Use Gestão de risco de terceiros para identificar e avaliar possíveis riscos associados aos seus relacionamentos com terceiros. As informações coletadas de questionários internos, questionários externos e solicitações de documentação ajudam a entender o perfil de risco do terceiro, determinar as estratégias de redução de risco apropriadas e determinar se o terceiro ou compromisso atende a todos os requisitos de conformidade necessários.
Como responder a questionários
Os processos a seguir descrevem o tempo e os métodos para responder a questionários internos e externos:
- Processo de questionário de risco inerente (IRQ)
-
O infográfico a seguir mostra o processo de IRQ.
-
A seguir estão as etapas do processo de IRQ.
- Depois que a solicitação de diligência prévia é aprovada pelo gerente de risco de terceiros (TPR) [sn_vdr_risk_asmt.vendor_risk_manager] ou avaliador de TPR [sn_vdr_risk_asmt.vendor_assessor] que foi atribuído como o proprietário da solicitação de diligência prévia, ele seleciona um IRQ e o anexa a uma avaliação interna.
- O sistema envia uma notificação por e-mail para o funcionário que foi atribuído como avaliador de IRQ [snc_internal].
- O avaliador de IRQ conclui a avaliação de risco interno respondendo ao IRQ.
- Depois que o avaliador de IRQ envia suas respostas e o gerente ou proprietário do TPR revisa e fecha o IRQ, o estado da solicitação de diligência prévia é atualizado de IRQ em andamento para IRQ em revisão.
Nota: Não altere um modelo de questionário depois que ele tiver sido enviado como parte de uma avaliação interna. Em vez disso, duplique o modelo fazendo uma cópia e faça as mudanças na nova cópia. Se você atualizar um questionário depois de enviado, as mudanças não serão exibidas na versão mostrada para o avaliador de IRQ. Para enviar uma versão atualizada, você deve cancelar o questionário existente desassociando-o da avaliação interna e, em seguida, adicionar o questionário usando o modelo atualizado. Para obter mais informações, consulte
Criar um modelo de questionário ou solicitação de documento e
Criar um modelo de questionário ou solicitação de documento usando o Designer.
Com base nas informações coletadas, o gerente de TPR e sua equipe avaliam os riscos potenciais associados ao compromisso. Eles avaliam fatores como estabilidade financeira, capacidade operacional, adesão aos padrões de qualidade, conformidade com regulamentações e capacidade do terceiro de cumprir os cronogramas de entrega. Essa avaliação ajuda a equipe a entender o perfil de risco do terceiro e a determinar as estratégias de redução de risco apropriadas.
Para obter mais informações sobre IRQs, consulte Responder a um IRQ.
- Processo de coleta de elementos de terceiros (TP): coletar informações de elementos de TP
-
O infográfico a seguir mostra o processo de coleta de elementos de TP.
-
A seguir estão as etapas do processo de coleta de elementos de TP.
- Depois que sua solicitação de diligência prévia tiver concluído o processo de IRQ, se os elementos de TP forem necessários, o gerente de TPR ou o proprietário da solicitação de diligência prévia selecionará Iniciar coleta e uma tarefa de coleta será criada.
- O gerente ou proprietário de TPR atribui questionários de elemento TP a uma avaliação externa para coletar elementos e envia essa avaliação para um compromisso para coletar as informações necessárias para elementos TP.
- O sistema envia uma notificação por e-mail para o contato de compromisso de terceiros que foi atribuído ao questionário de elemento de TP.
- Depois que o contato de compromisso de terceiros envia suas respostas, o gerente ou proprietário do TPR revisa e verifica se todas as informações necessárias foram fornecidas nos questionários.
- O gerente ou proprietário do TPR navega até a lista de elementos de terceiros e cria manualmente um registro de elemento de terceiros para cada conjunto de respostas em cada questionário.
Para obter mais informações, consulte Criar um registro de elemento de terceiros.
- Depois que todos os elementos de TP são criados, o gerente ou proprietário do TPR encerra a avaliação da tarefa de coleta. O sistema muda o estado da solicitação de Coleta em andamento para Coleta em revisão.
- As partes interessadas internas (avaliador de TPR, aprovador de TPR, gerente de TPR ou administrador de TPR) revisam e aprovam os registros de elemento.
Este é um processo opcional para coletar elementos de TP e atribuí-los a compromissos para que possam ser avaliados como parte do fluxo de trabalho geral de diligência prévia. Para obter mais informações sobre elementos de TP, consulte Monitoramento de elementos de terceiros.
- Processo de diligência prévia: verificação de conformidade
-
O infográfico a seguir mostra o processo de diligência prévia.
- A seguir estão as etapas do processo de diligência prévia.
- Depois que o processo de IRQ ou o processo de coleta de elementos de TP é concluído, o gerente ou proprietário de TPR seleciona questionários e solicitações de documentação a serem anexados a avaliações externas para envio ao terceiro ou compromisso. Para obter mais informações sobre como criar avaliações, consulte Criar uma avaliação de risco externo e Formulário de avaliação de risco de terceiros.
Nota: Se você concluiu o processo opcional de coleta de elementos de TP, um questionário deve ser selecionado e atribuído como parte de uma avaliação para cada elemento de terceiros criado. Os questionários de elemento de TP são concluídos pelo contato do compromisso.
- O sistema envia uma notificação por e-mail para o terceiro e o contato do compromisso que foi atribuído a cada avaliação.
Nota: Não altere um modelo de questionário depois que ele tiver sido enviado como parte de uma avaliação externa. Em vez disso, duplique o modelo fazendo uma cópia e faça as mudanças na nova cópia. Se você atualizar um questionário depois de enviado, as mudanças não serão exibidas na versão mostrada no portal de terceiros. Para enviar uma versão atualizada, você deve cancelar o questionário existente desassociando-o da avaliação externa e, em seguida, adicionar o questionário usando o modelo atualizado. Para obter mais informações, consulte
Criar um modelo de questionário ou solicitação de documento e
Criar um modelo de questionário ou solicitação de documento usando o Designer.
- Depois que os contatos de terceiros e do compromisso enviam suas respostas, o gerente ou proprietário do TPR revisa e verifica se todas as informações necessárias foram fornecidas nas avaliações. Problemas e tarefas serão criados se a correção ou informações adicionais forem necessárias.
- O gerente ou proprietário do TPR aprova e fecha cada avaliação.
O gerente de TPR pode desenvolver modelos de avaliação para simplificar e automatizar o processo de determinação de quais questionários e solicitações de documentos serão enviados a um terceiro desse tipo. O administrador do TPR pode definir modelos de questionário, modelos de solicitação de documento e, em seguida, o gerente do TPR pode agrupá-los em um modelo de avaliação. Sua organização pode reutilizar o modelo para enviar os questionários e solicitações de documentos para terceiros semelhantes em avaliações futuras. Para obter mais informações sobre modelos, consulte Criar um modelo de avaliação, Criar um modelo de questionário ou solicitação de documentoe Criar um modelo de questionário ou solicitação de documento usando o Designer.
O gerente de TPR e sua equipe usam as respostas de terceiros e a análise interna para determinar se o terceiro atende a todos os requisitos de conformidade necessários. Esses requisitos podem incluir a verificação da conformidade do terceiro com as leis e regulamentações aplicáveis, como regulamentações ambientais, leis trabalhistas e políticas anticorrupção.
Devido à natureza confidencial dos itens envolvidos, o gerente do TPR e sua equipe avaliam as práticas de segurança e privacidade de dados de terceiros. Eles avaliam as medidas de segurança da informação de terceiros, as políticas de proteção de dados, os controles de acesso e os processos de gestão de vulnerabilidades. Se o terceiro tiver acesso a informações proprietárias ou dados do cliente, ele poderá exigir que o terceiro passe por uma auditoria de segurança cibernética ou forneça evidências de suas medidas de proteção de dados.
Para obter mais informações sobre como revisar respostas, consulte Revisar respostas a questionários externos.Nota: Seu avaliador de TPR pode exportar questionários recebidos ou devolvidos para
Microsoft planilhas do Excel. Esta opção permite que sua organização use o ambiente de planilha para revisar as perguntas e respostas. Para obter mais informações sobre como exportar respostas de questionários, consulte
Exportar respostas do questionário para uma planilha.
Preencher previamente os questionários com as respostas
O gerente ou avaliador de TPR pode preencher previamente questionários para terceiros, compromissos e entidades com respostas de questionários completos associados ao mesmo terceiro. Depois de enviar a avaliação, o questionário é preenchido previamente com todas as respostas da versão concluída mais recente desse questionário, independentemente de a avaliação associada original estar concluída. Isso é útil para questionários em que as respostas devem permanecer consistentes, acelerando o processo e permitindo que os contatos de terceiros revisem e atualizem as respostas somente se necessário. Para obter mais informações sobre como criar avaliações, consulte
Criar uma avaliação de risco externo.
Quando um terceiro ou contato de compromisso abre um questionário preenchido previamente no Portal de terceiros, ele recebe uma notificação de que as respostas foram copiadas de um questionário anterior. A notificação inclui um link para a avaliação que forneceu as respostas e sua última data de atualização, conforme mostrado no exemplo a seguir.
Limitações:
- Alguns tipos de pergunta e suas respostas não podem ser preenchidos previamente, como os tipos de pergunta de anexo, duração e assinatura. Essas respostas de pergunta permanecem em branco e as respostas anteriores não são incluídas.
- As respostas são copiadas da avaliação original (Avaliação A) para a avaliação mais recente (Avaliação B) uma vez. Esta cópia ocorre quando a Avaliação B é enviada a um terceiro ou a um compromisso. As mudanças feitas na Avaliação A posteriormente não serão refletidas na Avaliação B. Ambas as avaliações permanecem separadas.
Problemas e tarefas
A função de avaliador de TPR [sn_vdr_risk_asmt.vendor_assessor] é necessária para criar e gerenciar tarefas e problemas.
O gerente de TPR, o avaliador de TPR ou o negociador de contratos podem criar tarefas para ajudar a garantir que um membro da equipe ou o contato de terceiros responda às preocupações sobre as respostas do questionário ou os documentos solicitados. Eles podem gerenciar tarefas existentes para verificar se o membro da equipe atribuído ou o contato de terceiros responde a uma tarefa e a atualiza conforme necessário. Para obter mais informações sobre como criar e gerenciar problemas, consulte Criar uma tarefa para um terceiro ou compromisso e Gerenciar uma tarefa para um terceiro ou compromisso.
O gerente de TPR, o avaliador de TPR ou o negociador de contratos podem criar um problema para ajudar a garantir que as preocupações das equipes sobre um terceiro ou compromisso sejam corrigidas. Eles também podem gerenciar os problemas existentes para verificar se eles foram compreendidos, compartilhados com as pessoas corretas e se são tratados conforme necessário. Para obter mais informações sobre como criar e gerenciar tarefas, consulte Criar um problema para um terceiro ou compromisso e Gerenciar problemas.
Ações de avaliação adicionais
O gerente de TPR, o proprietário da solicitação de diligência prévia ou o negociador de contratos podem precisar reabrir uma avaliação porque há novas informações disponíveis que afetam o compromisso ou ocorreu alguma outra mudança. Para obter mais informações, consulte Por que você realiza a diligência prévia.
Se o gerente de TPR, o proprietário da solicitação de diligência prévia ou o negociador de contrato precisarem coletar mais informações de um compromisso, eles poderão enviar um questionário adicional ou solicitação de documento reabrindo uma avaliação e executando as seguintes ações:
- Navegue até a página de registro de solicitação de diligência prévia selecionando o número de DDR relevante.
- Exiba a avaliação de risco de terceiros relacionada selecionando o número do VRA na guia Avaliação de risco de terceiros.
- Selecione Reabrir.
O estado da solicitação de diligência prévia é atualizado de Pronto para aprovação de TPRM para Diligência prévia. O gerente, o proprietário ou o negociador de contratos de RTP podem solicitar questionários e documentar solicitações conforme necessário. Para obter mais informações, consulte Reabrir uma avaliação.
Se o gerente de TPR, o proprietário da solicitação de diligência prévia ou o negociador de contratos não precisar de uma avaliação para um compromisso em andamento ou precisar de um fechamento rápido para integrar ou renovar um compromisso, ele poderá cancelar uma avaliação executando as seguintes ações:
- Navegue até a página de registro de solicitação de diligência prévia selecionando o número de DDR relevante.
- Exiba a avaliação de risco de terceiros relacionada selecionando o número do VRA na guia Avaliação de risco de terceiros.
- Selecione Cancelar.
Mesmo que uma ou todas as avaliações sejam canceladas, a solicitação de diligência prévia prossegue para o processo de aprovação.