Intégrations de fournisseurs de renseignements sur les risques

  • Rversion finale: Australia
  • Mis à jour 12 mars 2026
  • 4 minutes de lecture

    • L’application Gestion des risques liés aux tiers inclut la prise en charge des intégrations de fournisseurs de renseignements sur les risques. Ces directives peuvent aider votre organisation à développer une intégration de fournisseur de renseignements sur les risques pour les demandes de rapport de renseignements sur les risques (RIR) pour les tiers et les demandes de diligence raisonnable.

    Exigences d’intégration

    L’application TPRM permet à votre organisation de s’intégrer à des fournisseurs de contenu externes de renseignements sur les risques. Si vous avez le rôle d’évaluateur des risques tiers (TPR) [sn_vdr_risk_asmt.vendor_risk_assessor] ou de gestionnaire TPR [sn_vdr_risk_asmt.vendor_risk_manager], vous pouvez demander les scores ou les rapports pour des tiers à l’aide du formulaire de demande d’intelligence sur les risques. Une fois les rapports générés par le fournisseur, les liens vers les rapports sont téléchargés sur l’application Gestion des risques liés aux tiers et associés au tiers concerné.
    Remarque :
    Avant de demander des rapports et des scores, un membre de l’équipe disposant du rôle d’examinateur d’évaluation TPR [sn_vdr_risk_asmt.vendor_assessment_reviewer] doit enregistrer les fournisseurs et configurer les fournisseurs et les types de demande dans l’application Gestion des risques liés aux tiers . Pour en savoir plus, consultez Enregistrer un fournisseur de renseignements sur les risques, Configurer un service de fournisseur de renseignements sur les risques et Configurer un type de demande pour un fournisseur.

    Le diagramme suivant montre les états du flux de demandes RIR et leur relation avec les exigences d’intégration pour les fournisseurs de renseignements sur les risques.

    Figure 1. Intégration des demandes RIR
    Diagramme de flux d’intégration RIR. Pour la description du texte, reportez-vous au texte qui suit ce schéma.

    Processus d’intégration :

    1. Toutes les demandes RIR ayant l’état Commande en attente sont prêtes à être envoyées au fournisseur de renseignements sur les risques.
    2. Une tâche nocturne est configurée par l’API d’intégration pour vérifier les enregistrements de demande de rapport qui sont dans l’état En attente de commande.
    3. L’API d’intégration met à jour l’état de l’enregistrement de la demande RIR sur Commande en cours,

    4. L’API d’intégration envoie au fournisseur un paquet qui inclut les noms des enregistrements et leurs tables sources correspondantes :

      • rir_sysid [sn_tprm_dd_risk_intel_request]
      • provider_sysid [sn_vdr_risk_asmt_tpss_provider_basic]
      • third_party_sysid [core_company]
      • third_party_name [core_company]
      • request_type_sysid [sn_tprm_dd_risk_intel_request_type]
      • request_type_name [sn_tprm_dd_risk_intel_request_type]
      • provider_service_sysid [sn_vdr_risk_asmt_tpss_provider]
    5. Si le paquet n’est pas envoyé avec succès, l’API d’intégration met à jour l’état de la demande RIR sur Fermé incomplet.
    6. Après avoir reçu la demande RIR, le fournisseur de renseignements sur les risques la traite et rassemble des informations, notamment l’URL, le score et le contenu.
    7. Le fournisseur de renseignements sur les risques renvoie un paquet pour chargement dans l’application Gestion des risques liés aux tiers .

      Le paquet contient les noms suivants des enregistrements, leurs tables sources correspondantes et leur contenu :

      • rir_sysid [sn_tprm_dd_risk_intel_request]
      • provider_sysid [sn_vdr_risk_asmt_tpss_provider_basic]
      • third_party_sysid [core_company]
      • request_type_sysid [sn_tprm_dd_risk_intel_request_type]
      • provider_service_sysid [sn_vdr_risk_asmt_tpss_provider]
      • URL
      • score
      • Évaluation
      • contenu
      Remarque :
      Le score ou l’évaluation doit être le score ou l’évaluation du fournisseur. Le fournisseur doit avoir configuré un mappage pour convertir son score en score via un ServiceNow enregistrement de service fournisseur.

    8. À l’aide des informations du paquet, l’API d’intégration crée un enregistrement de score de renseignements sur les risques [sn_vdr_risk_asmt_security_score] et remplit le champ URL. Cette URL est utilisée pour télécharger et joindre les rapports à l’enregistrement de demande RIR associé [sn_tprm_dd_risk_intel_request].

    9. L’API d’intégration met à jour l’état de la demande RIR de Commande en cours à Fermé terminé ou Fermé incomplet, selon que le fournisseur de renseignements sur les risques termine le rapport ou ne l’envoie pas et décide de fermer la commande.

    Limitations

    L’API d’intégration ne met pas à jour l’enregistrement des scores dans la table des scores. Si l’API ne parvient pas à renseigner un champ lors de la création d’un enregistrement de score, un nouvel enregistrement de score est créé à la place de la mise à jour de l’enregistrement existant. Par exemple, si l’API n’a pas associé de score à une demande RIR, elle doit appeler à nouveau l’API pour créer un nouveau score et l’associer à la demande RIR.

    États des demandes de rapports d’intelligence sur les risques

    Les demandes de rapports d’intelligence sur les risques présentent les états potentiels suivants :

    Ouvertes
    Une demande RIR entre dans cet état après que l’enregistrement a été créé et enregistré par le gestionnaire des risques de tiers (TPR), l’évaluateur TPR ou le négociateur du contrat affecté à la demande de diligence raisonnable. Pour chaque demande de renseignements sur les risques, le système attribue automatiquement un numéro d’ID unique qui commence par le texte RIR.
    Commande en attente
    Une demande RIR entre dans cet état une fois que l’enregistrement a été soumis par le gestionnaire des risques de tiers (TPR), l’évaluateur TPR ou le négociateur du contrat affecté à la demande de diligence raisonnable.

    Les changements suivants interviennent :

    • La commande a été soumise au fournisseur.
    • Le champ Date de la demande a été renseigné avec la date à laquelle cet enregistrement a été soumis.
    • Tous les champs de la section Demande de rapport d’intelligence sur les risques sont en lecture seule.
    Commande en cours
    Une demande RIR entre dans cet état après réception de la commande par le fournisseur.

    Les changements suivants interviennent :

    • Les enregistrements de score sont générés avec la demande de rapport.
    • Le score généré sur le champ est mis à jour.
    Fermé incomplet
    Une demande RIR entre dans cet état après réception de la commande par le fournisseur, mais n’a pas pu être traitée en raison d’une erreur, la commande a donc été fermée.
    Fermé terminé
    Une demande RIR entre dans cet état après réception et traitement de la commande par le fournisseur.
    Annulé
    Une demande RIR entre dans cet état après qu’un gestionnaire, un évaluateur TPR ou un négociateur de contrat a annulé la demande de rapport. Si un gestionnaire TPR, un évaluateur TPR ou un négociateur de contrat doit annuler une demande, cela peut être fait lorsque la demande est à l’état Ouvert ou En attente de commande . Une fois qu’une demande RIR est annulée, cet enregistrement ne peut plus être modifié. Vous devez créer un enregistrement.