Prozesse im Sorgfaltspflicht-Workflow

Jede Aufgabe in einem Prozess muss abgeschlossen werden, bevor die nächste Aufgabe gestartet werden kann. Die Rollen der Benutzer, die die verschiedenen Aufgaben ausführen, werden unter Rollen in Risikomanagement von Drittparteienbeschrieben. Das folgende Diagramm beschreibt den Sorgfaltspflicht-Workflow.

Anforderungsprozess: Bitten Sie um den Start einer neuen Interaktion, die Neubewertung oder das Offboarden einer vorhandenen Interaktion

1. Ein Mitarbeiter Ihrer Organisation fordert die Sorgfaltspflicht für eine Drittpartei-Interaktion an.
   1. Der Mitarbeiter meldet sich in seiner Instanz bei Mitarbeiter-Center an. Sie öffnen das Formular für die Sorgfaltspflicht-Anforderung und geben den Namen der Drittpartei und den Grund für die Anforderung an:
      • Onboarden Sie eine neue Interaktion
      • Bewerten Sie ein Risiko für eine vorhandene Interaktion neu
      • Bewerten Sie eine bestehende Interaktion neu, um sie auf eine Vertragsverlängerung vorzubereiten
      • Offboarding einer Interaktion mit Sorgfaltspflicht
      • Offboarden einer Interaktion ohne Sorgfaltspflicht
      Hinweis:

      Beim Offboarden einer Interaktion ohne Sorgfaltspflicht gelten die TP-Elemente-Sammlung und der Sorgfaltspflicht-Prozess nicht.
   2. Der Mitarbeiter stellt Details zur Drittpartei und zur Interaktion bereit. Die Informationen umfassen das Produkt oder den Service, das/der in dieser Interaktion bewertet werden soll, den Benutzer, der den Fragebogengutachter für inhärente Risiken (IRQ) beantwortet, und den Drittparteikontakt (TP) oder Interaktionskontakt, der die externen Fragebogen beantwortet.
   3. Ein externer Risk Intelligence-Anbieter kann die Risikodaten für die Drittpartei jederzeit aktualisieren, da ein Manager für Drittparteirisiken (TPR) beim Konfigurieren der Anwendung möglicherweise die Services eines Risk Intelligence-Anbieters integriert hat.
   4. Der Mitarbeiter übermittelt das Formular.
   5. Das System sendet eine E-Mail-Bestätigung an den Mitarbeiter, der die Anforderung gestellt hat.
   6. Das System sendet eine E-Mail-Benachrichtigung an die Zuweisungsgruppe der Sorgfaltspflicht-Anforderung. Ein Mitglied der Gruppe kann einen TPR-Manager oder TPR-Gutachter zuweisen, der als Besitzer der Anforderung fungiert. Diese Aktion löst eine Aufgabe für den TPR-Manager aus.
2. Der TPR-Manager legt den Umfang der Anforderung fest, aktualisiert sie nach Bedarf und genehmigt sie dann oder lehnt sie ab.
   1. Der TPR-Manager meldet sich bei Vendor Management-Arbeitsbereich an und navigiert zur Seite für das Sorgfaltspflicht-Management, wo er die Anforderung überprüft und aktualisiert:
      • Der TPR-Manager überprüft die Person, die als IRQ-Gutachter vorgeschlagen wurde. Bei Bedarf kann eine andere Person als IRQ-Gutachter angegeben werden.
      • Der TPR-Manager kann eine Diskussion mit der anfordernden Person und anderen Benutzern starten, indem er Diskutierenauswählt. Die Nachricht wird im Abschnitt „Aktivität“ der Registerkarte Details aufgezeichnet.

   2. Der TPR-Manager lehnt die Anforderung ab oder genehmigt sie. Wenn der TPR-Manager die Anforderung akzeptiert, wird der IRQ-Prozess gestartet.

Hinweis:

TPR-Gutachter können wiederkehrende Drittparteibewertungen erstellen, um ein Risiko regelmäßig neu zu bewerten. Weitere Informationen finden Sie unter Konfigurieren Sie eine Risikobewertung so, dass sie nach einem Zeitplan wiederholt wird.

IRQ-Prozess: Geben Sie den Risikobereich ein

1. Der TPR-Manager überprüft und genehmigt den IRQ.
   1. In Vendor Management-Arbeitsbereichüberprüft und genehmigt der TPR-Manager die IRQ, indem er einen Fragebogen auswählt, der automatisch von einer Geschäftsregel oder aus einer Liste im System erstellt wurde.

      Der TPR-Administrator kann anwenderdefinierte IRQs für eine Organisation erstellen. Der Inhalt jedes IRQ wird von der Person erstellt und verwaltet, die für den Geschäftsbereich, die Geografie oder die Drittpartei verantwortlich ist, an die sich die Fragen richten. Um einen IRQ zu definieren, fügt der TPR-Administrator einer Fragebogenvorlage Beispielfragen hinzu und ändert die Fragen nach Bedarf. Die Beispielfragen finden Sie unter Basissystem. Das Definieren eines IRQ erfolgt ohne Code. Der TPR-Manager kann die Geschäftsregeln definieren, die automatisch auswählen, welcher IRQ für eine Interaktion verwendet werden soll.

      Tipp:

      Der TPR-Manager kann die Antwort auf eine Frage in einem IRQ verwenden, um die Fragebogen zu bestimmen, die an die zu bewertende Drittpartei gesendet werden. Diese Funktion ist nur verfügbar, wenn die Anwendung Risikomanagement von Drittparteien aktiviert wurde.

      Weitere Informationen finden Sie unter Richten Sie interne Fragebogenantworten ein, um externe Fragebogen automatisch an Bewertungen anzuhängen.

   2. Der TPR-Manager lehnt die Sorgfaltspflicht-Anforderung entweder ab oder genehmigt sie. Wenn die Anforderung genehmigt wird, sendet das System den IRQ an den IRQ-Gutachter, einen internen Stakeholder in einer Organisation.
   3. Der IRQ-Gutachter wird sowohl per E-Mail als auch durch eine neue Aufgabe in seiner Warteschlange über die IRQ benachrichtigt.
      Hinweis:

      Das System kann auch automatisch Risikobewertungen von Drittparteien senden, wenn Änderungen an einer Risikopunktzahl auftreten.
2. Interne Anwender antworten auf den IRQ:
   1. Im Mitarbeiter-Centeröffnet jeder Benutzer, der an der Interaktion interessiert ist, und antwortet auf den IRQ.

      Mehrere Antworten generieren weitere klärende Fragen. Mit den Antworten kann bestimmt werden, welche externen Fragebogen automatisch generiert und den Sätzen hinzugefügt werden, die an den TP- und Interaktionskontakt gesendet werden.

      Wenn beispielsweise ein IRQ-Gutachter antwortet, dass die Drittpartei im Rahmen der Interaktion mit Regierungsbeamten interagiert, wird ein Antibestechungsfragebogen ausgefüllt, der für das Land der Drittpartei geeignet ist (ABAC in den USA oder FCBA in der EU usw.). ) ist enthalten.

   2. Der IRQ-Gutachter übermittelt den abgeschlossenen IRQ. Diese Aktion löst eine Aufgabe für den TPR-Manager aus.
3. Die internen Stakeholder (Drittpartei-Bewertungsprüfer, TPR-Gutachter, TPR-Genehmiger, TPR-Manager oder TPR-Administrator) überprüfen die IRQ-Antworten:
   1. In Vendor Management-Arbeitsbereichüberprüfen die Benutzer die IRQ-Antworten.
   2. Der TPR-Manager kann den IRQ-Gutachter um Klärung bitten und dann die IRQ-Antworten entweder ablehnen oder genehmigen.
   3. Wenn ein interner Stakeholder-Benutzer die IRQ-Antworten genehmigt, wechselt er zum nächsten Prozess, indem er die Interaktionsanforderung schließt.

Hinweis:

Nachdem der IRQ-Prozess in den Status „IRQ in Bearbeitung“ versetzt wurde, können Sie Risikointelligenzberichte anfordern, die Ihrer Sorgfaltspflicht-Anforderung zugeordnet sind. Weitere Informationen finden Sie unter Mithilfe von Risikointelligenz-Berichten und -Punktzahlen und Risikointelligenz-Bericht anfordern, der einer Sorgfaltspflicht-Anforderung zugeordnet ist.

TP-Element-Sammlungsprozess: Informationen zu Drittpartei-Elementen sammeln (optional)

1. Der TPR-Manager oder Besitzer der Sorgfaltspflicht-Anforderung startet die Drittpartei-Elementsammlung.
   1. Wenn in Vendor Management-ArbeitsbereichElemente von Drittparteien benötigt werden, wählt der TPR-Manager oder Besitzer Sammlung starten aus, und es wird eine Sammlungsaufgabe erstellt.
   2. Der TPR-Manager oder -Besitzer navigiert zur Registerkarte Sammlungsaufgabe und weist die relevanten Drittpartei-Elementsammlungsfragebögen der externen Bewertung zum Sammeln von Elementen zu.
      Hinweis:

      Als Teil des Basissystems sind Beispielfragebogen zur Sammlung und Bewertung für Drittparteielemente verfügbar, die als Facility, Prinzipal, Produkte oder Sonstiges klassifiziert sind.
   3. Der TPR-Manager oder -Besitzer prüft und genehmigt die Fragebögen, und sie werden dann an die Interaktion gesendet.
2. Das System sendet eine E-Mail-Benachrichtigung an die Personen in der Interaktion. Die Nachrichten benachrichtigen den Interaktionskontakt, um die Fragebögen zur Drittpartei-Elementsammlung zu beantworten.

3. Im Drittparteiportal beantworten die Interaktionskontakte die Fragebogen entweder direkt oder weisen die Aufgaben anderen Kontakten im Unternehmen zu.

4. Der Interaktionskontakt gibt die ausgefüllten Fragebogen zurück.
5. Das System ändert den Status der Bewertung in Antworten erhalten und sendet Warnungen an den TPR-Manager und Besitzer.
6. In Vendor Management-Arbeitsbereichöffnet der TPR-Manager oder Besitzer die Fragebogen und verifiziert, ob alle erforderlichen Informationen angegeben wurden.
7. Der TPR-Manager oder -Besitzer navigiert dann zur Liste der Drittpartei-Elemente und erstellt manuell einen Drittpartei-Element-Datensatz für jeden Satz von Antworten im Fragebogen.
8. Nachdem alle Drittparteielemente erstellt wurden, schließt der TPR-Manager oder Besitzer die Bewertung.
9. Das System ändert den Status der Anforderung in Sammlung in Überprüfung.
10. Die internen Stakeholder (TPR-Gutachter, TPR-Genehmiger, TPR-Manager oder TPR-Administrator) überprüfen und genehmigen die Elementdatensätze in den Drittparteielementen.
11. In Vendor Management-Arbeitsbereichöffnet der TPR-Manager oder Besitzer die Interaktion und fügt manuell Elemente als Entitäten auf der Registerkarte Entitäten hinzu.
12. Nachdem alle Drittpartei-Elemententitäten einer Interaktion zugewiesen wurden, können Sie den Sorgfaltspflichtprozess starten.

Sorgfaltspflichtprozess: Sammeln Sie Informationen, um eine Risikopunktzahl zu generieren

1. Einer der folgenden Prozesse führt zur Auswahl externer Fragebögen zur Sorgfaltspflicht:
   • In Vendor Management-Arbeitsbereichwählt der TPR-Manager die Fragebogen aus, auf die die TP- und Interaktionskontakte antworten.
   • Das System wählt die Fragebogen automatisch entsprechend den für die Auswahl festgelegten Konfigurationen aus. Weitere Informationen zur Konfiguration externer Fragebogen, die basierend auf internen Fragebogenantworten ausgewählt werden, finden Sie unter Richten Sie interne Fragebogenantworten ein, um externe Fragebogen automatisch an Bewertungen anzuhängen.
   • Das System wählt die Fragebogen automatisch anhand der Geschäftsregeln aus, die für die Auswahl definiert wurden.

2. Unabhängig von der Auswahlmethode, die Sie in Schritt 1 verwendet haben, werden zwei externe Sorgfaltspflicht-Fragebogen ausgewählt:

   • Ein Satz sammelt Informationen über die Drittparteiorganisation. Der TP-Kontakt beantwortet diesen Fragebogen.
   • Der andere Satz sammelt Informationen zum Geschäftsbereich innerhalb der Drittparteiorganisation, die Gegenstand der Interaktion ist. Der Interaktionskontakt (wie in der Sorgfaltspflicht-Anforderung angegeben) beantwortet diesen Fragebogen.
   Hinweis:

   Wenn Sie den optionalen TP-Elementsammlungsprozess abgeschlossen haben, muss für jedes von Ihnen erstellte Drittparteielement ein Fragebogen ausgewählt und als Teil einer Bewertung zugewiesen werden. Die Drittpartei-Elementfragebögen werden vom Interaktionskontakt ausgefüllt.
3. In Vendor Management-Arbeitsbereichüberprüft der TPR-Manager die automatisch ausgewählten Fragebogen, auf die die TP- und Interaktionskontakte antworten. Der TPR-Manager validiert oder ändert die Auswahl und genehmigt dann den Fragebogensatz.
4. Das System sendet eine E-Mail-Benachrichtigung an Personen in der Drittpartei. Die Nachrichten benachrichtigen den TP-Kontakt und den Interaktionskontakt, um die externen Fragebogen zu beantworten.
5. Im Drittparteiportal beantworten die TP- und Interaktionskontakte die Fragebogen entweder direkt oder weisen die Aufgaben anderen Kontakten in der Drittparteiorganisation zu.

   Hinweis:

   Das Drittparteiportal ist vollständig von der Instanz Ihrer Organisation isoliert.

   Bevor der TPR-Manager eine Bewertung abschließt, kann er in einem iterativen Prozess Nichteinhaltungsprobleme und -aufgaben generieren. Der TPR-Manager kommuniziert mit den TP-Kontakten und Interaktionskontakten, indem er Kommentare verwendet, um die Probleme und Aufgaben zu schließen. Der TPR-Manager kann bei Bedarf auch andere Kontakte zuweisen. Weitere Informationen finden Sie unter Verwalten Sie Probleme.

6. Der TP-Kontakt und der Interaktionskontakt geben die ausgefüllten Fragebogen zurück.
7. Das System ändert den Status der Anforderung in Bereit für TPRM-Genehmigung und sendet Warnungen an die TPR-Manager.
8. In Vendor Management-Arbeitsbereichvalidiert der TPR-Manager, ob die Fragebogen empfangen, ausgefüllt und bei Bedarf signiert wurden, und schließt dann die Bewertungsphase, um den Genehmigungsprozess zu starten.

Genehmigungsprozess: Interne Stakeholder analysieren jeden Risikoaspekt

Alle internen Stakeholder (Genehmiger) überprüfen die Antworten im Fragebogen und die Begleitdokumente der Drittpartei- und Interaktionskontakte. Wenn die Antworten gut sind, genehmigen ein oder mehrere Genehmiger die DD-Anforderung und schließen dann die DD-Anforderung. Wenn ein Vertrag vorbereitet wird, wird die genehmigte Anforderung in den Vertragsrisikoprozess verschoben.

• Genehmiger können die Anforderung genehmigen oder ablehnen und dann schließen.
• Durch das Schließen der Anforderung wird diese entweder zum Vertragsrisikoprozess verschoben, oder, wenn kein Vertrag beteiligt ist, wird die Interaktion gestartet.

Vertragsrisikoprozess

Nach der Genehmigung können dem Vertragsverhandler alle Informationen zur Sorgfaltspflicht zur Verfügung gestellt werden. Mit Vendor Management-Arbeitsbereichgreift der Vertragsverhandler auf alle Daten zu, die während der vorhergehenden Prozesse zum Entwerfen und Regeln des Vertrags generiert werden:

• Der Vertragsverhandler kann bei Bedarf zusätzliche Sorgfaltspflicht anfordern.
• Wenn der Vertragsverhandler einen Vertrag mit der Drittpartei erfolgreich ausführt, kann er ihn hochladen und angeben, dass der Vertrag ausgeführt wird, um alle wichtigen Stakeholder automatisch zu benachrichtigen.
• Der Vertragsverhandler kann festlegen, dass der Vertrag nicht ausgeführt wird und die Drittpartei geschäftlich nicht einbezogen wird.
• Der Vertragsverhandler kann angeben, dass der Vertrag beendet wird und die Drittpartei nicht geschäftlich einbezogen wird.