Beispiel für Onboarding-Prozess

Anforderungsprozess

Jeder Mitarbeiter (in der Regel ein Benutzer, der mit einer Drittpartei Geschäfte machen möchte) macht den Business Case, um den Due-Diligence-Prozess für eine Risikobewertung zu starten.

Ein Manager für Drittpartei-Risiko (TPR) prüft die Sorgfaltspflicht-Anforderung für die Interaktion und genehmigt sie.

Prozess für den Fragebogen zum inhärenten Risiko (IRQ).

Nachdem die Anforderung genehmigt wurde, schließt der IRQ-Gutachter die interne Risikobewertung ab, indem er auf den IRQ antwortet.

Basierend auf den gesammelten Informationen bewertet Acme die potenziellen Risiken, die mit der Drittpartei verbunden sind. Sie bewerten Faktoren wie finanzielle Stabilität, operative Kapazität, Einhaltung von Qualitätsstandards, Einhaltung von Vorschriften und die Fähigkeit der Drittpartei, Lieferfristen einzuhalten. Diese Bewertung hilft Acme, das Risikoprofil der Drittpartei zu verstehen und die geeigneten Risikominderungsstrategien zu bestimmen.

Due-Diligence-Prozess: Compliance-Verifizierung sowie Datensicherheit und Datenschutzbewertung

Nach Abschluss des IRQ-Prozesses sendet die Anwendung TPRM von Acme Fragebögen und Anforderungen für Dokumentation an die Drittpartei. Im Rahmen einer Bewertung können Sie mehrere Fragebögen und Dokumentanforderungen senden. Acme kann Dokumente anfordern: die Zertifizierungen, Lizenzen oder Auditberichte der Drittpartei, um die Compliance zu validieren.

Hinweis:

Um den Prozess der Bestimmung der Fragebögen und Dokumentanforderungen, die an eine Drittpartei dieses Typs gesendet werden sollen, zu vereinfachen und zu automatisieren, haben die Mitarbeiter von Acme Bewertungsvorlagenentwickelt. Sie haben Fragebogenvorlagen und/oder Dokumentanforderungsvorlagen definiert und sie dann in einer Bewertungsvorlage gruppiert. Acme kann die Vorlage wiederverwenden, um in zukünftigen Bewertungen die entsprechenden Fragebögen und/oder Dokumentanforderungen an ähnliche Drittparteien zu senden.

Acme verwendet die Antworten der Drittpartei und interne Analysen, um zu bestimmen, ob die Drittpartei alle erforderlichen Compliance-Anforderungen erfüllt. Dies umfasst die Überprüfung der Compliance der Drittpartei mit geltenden Gesetzen und Vorschriften, z. B. Umweltvorschriften, Arbeitsrecht und Antikorruptionsrichtlinien.

Angesichts der Vertraulichkeit der beteiligten Komponenten bewertet Acme die Datensicherheits- und Datenschutzpraktiken der Drittpartei. Sie bewerten die Informationssicherheitsmaßnahmen, Datenschutzrichtlinien, Zugriffskontrollen und Schwachstellenmanagementprozesse der Drittpartei. Wenn die Drittpartei Zugriff auf geschützte Informationen oder Kundendaten von Acme hat, kann sie von der Drittpartei ein Cybersicherheitsaudit verlangen oder Nachweise für ihre Datenschutzmaßnahmen erbringen.

Vertragliche Vereinbarungen und Risikominderung

Um seine Interessen zu schützen, nimmt der TPR-Verhandlungsverhandler bei Acme (häufig Unternehmensberater) spezifische vertragliche Bestimmungen auf, um identifizierte Risiken anzugehen. Der Vertragsverhandler verwendet die in den IRQ- und Due-Diligence-Prozessen gewonnenen Informationen, um Klauseln in Bezug auf Compliance, Qualitätsstandards, Vertraulichkeit, Datenschutz, Geschäftskontinuität und Konfliktbeilegungsmechanismen aufzunehmen. Der Vertrag kann auch Leistungsmetriken, Erwartungen und Kündigungsklauseln im Falle einer Nichteinhaltung oder eines Verstoßes darlegen.

Laufende Überwachung und Überprüfung

Acme richtet einen laufenden Überwachungsprozess ein, um die Leistung der Drittpartei und die Einhaltung der vereinbarten Bedingungen regelmäßig zu bewerten. Personen in Ihrer Organisation können regelmäßige Finanzüberprüfungen, Qualitätsaudits, Besuche vor Ort oder Umfragen manuell durchführen. Sie richten auch Kommunikationskanäle ein, um auf Bedenken oder Änderungen im Risikoprofil der Drittpartei einzugehen.