Fluxo de trabalho de diligência prévia

  • Versão de lançamento: Yokohama
  • Atualizado 30 de jan. de 2025
  • 11 min. de leitura

    • Os processos de gestão de riscos de terceiros (TPRM) fornecem uma estrutura consistente para o seu programa de gestão de riscos de terceiros. Você pode personalizar os processos de fluxo de trabalho para atender às necessidades da sua organização.

    Processos no fluxo de trabalho de diligência prévia

    Cada tarefa em um processo deve ser concluída antes que a próxima tarefa possa ser iniciada. As funções dos usuários que executam as várias tarefas são descritas em Funções no Gestão de risco de terceiros. O diagrama a seguir descreve o fluxo de trabalho de diligência prévia.

    Figura 1. Fluxo de trabalho de diligência prévia

    Infográfico que mostra onde os processos no fluxo de trabalho de diligência prévia são realizados. Para obter a descrição de texto, consulte as etapas de fluxo de trabalho a seguir.
    Processo de solicitação: pedir para iniciar um novo compromisso, reavaliar ou desligar um existente
    1. Um funcionário da sua organização solicita a diligência prévia para um compromisso de terceiros.
      1. O funcionário faz login em Central do funcionário em sua instância. Eles abrem o formulário de solicitação de diligência prévia e especificam o nome do terceiro e o motivo da solicitação:
        • Integrar um novo compromisso
        • Reavaliar um risco de um compromisso existente
        • Reavaliar um compromisso existente para se preparar para uma renovação de contrato
        • Desligar um compromisso com due diligence
        • Desligar um compromisso sem diligência prévia
        Nota:
        Ao desligar um compromisso sem diligência prévia, a coleta de elementos de TP e o processo de diligência prévia não são aplicáveis.
      2. O funcionário fornece detalhes sobre o terceiro e o compromisso. As informações incluem o produto ou serviço que deve ser avaliado neste compromisso, o usuário que responderá ao avaliador do questionário de risco inerente (IRQ) e o contato do terceiro (TP) ou do compromisso que responderá aos questionários externos.
      3. A qualquer momento, um provedor de inteligência de risco externo pode atualizar os dados de risco para o terceiro porque um gerente de risco de terceiros (TPR) pode ter integrado os serviços de um provedor de inteligência de risco ao configurar a aplicação.
      4. O funcionário envia o formulário.
      5. O sistema envia uma notificação por e-mail para o funcionário que fez a solicitação.
      6. O sistema envia uma notificação por e-mail para o grupo de atribuição de solicitação de diligência prévia. Um membro do grupo pode atribuir um gerente de TPR ou avaliador de TPR para atuar como o proprietário da solicitação. Esta ação aciona uma tarefa para o gerenciador de TPR.
    2. O gerente de TPR define o escopo da solicitação, a atualiza conforme necessário e a aprova ou rejeita.
      1. O gerente de TPR faz login no Espaço de gestão de fornecedores e navega até a página de gestão de diligência prévia, onde revisa e atualiza a solicitação:
        • O gerente de TPR revisa a pessoa que foi sugerida como avaliador de IRQ. Se necessário, eles podem especificar uma pessoa diferente como avaliador de IRQ.
        • O gerente do TPR pode iniciar uma discussão com o solicitante e outros usuários selecionando Discutir. A mensagem é registrada na seção Atividade da guia Detalhes.

      2. O gerente de TPR rejeita ou aprova a solicitação. Se o gerente de TPR aceitar a solicitação, o processo de IRQ será iniciado.

    Nota:
    Os avaliadores de TPR podem criar avaliações recorrentes de terceiros para reavaliar um risco em uma programação regular. Para obter mais informações, consulte Configurar uma avaliação de risco para se repetir em uma programação.
    Processo de IRQ: definir o escopo do risco
    1. O gerente de TPR revisa e aprova o IRQ.
      1. No Espaço de gestão de fornecedores, o gerente do TPR revisa e aprova o IRQ até a partir de uma lista no sistema.

        O administrador do TPR pode criar IRQs personalizados para uma organização. O conteúdo de cada IRQ é criado e mantido pela pessoa responsável pela área de negócios, pela região ou pelo terceiro a quem as perguntas se destinam. Para definir um IRQ, o administrador do TPR adiciona perguntas de exemplo a um modelo de questionário e modifica as perguntas conforme necessário. As perguntas de amostra são fornecidas no sistema base. Definir um IRQ é um processo sem código.

        Dica:
        O gerente de TPR pode usar a resposta a uma pergunta em um IRQ para determinar os questionários que são enviados ao terceiro que está sendo avaliado. Este recurso estará disponível somente se a aplicação Gestão de riscos de terceiros tiver sido ativada.

        Para obter mais informações, consulte Configurar respostas de questionário interno para anexar automaticamente questionários externos a avaliações.

      2. O gerente de TPR rejeita a solicitação de diligência prévia ou a aprova. Quando a solicitação é aprovada, o sistema envia o IRQ para o avaliador de IRQ, que é uma parte interessada interna de uma organização.
      3. O avaliador de IRQ é notificado sobre o IRQ por e-mail e por uma nova tarefa em sua fila.
        Nota:
        O sistema também pode enviar automaticamente avaliações de risco de terceiros quando ocorrem mudanças em uma pontuação de risco.
    2. Usuários internos respondem ao IRQ:
      1. No Central do funcionário, qualquer usuário que esteja interessado no compromisso abre e responde ao IRQ.

        Várias respostas geram outras perguntas de esclarecimento. As respostas podem determinar quais questionários externos são gerados automaticamente e adicionados aos conjuntos que vão para o TP e o contato do compromisso.

        Por exemplo, se um avaliador de IRQ responder que o terceiro interage com funcionários do governo como parte do compromisso, um questionário antissuborno apropriado para o país do terceiro (ABAC nos EUA ou FCBA na UE e assim por diante ) está incluído.

      2. O avaliador de IRQ envia o IRQ concluído. Esta ação aciona uma tarefa para o gerenciador de TPR.
    3. As partes interessadas internas (revisor de avaliação de terceiros, avaliador de TPR, aprovador de TPR, gerente de TPR ou administrador de TPR) revisam as respostas de IRQ:
      1. No Espaço de gestão de fornecedores, os usuários revisam as respostas de IRQ.
      2. O gerente de TPR pode solicitar esclarecimentos ao avaliador de IRQ e rejeitar ou aprovar as respostas de IRQ.
      3. Se um usuário de parte interessada interna aprovar as respostas de IRQ, ele passará para o próximo processo fechando a solicitação de compromisso.
    Nota:
    Depois que o processo de IRQ tiver entrado no estado de IRQ em andamento, você poderá solicitar relatórios de inteligência de risco associados à sua solicitação de diligência prévia. Para obter mais informações, consulte Como usar relatórios e pontuações de inteligência de risco e Solicitar um relatório de inteligência de risco associado a uma solicitação de diligência prévia.
    Processo de coleta de elementos de TP: coletar informações de elementos de terceiros (opcional)
    1. O gerente de TPR ou o proprietário da solicitação de diligência prévia inicia a coleta de elementos de terceiros.
      1. No Espaço de gestão de fornecedores, se forem necessários elementos de terceiros, o gerente ou proprietário do TPR selecionará Iniciar coleta e uma tarefa de coleta será criada.
      2. O gerente ou proprietário do TPR navega até a guia da tarefa de coleta e atribui os questionários relevantes de coleta de elementos de terceiros à avaliação externa para coletar elementos.
        Nota:
        Como parte do sistema de base, os questionários de amostra para coleta e avaliação estão disponíveis para elementos de terceiros classificados como Instalação, Principal, Produtos ou Outros.
      3. O gerente ou proprietário de RTP revisa e aprova os questionários e eles são enviados para o compromisso.
    2. O sistema envia uma notificação por e-mail para as pessoas no compromisso. As mensagens notificam o contato do compromisso para responder aos questionários de coleta de elementos de terceiros.

    3. No Portal de terceiros, os contatos de compromisso respondem aos questionários diretamente ou atribuem as tarefas a outros contatos na organização.

    4. O contato de compromisso retorna os questionários concluídos.
    5. O sistema muda o estado da avaliação para Respostas recebidas e envia alertas para o gerente e o proprietário do TPR.
    6. No Espaço de gestão de fornecedores, o gerente ou proprietário do TPR abre os questionários e verifica se todas as informações necessárias foram fornecidas.
    7. O gerente ou proprietário do TPR navega até a lista de elementos de terceiros e cria manualmente um registro de elemento de terceiros para cada conjunto de respostas no questionário.
    8. Depois que todos os elementos de terceiros são criados, o gerente ou proprietário do TPR encerra a avaliação.
    9. O sistema muda o estado da solicitação para Coleção em revisão.
    10. As partes interessadas internas (avaliador de TPR, aprovador de TPR, gerente de TPR ou administrador de TPR) revisam e aprovam os registros de elemento.
    11. No Espaço de gestão de fornecedores, o gerente ou proprietário do TPR abre o compromisso e adiciona elementos manualmente como entidades na guia Entidades.
    12. Depois que todas as entidades de elemento de terceiros forem atribuídas a um compromisso, você poderá iniciar o processo de diligência prévia.
    Processo de diligência prévia: coletar informações para gerar uma pontuação de risco
    1. Qualquer um dos processos a seguir resulta na seleção de questionários de diligência prévia externa:
      • No Espaço de gestão de fornecedores, o gerente de RTP seleciona os questionários aos quais o TP e os contatos de compromisso respondem.
      • O sistema seleciona automaticamente os questionários de acordo com as configurações definidas para fazer as seleções. Para obter mais informações sobre como configurar questionários externos a serem selecionados com base nas respostas do questionário interno, consulte Configurar respostas de questionário interno para anexar automaticamente questionários externos a avaliações.
      • O sistema seleciona automaticamente os questionários de acordo com as regras de negócio que foram definidas para fazer as seleções.

    2. Independentemente do método de seleção usado na etapa 1, dois questionários externos de diligência prévia são selecionados:

      • Um conjunto coleta informações sobre a organização de terceiros. O contato de TP responde a esse questionário.
      • O outro conjunto coleta informações sobre a unidade de negócios na organização de terceiros que é o assunto do compromisso. O contato do compromisso (conforme especificado na solicitação de diligência prévia) responde a esse questionário.
      Nota:
      Se você concluiu o processo opcional de coleta de elementos de TP, um questionário deve ser selecionado e atribuído como parte de uma avaliação para cada elemento de terceiros criado. Os questionários de elemento de terceiros são preenchidos pelo contato do compromisso.
    3. No Espaço de gestão de fornecedores, o gerente de RTP revisa os questionários selecionados automaticamente aos quais o TP e os contatos de compromisso respondem. O gerente de TPR valida ou modifica as seleções e aprova o conjunto de questionários. Para obter mais informações sobre como criar avaliações externas, consulte Criar uma avaliação de risco externo.
    4. O sistema envia uma notificação por e-mail para as pessoas no terceiro. As mensagens notificam o contato do TP e o contato do compromisso para responder aos questionários externos.
      Nota:
      Não faça mudanças em um modelo de questionário depois que ele já estiver em uso. Você pode duplicar o modelo fazendo uma cópia. Se você fizer mudanças em um questionário depois que ele tiver sido enviado como parte de uma avaliação externa, essas atualizações não serão exibidas no questionário exibido no portal de terceiros. Para obter mais informações, consulte Criar um modelo de questionário ou solicitação de documento e Criar um modelo de questionário ou solicitação de documento usando o Designer.
    5. No portal de terceiros, os contatos do TP e do compromisso respondem aos questionários diretamente ou atribuem as tarefas a outros contatos na organização de terceiros.
      Nota:
      O portal de terceiros está totalmente isolado da instância da sua organização.

      Em um processo iterativo, antes que o gerente de TPR feche uma avaliação, o gerente de TPR pode gerar problemas e tarefas de não conformidade. O gerente de RTP se comunica com os contatos de TP e de compromisso usando comentários para encerrar os problemas e as tarefas. O gerente de RTP também pode atribuir diferentes contatos conforme necessário. Para obter mais informações, consulte Gerenciar problemas.

    6. O contato de TP e o contato de compromisso retornam os questionários concluídos.
    7. O sistema muda o estado da solicitação para Pronto para aprovação de TPRM e envia alertas para os gerentes de TPR.
    8. No Espaço de gestão de fornecedores, o gerente de TPR valida que os questionários foram recebidos, concluídos e assinados, se necessário, e fecha a fase de avaliação para iniciar o processo de aprovação.
    Nota:
    Se o gerente de risco de terceiros ou proprietário selecionar a opção Ignorar processo de risco de contrato durante o processo de diligência prévia, o negociador de contrato atribuído não será notificado e o estado do processo de risco de contrato será ignorado. Um aprovador e proprietário podem atualizar a seleção Ignorar processo de risco de contrato até que o processo de aprovação seja concluído. Para obter mais informações sobre esse processo, consulte Gestão do processo de solicitação de diligência prévia.
    Processo de aprovação: a parte interessada interna analisa cada aspecto de risco

    Todas as partes interessadas internas (aprovadores) revisam as respostas ao questionário e os documentos de suporte dos contatos de terceiros e de compromisso. Se as respostas forem boas, um ou mais aprovadores aprovarão e fecharão a solicitação de DD. Se um contrato for preparado, a solicitação aprovada será movida para o processo de risco do contrato.

    • Os aprovadores podem aprovar ou rejeitar a solicitação e fechá-la.
    • O fechamento da solicitação a move para o processo de risco do contrato ou, se nenhum contrato estiver envolvido, o compromisso será iniciado.
    Processo de risco do contrato

    Após a aprovação, todas as informações de diligência prévia podem ser disponibilizadas para o negociador de contratos. Usando o Espaço de gestão de fornecedores, o negociador de contratos acessa todos os dados gerados durante os processos anteriores para projetar e liquidar o contrato:

    • O negociador de contrato pode ignorar o processo de risco do contrato se um contrato não for mais necessário.
    • O negociador de contrato pode solicitar diligência prévia adicional se for necessário.
    • Se o negociador de contratos executar com sucesso um contrato com o terceiro, ele poderá carregá-lo e especificar que o contrato é executado para notificar automaticamente todas as principais partes interessadas.
    • O negociador de contratos pode especificar que o contrato não será executado e que o terceiro não será envolvido nos negócios.
    • O negociador de contratos pode especificar que o contrato seja rescindido e que o terceiro não seja envolvido nos negócios.
    Nota:
    A partir da versão 19.1.x da aplicação Gestão de riscos de terceiros, o questionário de hierarquização e os fluxos de trabalho de lembretes de avaliação externa foram descontinuados e migrados para Workflow Studio. Se você personalizou esses fluxos de trabalho, eles não serão descontinuados nem migrados como parte dessa mudança.