Drittpartei, Viertpartei und n-te Partei

Eine Drittpartei ist jede Organisation oder Person, mit der Sie interagiert haben oder mit der Sie eine Geschäftsbeziehung eingegangen sind. Drittparteien können Tochterunternehmen haben und Verträge mit Viertparteien abschließen. Abteilungen sind beispielsweise Tochterunternehmen. Eine vierte Partei kann mit weiteren Parteien Verträge schließen (die als n-te Parteien bezeichnet werden, fünfte, sechste usw.). Alle nachgelagerten Parteien (vierte bis n-te Partei) tragen Risiken auf die gleiche Weise wie Drittparteien.

Ein Lieferant stellt die Waren oder Services bereit, die Sie zur Herstellung oder Lieferung Ihrer eigenen Waren oder Services verwenden. Alle Lieferanten sind Drittparteien, aber nicht alle Drittparteien sind Lieferanten. Hier ist eine Liste einiger anderer Arten von Drittparteien:

• Lieferanten
• Verbundene
• Gegenparteien
• Berater
• Partner
• Professionelle Services
• Berater
• Franchises
• Händler
• Vertriebspartner
• Vertriebspartner
• Kunden
• Clients
• Ausgelagerte Mitarbeiter

Interaktionen

Eine Interaktion ist die formlose oder vertragliche Beziehung, die Sie mit einer Drittpartei eingehen möchten, die Ihre Organisation potenziell Risiken aussetzen könnte. In der Interaktion werden die von der Drittpartei bereitzustellenden Services oder Produkte und andere Details der Beziehung beschrieben. Diese Details können die Zahlungsbedingungen, Vertraulichkeitsanforderungen und die Dauer der Beziehung umfassen.

Sie können jede Interaktion mithilfe interner und externer Bewertungen bewerten. Die Probleme, Aufgaben, internen Bewertungen und externen Bewertungen sind den Interaktionen zugeordnet.

In diesem Beispiel interagiert Ihr Unternehmen mit drei Drittparteien und verwaltet mehrere Interaktionen unter ihnen.

IRQ: Fragebogen zu inhärenten Risiken

Während des Prozesses der internen Risikobewertung beantworten interne Mitarbeiter in Ihrer Organisation Fragen im IRQ. Diese Antworten helfen bei der Bewertung des inhärenten Risikos, das mit der Zusammenarbeit mit einer Drittpartei verbunden ist. Ein inhärentes Risiko bezieht sich auf die Risikostufe vor der Implementierung von Risikominderungsmaßnahmen. Ein IRQ unterstützt die folgenden Aktivitäten:

Ermittlung von Risikofaktoren

• Art der von der Drittpartei bereitgestellten Services
• Die Vertraulichkeit der beteiligten Daten.
• Geografischer Standort der Drittpartei
• Gesamtsicherheitsstatus der Drittpartei.

Bewertung oder Bewertung wird bestimmt

Antworten auf den Fragebogen werden häufig bewertet oder bewertet, um das mit der Drittpartei verbundene inhärente Risiko zu quantifizieren. Dieses Bewertungssystem kann bei der Priorisierung von Risikomanagementbemühungen helfen.

Entscheidungsfindung

Die Ergebnisse des IRQ werden dann im Entscheidungsprozess verwendet. Administratoren und Manager für das Risikomanagement von Drittparteien können IRQs konfigurieren, um basierend auf bestimmten Antworten auf Fragen bestimmte Fragebögen zur externen Bewertung (Sorgfaltspflicht) an Drittparteien zu senden.

• Sollen Sie mit der Drittpartei zusammenarbeiten?
• Welches Maß an Sorgfaltspflicht ist erforderlich?
• Welche spezifischen Risikominderungsmaßnahmen sollten Sie implementieren?

Laufende Sorgfaltspflicht

Die IRQ kann auch Teil der laufenden Verwaltung sein, mit regelmäßigen Neubewertungen, um Änderungen an den Abläufen, Sicherheitspraktiken oder anderen relevanten Faktoren der Drittpartei zu berücksichtigen.

Sorgfaltspflicht (DD)

Sorgfaltspflicht ist der Prozess der Durchführung einer gründlichen Untersuchung oder Prüfung der Integrität, des Rufs, der finanziellen Stabilität, der Compliance mit rechtlichen Vorschriften, der betrieblichen Fähigkeiten, der Lieferkette und anderer relevanter Faktoren eines potenziellen Geschäftspartners, Lieferanten oder Lieferanten. Die Durchführung der Due-Diligence-Prüfung von Drittparteien ist eine entscheidende Komponente Ihres umfassenden Drittpartei-Risikoprogramms. Sie führen eine Due-Diligence-Prüfung durch, um sich der mit einer Drittpartei verbundenen Risiken bewusst zu werden, damit Sie zuversichtlich entscheiden können, wie Sie Ihre Beziehung gestalten möchten. Verwenden Sie Sorgfaltspflicht-Workflows, um neue Interaktionen einzuarbeiten oder vorhandene Interaktionen neu zu bewerten oder außer Kraft zu setzen. Sorgfaltspflicht-Workflows umfassen das Sammeln von Informationen durch interne Bewertungen, externe Bewertungen und Risk Intelligence. Alle Punktzahlen aus diesen Schritten werden von den Managern für Drittparteirisiken analysiert, um zu entscheiden, ob eine Interaktion eingearbeitet, neu bewertet oder stillgelegt werden soll. Die Sorgfaltspflicht verfügt auch über einen optionalen Vertragsverhandlungsprozess, bevor der Sorgfaltspflicht-Workflow geschlossen wird.

Siehe Warum Sie Sorgfaltspflicht durchführen und Arten von Sorgfaltspflichten.

Drittpartei-Risikobewertungen

Eine Drittpartei-Risikobewertung (TPRA) ist ein Satz von Fragebogen, die Sie an Drittparteikontakte oder interne Benutzer senden können, um die Drittpartei- und Interaktionsrisiken zu bewerten. Bewertungen, die Sie an interne Benutzer senden, werden als interne Bewertungen kategorisiert. Eine Bewertung, die Sie an einen Drittparteikontakt senden, wird als externe Bewertung bezeichnet.

Verwenden Sie eine interne Bewertung, um die Drittpartei- und Interaktionsstufen zu berechnen. Die Klassifizierung, mit der Sie die internen Fragebogen in der Tabelle mit den Fragebogenvorlagen identifizieren, ist die Vorlage für einen Fragebogen zum inhärenten Risiko [irq_template]. Sie können die erforderlichen Fragebogen für externe Bewertungen automatisch entsprechend den Antworten anhängen, die Sie von den internen Bewertungen erhalten. Sie können diese Option in einer Zuordnungstabelle für Fragebogen [sn_tprm_dd_m2m_question_to_questionnaire] konfigurieren.

Verwenden Sie eine externe Bewertung, um die Risiken zu bewerten, die mit der Drittpartei und der Interaktion verbunden sind, basierend auf den Drittpartei-Kontaktantworten, die Sie erhalten. Die Risikoeinstufungen aus einer externen Bewertung werden auf Bewertungsebene berechnet, indem alle Fragebogen verwendet werden, die an die Bewertung angehängt sind. Diese Bewertungsbeurteilungen werden zusammengefasst und für die Drittparteien und Interaktionen zusammengefasst. Die Zusammenfassung ist entweder MIN, MAX oder AVG und kann in einem Bewertungs-Setup konfiguriert werden. Drittparteikontakte (externe Benutzer) aus dem Lieferantenportal https:// <myCompany> .service-now.com/svdp reagieren auf diese externen Bewertungen.

Risk Intelligence-Provider

Risk Intelligence-Anbieter generieren Risikopunktzahlen für eine Vielzahl von Drittpartei-Risikodomänen. Ihre Organisation kann Services von Anbietern erwerben, die Daten zurückgeben, die den persönlichen Kreditpunktzahlen entsprechen. Die Punktzahlen geben Aufschluss darüber, wie vertrauenswürdig und sicher eine bestimmte Drittpartei sein kann.

Weitere Informationen finden Sie unter Integration von Punktzahlen von Risk Intelligence-Anbietern.

Risk Intelligence-Punktzahlen

Risk Intelligence-Punktzahlen sind numerische Bewertungen, die das Risikoniveau bewerten, das einer bestimmten Organisation zugeordnet ist. Diese Punktzahlen werden von Risk Intelligence-Anbietern generiert, die eine Vielzahl von Datenquellen sammeln und analysieren. Punktzahlen können in beliebiger Form vorliegen, sei es Bewertungen oder Zahlen. Das System ordnet den Punktzahlwert der entsprechenden TPRM -Bewertung zu. Diese Punktzahlen können Ihrem Unternehmen helfen, fundierte Entscheidungen über die Zusammenarbeit mit Drittparteien, das Compliance-Management und die Minimierung potenzieller Risiken zu treffen. Risk Intelligence-Punktzahlen sind ab dem Release Washington DC für Drittparteien verfügbar. Die Risikoeinstufungen werden anhand der Bewertungsregeln berechnet, die der Interaktion in der Bewertungseinrichtung zugeordnet sind.

Drittpartei-Punktzahlen

Diese Punktzahlen helfen Unternehmen, fundierte Entscheidungen über die Auswahl und Verwaltung ihrer Beziehungen zu Drittparteien zu treffen, und ermöglichen eine Anpassung an ihre Risikotoleranz- und Compliance-Anforderungen. Durch die Bewertung von Drittpartei-Punktzahlen können Organisationen potenzielle Risiken identifizieren, Sorgfaltspflichtmaßnahmen priorisieren und geeignete Risikominderungsstrategien implementieren.

Drittpartei-Elemente

Drittparteielemente sind die externen Organisationen, auf die sich eine Drittpartei oder Interaktion bei der Bereitstellung von Waren, Services oder Support verlässt. Zu diesen Organisationen können Lieferanten, Lieferanten, Auftragnehmer, Einzelpersonen oder andere externe Organisationen gehören, die Zugriff auf die Systeme, Daten oder Einrichtungen der Drittpartei oder Interaktion haben. Alle Schwachstellen oder Fehler in diesen Drittparteielementen können erhebliche Auswirkungen auf den Betrieb, den Ruf und die Sicherheit der Drittpartei oder Interaktion haben. Durch die Implementierung dieser Kontrollen und die Behandlung der damit verbundenen Risiken können Unternehmen ihre Fähigkeit verbessern, die potenziellen negativen Auswirkungen von Drittparteien und deren Drittparteielemente zu verwalten und zu mindern. Die regelmäßige Neubewertung und Aktualisierung dieser Steuerungen ist für die Anpassung an Changes in der Geschäftsumgebung und im regulatorischen Bereich von entscheidender Bedeutung.

Im Folgenden finden Sie einige Beispiele für Drittpartei-Elemente und die zugehörigen Steuerungen und potenziellen Risiken.

Rechenzentrum

Einrichtungen oder Standorte, an die Drittparteien oder Interaktionen die Speicherung, Verarbeitung und Verwaltung ihrer Daten und IT-Infrastruktur auslagern.

Steuerungen:

• Bewertungen der Lieferantensicherheit: Bewerten Sie regelmäßig die Sicherheitsmaßnahmen und -praktiken von Drittanbietern, die Services wie Cloud-Hosting oder Datenspeicherung bereitstellen.
• Datenverschlüsselung: Bestätigen Sie, dass im Rechenzentrum gespeicherte Daten verschlüsselt sind, um sie vor nicht autorisiertem Zugriff zu schützen.
• Zugriffssteuerungen: Implementieren Sie strenge Zugriffssteuerungen, um den physischen und virtuellen Zugriff auf die Einrichtungen und Server des Rechenzentrums zu beschränken.
• Plan für die Reaktion auf Incidents: Entwickeln und pflegen Sie einen umfassenden Plan für die Reaktion auf Incidents, um Security Incidents umgehend zu beheben.

Risiken:

• Datenschutzverletzungen: Ein Verstoß im Rechenzentrum eines Drittanbieters kann zu nicht autorisiertem Zugriff und der Kompromittierung vertraulicher Informationen führen.
• Ausfallzeit: Die Abhängigkeit von einem Rechenzentrum einer Drittpartei birgt das Risiko von Ausfallzeiten, wenn beim Service Provider technische Probleme auftreten.
• Compliance-Verstöße: Wenn das Rechenzentrum branchenspezifische oder regulatorische Compliance-Standards nicht einhält, kann dies rechtliche und finanzielle Konsequenzen für das Unternehmen haben.

Produktionsanlage

Einrichtungen oder Standorte, an die Drittparteien oder Interaktionen die Produktion oder Installation ihrer Produkte outsourcen.

Steuerungen:

• Lieferantenaudits: Auditieren und bewerten Sie regelmäßig die Sicherheitspraktiken von Lieferanten, die kritische Komponenten oder Services für den Herstellungsprozess bereitstellen.
• Qualitätssicherungsstandards: Erzwingen Sie Qualitätssicherungsstandards für Drittanbieter, um die Integrität und Sicherheit von Rohmaterialien und Komponenten zu fördern.
• Transparenz der Lieferkette: Sorgen Sie für Transparenz in der gesamten Lieferkette, um potenzielle Schwachstellen zu identifizieren und zu beheben.
• Vertragliche Vereinbarungen: Erstellen Sie klare vertragliche Vereinbarungen mit Lieferanten, die die Sicherheitsanforderungen und die Konsequenzen der Nichteinhaltung darlegen.

Risiken:

• Unterbrechung der Lieferkette: Die Abhängigkeit von Drittanbietern setzt das Unternehmen dem Risiko von Unterbrechungen der Lieferkette aus, was sich auf die Produktion auswirkt.
• Gefälschte Teile: Unzureichende Kontrollen der Lieferkette können zur Verwendung von gefälschten oder minderwertigen Komponenten führen, was die Qualität des Produkts beeinträchtigt.
• Probleme mit der Compliance mit Vorschriften: Die Nichteinhaltung von gesetzlichen Standards durch Lieferanten kann rechtliche und behördliche Konsequenzen für die Produktionsanlage haben.

Wirtschaftlich Berechtigte

Personen, die letztendlich Besitzer oder Kontrolle einer Organisation sind, die an einer Geschäftsbeziehung oder Transaktion beteiligt ist. Diese Personen sind möglicherweise nicht die eingetragenen oder rechtmäßigen Besitzer der Organisation, haben jedoch erheblichen Einfluss oder Kontrolle über deren Betrieb, Entscheidungsfindung oder finanzielle Angelegenheiten.

Steuerungen:

• Sorgfaltspflicht: Integrieren Sie einen robusten Sorgfaltspflicht-Prozess, um Begünstigte zu identifizieren und zu überprüfen, einschließlich Hintergrundprüfungen, Dokumentüberprüfungen und bei Bedarf Interviews.
• Vertragliche Verpflichtungen: Fügen Sie Klauseln in Verträge mit Drittparteien ein, die von ihnen verlangen, dass sie Änderungen des steuerlichen Eigentums offenlegen und die Einhaltung geltender Gesetze und Vorschriften bestätigen.
• Überwachung und Berichterstellung: Richten Sie ein System für die laufende Überwachung von begünstigten Eigentümern ein, um Änderungen oder Entwicklungen zu erkennen, die sich auf das Risikoprofil der Drittpartei auswirken könnten.
• Schulung und Sensibilisierung: Schulungen der relevanten Mitarbeiter in Bezug auf die Wichtigkeit des Verständnisses und der Überwachung des Geschäftsbereichs, einschließlich Warnmeldungen und Berichtsverfahren.
• Programm für regulatorische Compliance: Entwickeln und pflegen Sie ein Programm, das die Compliance mit allen relevanten Gesetzen und Vorschriften im Zusammenhang mit günstigem Eigentum überprüft, einschließlich Berichts- und Offenlegungsanforderungen.
• Eskalationsverfahren: Richten Sie klare Eskalationsverfahren für Fälle ein, in denen Bedenken oder Unregelmäßigkeiten in Bezug auf den günstigen Eigentümer identifiziert werden, und fördern Sie rechtzeitige und angemessene Maßnahmen.

Risiken:

• Verborgenes Eigentum: Begünstigte können ihr Eigentum absichtlich verbergen, was es schwierig macht, die potenziellen Risiken zu bewerten, die mit ihrem Einfluss auf die Drittpartei verbunden sind.
• Reputationsrisiko: Wenn der Ruf der Begünstigten einen fragwürdigen Ruf hat, kann eine Beteiligung an ihnen dem Ruf Ihrer Organisation schaden.
• Regulatorische Compliance: Die Nichteinhaltung von Vorschriften im Zusammenhang mit der Meldung von steuerlichen Eigentumern und Transparenz kann rechtliche und behördliche Konsequenzen haben.
• Finanzielles Risiko: Begünstigte mit finanzieller Instabilität oder Beteiligung an betrügerischen Aktivitäten können finanzielle Risiken für die Drittpartei und infolgedessen für Ihre Organisation darstellen.