Ihr Drittparteirisiko wird bewertet

  • Freigeben Version: Yokohama
  • Aktualisiert 30. Januar 2025
  • 9 Minuten Lesedauer

    • Verwenden Sie Risikomanagement von Drittparteien, um potenzielle Risiken im Zusammenhang mit Ihren Drittparteibeziehungen zu identifizieren und zu bewerten. Die Informationen, die aus internen und externen Fragebogen und Dokumentationsanforderungen erfasst wurden, helfen Ihnen, das Risikoprofil der Drittpartei zu verstehen, die geeigneten Risikoverringerungsstrategien zu bestimmen und zu bestimmen, ob die Drittpartei oder Interaktion alle erforderlichen Compliance-Anforderungen erfüllt.

    Beantwortung von Fragebogen

    Die folgenden Prozesse beschreiben das Timing und die Methoden für die Beantwortung interner und externer Fragebogen:

    Prozess für den Fragebogen zum inhärenten Risiko (IRQ).

    Die folgende Infografik zeigt den IRQ-Prozess.


    Infografik, die den IRQ-Prozess im Sorgfaltspflicht-Workflow zeigt. Die Textbeschreibung finden Sie in den folgenden Prozessschritten.
    Im Folgenden finden Sie die Schritte des IRQ-Prozesses.
    1. Nachdem die Sorgfaltspflicht-Anforderung vom Manager für Drittparteirisiken (TPR) [sn_vdr_risk_asmt.vendor_risk_manager] oder dem TPR-Gutachter [sn_vdr_risk_asmt.vendor_assessor] genehmigt wurde, der als Besitzer der Sorgfaltspflicht-Anforderung zugewiesen wurde, wählt er einen IRQ aus und hängt ihn an an eine interne Bewertung.
    2. Das System sendet eine E-Mail-Benachrichtigung an den Mitarbeiter, der als IRQ-Gutachter [snc_internal] zugewiesen wurde.
    3. Der IRQ-Gutachter schließt die interne Risikobewertung ab, indem er auf die IRQ antwortet.
    4. Nachdem der IRQ-Gutachter seine Antworten übermittelt hat und der TPR-Manager oder Besitzer den IRQ überprüft und schließt, wird der Status der Sorgfaltspflicht-Anforderung von „IRQ in Bearbeitung“ zu „IRQ in Überprüfung“ aktualisiert.
    Hinweis:
    Ändern Sie keine Fragebogenvorlage, nachdem sie im Rahmen einer internen Bewertung gesendet wurde. Duplizieren Sie stattdessen die Vorlage, indem Sie eine Kopie erstellen, und nehmen Sie Ihre Änderungen in der neuen Kopie vor. Wenn Sie einen Fragebogen aktualisieren, nachdem er gesendet wurde, werden die Änderungen nicht in der Version angezeigt, die dem IRQ-Gutachter angezeigt wird. Um eine aktualisierte Version zu senden, müssen Sie den vorhandenen Fragebogen abbrechen, indem Sie seine Zuordnung zur internen Bewertung aufheben, und dann den Fragebogen mithilfe der aktualisierten Vorlage hinzufügen. Weitere Informationen finden Sie unter Erstellen Sie einen Fragebogen oder eine Dokumentanforderungsvorlage und Erstellen Sie mit dem Designer einen Fragebogen oder eine Dokumentanforderungsvorlage.

    Basierend auf den gesammelten Informationen bewerten der TPR-Manager und sein Team die potenziellen Risiken, die mit der Interaktion verbunden sind. Sie bewerten Faktoren wie die finanzielle Stabilität, die Betriebskapazität, die Einhaltung von Qualitätsstandards, die Compliance mit Vorschriften und die Fähigkeit der Drittpartei, Lieferfristen einzuhalten. Diese Bewertung hilft dem -Team, das Risikoprofil der Drittpartei zu verstehen und geeignete Risikominderungsstrategien zu bestimmen.

    Weitere Informationen zu IRQs finden Sie unter Auf eine IRQ antworten.

    Drittpartei-Elementsammlungsprozess: TP-Elementinformationen sammeln

    Die folgende Infografik zeigt den TP-Element-Sammlungsprozess.


    Infografik, die den Sammlungsprozess für TP-Elemente im Sorgfaltspflicht-Workflow zeigt. Die Textbeschreibung finden Sie in den folgenden Prozessschritten.
    Im Folgenden finden Sie die Schritte des TP-Element-Sammlungsprozesses.
    1. Nachdem Ihre Sorgfaltspflicht-Anforderung den IRQ-Prozess abgeschlossen hat und TP-Elemente erforderlich sind, wählt der TPR-Manager oder Besitzer der Sorgfaltspflicht-Anforderung Sammlung starten aus, und es wird eine Sammlungsaufgabe erstellt.
    2. Der TPR-Manager oder -Besitzer weist einer externen Bewertung TP-Elementfragebögen zu, um Elemente zu sammeln, und sendet diese Bewertung an eine Interaktion, um die erforderlichen Informationen für TP-Elemente zu sammeln.
    3. Das System sendet eine E-Mail-Benachrichtigung an den Drittpartei-Interaktionskontakt, dem der TP-Elementfragebogen zugewiesen wurde.
    4. Nachdem der Drittpartei-Interaktionskontakt seine Antworten übermittelt hat, prüft und verifiziert der TPR-Manager oder Besitzer, dass alle erforderlichen Informationen in den Fragebogen angegeben wurden.
    5. Der TPR-Manager oder -Besitzer navigiert dann zur Liste der Drittparteielemente und erstellt manuell einen Drittparteielement-Datensatz für jeden Satz von Antworten in jedem Fragebogen.

      Weitere Informationen finden Sie unter Erstellen Sie einen Drittpartei-Elementdatensatz.

    6. Nachdem alle TP-Elemente erstellt wurden, schließt der TPR-Manager oder Besitzer die Erfassungsaufgabenbewertung. Das System ändert den Status der Anforderung von Sammlung in Bearbeitung in Sammlung in Überprüfung.
    7. Die internen Stakeholder (TPR-Gutachter, TPR-Genehmiger, TPR-Manager oder TPR-Administrator) überprüfen und genehmigen die Elementdatensätze.

    Dies ist ein optionaler Prozess zum Sammeln von TP-Elementen und zum Zuweisen von Interaktionen, damit sie als Teil des gesamten Sorgfaltspflicht-Workflows bewertet werden können. Weitere Informationen zu TP-Elementen finden Sie unter Elemente von Drittparteien werden überwacht.

    Sorgfaltspflichtprozess: Compliance-Überprüfung

    Die folgende Infografik zeigt den Sorgfaltspflichtprozess.


    Infografik, die den Sorgfaltspflicht-Prozess im Sorgfaltspflicht-Workflow zeigt. Die Textbeschreibung finden Sie in den folgenden Prozessschritten.
    Im Folgenden finden Sie die Schritte des Sorgfaltspflicht-Prozesses.
    1. Nach Abschluss des IRQ-Prozesses oder des TP-Elemente-Sammlungsprozesses wählt der TPR-Manager oder -Besitzer Fragebogen aus und fordert Dokumentation an, um sie an externe Bewertungen anzuhängen und an die Drittpartei oder Interaktion zu senden. Weitere Informationen zum Erstellen von Bewertungen finden Sie unter Erstellen Sie eine externe Risikobewertung und Formular „Drittpartei-Risikobewertung“..
      Hinweis:
      Wenn Sie den optionalen TP-Elementsammlungsprozess abgeschlossen haben, muss für jedes von Ihnen erstellte Drittparteielement ein Fragebogen ausgewählt und als Teil einer Bewertung zugewiesen werden. Die TP-Element-Fragebogen werden vom Interaktionskontakt ausgefüllt.
    2. Das System sendet eine E-Mail-Benachrichtigung an die Drittpartei und den Interaktionskontakt, die den einzelnen Bewertungen zugewiesen wurden.
      Hinweis:
      Ändern Sie keine Fragebogenvorlage, nachdem sie als Teil einer externen Bewertung gesendet wurde. Duplizieren Sie stattdessen die Vorlage, indem Sie eine Kopie erstellen, und nehmen Sie Ihre Änderungen in der neuen Kopie vor. Wenn Sie einen Fragebogen aktualisieren, nachdem er gesendet wurde, werden die Änderungen nicht in der im Drittparteiportal angezeigten Version angezeigt. Um eine aktualisierte Version zu senden, müssen Sie den vorhandenen Fragebogen abbrechen, indem Sie seine Zuordnung zur externen Bewertung aufheben, und dann den Fragebogen mithilfe der aktualisierten Vorlage hinzufügen. Weitere Informationen finden Sie unter Erstellen Sie einen Fragebogen oder eine Dokumentanforderungsvorlage und Erstellen Sie mit dem Designer einen Fragebogen oder eine Dokumentanforderungsvorlage.
    3. Nachdem die Drittpartei- und Interaktionskontakte ihre Antworten übermittelt haben, überprüft und verifiziert der TPR-Manager oder Besitzer, dass alle erforderlichen Informationen in den Bewertungen angegeben wurden. Probleme und Aufgaben werden erstellt, wenn eine Behebung oder zusätzliche Informationen erforderlich sind.
    4. Der TPR-Manager oder Besitzer genehmigt und schließt jede Bewertung.

    Der TPR-Manager kann Bewertungsvorlagen entwickeln, um den Prozess der Bestimmung, welche Fragebogen und Dokumentanforderungen an eine Drittpartei dieses Typs gesendet werden sollen, zu vereinfachen und zu automatisieren. Der TPR-Administrator kann Fragebogenvorlagen und Dokumentanforderungsvorlagen definieren, und der TPR-Manager kann sie dann in einer Bewertungsvorlage gruppieren. Ihre Organisation kann die Vorlage wiederverwenden, um die Fragebögen und Dokumentanforderungen in zukünftigen Bewertungen an ähnliche Drittparteien zu senden. Weitere Informationen zu Vorlagen finden Sie unter Erstellen Sie eine Bewertungsvorlage, Erstellen Sie einen Fragebogen oder eine Dokumentanforderungsvorlageund Erstellen Sie mit dem Designer einen Fragebogen oder eine Dokumentanforderungsvorlage.

    Der TPR-Manager und sein Team verwenden die Antworten und internen Analysen der Drittpartei, um zu bestimmen, ob die Drittpartei alle erforderlichen Compliance-Anforderungen erfüllt. Diese Anforderungen können die Überprüfung der Compliance der Drittpartei mit geltenden Gesetzen und Vorschriften umfassen, z. B. Umweltvorschriften, Arbeitsgesetze und Antikorruptionsrichtlinien.

    Hinweis:
    Der Gutachter für das Drittparteirisiko, der Manager oder der Administrator kann im Namen von Drittparteien oder Interaktionen Fragen beantworten, Antworten ändern und externe Fragebogen übermitteln. Weitere Informationen finden Sie unter Beantworten Sie einen Fragebogen für eine Drittpartei oder Interaktion.

    Aufgrund der Vertraulichkeit der beteiligten Elemente bewerten der TPR-Manager und sein Team die Datensicherheits- und Datenschutzpraktiken der Drittpartei. Sie bewerten die Informationssicherheitsmaßnahmen, Datenschutzrichtlinien, Zugriffskontrollen und Schwachstellenmanagementprozesse der Drittpartei. Wenn die Drittpartei Zugriff auf proprietäre Informationen oder Kundendaten hat, kann sie von der Drittpartei verlangen, sich einem Cybersicherheitsaudit zu unterziehen oder Nachweise über ihre Datenschutzmaßnahmen zu erbringen.

    Weitere Informationen zum Überprüfen von Antworten finden Sie unter Überprüfen Sie die Antworten auf externe Fragebogen.
    Hinweis:
    Ihr TPR-Gutachter kann empfangene oder zurückgegebene Fragebögen in MicrosoftMicrosoft Azure Event Hubs Excel-Tabellen exportieren. Mit dieser Option kann Ihre Organisation die Tabellenkalkulationsumgebung verwenden, um die Fragen und Antworten zu überprüfen. Weitere Informationen zum Exportieren von Fragebogen-Antworten finden Sie unter Exportieren Sie die Fragebogenantworten in eine Tabelle.

    Fragebogen vorab mit Antworten ausfüllen

    Der TPR-Manager oder TPR-Gutachter kann Fragebogen für Drittparteien, Interaktionen und Entitäten vorab mit Antworten aus vollständigen Fragebogen ausfüllen, die derselben Drittpartei zugeordnet sind. Nach dem Versenden der Bewertung wird der Fragebogen vorab mit allen Antworten aus der letzten abgeschlossenen Version dieses Fragebogens ausgefüllt, unabhängig davon, ob die ursprüngliche zugeordnete Bewertung abgeschlossen wurde. Dies ist hilfreich für Fragebogen, bei denen erwartet wird, dass die Antworten konsistent bleiben. Dies beschleunigt den Prozess und ermöglicht Drittparteikontakten, die Antworten nur bei Bedarf zu überprüfen und zu aktualisieren. Weitere Informationen zum Erstellen von Bewertungen finden Sie unter Erstellen Sie eine externe Risikobewertung.
    Wichtig:
    Wenn der TPR-Manager oder TPR-Gutachter einer Bewertung einen Fragebogen hinzufügt, kann er diese Option auf der Fragebogenseite aktivieren oder deaktivieren. Die Option kann nicht geändert werden, nachdem der Fragebogen an die Drittpartei gesendet wurde. Weitere Informationen finden Sie unter Erstellen Sie einen Fragebogen oder eine Dokumentanforderungsvorlage und Formular für Bewertungsmetriktypen.

    Wenn eine Drittpartei oder ein Interaktionskontakt im Drittparteiportal einen vorab ausgefüllten Fragebogen öffnet, erhält sie eine Benachrichtigung, dass die Antworten aus einem früheren Fragebogen kopiert wurden. Die Benachrichtigung enthält einen Link zu der Bewertung, von der die Antworten stammen, und das Datum der letzten Aktualisierung (siehe folgendes Beispiel).

    Benachrichtigung, dass die Antworten aus einem früheren Fragebogen kopiert wurden.

    Einschränkungen:
    • Einige Fragetypen und ihre Antworten können nicht vorab ausgefüllt werden, z. B. die Fragetypen „Anhang“, „Dauer“ und „Signatur“. Diese Antworten auf Fragen bleiben leer und vorherige Antworten werden nicht eingeschlossen.
    • Antworten werden einmal von der ursprünglichen Bewertung (Bewertung A) in die neuere Bewertung (Bewertung B) kopiert. Dieses Kopieren erfolgt, wenn Bewertung B an eine Drittpartei oder eine Interaktion übermittelt wird. Alle Änderungen, die Sie später an Bewertung A vornehmen, werden nicht in Bewertung B berücksichtigt. Beide Bewertungen bleiben getrennt.

    Probleme und Aufgaben

    Die Rolle des TPR-Gutachters [sn_vdr_risk_asmt.vendor_assessor] ist erforderlich, um Aufgaben und Probleme zu erstellen und zu verwalten.

    Der TPR-Manager, TPR-Gutachter oder Vertragsverhandler kann Aufgaben erstellen, um sicherzustellen, dass ein Teammitglied oder der Drittparteikontakt auf Bedenken hinsichtlich der Antworten auf den Fragebogen oder der angeforderten Dokumente reagiert. Sie können vorhandene Aufgaben verwalten, um zu überprüfen, ob das zugewiesene Teammitglied oder der Drittparteikontakt auf eine Aufgabe reagiert und sie bei Bedarf aktualisiert. Weitere Informationen zum Erstellen und Verwalten von Problemen finden Sie unter Erstellt eine Aufgabe für eine Drittpartei oder Interaktion und Verwalten Sie eine Aufgabe für eine Drittpartei oder Interaktion.

    Der TPR-Manager, TPR-Gutachter oder Vertragsverhandler kann ein Problem erstellen, um sicherzustellen, dass die Bedenken des Teams hinsichtlich einer Drittpartei oder Interaktion ausräumen. Sie können auch die vorhandenen Probleme verwalten, um sicherzustellen, dass sie verstanden, an die richtigen Personen weitergegeben und nach Bedarf bearbeitet werden. Weitere Informationen zum Erstellen und Verwalten von Aufgaben finden Sie unter Erstellt ein Problem für eine Drittpartei oder Interaktion und Verwalten Sie Probleme.

    Zusätzliche Assessment-Aktionen

    Der TPR-Manager, der Besitzer der Sorgfaltspflicht-Anforderung oder der Vertragsverhandler müssen möglicherweise eine Bewertung erneut öffnen, da neue Informationen verfügbar sind, die sich auf die Interaktion auswirken, oder weil eine andere Änderung aufgetreten ist. Weitere Informationen finden Sie unter Warum Sie Sorgfaltspflicht durchführen.

    Wenn der TPR-Manager, der Besitzer der Sorgfaltspflicht-Anforderung oder der Vertragsverhandler weitere Informationen aus einer Interaktion sammeln muss, kann er/sie einen zusätzlichen Fragebogen oder eine zusätzliche Dokumentanforderung senden, indem er eine Bewertung erneut öffnet und die folgenden Aktionen ausführt:
    1. Navigieren Sie zur Datensatzseite „Sorgfaltspflicht-Anforderung“, indem Sie die entsprechende DDR- Nummer auswählen.
    2. Zeigen Sie die zugehörige Drittpartei-Risikobewertung an, indem Sie die VRA- Nummer auf der Registerkarte Drittpartei-Risikobewertung auswählen.
    3. Wählen Sie Erneut öffnen.

    Der Status der Sorgfaltspflicht-Anforderung wird von „Für TPRM-Genehmigung bereit“ in „Sorgfaltspflicht“ geändert. Der TPR-Manager, Eigentümer oder Vertragsverhandler kann nach Bedarf Fragebogen und Dokumentanforderungen anfordern. Weitere Informationen finden Sie unter Öffnen Sie eine Bewertung erneut.

    Wenn der TPR-Manager, der Besitzer der Sorgfaltspflicht-Anforderung oder der Vertragsverhandler keine Bewertung für eine laufende Interaktion benötigt oder einen schnellen Abschluss für das Onboarding oder die Verlängerung einer Interaktion benötigt, kann er eine Bewertung wie folgt abbrechen:
    1. Navigieren Sie zur Datensatzseite „Sorgfaltspflicht-Anforderung“, indem Sie die entsprechende DDR- Nummer auswählen.
    2. Zeigen Sie die zugehörige Drittpartei-Risikobewertung an, indem Sie die VRA- Nummer auf der Registerkarte Drittpartei-Risikobewertung auswählen.
    3. Wählen Sie Abbrechen.
    Auch wenn eine oder alle Bewertungen abgebrochen werden, wird die Sorgfaltspflicht-Anforderung mit dem Genehmigungsprozess fortgesetzt.