Bewerten Ihres Drittparteirisikos

  • Freigeben Version: Washingtondc
  • Aktualisiert 1. Februar 2024
  • 4 Minuten Lesedauer

    • Verwenden Sie Risikomanagement von Drittparteien, um potenzielle Risiken im Zusammenhang mit Ihren Drittparteibeziehungen zu identifizieren und zu bewerten. Die Informationen aus internen Fragebögen, externen Fragebögen und Dokumentationsanforderungen helfen Ihnen, das Risikoprofil der Drittpartei zu verstehen, die entsprechenden Risikominderungsstrategien zu bestimmen und festzustellen, ob die Drittpartei oder Interaktion alle erforderlichen Compliance-Anforderungen erfüllt.

    Beantwortung von Fragebögen

    Die folgenden Prozesse beschreiben das Timing und die Methoden für die Beantwortung interner und externer Fragebögen:

    Prozess für den Fragebogen zum inhärenten Risiko (IRQ).

    Nachdem die Due-Diligence-Anforderung vom Manager für Drittparteirisiken (TPR) [sn_vdr_risk_asmt.vendor_risk_manager] genehmigt wurde, schließt der IRQ-Gutachter [snc_internal] die interne Risikobewertung ab, indem er auf den IRQ antwortet.

    Nachdem der IRQ-Gutachter seine Antworten übermittelt und der TPR-Manager oder -Besitzer den IRQ überprüft und geschlossen hat, wird der Status der Due-Diligence-Anforderung von „IRQ in Bearbeitung“ zu „IRQ wird überprüft“ aktualisiert.

    Basierend auf den gesammelten Informationen bewerten der TPR-Manager und sein Team die potenziellen Risiken, die mit der Interaktion verbunden sind. Sie bewerten Faktoren wie die finanzielle Stabilität, die operative Kapazität, die Einhaltung von Qualitätsstandards, die Einhaltung von Vorschriften und die Fähigkeit der Drittpartei, Lieferzeiten einzuhalten. Diese Bewertung hilft dem Team, das Risikoprofil der Drittpartei zu verstehen und die geeigneten Risikominderungsstrategien zu bestimmen.

    Weitere Informationen zu IRQs finden Sie unter Fragebogen zu inhärenten Risiken (IRQ) beantworten.

    Due-Diligence-Prozess: Compliance-Verifizierung

    Nach Abschluss des IRQ-Prozesses sendet die Anwendung TPRM Fragebögen und Dokumentationsanforderungen an die Drittpartei und die Interaktion. Im Rahmen einer Bewertung kann Ihr Unternehmen mehrere Fragebögen und Dokumentanforderungen senden. Beispielsweise kann der TPR-Manager die Zertifizierungen, Lizenzen oder Audit-Berichte der Drittpartei anfordern, um die Compliance zu validieren.

    Hinweis:
    Der TPR-Manager kann Bewertungsvorlagen entwickeln, um den Prozess der Bestimmung der Fragebögen und Dokumentanforderungen, die an eine Drittpartei dieses Typs gesendet werden sollen, zu vereinfachen und zu automatisieren. Der TPR-Administrator kann Fragebogenvorlagen und Dokumentanforderungsvorlagen definieren, und der TPR-Manager kann sie in einer Bewertungsvorlage gruppieren. Ihre Organisation kann die Vorlage wiederverwenden, um die Fragebögen und Dokumentanforderungen in zukünftigen Bewertungen an ähnliche Drittparteien zu senden. Weitere Informationen zu den Vorlagen finden Sie unter Erstellen Sie eine Fragebogenvorlage oder Dokumentanforderungsvorlage und Erstellen Sie eine Dokumentanforderungsvorlage.

    Der TPR-Manager und sein Team verwenden die Antworten der Drittpartei und interne Analysen, um zu bestimmen, ob die Drittpartei alle erforderlichen Compliance-Anforderungen erfüllt. Diese Anforderungen können die Überprüfung der Einhaltung geltender Gesetze und Vorschriften durch die Drittpartei umfassen, z. B. Umweltvorschriften, Arbeitsgesetze und Richtlinien zur Korruptionsbekämpfung.

    Aufgrund der Vertraulichkeit der beteiligten Elemente bewerten der TPR-Manager und sein Team die Datensicherheits- und Datenschutzpraktiken der Drittpartei. Sie bewerten die Informationssicherheitsmaßnahmen, Datenschutzrichtlinien, Zugriffskontrollen und Schwachstellenmanagementprozesse der Drittpartei. Wenn die Drittpartei Zugriff auf geschützte Informationen oder Kundendaten hat, kann sie von der Drittpartei ein Cybersicherheitsaudit verlangen oder Nachweise für ihre Datenschutzmaßnahmen erbringen.

    Weitere Informationen zum Überprüfen von Antworten finden Sie unter Antworten auf externe Fragebögen überprüfen.
    Hinweis:
    Ihr TPR-Gutachter kann empfangene oder zurückgegebene Fragebögen in Microsoft Excel-Tabellen exportieren. Mit dieser Option kann Ihre Organisation die Fragen und Antworten in der Tabellenkalkulationsumgebung überprüfen. Weitere Informationen zum Exportieren von Fragebogenantworten finden Sie unter Exportieren Sie die Antworten auf den Fragebogen in eine Tabelle.

    Zusätzliche Bewertungsaktionen

    Der TPR-Manager muss möglicherweise eine Bewertung erneut öffnen, da neue Informationen verfügbar sind, die sich auf die Interaktion auswirken, oder eine andere Änderung aufgetreten ist. Weitere Informationen finden Sie unter Warum Sie Due Diligence durchführen.

    Wenn der TPR-Manager weitere Informationen aus einer Interaktion sammeln muss, kann er einen zusätzlichen Fragebogen oder eine Dokumentanforderung senden, indem er eine Bewertung erneut öffnet und die folgenden Aktionen ausführt:
    1. Navigieren Sie zur Datensatzseite der Due-Diligence-Anforderung, indem Sie die entsprechende DDR -Nummer auswählen.
    2. Zeigen Sie die zugehörige Drittpartei-Risikobewertung an, indem Sie auf der Registerkarte „Drittpartei- Risikobewertung “ die VRA -Nummer auswählen.
    3. Wählen Sie Erneut öffnen.

    Der Status der Sorgfaltspflicht-Anforderung wird von „Bereit für TPRM-Genehmigung“ zu „Sorgfaltspflicht“ aktualisiert. Der TPR-Manager kann bei Bedarf Fragebögen und Dokumentanforderungen anfordern. Weitere Informationen finden Sie unter Öffnen Sie eine Bewertung erneut.

    Wenn der TPR-Manager keine Bewertung für eine laufende Interaktion oder einen schnellen Abschluss für das Onboarding oder die Erneuerung einer Interaktion benötigt, kann er eine Bewertung wie folgt abbrechen:
    1. Navigieren Sie zur Datensatzseite der Due-Diligence-Anforderung, indem Sie die entsprechende DDR -Nummer auswählen.
    2. Zeigen Sie die zugehörige Drittpartei-Risikobewertung an, indem Sie auf der Registerkarte „Drittpartei- Risikobewertung “ die VRA -Nummer auswählen.
    3. Wählen Sie Abbrechen.
    Auch wenn eine oder alle Bewertungen storniert werden, wird die Due-Diligence-Anforderung mit dem Genehmigungsprozess fortgesetzt.

    Probleme und Aufgaben

    Die Rolle des TPR-Managers [sn_vdr_risk_asmt.vendor_risk_manager] oder des TPR-Gutachters [sn_vdr_risk_asmt.vendor_assessor] ist erforderlich, um Aufgaben und Probleme zu erstellen und zu verwalten.

    Die TPR-Manager oder -Gutachter können Aufgaben erstellen, um sicherzustellen, dass ein Teammitglied oder der Drittparteikontakt auf Bedenken hinsichtlich der Fragebogenantworten oder angeforderten Dokumente reagiert. Sie können vorhandene Aufgaben verwalten, um zu überprüfen, ob das zugewiesene Teammitglied oder der Drittparteikontakt auf eine Aufgabe reagiert und sie nach Bedarf aktualisiert. Weitere Informationen zum Erstellen und Verwalten von Problemen finden Sie unter Erstellen Sie eine Aufgabe für eine Drittpartei oder Interaktion und Verwalten Sie eine Aufgabe für eine Drittpartei oder Interaktion.

    Die TPR-Manager oder -Gutachter können ein Problem erstellen, um sicherzustellen, dass die Bedenken des Teams hinsichtlich einer Drittpartei oder Interaktion geklärt werden. Sie können auch die vorhandenen Probleme verwalten, um sicherzustellen, dass sie verstanden, an die richtigen Personen weitergegeben und bei Bedarf bearbeitet werden. Weitere Informationen zum Erstellen und Verwalten von Aufgaben finden Sie unter Erstellen Sie ein Problem für eine Drittpartei oder Interaktion und Probleme verwalten.