Monitoramento de elementos de terceiros

  • Versão de lançamento: Yokohama
  • Atualizado 30 de jan. de 2025
  • 5 min. de leitura

    • Você pode monitorar elementos de terceiros por meio de modelos de pontuação escalonáveis, análise de relacionamento e integração de fluxo de trabalho de diligência prévia usando a aplicação Gestão de risco de terceiros. Monitorar elementos de terceiros e aproveitar essas informações pode ajudar a conduzir avaliações de risco mais fundamentadas como parte do programa de risco de terceiros.

    Visão geral de elementos de terceiros

    Elementos de terceiros (elementos TP) são as organizações externas das quais um compromisso depende para fornecer bens, serviços ou suporte. Essas organizações podem incluir fornecedores, prestadores de serviços, instalações, indivíduos ou qualquer outra organização externa que possa acessar os sistemas, dados ou instalações do compromisso.

    Vejamos alguns exemplos de risco e classe de elemento de TP:
    Datacenter
    Uma instalação ou local onde um compromisso ou terceiro terceiriza o armazenamento, o processamento e a gestão de seus dados e infraestrutura de TI. Um datacenter pode passar por uma violação de dados, tempo de inatividade ou violação de conformidade que expõe seus compromissos a riscos inesperados. Este exemplo seria classificado como um elemento de TP de instalação.
    Instalação de fabricação
    Uma instalação ou local onde um compromisso ou terceiro terceiriza a produção ou a montagem de seus produtos. Uma instalação de fabricação pode passar por uma interrupção na cadeia de suprimentos, uma peça falsificada ou um problema de conformidade regulatória que expõe seus compromissos a riscos inesperados. Este exemplo seria classificado como um elemento de TP de instalação.
    Proprietário efetivo
    Um indivíduo que possui ou controla uma organização que está envolvida em um relacionamento ou transação comercial. Esses indivíduos podem não ser os proprietários registrados ou jurídicos da organização, mas têm influência ou controle significativos sobre suas operações, tomada de decisão ou assuntos financeiros. Este exemplo seria classificado como um elemento de TP principal.

    O infográfico a seguir mostra o processo de coleta de elementos de TP.


    Infográfico que mostra o processo de coleta de elementos de TP no fluxo de trabalho de diligência prévia. Para obter a descrição de texto, consulte o texto a seguir.

    Para obter mais informações sobre elementos de terceiros (TP) e exemplos de seus controles associados e riscos potenciais, consulte Terminologia.

    Coleta e revisão de elementos de terceiros

    Coletar e revisar elementos de terceiros é opcional. Se você tiver a função de avaliador de risco de terceiros (TPR) [sn_vdr_risk_asmt.vendor_assessor] e for o proprietário da solicitação de diligência prévia ou a função de gerente de TPR [sn_vdr_risk_asmt.vendor_risk_manager], poderá iniciar este processo depois que sua solicitação de diligência prévia tiver concluído o risco inerente Processo de questionário (IRQ).

    Você seguiria este processo para coletar e revisar elementos de TP:
    1. No Espaço de gestão de fornecedores, se os elementos de TP forem necessários, o gerente de risco de terceiros (TPR) ou o proprietário da solicitação de diligência prévia seleciona Iniciar coleta e uma tarefa de coleta é criada.
    2. O gerente ou proprietário de TPR abre a avaliação externa para coletar elementos e adiciona os questionários de coleta de elementos de TP relevantes.
    3. O gerente ou proprietário de RTP revisa e aprova os questionários e eles são enviados para o compromisso. Para obter mais informações sobre avaliações, consulte Como avaliar o risco de terceiros.
    4. Em Espaço de gestão de fornecedores, o gerente ou proprietário do TPR abre os questionários e verifica se todas as informações necessárias foram fornecidas.
    5. O gerente ou proprietário do TPR navega até a lista de elementos de TP e cria manualmente um registro de elemento de TP para cada conjunto de respostas em cada questionário.
    6. Depois que todos os elementos de TP são criados, o gerente ou proprietário do TPR encerra a avaliação da tarefa de coleta. O sistema muda o estado da solicitação de Coleta em andamento para Coleta em revisão.
    7. As partes interessadas internas (avaliador de TPR, aprovador de TPR, gerente de TPR ou administrador de TPR) revisam e aprovam os registros de elemento.
    Para obter mais informações, consulte Criar um registro de elemento de terceiros.

    Como adicionar elementos de terceiros a compromissos

    Depois que os elementos de TP são revisados e aprovados pelo gerente de TPR e pelas partes interessadas internas em Espaço de gestão de fornecedores, o gerente ou proprietário de TPR abre o compromisso e adiciona manualmente os elementos de TP revisados e aprovados como entidades na guia Entidades do compromisso. Para obter mais informações, consulte Adicionar um registro de elemento de terceiros a um compromisso. Depois de adicionar todas as entidades de elemento de TP a um compromisso, você pode iniciar o processo de diligência prévia. Durante o processo de diligência prévia, você deve selecionar e atribuir um questionário como parte de uma avaliação externa para cada elemento de TP criado. O contato de terceiros preenche os questionários de elemento de TP. Para obter mais informações, consulte Como avaliar o risco de terceiros.

    Pontuação de elemento de terceiros

    Você pode categorizar cada elemento de TP em um dos seguintes tipos: Instalação, Produto, Principalou Outro. Essa classificação ajuda a organizar os critérios de avaliação e a pontuação subsequente. A pontuação em um elemento TP é determinada pela média das classificações de risco das avaliações de risco de terceiros associadas. Se você conduzir várias avaliações para o mesmo elemento de TP, o sistema considerará somente a avaliação mais recente de cada compromisso para pontuação, desconsiderando duplicatas. Esse processo ajuda a garantir que a classificação de risco do elemento TP reflita a avaliação mais atual. Por exemplo, se um elemento de TP tiver avaliações com classificações de risco muito altas e muito baixas, a média dessas classificações fará com que o risco geral seja moderado.

    Depois que um elemento é avaliado e uma classificação de risco é determinada, essa classificação é agregada pela primeira vez em uma pontuação de componente que se baseia em sua classificação, como Instalação. Por exemplo, todos os elementos do tipo Instalação são agregados em uma única pontuação de componente, o que contribui para a pontuação geral do compromisso. A pontuação do compromisso é então compilada agregando as pontuações de todas as pontuações de componentes relevantes nesse compromisso. Se várias avaliações ou elementos de TP estiverem em um compromisso, cada um será pontuado individualmente e combinado para formar a pontuação geral do compromisso. A pontuação de compromisso é então acumulada para o nível do terceiro, agregando as pontuações de todos os compromissos que estão associados a um terceiro específico. A agregação neste nível pode ser baseada em regras diferentes, como média, pontuação mínima ou máxima, dependendo das regras de pontuação definidas no sistema. Essa pontuação acumulada representa o risco geral ou a pontuação de desempenho do terceiro e reflete todos os compromissos e elementos associados a ele.

    Nota:
    Você pode criar suas próprias classificações de elemento de TP para atender aos requisitos específicos do programa de risco. Para obter mais informações sobre como criar classificações e atribuir pesos para pontuação, consulte Formulário de elemento de terceiros e Definir critérios de componente.