Terceiro, quarto e partes externas

Um terceiro é qualquer organização ou indivíduo com o qual você interagiu ou entrou em um relacionamento comercial. Os terceiros podem ter subsidiárias e podem contratar quarteirizados. Por exemplo, departamentos são subsidiárias. Um quarteirizado pode contratar outras partes (conhecidas como partes n - quinta, sexta e assim por diante). Todas as partes descendentes (quarteirizados até o enésimo grupo) assumem o risco da mesma forma que os terceiros.

Um fornecedor fornece os bens ou serviços que você usa para produzir ou entregar seus próprios bens ou serviços. Todos os fornecedores são terceiros, mas nem todos os terceiros são fornecedores. Esta é uma lista de alguns outros tipos de terceiros:

• Fornecedores
• Afiliados
• Contrapartes
• Consultores
• Parceiros
• Serviços profissionais
• Consultores
• Franquias
• Revendedores
• Revendedores
• Distribuidores
• Clientes
• Clientes
• Equipe terceirizada

Acordos

Um compromisso é o relacionamento informal ou contratual que você pretende formar com um terceiro que possa expor sua organização a riscos. O compromisso descreve os serviços ou produtos a serem fornecidos pelo terceiro e outros detalhes do relacionamento. Esses detalhes podem incluir os termos de pagamento, requisitos de confidencialidade e a duração do relacionamento.

Você pode avaliar cada compromisso usando avaliações internas e externas. Os problemas, tarefas, avaliações internas e avaliações externas são associados aos compromissos.

Neste exemplo, Sua empresa interage com três terceiros e gerencia vários compromissos entre eles.

Subsidiárias

Uma subsidiária é uma organização de propriedade ou controlada por terceiros e é considerada parte da organização de terceiros. Eles são normalmente gerenciados como parte do perfil de risco do terceiro. Eles são diferentes de quarteirizados para enésimos participantes que têm contratos com um terceiro e não são de propriedade ou controlados por esse terceiro.

A avaliação de risco para subsidiárias é a mesma que para outros terceiros. As classificações de risco das subsidiárias contribuem para a pontuação do terceiro controlador.

IRQ - o Questionário de Risco Inerente

Durante o processo de avaliação de risco interno, os funcionários internos da sua organização respondem a perguntas no IRQ. Essas respostas ajudam a avaliar o risco inerente associado ao envolvimento com um terceiro. Um risco inerente se refere ao nível de risco antes de implementar quaisquer medidas de redução de risco. Um IRQ é compatível com as seguintes atividades:

Determinar fatores de risco

• A natureza dos serviços fornecidos pelo terceiro.
• A confidencialidade dos dados envolvidos.
• A localização geográfica do terceiro.
• A postura geral de segurança do terceiro.

Determinar pontuação ou classificação

As respostas ao questionário geralmente são pontuadas ou classificadas para ajudar a quantificar o risco inerente associado ao terceiro. Este sistema de pontuação pode ajudar a priorizar os esforços de gestão de riscos.

Tomada de decisão

Os resultados do IRQ são usados no processo de tomada de decisão. Os administradores e gerentes de Risco de terceiros (TPR) podem configurar IRQs para enviar questionários específicos de avaliação externa (diligência prévia) a terceiros com base nas respostas específicas às perguntas.

• Você deve se envolver com o terceiro?
• Qual nível de diligência prévia é necessário?
• Quais medidas específicas de redução de risco você deve implementar?

Diligência prévia contínua

O IRQ também pode fazer parte da gestão contínua, com reavaliações periódicas para considerar mudanças nas operações de terceiros, práticas de segurança ou outros fatores relevantes.

Diligência prévia (DD)

Diligência prévia é o processo de conduzir uma investigação ou exame completo da integridade, reputação, estabilidade financeira, conformidade jurídica, capacidades operacionais, cadeia de suprimentos e outros fatores relevantes de um possível parceiro de negócios, fornecedor ou fornecedor. A realização da diligência prévia em terceiros é um componente crucial do seu abrangente programa de risco de terceiros. Você realiza a devida diligência para se tornar ciente dos riscos associados a um terceiro para que possa decidir com confiança como formar seu relacionamento. Use fluxos de trabalho de diligência prévia para integrar novos compromissos ou para reavaliar ou descontinuar quaisquer compromissos existentes. Os fluxos de trabalho de diligência prévia incluem a coleta de informações por meio de avaliações internas, avaliações externas e inteligência de risco. Todas as pontuações dessas etapas são analisadas pelos gerentes de risco de terceiros para decidir se devem integrar, reavaliar ou descontinuar um compromisso. A diligência prévia também tem um processo de negociação de contrato opcional antes de fechar o fluxo de trabalho de diligência prévia.

Consulte Por que você realiza a diligência prévia e Tipos de due diligence.

Avaliações de risco de terceiros

Uma avaliação de risco de terceiros (TPRA) é um conjunto de questionários que você pode enviar para contatos de terceiros ou usuários internos para avaliar os riscos de terceiros e de compromisso. Uma avaliação que você envia para usuários internos é categorizada como uma avaliação interna. Uma avaliação que você envia para um contato de terceiros é chamada de avaliação externa.

Use uma avaliação interna para calcular os níveis de terceiros e de compromisso. A classificação que você usa para identificar os questionários internos na tabela de modelos de questionário é o modelo de questionário de risco inerente [irq_template]. Você pode anexar automaticamente os questionários necessários para avaliações externas de acordo com as respostas que recebe das avaliações internas. Você pode configurar esta opção em um questionário para questionar a tabela de mapeamento [sn_tprm_dd_m2m_question_to_questionnaire].

Use uma avaliação externa para avaliar os riscos associados ao terceiro e ao compromisso de acordo com as respostas de contato de terceiros que você recebe. As classificações de risco de uma avaliação externa são calculadas no nível de avaliação usando todos os questionários anexados à avaliação. Essas classificações de avaliação são agregadas e acumuladas para terceiros e compromissos. A agregação é MIN, MAX ou AVG e pode ser configurada em uma configuração de pontuação. Contatos de terceiros (usuários externos) do portal de terceiros https:// <myCompany> .service-now.com/svdp respondem a essas avaliações externas.

Para obter mais informações sobre pontuação, consulte Classificações de risco de terceiros e cálculos de pontuação.

Provedores de inteligência de risco

Os provedores de inteligência de risco geram pontuações de risco para uma variedade de domínios de risco de terceiros. Sua organização pode comprar serviços de provedores que retornam dados semelhantes às pontuações de crédito pessoal. As pontuações fornecem informações sobre o quão confiável e seguro um terceiro pode ser.

Consulte Integração de pontuações de provedores de inteligência de risco.

Pontuações de inteligência de risco

As pontuações de inteligência de risco são avaliações numéricas que avaliam o nível de risco associado a uma organização específica. Essas pontuações são geradas por provedores de inteligência de risco que coletam e analisam uma ampla variedade de fontes de dados. As pontuações podem vir de qualquer forma, sejam classificações ou números. O sistema mapeia o valor de pontuação para a classificação TPRM apropriada. Essas pontuações podem ajudar sua organização a tomar decisões informadas sobre como interagir com terceiros, gerenciar a conformidade e reduzir possíveis riscos. As pontuações de inteligência de risco estão disponíveis para terceiros a partir da versão Washington DC. As classificações de risco são calculadas pelas regras de pontuação associadas ao compromisso na configuração de pontuação.

Pontuações de terceiros

Essas pontuações ajudam as organizações a tomar decisões fundamentadas sobre como selecionar e gerenciar seus relacionamentos com terceiros, permitindo o alinhamento com sua tolerância de risco e requisitos de conformidade. Ao avaliar as pontuações de terceiros, as organizações podem identificar possíveis riscos, priorizar esforços de diligência prévia e implementar estratégias apropriadas de redução de riscos.

Componentes de classificação de risco

Um componente é a entidade para a qual você pode avaliar o risco. O sistema de base inclui compromissos, monitoramento externo, subsidiárias e avaliações de risco de terceiros. O risco é calculado para cada componente e, em seguida, o risco é agregado e acumulado para calcular uma classificação de risco de terceiros.

Um critério de componente é a definição de como um componente será usado por um terceiro. Um critério de componente é um grupo de componentes que deve ser aplicado a um tipo específico de terceiro ou compromisso.

Uma área ou domínio de risco define o tipo de risco a ser avaliado para um terceiro. Isso normalmente está alinhado à área/domínio em que o terceiro opera ou para o qual ele fornece um produto/serviço. Por exemplo, você pode avaliar um terceiro de gestão de dados em termos de risco de segurança e um banco em termos de risco financeiro.

Um critério de área de risco é a definição de como as áreas de risco serão usadas por um terceiro nos critérios de área de risco. Um critério de área de risco de terceiros é um grupo (ou agrupamento) de domínios ou áreas de risco que podem se aplicar a um tipo específico de terceiro. Por exemplo, os domínios de risco de segurança, financeiro e de reputação podem ser agrupados em critérios de área de risco que devem ser aplicados a qualquer terceiro. É possível entender e mitigar melhor os riscos que um terceiro representa para sua organização identificando os domínios de negócios para avaliar o risco e quantificar a importância (peso) de cada domínio.

Regras de pontuação

Uma regra de pontuação fornece o mecanismo para aplicar critérios de componente e critérios de área de risco a um terceiro e critérios de área de risco para um compromisso.

Para um terceiro, os critérios de componente determinam quais componentes específicos são aplicáveis e o método de pontuação relevante para cada componente. Esses componentes podem incluir localização geográfica, postura geral de segurança e resultados de avaliações internas e externas. Os métodos de pontuação para esses componentes são configurados na configuração de pontuação. Por exemplo, as avaliações internas de localização geográfica e postura geral de segurança fazem parte do processo de avaliação interna, enquanto as avaliações externas usam métodos como MIN, MAX ou AVG para calcular as classificações de risco. Além disso, as pontuações de inteligência de risco de provedores externos são mapeadas para classificações apropriadas e combinadas com as pontuações de avaliação externa para formar a pontuação geral de terceiros.

Para um terceiro, os critérios de área de risco determinam quais áreas (ou domínios) de risco específicas são aplicáveis e o método de pontuação relevante para cada área de risco.

Elementos de terceiros

Elementos de terceiros são as organizações externas das quais um terceiro ou compromisso depende para fornecer bens, serviços ou suporte. Essas organizações podem incluir fornecedores, prestadores de serviços, indivíduos ou qualquer outra organização externa que tenha acesso aos sistemas, dados ou instalações de terceiros ou compromissos. Quaisquer vulnerabilidades ou falhas nesses elementos de terceiros podem ter um impacto significativo nas operações, na reputação e na segurança do terceiro ou compromisso. Ao implementar esses controles e abordar os riscos associados, as organizações podem aprimorar sua capacidade de gerenciar e mitigar os possíveis impactos negativos de terceiros e de seus elementos de terceiros. Reavaliar e atualizar regularmente esses controles é essencial para se adaptar às mudanças no ambiente de negócios e no cenário regulatório.

Aqui estão alguns exemplos de elementos de terceiros e seus controles associados e riscos potenciais.

Datacenter

Instalações ou locais onde terceiros ou compromissos terceirizam o armazenamento, o processamento e a gestão de seus dados e infraestrutura de TI.

Controles:

• Avaliações de segurança do fornecedor: avalie regularmente as medidas e práticas de segurança de fornecedores terceirizados que fornecem serviços como hospedagem em nuvem ou armazenamento de dados.
• Criptografia de dados: confirme se os dados armazenados no datacenter estão criptografados para proteger contra acesso não autorizado.
• Controles de acesso: implemente controles de acesso rígidos para limitar o acesso físico e virtual às instalações e servidores do datacenter.
• Plano de resposta a incidentes: desenvolva e mantenha um plano abrangente de resposta a incidentes para lidar imediatamente com quaisquer incidentes de segurança.

Riscos:

• Violações de dados: uma violação no datacenter de terceiros pode levar ao acesso não autorizado e ao comprometimento de informações confidenciais.
• Tempo de inatividade: a dependência de um datacenter de terceiros coloca a organização em risco de tempo de inatividade se o provedor de serviços tiver problemas técnicos.
• Violações de conformidade: a falha do datacenter em aderir aos padrões de conformidade regulatórios ou do setor pode levar a consequências jurídicas e financeiras para a organização.

Instalação de fabricação

Instalações ou locais onde terceiros ou compromissos terceirizam a produção ou a montagem de seus produtos.

Controles:

• Auditorias de fornecedores: audite e avalie regularmente as práticas de segurança de fornecedores que fornecem componentes ou serviços críticos para o processo de fabricação.
• Padrões de garantia de qualidade: imponha padrões de garantia de qualidade para fornecedores terceirizados para promover a integridade e a segurança das matérias-primas e componentes.
• Visibilidade da cadeia de suprimentos: mantenha a visibilidade de toda a cadeia de suprimentos para identificar e resolver possíveis vulnerabilidades.
• Acordos contratuais: estabeleça acordos contratuais claros com fornecedores descrevendo os requisitos de segurança e as consequências da não conformidade.

Riscos:

• Interrupção da cadeia de suprimentos: a dependência de fornecedores terceirizados expõe a organização ao risco de interrupções na cadeia de suprimentos, afetando a produção.
• Peças falsificadas: controles inadequados na cadeia de suprimentos podem levar ao uso de componentes falsificados ou de baixa qualidade, comprometendo a qualidade do produto.
• Problemas de conformidade regulatória: a falha dos fornecedores em cumprir os padrões regulatórios pode resultar em consequências jurídicas e regulatórias para a instalação de fabricação.

Proprietários efetivos

Indivíduos que possuem ou controlam uma organização que está envolvida em um relacionamento ou transação comercial. Esses indivíduos podem não ser os proprietários registrados ou jurídicos da organização, mas têm influência ou controle significativos sobre suas operações, tomada de decisão ou assuntos financeiros.

Controles:

• Diligência prévia: incorpore um processo robusto de diligência prévia para identificar e verificar os beneficiários efetivos, incluindo verificações de antecedentes, revisões de documentos e entrevistas quando necessário.
• Obrigações contratuais: incluir cláusulas em contratos com terceiros que exigem que eles divulguem quaisquer mudanças na propriedade efetiva e confirmem a conformidade com as leis e regulamentações aplicáveis.
• Monitoramento e emissão de relatórios: estabeleça um sistema de monitoramento contínuo dos beneficiários efetivos para detectar quaisquer mudanças ou desenvolvimentos que possam afetar o perfil de risco do terceiro.
• Treinamento e conscientização: ofereça treinamento à equipe relevante sobre a importância de entender e monitorar os beneficiários efetivos, incluindo sinalizadores vermelhos e procedimentos de relatório.
• Programa de conformidade regulatória: desenvolva e mantenha um programa que verifica a conformidade com todas as leis e regulamentações relevantes relacionadas a propriedade efetiva, incluindo requisitos de relatório e divulgação.
• Procedimentos de escalação: estabeleça procedimentos de escalação claros para casos em que preocupações ou irregu-

Riscos:

• Propriedade oculta: os proprietários efetivos podem ocultar deliberadamente sua propriedade, tornando difícil avaliar os riscos potenciais associados à sua influência sobre o terceiro.
• Risco à reputação: se os responsáveis efetivos tiverem uma reputação questionável, o envolvimento com eles poderá prejudicar a reputação da sua organização.
• Conformidade regulatória: o não cumprimento das regulamentações relacionadas a relatórios de propriedade efetiva e transparência pode levar a consequências jurídicas e regulatórias.
• Risco financeiro: proprietários efetivos com instabilidade financeira ou envolvimento em atividades fraudulentas podem representar riscos financeiros para o terceiro e, consequentemente, para sua organização.