e avaliação de segurança e privacidade de dados

Quando o processo de IRQ é concluído, a aplicação Acme TPRM envia questionários e solicitações de documentação para o terceiro. Como parte de uma avaliação, você pode enviar vários questionários e solicitações de documentos. A Acme pode solicitar documentos: certificações de terceiros, licenças ou relatórios de auditoria para validar a conformidade.

Nota:

Para simplificar e automatizar o processo de determinação de quais questionários e solicitações de documentos enviar a um terceiro desse tipo, a equipe da Acme desenvolveu modelos de avaliação. Eles definiram modelos de questionário, modelos de solicitação de documento ou ambos e os agruparam em um modelo de avaliação. A Acme pode reutilizar o modelo para enviar os questionários apropriados, solicitações de documentos ou ambos para terceiros semelhantes em avaliações futuras.

A Acme usa as respostas do terceiro e a análise interna para determinar se o terceiro atende a todos os requisitos de conformidade necessários. Isso inclui a verificação da conformidade do terceiro com as leis e regulamentações aplicáveis, como regulamentações ambientais, leis trabalhistas e políticas anticorrupção.

Dada a natureza confidencial dos componentes envolvidos, a Acme avalia as práticas de segurança e privacidade dos dados de terceiros. Eles avaliam as medidas de segurança da informação de terceiros, as políticas de proteção de dados, os controles de acesso e os processos de gestão de vulnerabilidades. Se o terceiro tiver acesso às informações proprietárias da Acme ou aos dados do cliente, ele poderá exigir que o terceiro passe por uma auditoria de segurança cibernética ou forneça evidências de suas medidas de proteção de dados.

Acordos contratuais e redução de risco

Para proteger seus interesses, o negociador de contratos de TPR na Acme (geralmente advogado corporativo) incorpora provisões contratuais específicas para lidar com os riscos identificados. O negociador de contratos usa as informações obtidas nos processos de IRQ e due diligence para incluir cláusulas relacionadas a conformidade, padrões de qualidade, confidencialidade, proteção de dados, continuidade de negócios e mecanismos de resolução de contestação. O contrato também pode descrever métricas de desempenho, expectativas e cláusulas de rescisão se houver uma não conformidade ou violação.

Monitoramento e revisão contínuos

A Acme estabelece um processo de monitoramento contínuo para avaliar regularmente o desempenho do terceiro e a adesão aos termos acordados. As pessoas em sua organização podem executar manualmente revisões financeiras periódicas, auditorias de qualidade, visitas ao local ou pesquisas. Eles também estabelecem canais de comunicação para lidar com quaisquer preocupações ou mudanças no perfil de risco do terceiro.