Abgestufte Drittpartei-Risikobewertungen – Legacy-Prozess

  • Freigeben Version: Washingtondc
  • Aktualisiert 1. Februar 2024
  • 1 Minute Lesedauer

    • Organisationen verwenden Risikostufen, um ihre Drittparteien in Kategorien potenzieller Risiken zu klassifizieren, die zum Zeitpunkt des Onboardings bestehen. Die standardmäßig vordefinierten Risikostufen sind Keine, Niedrig, Gering, Moderat, Hoch und Kritisch. Jeder Risikostufe sind Bewertungsfragen und Dokumentanforderungen zugeordnet.

    Der vollständigere IRQ-Prozess ersetzt die Abstufung

    In der Anwendung TPRM ist der IRQ ein interner Fragebogen, der den ursprünglichen abgestuften Bewertungsprozess verbessert. IRQs verbessern interne Risikobewertungen durch mehr Flexibilität, Kontrolle und Skalierbarkeit.

    Um einen nahtlosen Übergang zu TPRMzu ermöglichen, haben Sie die Möglichkeit, vorhandene abgestufte Bewertungen zu duplizieren und als interne IRQ-Bewertungen zu kennzeichnen. Die Risikoabstufung wird als unveränderlicher Legacy-Prozess unterstützt.

    Legacy-Vorgang

    1. Die meisten Organisationen importieren ihr Drittanbieterportfolio über eine Tabelle oder eine Integration mit einer anderen Onboarding-Lösung. TPR-Manager aktualisieren laufend Informationen von Drittparteien, einschließlich Risikosicherheitspunktzahlen und Risikostufen.
    2. Der TPR-Manager oder TPR-Gutachter bestimmt die Risikostufe oder -kategorien des Risikos für die Drittpartei.
    3. Der TPR-Manager wählt die Drittpartei aus, weist die Vorlage für den abgestuften Fragebogen zu und weist den internen Beurteiler zu, der für den Abschluss der Bewertung erforderlich ist. Der Drittpartei-Risikomanager kann einen bestimmten Beurteiler einem bestimmten Abschnitt des Fragebogens zuweisen.
      Abbildung : 1. Beziehung der Risiko-Stufenbewertungstabelle
      Beziehung der Risiko-Stufenbewertungstabelle.
      Hinweis:
      Abbildung : 2. Tabellenbeziehungen der Risikoabstufungsfragebogenvorlage für designierte Beurteiler
      Tabellenbeziehungen der Risikoabstufungsfragebogenvorlage für designierte Beurteiler.
    4. Interne Stakeholder navigieren zu Selfservice > Meine Bewertungen und Umfragen > , um die Bewertung abzuschließen und zu übermitteln.
    5. Nachdem die Beurteiler den Fragebogen beantwortet haben, berechnet das System die abgestufte Punktzahl als Durchschnitt aller Punktzahlen. Der TPR-Manager kann die Risikobewertung initiieren, oder eine konfigurierte Geschäftsregel kann eine Risikobewertung automatisch senden. Wenn die Bewertung geschlossen wird, weist das System der Drittpartei basierend auf der abgestuften Punktzahl eine Risikostufe zu.
    Abbildung : 3. Risikostufenberechnung basierend auf Antworten
    Formular „Risiko-Stufenbewertung“

    Risikoabstufungsskala und Bewertungsberechnungen

    Abbildung : 4. Risikoabstufungsprozess
    Fragebogen zur Risikoabstufung und Bewertung der Risikoabstufung, Bewertungsinstanzen, Abstufungspunktzahl und Risikostufe.
    1. Die abgestufte Bewertung initiiert eine Bewertungsinstanz für jeden zugewiesenen Beurteiler. Der Beurteiler sieht nur die Abschnitte, die ihm basierend auf seiner Rolle zugewiesen sind.
    2. Die Antwortpunktzahlen aller Bewertungsinstanzen werden gemittelt, um die abgestufte Punktzahl zu generieren.
    3. Die abgestufte Punktzahl wird den Risikostufen zugeordnet.
    4. Die Risikostufe wird der Drittpartei zugewiesen, wenn die abgestufte Bewertung geschlossen wird.