Workflow de diligence raisonnable

  • Rversion finale: Australia
  • Mis à jour 12 mars 2026
  • 11 minutes de lecture

    • Les processus de gestion des risques liés aux tiers (TPRM) fournissent un cadre cohérent pour votre programme de gestion des risques liés aux tiers. Vous pouvez personnaliser les processus de workflow pour répondre aux besoins de votre organisation.

    Processus du workflow de diligence raisonnable

    Chaque tâche d’un processus doit être terminée avant que la tâche suivante puisse être lancée. Les rôles des utilisateurs qui effectuent les différentes tâches sont décrits dans .Rôles dans Gestion des risques liés aux tiers Le diagramme suivant décrit le workflow de diligence raisonnable.

    Figure 1. Workflow de diligence raisonnable

    Infographie qui montre où les processus du workflow de diligence raisonnable sont effectués. Pour la description du texte, consultez les étapes du workflow qui suivent.
    Processus de demande : demander à démarrer un nouvel engagement, à réévaluer ou à séparer un engagement existant
    1. Un employé de votre organisation demande une diligence raisonnable pour un engagement tiers.
      1. L’employé se connecte à Centre des employés son instance. Ils ouvrent le formulaire de demande de diligence raisonnable et précisent le nom du tiers et le motif de la demande :
        • Intégration d’un nouvel engagement
        • Réévaluer un risque pour un engagement existant
        • Réévaluer un engagement existant pour préparer un renouvellement de contrat
        • Séparation d'un engagement avec diligence raisonnable
        • Séparation d’un engagement sans diligence raisonnable
        Remarque :
        Lors de la séparation d’un engagement sans diligence raisonnable, la collecte des éléments TP et le processus de diligence raisonnable ne sont pas applicables.
      2. L’employé fournit des détails sur le tiers et l’engagement. Les informations comprennent notamment le produit ou le service à évaluer dans le cadre de cet engagement, l’utilisateur qui répondra à l’évaluateur du questionnaire sur les risques inhérents (IRQ) et le contact du tiers (TP) ou le contact pour l’engagement qui répondra aux questionnaires externes.
      3. À tout moment, un fournisseur externe de renseignements sur les risques peut mettre à jour les données de risque pour le tiers, car un gestionnaire des risques de tiers (TPR) peut avoir intégré les services d’un fournisseur de renseignements sur les risques lors de la configuration de l’application.
      4. L’employé soumet le formulaire.
      5. Le système envoie une notification par e-mail à l’employé qui a fait la demande.
      6. Le système envoie une notification par e-mail au groupe d’affectation des demandes de diligence raisonnable. Un membre du groupe peut affecter un gestionnaire ou un évaluateur TPR pour agir en tant que propriétaire de la demande. Cette action déclenche une tâche pour le gestionnaire TPR.
    2. Le gestionnaire TPR définit le champ d’application de la demande, la met à jour selon les besoins, puis l’approuve ou la rejette.
      1. Le gestionnaire TPR se connecte Espace de travail de gestion des fournisseurs et accède à la page de gestion de la diligence raisonnable, où il examine et met à jour la demande :
        • Le responsable du TPR examine la personne qui a été suggérée comme évaluateur de l’IRQ. Si nécessaire, ils peuvent spécifier une autre personne comme évaluateur IRQ.
        • Le gestionnaire TPR peut démarrer une discussion avec le demandeur et d’autres utilisateurs en sélectionnant Discuter. Le message est enregistré dans la section Activité de l’onglet Détails .

      2. Le gestionnaire TPR rejette ou approuve la demande. Si le gestionnaire TPR accepte la demande, le processus IRQ commence.

    Remarque :
    Les évaluateurs TPR peuvent créer des évaluations tierces récurrentes pour réévaluer un risque selon un calendrier régulier. Pour plus d'informations, consultez Configurer une évaluation des risques pour qu’elle se répète sur un calendrier et Gestion pilotée par événement : automatiser les processus d’évaluation.
    Processus IRQ : définir le champ d’application du risque
    1. Le gestionnaire TPR examine et approuve l’IRQ.
      1. Dans le Espace de travail de gestion des fournisseurs, le gestionnaire TPR examine et approuve l’IRQ à partir d’une liste dans le système.

        L’administrateur TPR peut créer des IRQ personnalisées pour une organisation. Le contenu de chaque IRQ est créé et maintenu par la personne responsable du domaine d’activité, de la géographie ou du tiers. Pour définir une IRQ, l’administrateur TPR ajoute des exemples de questions à un modèle de questionnaire et les modifie si nécessaire. Les exemples de questions sont fournis dans la section système de base. La définition d’une IRQ est un processus no-code.

        Conseil :
        Le gestionnaire TPR peut utiliser la réponse à une question d’un IRQ pour déterminer les questionnaires à envoyer au tiers évalué. Cette fonctionnalité n’est disponible que si l’application Gestion des risques liés aux tiers a été activée.

        Pour plus d'informations, consultez Configurer des réponses au questionnaire interne pour joindre automatiquement des questionnaires externes aux évaluations.

      2. Le gestionnaire TPR rejette la demande de diligence raisonnable ou l’approuve. Lorsque la demande est approuvée, le système envoie l’IRQ à l’évaluateur de l’IRQ, qui est une personne concernée interne au sein d’une organisation.
      3. L’évaluateur de l’IRQ est informé de l’IRQ à la fois par e-mail et par une nouvelle tâche dans sa file d’attente.
        Remarque :
        Le système peut également envoyer automatiquement des évaluations des risques de tiers lorsque des changements sont apportés à un score de risque.
    2. Les utilisateurs internes répondent à l’IRQ :
      1. Dans , Centre des employés tout utilisateur intéressé par l’engagement ouvre l’IRQ et y répond.

        Plusieurs réponses soulèvent d’autres questions de clarification. Les réponses peuvent déterminer quels questionnaires externes sont générés automatiquement et ajoutés aux ensembles pour le contact TP et d’engagement.

        Par exemple, si un évaluateur de l’IRQ répond que le tiers interagit avec des représentants du gouvernement dans le cadre de l’engagement, un questionnaire anti-corruption approprié au pays du tiers est inclus (ABAC aux États-Unis ou FCBA dans le UE).

      2. L’évaluateur de l’IRQ soumet l’IRQ remplie. Cette action déclenche une tâche pour le gestionnaire TPR.
    3. Les personnes concernées internes (réviseur d’évaluation tiers, évaluateur TPR, approbateur TPR, gestionnaire TPR ou administrateur TPR) examinent les réponses IRQ :
      1. Dans le Espace de travail de gestion des fournisseurs, les utilisateurs examinent les réponses IRQ.
      2. Le gestionnaire du TPR peut demander des éclaircissements à l’évaluateur de l’IRQ, puis rejeter ou approuver les réponses de l’IRQ.
      3. Si un utilisateur concerné interne approuve les réponses IRQ, il passe au processus suivant en fermant la demande d’engagement.
    Remarque :
    Une fois que le processus IRQ est entré dans l’état IRQ en cours, vous pouvez demander des rapports d’intelligence sur les risques associés à votre demande de diligence raisonnable. Pour plus d'informations, consultez Utilisation des rapports et scores des renseignements sur les risques et Demander un rapport d’intelligence sur les risques associé à une demande de diligence raisonnable.
    Processus de collecte d’éléments TP : collecter des informations sur les éléments tiers (facultatif)
    1. Le gestionnaire TPR ou le propriétaire de la demande de diligence raisonnable démarre la collecte d’éléments tiers.
      1. Dans , si des éléments tiers sont nécessaires, le gestionnaire ou le propriétaire du TPR sélectionne Démarrer la Espace de travail de gestion des fournisseurscollecte et une tâche de collecte est créée.
      2. Le gestionnaire ou titulaire du TPR accède à l’onglet de tâche de collecte et affecte les questionnaires de collecte d’éléments tiers pertinents à l’évaluation externe.
        Remarque :
        Dans le système de base cadre du , des exemples de questionnaires pour la collecte et l’évaluation sont disponibles pour les éléments de tiers classés comme une installation, un mandant, des produits ou autres.
      3. Le gestionnaire ou le propriétaire du TPR examine et approuve les questionnaires, puis ils les envoient au tiers.
    2. Le système envoie une notification par e-mail aux personnes du tiers. Les messages informent le contact du tiers pour qu’il réponde aux questionnaires de collecte d’éléments tiers.

    3. Dans le portail du tiers, les contacts de tiers répondent directement aux questionnaires ou affectent les tâches à d’autres contacts de l’organisation.

    4. Le contact du tiers renvoie les questionnaires remplis.
    5. Le système modifie l’état de l’évaluation sur Réponses reçues et envoie des alertes au gestionnaire et au propriétaire de TPR.
    6. Dans le Espace de travail de gestion des fournisseurs, le gestionnaire ou le propriétaire du TPR ouvre les questionnaires et vérifie que toutes les informations requises ont été fournies.
    7. Le gestionnaire ou titulaire du TPR accède ensuite à la liste des éléments tiers et crée manuellement un enregistrement d’élément tiers pour chaque ensemble de réponses du questionnaire.
    8. Une fois que tous les éléments tiers sont créés, le gestionnaire ou le propriétaire du TPR clôt l’évaluation.
    9. Le système modifie l’état de la demande en Collecte en cours de révision.
    10. Les personnes concernées internes (évaluateur TPR, approbateur TPR, gestionnaire TPR ou administrateur TPR) examinent et approuvent les enregistrements d’éléments.
    11. Dans , le gestionnaire ou titulaire du Espace de travail de gestion des fournisseurs TPR ouvre l’engagement et ajoute manuellement des éléments à l’onglet Éléments d’engagement .
    12. Une fois que tous les éléments tiers ont été affectés à un engagement, vous pouvez démarrer le processus de diligence raisonnable.
    Processus de diligence raisonnable : collecter des informations pour générer un score de risque
    1. L’un ou l’autre des processus suivants entraîne la sélection de questionnaires de diligence raisonnable externes :
      • Dans le Espace de travail de gestion des fournisseurs, le gestionnaire TPR sélectionne les questionnaires auxquels répondent le TP et les contacts d’engagement.
      • Le système sélectionne automatiquement les questionnaires en fonction des configurations définies pour effectuer les sélections. Pour plus d’informations sur la configuration des questionnaires externes à sélectionner en fonction des réponses au questionnaire interne, reportez-vous à la section Configurer des réponses au questionnaire interne pour joindre automatiquement des questionnaires externes aux évaluations.
      • Le système sélectionne automatiquement les questionnaires en fonction des règles métier qui ont été définies pour effectuer les sélections.

    2. Quelle que soit la méthode de sélection que vous avez utilisée à l’étape 1, deux questionnaires de diligence raisonnable externes sont sélectionnés :

      • Un ensemble collecte des informations sur l’organisation tierce. Le contact TP répond à ce questionnaire.
      • L’autre ensemble collecte des informations sur l’unité business au sein de l’organisation tierce qui fait l’objet de l’engagement. Le contact pour l’engagement (tel que spécifié dans la demande de diligence raisonnable) répond à ce questionnaire.
      Remarque :
      Si vous avez terminé le processus de collecte d’éléments TP facultatif, un questionnaire doit être sélectionné et affecté dans le cadre d’une évaluation pour chaque élément tiers que vous avez créé. Les questionnaires sur les éléments de tiers sont remplis par le contact pour l’engagement.
    3. Dans le Espace de travail de gestion des fournisseurs, le gestionnaire TPR examine les questionnaires sélectionnés automatiquement auxquels le TP et les contacts d’engagement répondent. Le gestionnaire TPR valide ou modifie les sélections, puis approuve l’ensemble des questionnaires. Pour plus d’informations sur la création d’évaluations externes, reportez-vous à la section Créer une évaluation externe.
    4. Le système envoie une notification par e-mail aux personnes du tiers. Les messages informent le contact TP et le contact d’engagement pour répondre aux questionnaires externes.
      Remarque :
      N’apportez aucune modification à un modèle de questionnaire une fois qu’il est déjà utilisé. Vous pouvez dupliquer le modèle à la place en effectuant une copie. Si vous apportez des modifications à un questionnaire après son envoi dans le cadre d’une évaluation externe, ces mises à jour ne s’affichent pas dans le questionnaire affiché sur le portail du tiers. Pour plus d'informations, consultez Créer un questionnaire ou un modèle de demande de document et Créer un modèle de questionnaire ou de demande de document à l’aide du concepteur.
    5. Dans le portail du tiers, les contacts TP et d’engagement répondent directement aux questionnaires ou affectent les tâches à d’autres contacts de l’organisation tierce.
      Remarque :
      Le portail du tiers est entièrement isolé de l’instance de votre organisation.

      Dans un processus itératif, avant que le gestionnaire TPR ne ferme une évaluation, il peut générer des tâches et des problèmes de non-conformité. Le gestionnaire TPR communique avec les contacts TP et les contacts d’engagement en utilisant des commentaires pour fermer les problèmes et les tâches. Le gestionnaire TPR peut également affecter différents contacts selon les besoins. Pour en savoir plus, consultez Gérer les problèmes.

    6. Le contact TP et le contact d’engagement renvoient les questionnaires remplis.
    7. Le système passe l’état de la demande à Prêt pour l’approbation TPRM et envoie des alertes aux gestionnaires TPR.
    8. Dans le Espace de travail de gestion des fournisseurs, le gestionnaire de TPR valide que les questionnaires sont reçus, remplis et signés si nécessaire, puis ferme la phase d’évaluation pour lancer le processus d’approbation.
    Remarque :
    Si le gestionnaire des risques ou le propriétaire du tiers sélectionne l’option Ignorer le processus de risque du contrat pendant le processus de diligence raisonnable, le négociateur du contrat affecté n’en est pas informé et l’état du processus de risque du contrat est ignoré. Un approbateur et un propriétaire peuvent mettre à jour la sélection du processus de risque du contrat Ignorer jusqu’à ce que le processus d’approbation soit terminé. Pour plus d’informations sur ce processus, reportez-vous à la section Gestion du processus de demande de diligence raisonnable.
    Processus d’approbation : la personne concernée interne analyse chaque aspect du risque

    Toutes les personnes concernées internes (approbateurs) examinent les réponses au questionnaire et les pièces justificatives des contacts de tiers et d’engagement. Si les réponses sont bonnes, un ou plusieurs approbateurs approuvent, puis ferment la demande DD. Si un contrat est préparé, la demande approuvée passe au processus de risque du contrat .

    • Les approbateurs peuvent approuver ou rejeter la demande, puis la fermer.
    • La fermeture de la demande la déplace soit vers le processus de risque contractuel, soit si aucun contrat n’est impliqué, l’engagement commence.
    Processus de risque du contrat

    Après approbation, toutes les informations de diligence raisonnable peuvent être mises à la disposition du négociateur du contrat. En utilisant le Espace de travail de gestion des fournisseurs, le négociateur du contrat accède à toutes les données générées au cours des processus précédents pour concevoir et régler le contrat :

    • Le négociateur du contrat peut ignorer le processus de risque du contrat si un contrat n’est plus nécessaire.
    • Le négociateur du contrat peut demander une diligence raisonnable supplémentaire si nécessaire.
    • Si le négociateur du contrat exécute avec succès un contrat avec le tiers, il peut le charger et spécifier que le contrat est exécuté pour en informer automatiquement toutes les personnes concernées.
    • Le négociateur du contrat peut spécifier que le contrat n’est pas exécuté et que le tiers ne sera pas engagé pour des affaires.
    • Le négociateur du contrat peut spécifier que le contrat est résilié et que le tiers ne sera pas engagé pour des affaires.
    Remarque :
    À partir de la version 19.1.x de l’application Gestion des risques liés aux tiers , les workflows de questionnaire de hiérarchisation et de rappels d’évaluation externe sont déconseillés et migrés vers Studio de workflow. Si vous avez personnalisé ces workflows, ils ne seront pas déconseillés ou migrés dans le cadre de ce changement.