Monitorando suas partes a partir do quarteirizado

  • Versão de lançamento: Yokohama
  • Atualizado 30 de jan. de 2025
  • 4 min. de leitura

    • Você pode identificar e gerenciar os riscos de terceiros que dependem dos serviços das quarteirizadas partes usando a aplicação Gestão de risco de terceiros. Ao monitorar suas partes quarteirizadas, você pode ajudar a garantir que elas adotem os mesmos padrões de segurança e conformidade que o terceiro primário.

    Partes do quarteirizado

    As partes do quarteirizado podem incluir várias entidades, como subfornecedores, provedores de serviços, consultores ou qualquer outra organização da qual o terceiro confie para entregar seus produtos ou serviços. Essas partes podem ter acesso a seus dados, sistemas ou processos confidenciais, o que as torna possíveis fontes de risco.

    Vejamos alguns exemplos de risco de quarteirizados:
    Peças
    Uma empresa usa regularmente um item de um terceiro que depende de uma peça de hardware de outra organização. Nesse caso, a organização que fornece a peça adicional é um quarteirizado que pode criar um risco descendente para o item fornecido pelo terceiro.
    Serviços
    Uma empresa armazena sua aplicação de folha de pagamento usando o serviço Processamento automático de dados (ADP). O serviço ADP é um serviço de terceiros que depende de Amazon Web Services (AWS) para armazenar seus dados. O serviço ADP depende de AWS para ter medidas e processos de segurança em vigor para proteger seus dados e manter sua segurança. Embora AWS geralmente seja um terceiro de serviços primários, o serviço AWS é um quarteirizado para o terceiro ADP neste caso.

    Você pode vincular dois quarteirizados entre si. Por exemplo, um link pode ocorrer quando uma organização que fornece uma peça adicional depende de outro quarteirizado para entregar a peça de hardware. No entanto, você não pode criar um loop ao vincular dois quarteirizados. O ponto de partida pode ser um terceiro ou um quarteirizado. Por exemplo, vamos considerar o quarteirizado A, que tem um quarteirizado secundário B. O quarteirizado B, por sua vez, tem um quarteirizado secundário C. No entanto, o quarteirizado C não pode ter um secundário que leve de volta ao quarteirizado A. Essa restrição garante que uma dependência circular não seja formada entre as quarteirizadas.

    Ações de quarteirizados

    Como parte do seu programa de gestão de riscos, você pode adicionar informações de quarteirizados manualmente ou coletando respostas de terceiros usando um questionário de registro de quarteirizado. Você pode criar manualmente um registro de quarteirizado se não tiver tempo para enviar um questionário a um terceiro ou precisar criar apenas um registro. Depois de revisar e registrar ou criar manualmente esses registros de quarteirizados, eles ficam disponíveis para monitoramento usando Espaço de gestão de fornecedores. Conforme seus relacionamentos de negócios mudam, você pode manter as informações relevantes atualizadas ao promover um registro de quarteirizado para um registro de terceiro. Este registro de terceiros incorpora todas as informações existentes e designa o quarteirizado existente como um quarteirizado conhecido.

    Aqui estão as diferentes ações que você pode realizar para gerenciar e monitorar partes do quarteirizado:

    Registrar as partes a partir do quarteirizado
    Se você for um avaliador ou gerente de risco de terceiros (TPR), poderá registrar partes do quarteirizado depois de coletar respostas de um terceiro usando o questionário de registro de quarteirizado. Você pode enviar o questionário de registro de quarteirizado somente para terceiros e não para compromissos. Para obter mais informações, consulte Registrar uma parte a partir do quarteirizado.
    Exibir as partes a partir do quarteirizado que estão associadas a um terceiro
    Você pode exibir todas as partes relacionadas a quarteirizados navegando até a guia Fornecedores descendentes da página de terceiros em Espaço de gestão de fornecedores. Exibir todos os quarteirizados que estão vinculados a um terceiro pode ajudá-lo a tomar decisões fundamentadas sobre como iniciar ou continuar um relacionamento com um compromisso. Por exemplo, se um quarteirizado associado a um terceiro for conhecido por riscos mais altos no setor automotivo, ainda poderá ser aceitável buscar um compromisso em um setor diferente. No entanto, se um compromisso com o mesmo terceiro envolver a indústria automotiva, o risco poderá ser considerado muito alto.

    Para obter mais informações sobre como exibir todas as partes relacionadas a quarteirizados, consulte Exibição de informações sobre quarteirizados.

    Exibir a seção de visão geral de quarteirizados
    Você pode exibir os quarteirizados conhecidos, as subpartes associadas aos terceiros e os quarteirizados desconhecidos navegando até a página inicial Espaço de gestão de fornecedores. Ter essa exibição de alto nível é útil para entender a quantidade de informações disponível para um quarteirizado e como ela se relaciona com outros terceiros e compromissos. Por exemplo, se for um quarteirizado conhecido, você poderá aproveitar todas as informações de diligência prévia existentes que foram coletadas enquanto ele era avaliado como um terceiro.
    Nota:
    Os quarteirizados conhecidos são organizações que já foram usadas como terceiros em seu programa de gestão de riscos. Os quarteirizados desconhecidos são categorizados somente como quarteirizados que não foram usados ou identificados como terceiros.

    Para obter mais informações sobre como exibir os quarteirizados conhecidos, as subpartes associadas aos terceiros e os quarteirizados desconhecidos, consulte Página inicial da TPRM.

    Criar manualmente um registro de quarteirizado
    Se você for um avaliador ou gerente de TPR, poderá criar manualmente um registro de quarteirizado.

    Para obter mais informações sobre como criar um registro de quarteirizado, consulte Criar um registro de quarteirizado.

    Nota:
    Você pode adicionar um terceiro existente como quarteirizado de outro terceiro navegando até a guia Fornecedores descendentes de uma página de terceiros no Espaço de gestão de fornecedores e selecionando Adicionar. Depois de adicionado, o terceiro existente é categorizado como terceiro e quarteirizado para o terceiro escolhido e inclui todas as informações coletadas.
    Promover um quarteirizado a um terceiro
    Se você for um avaliador ou gerente de TPR, poderá promover um registro de quarteirizado para um terceiro. Depois de promover um quarteirizado a um terceiro, um registro de terceiro é criado e o quarteirizado existente é identificado como um quarteirizado conhecido.

    Para obter mais informações sobre como promover um registro de quarteirizado para um registro de terceiros, consulte Promover um quarteirizado a um terceiro.