Sorgfaltspflicht-Workflow

  • Freigeben Version: Washingtondc
  • Aktualisiert 8. Februar 2024
  • 6 Minuten Lesedauer

    • Die Prozesse für Drittpartei-Risikomanagement (TPRM) bieten ein konsistentes Framework für Ihr Drittpartei-Risikomanagementprogramm. Sie können die Workflow-Prozesse an die Anforderungen Ihrer Organisation anpassen.

    Prozesse im Sorgfaltspflicht-Workflow

    Jede Aufgabe in einem Prozess muss abgeschlossen sein, bevor die nächste Aufgabe gestartet werden kann. Die Rollen der Benutzer, die die verschiedenen Aufgaben ausführen, werden in Rollen in Risikomanagement von Drittparteienbeschrieben. Das folgende Diagramm beschreibt den Sorgfaltspflicht-Workflow.

    Abbildung : 1. Sorgfaltspflicht-Workflow

    Infografik, die zeigt, wo die Prozesse im Sorgfaltspflicht-Workflow ausgeführt werden. Die Textbeschreibung finden Sie in den folgenden Workflow-Schritten.
    Anforderungsprozess: Fordern Sie den Beginn einer neuen Interaktion, die Neubewertung oder das Offboarding einer vorhandenen Interaktion an
    1. Ein Mitarbeiter in Ihrer Organisation fordert eine Due Diligence für eine Drittpartei-Interaktion an.
      1. Der Mitarbeiter meldet sich in seiner Instanz bei Mitarbeiter-Center. Sie öffnen das Sorgfaltspflicht-Anforderungsformular und geben den Namen der Drittpartei und den Grund für die Anforderung an:
        • Onboarding einer neuen Interaktion
        • Bewerten Sie ein Risiko für eine vorhandene Interaktion neu
        • Bewerten Sie eine vorhandene Interaktion neu, um sich auf eine Vertragsverlängerung vorzubereiten
        • Offboarding einer Interaktion mit Sorgfaltspflicht
        • Offboarding einer Interaktion ohne Due Diligence
      2. Der Mitarbeiter stellt Details zur Drittpartei und zur Interaktion bereit. Zu den Informationen gehören das Produkt oder der Service, das in dieser Interaktion bewertet werden soll, der Benutzer, der den Fragebogen für inhärente Risiken (IRQ) beantwortet, und der Drittpartei- oder Interaktionskontakt, der die externen Fragebögen beantwortet.
      3. Ein externer Risk Intelligence-Provider kann die Risikodaten für die Drittpartei jederzeit aktualisieren, da ein TPR-Manager (Trittpartei-Risiko) während der Konfiguration der Anwendung möglicherweise die Services eines Risk Intelligence-Providers integriert hat.
      4. Der Mitarbeiter übermittelt das Formular.
      5. Das System sendet eine E-Mail-Bestätigung an den Mitarbeiter, der die Anforderung gestellt hat.
      6. Das System sendet eine E-Mail-Benachrichtigung an die Zuweisungsgruppe der Sorgfaltspflicht-Anforderung. Ein Mitglied der Gruppe kann einen TPR-Manager oder TPR-Gutachter als Besitzer der Anforderung zuweisen. Mit dieser Aktion wird eine Aufgabe für den TPR-Manager ausgelöst.
    2. Der TPR-Manager legt den Umfang der Anforderung fest, aktualisiert sie nach Bedarf und genehmigt sie oder lehnt sie ab.
      1. Der TPR-Manager meldet sich bei Vendor Management Workspace an und navigiert zur Due-Diligence-Management-Seite, auf der er die Anforderung überprüft und aktualisiert:
        • Der TPR-Manager überprüft die Person, die als IRQ-Gutachter vorgeschlagen wurde. Bei Bedarf kann eine andere Person als IRQ-Gutachter angegeben werden.
        • Der TPR-Manager kann eine Diskussion mit der anfordernden Person und anderen Benutzern starten, indem er Diskutierenauswählt. Die Nachricht wird im Abschnitt „Aktivität“ der Registerkarte „ Details “ aufgezeichnet.

      2. Der TPR-Manager lehnt die Anforderung ab oder genehmigt sie. Wenn der TPR-Manager die Anforderung akzeptiert, wird der IRQ-Prozess gestartet.

    Hinweis:
    TPR-Gutachter können wiederkehrende Drittparteibewertungen erstellen, um ein Risiko in einem regelmäßigen Zeitplan neu zu bewerten. Weitere Informationen finden Sie unter Konfigurieren Sie die Risikobewertung so, dass sie nach einem Zeitplan wiederholt wird.
    IRQ-Prozess: Legen Sie das Risiko fest
    1. Der TPR-Manager überprüft und genehmigt den IRQ.
      1. In Vendor Management Workspaceüberprüft und genehmigt der TPR-Manager den IRQ, indem er einen Fragebogen auswählt, der automatisch durch eine Geschäftsregel oder aus einer Liste im System erstellt wurde.

        Der TPR-Administrator kann benutzerdefinierte IRQs für eine Organisation erstellen. Der Inhalt jedes IRQ wird von der Person erstellt und verwaltet, die für den Geschäftsbereich, die Region oder die Drittpartei verantwortlich ist, für die die Fragen bestimmt sind. Um einen IRQ zu definieren, fügt der TPR-Administrator einer Fragebogenvorlage Beispielfragen hinzu und ändert die Fragen nach Bedarf. Die Beispielfragen werden im Basissystembereitgestellt. Das Definieren eines IRQ ist ein Prozess ohne Code. Der TPR-Manager kann die Geschäftsregeln definieren, die automatisch den für eine Interaktion zu verwendenden IRQ auswählen.

        Tipp:
        Der TPR-Manager kann die Antwort auf eine Frage in einem IRQ verwenden, um die Fragebögen zu bestimmen, die an die zu bewertende Drittpartei gesendet werden. Diese Funktion ist nur verfügbar, wenn die Anwendung „Trittpartei-Risikomanagement“ aktiviert wurde.

        Weitere Informationen finden Sie unter Erstellen und konfigurieren Sie einen externen Fragebogen.

      2. Der TPR-Manager lehnt die Due-Diligence-Anforderung ab oder genehmigt sie. Wenn die Anforderung genehmigt wird, sendet das System den IRQ an den IRQ-Gutachter, der ein interner Stakeholder einer Organisation ist.
      3. Der IRQ-Gutachter wird über den IRQ sowohl per E-Mail als auch durch eine neue Aufgabe in seiner Warteschlange informiert.
        Hinweis:
        Das System kann auch automatisch Risikobewertungen von Drittparteien senden, wenn Änderungen an einer Risikopunktzahl auftreten.
    2. Interne Benutzer antworten auf den IRQ:
      1. In Mitarbeiter-Centerwird jeder Benutzer, der an der Interaktion interessiert ist, geöffnet und antwortet auf den IRQ.

        Mehrere Antworten generieren weitere klärende Fragen. Anhand der Antworten kann bestimmt werden, welche externen Fragebögen automatisch generiert und dem Satz hinzugefügt werden, der an den Drittparteikontakt gesendet wird.

        Wenn beispielsweise ein IRQ-Gutachter antwortet, dass die Drittpartei im Rahmen der Interaktion mit Regierungsbeamten interagiert, wird ein Fragebogen zur Bekämpfung von Bestechung ausgefüllt, der für das Land der Drittpartei relevant ist (ABAC in den USA oder FCBA in der EU usw.). ) ist enthalten.

      2. Der IRQ-Gutachter übermittelt den abgeschlossenen IRQ. Mit dieser Aktion wird eine Aufgabe für den TPR-Manager ausgelöst.
    3. Die internen Stakeholder (Überprüfer von Drittparteibewertungen, TPR-Gutachter, TPR-Genehmiger, TPR-Manager oder TPR-Administrator) überprüfen die IRQ-Antworten:
      1. In Vendor Management Workspaceüberprüfen die Benutzer die IRQ-Antworten.
      2. Der TPR-Manager kann den IRQ-Gutachter um Klärung bitten und dann die IRQ-Antworten entweder ablehnen oder genehmigen.
      3. Wenn ein interner Stakeholder-Benutzer die IRQ-Antworten genehmigt, startet er den Due-Diligence-Prozess, indem er die Interaktionsanforderung schließt.
    Due-Diligence-Prozess: Sammeln Sie Informationen, um eine Risikopunktzahl zu generieren
    1. Einer der folgenden Prozesse führt zur Auswahl externer Sorgfaltspflicht-Fragebögen:
      • In Vendor Management Workspacewählt der TPR-Manager die Fragebögen aus, die die Drittparteikontakte beantworten sollen.
      • Das System wählt die Fragebögen automatisch gemäß den Geschäftsregeln aus, die für die Auswahl definiert wurden.

    2. Unabhängig von der Auswahlmethode, die Sie in Schritt 1 verwendet haben, werden zwei externe Due-Diligence-Fragebögen ausgewählt:

      • Ein Satz erfasst Informationen über die Drittparteiorganisation. Der Drittparteikontakt beantwortet diesen Fragebogen.
      • Der andere Satz erfasst Informationen über den Geschäftsbereich innerhalb der Drittparteiorganisation, die Gegenstand der Interaktion ist. Der Interaktionskontakt (wie in der Due-Diligence-Anforderung angegeben) antwortet auf diesen Fragebogen.
    3. In Vendor Management Workspaceüberprüft der TPR-Manager die automatisch ausgewählten Fragebögen, die die Drittparteikontakte beantwortet haben. Der TPR-Manager validiert oder ändert die Auswahl und genehmigt dann den Fragebogensatz.
    4. Das System sendet eine E-Mail-Benachrichtigung an Personen bei der Drittpartei. Die Nachrichten benachrichtigen den Drittparteikontakt und den Interaktionskontakt, um die externen Fragebögen zu beantworten.
    5. Im Drittparteiportal beantworten die Drittparteikontakte die Fragebögen entweder direkt oder weisen die Aufgaben anderen Kontakten in der Drittparteiorganisation zu.
      Hinweis:
      Das Drittanbieterportal ist vollständig von der Instanz Ihrer Organisation isoliert.

      In einem iterativen Prozess kann der TPR-Manager Nicht-Compliance-Probleme und -Aufgaben generieren, bevor der TPR-Manager eine Bewertung abschließt. Der TPR-Manager kommuniziert mit den TP-Kontakten, indem er Kommentare zum Schließen der Probleme und Aufgaben verwendet. Der TPR-Manager kann bei Bedarf auch verschiedene TP-Kontakte zuweisen. Weitere Informationen finden Sie unter Probleme verwalten.

    6. Der TP-Kontakt und der Interaktionskontakt geben die ausgefüllten Fragebögen zurück.
    7. Das System ändert den Status der Anforderung in Bereit für TPRM-Genehmigung und sendet Warnungen an die TPR-Manager.
    8. In Vendor Management Workspacevalidiert der TPR-Manager, dass die Fragebögen empfangen, ausgefüllt und bei Bedarf signiert wurden, und schließt dann die Bewertungsphase, um den Genehmigungsprozess zu starten.
    Genehmigungsprozess: Interne Stakeholder analysieren jeden Aspekt des Risikos

    Alle internen Stakeholder (Genehmiger) überprüfen die Antworten auf den Fragebogen und die Begleitdokumente des Drittparteikontakts. Wenn die Antworten gut sind, genehmigt ein oder mehrere Genehmiger die DD-Anforderung und schließt sie. Wenn ein Vertrag vorbereitet wird, wird die genehmigte Anforderung in den Prozess „ Vertragsrisiko“ verschoben.

    • Genehmiger können die Anforderung genehmigen oder ablehnen und sie dann schließen. Genehmiger erstellen bei Bedarf Probleme zur Korrektur.
      • Bei derBehebung eines Problems wird das zugrunde liegende Problem behoben, das einen Steuerungsfehler oder ein Risikopotenzial verursacht. Wenn ein Problem für eine Frage erstellt wird, wird im Drittanbieterportal neben der Frage ein visueller Indikator angezeigt.
      • BeimAkzeptieren eines Problems wird eine Ausnahme für einen bekannten Steuerungsfehler oder ein bekanntes Risikoerstellt.
      • Kontrollen, die akzeptiert werden, verbleiben in einem nicht konformen Status, bis die Kontrolle neu bewertet wird. Auf diese Weise kann das Problem verwendet werden, um Beobachtungen während Audits zu dokumentieren.
    • Wenn die Anforderung geschlossen wird, wird sie entweder in den Vertragsrisikoprozess verschoben, oder, wenn kein Vertrag beteiligt ist, beginnt die Interaktion.
    Prozess „Vertragsrisiko“.

    Nach der Genehmigung können dem Vertragsverhandler alle Due-Diligence-Informationen zur Verfügung gestellt werden. Mit Vendor Management Workspacegreift der Vertragsverhandler auf alle Daten zu, die während der vorherigen Prozesse generiert wurden, um den Vertrag zu entwerfen und abzuwickeln:

    • Der Vertragsverhandler kann bei Bedarf zusätzliche Due Diligence anfordern.
    • Wenn der Vertragsverhandler einen Vertrag mit der Drittpartei erfolgreich ausführt, kann er ihn hochladen und angeben, dass der Vertrag so ausgeführt wird, dass alle wichtigen Stakeholder automatisch benachrichtigt werden.
    • Der Vertragsverhandler kann angeben, dass der Vertrag nicht ausgeführt wird und die Drittpartei nicht geschäftlich tätig wird.
    • Der Vertragsverhandler kann angeben, dass der Vertrag gekündigt wird und die Drittpartei nicht geschäftlich tätig wird.