Beispiel für den Onboarding-Prozess

Anforderungsprozess

Jeder Mitarbeiter (in der Regel ein Benutzer, der mit einer Drittpartei Geschäfte abschließen möchte) legt den Business Case vor, um den Sorgfaltspflichtprozess für eine Risikobewertung zu starten.

Ein Manager für Drittparteirisiken (TPR) prüft die Anforderung der Sorgfaltspflicht für die Interaktion und genehmigt sie.

Prozess für den Fragebogen zum inhärenten Risiko (IRQ).

Nachdem die Anforderung genehmigt wurde, schließt der IRQ-Gutachter die interne Risikobewertung ab, indem er an die IRQ antwortet.

Basierend auf den gesammelten Informationen bewertet Acme die potenziellen Risiken im Zusammenhang mit der Drittpartei. Sie bewerten Faktoren wie finanzielle Stabilität, operative Kapazität, Einhaltung von Qualitätsstandards, Compliance mit Vorschriften und Fähigkeit der Drittpartei, Lieferfristen einzuhalten. Diese Bewertung hilft Acme, das Risikoprofil der Drittpartei zu verstehen und geeignete Risikominderungsstrategien zu bestimmen.

Sorgfaltspflicht-Prozess: Compliance-Überprüfung sowie Bewertung von Datensicherheit und Datenschutz

Wenn der IRQ-Prozess abgeschlossen ist, sendet die Anwendung TPRM von Acme Fragebogen und Anforderungen zur Dokumentation an die Drittpartei. Im Rahmen einer Bewertung können Sie mehrere Fragebogen und Dokumentanforderungen senden. Acme kann Dokumente anfordern: die Zertifizierungen, Lizenzen oder Audit-Berichte der Drittpartei, um die Compliance zu validieren.

Hinweis:

Um den Prozess der Bestimmung, welche Fragebogen und Dokumentanforderungen an eine Drittpartei dieses Typs gesendet werden sollen, zu vereinfachen und zu automatisieren, haben die Mitarbeiter von Acme Bewertungsvorlagenentwickelt. Sie definierten Fragebogenvorlagen und/oder Dokumentanforderungsvorlagen und gruppierten sie dann in einer Bewertungsvorlage. Acme kann die Vorlage wiederverwenden, um in zukünftigen Bewertungen die entsprechenden Fragebögen und/oder Dokumentanforderungen an ähnliche Drittparteien zu senden.

Acme verwendet die Antworten der Drittpartei und interne Analysen, um zu bestimmen, ob die Drittpartei alle erforderlichen Compliance-Anforderungen erfüllt. Dies umfasst die Überprüfung der Compliance der Drittpartei mit geltenden Gesetzen und Vorschriften, z. B. Umweltvorschriften, Arbeitsrecht und Antikorruptionsrichtlinien.

Aufgrund der sensiblen Natur der beteiligten Komponenten bewertet Acme die Datensicherheits- und Datenschutzpraktiken der Drittpartei. Sie bewerten die Informationssicherheitsmaßnahmen, Datenschutzrichtlinien, Zugriffskontrollen und Schwachstellenmanagementprozesse der Drittpartei. Wenn die Drittpartei Zugriff auf die proprietären Informationen oder Kundendaten von Acme hat, kann sie von der Drittpartei die Durchführung eines Cybersicherheitsaudits oder den Nachweis ihrer Datenschutzmaßnahmen verlangen.

Vertragliche Vereinbarungen und Risikominderung

Um ihre Interessen zu schützen, integriert der TPR-Vertragsverhandler bei Acme (häufig Unternehmensbeirat) spezifische vertragliche Bestimmungen, um identifizierte Risiken anzugehen. Der Vertragsverhandler verwendet die in den IRQ- und Sorgfaltspflichtprozessen gewonnenen Informationen, um Klauseln in Bezug auf Compliance, Qualitätsstandards, Vertraulichkeit, Datenschutz, Geschäftskontinuität und Konfliktlösungsmechanismen aufzunehmen. Der Vertrag kann auch Leistungsmetriken, Erwartungen und Kündigungsklauseln enthalten, wenn eine Nichteinhaltung oder ein Verstoß vorliegt.

Laufende Überwachung und Überprüfung

Acme richtet einen laufenden Überwachungsprozess ein, um regelmäßig die Leistung der Drittpartei und die Einhaltung der vereinbarten Bedingungen zu bewerten. Personen in Ihrer Organisation können regelmäßige finanzielle Überprüfungen, Qualitätsaudits, Standortbesuche oder Umfragen manuell durchführen. Sie richten auch Kommunikationskanäle ein, um auf Bedenken oder Änderungen im Risikoprofil der Drittpartei einzugehen.