Créer une évaluation des risques externe — Processus hérité

  • Rversion finale: Washingtondc
  • Mis à jour 1 févr. 2024
  • 9 minutes de lecture

    • Créez une évaluation et lancez le cycle de vie de l’évaluation des risques de tiers. Une évaluation des risques externe spécifie les détails du tiers ou de l’engagement et définit le plan pour terminer l’évaluation.

    Avant de commencer

    Rôle requis : sn_vdr_risk_asmt.vendor_risk_manager ou sn_vdr_risk_asmt.vendor_assessor

    Pourquoi et quand exécuter cette tâche

    Les évaluations peuvent être créées à la demande ou se répéter selon un calendrier spécifié. Lors de la création d’une évaluation des risques externe sur demande, les gestionnaires TPR sélectionnent le modèle de questionnaire ou de demande de document et le tiers. Les gestionnaires TPR peuvent sélectionner plusieurs tiers à la fois et déclencher automatiquement les évaluations.

    Procédure

    1. Accédez à la Tous > Gestion des risques liés aux tiers > Évaluations des risques externes > Toutes les évaluations.
    2. Sélectionnez Nouveau , puis renseignez les champs.
      Formulaire Évaluation des risques du fournisseur.
      Tableau 1. Formulaire Évaluation des risques du fournisseur
      Champ Description
      Nom Nom qui identifie l’évaluation des risques de tiers sur tous les formulaires et listes.
      Description Une explication plus détaillée du problème.
      Numéro

      Pour chaque évaluation des risques externe, le système attribue automatiquement un numéro d’identification unique qui commence par le texte VRA.

      L’ID unique est utilisé dans toutes les références à l’élément. Vous pouvez utiliser l’ID pour rechercher ou filtrer l’élément sur lequel vous souhaitez travailler.
      S'applique à Entité à laquelle l’évaluation s’applique : Tiers ou Engagement.
      Fournisseur Le tiers évalué.
      Remarque :
      Vous pouvez réactiver un tiers qui a l’état Terminé . Si une telle demande est acceptée et fermée, l’état du tiers passe à Actif.
      Engagement Sélectionnez l’engagement à évaluer. Le champ n’est visible que si vous avez sélectionné Engagement dans le champ S’applique à .
      Évaluation récurrente Évaluation utilisée pour créer l’évaluation actuelle.
      Modèle d'évaluation

      Sélectionnez un modèle d’évaluation pour créer des questionnaires ou des demandes de documents pour cette évaluation.

      Pour utiliser plusieurs modèles afin de créer plusieurs questionnaires ou demandes de documents pour l’évaluation, laissez le champ vide.
      Propriétaire

      Le propriétaire est la personne qui possède une évaluation à des fins d’audit, et qui surveille et gère l’ensemble des processus d’évaluation. Il incombe aux propriétaires de confirmer que l’évaluation est effectuée en temps opportun par le tiers, d’examiner ses réponses et de créer et de résoudre les problèmes. Pour mener l’évaluation jusqu’à son achèvement, les propriétaires sont informés lorsqu’une évaluation atteint un jalon particulier. Le propriétaire doit avoir le rôle de gestionnaire TPR ou d’évaluateur TPR.

      Pour les nouvelles demandes, si le champ Propriétaire est vide, l’action suivante se produit : Le système envoie une notification par e-mail à tous les utilisateurs du groupe spécifié dans le groupe d’affectation. Le message indique que la demande a été reçue et qu’elle est à l’état Nouveau . Le message comprend également un lien vers la page de détails de la demande. Voir Ajouter des utilisateurs à des groupes en fonction des responsabilités.

      Remarque :
      Si le champ Propriétaire est vide et que vous sélectionnez Démarrer le processus IRQ, vous devenez le propriétaire.
      Groupe d’affectation

      Pour les nouvelles demandes, le groupe d’affectation est défini sur les Assignataires de demande de diligence raisonnableLe système envoie une notification par e-mail à tous les utilisateurs du groupe spécifié dans le groupe d’affectation. Le message indique que la demande a été reçue et qu’elle est à l’état Nouveau . Le message comprend également un lien vers la page de détails de la demande.

      Sur le formulaire de demande de diligence raisonnable :

      • Tout membre du groupe peut sélectionner M’affecter ou définir le champ Propriétaire sur n’importe quel autre membre du groupe.
      • Un gestionnaire TPR ou un évaluateur TPR peut effacer le champ Groupe d’affectation ou modifier la valeur pour sélectionner parmi différents évaluateurs TPR dans la liste de sélection Propriétaire .
      État Le processus de collecte des données d’évaluation auprès d’un tiers passe par plusieurs états. Voir États du cycle de vie d’une évaluation des risques de tiers (externe) pour des descriptions détaillées.
      Cote de risque La cote de risque globale pour le tiers.
      • Critique
      • Élevée
      • Modéré
      • Faible
      • Mineure
      Remarque :
      La cote de risque est déterminée en trouvant une plage d’échelle de cote de risque dans laquelle se situe le score de risque. Il définit comment une plage minimale et maximale de scores d’évaluation est mappée à un score de risque qualitatif.
      Fin de validité de la cote de risque Date d’expiration de la cote de risque. La date doit être postérieure à la cote de risque valide pour tous les questionnaires ou demandes de documents associés.
      Déclencher par niveau de risque Cochez la case pour lancer l’évaluation lorsque le niveau de risque change pour le tiers.
      Liste de surveillance Ajoutez les utilisateurs qui doivent être informés lorsque cet enregistrement est modifié.
      Évaluation du risque
      Remarque :
      Les évaluations des risques sont calculées et affichées après réception des réponses à l’évaluation.
      Cote de risque calculée Moyenne des évaluations du risque du domaine de risque de tiers.
      Remplacer la cote de risque Cochez la case pour remplacer la cote de risque calculée pour le tiers. Lorsque cette option est sélectionnée, les changements futurs apportés à la cote de risque de l’évaluation affecteront uniquement la cote de risque calculée, et non la cote de risque.
      Remarque :
      Si vous décochez une case sélectionnée, la cote de risque calculée est copiée dans l’évaluation.
      Cote de risque remplacée Si vous avez sélectionné Remplacer la cote de risque, entrez la nouvelle cote de risque.
      Justification Si vous avez sélectionné Remplacer la cote de risque, vous devez saisir un motif pour le remplacement.
      Cote de risque du problème Cote de risque pour les problèmes associés aux tiers évalués. La cote de risque du problème est basée sur la priorité des problèmes fermés et sur la façon dont ils ont été résolus.
      • Si le problème a été fermé terminé, cela indique que le problème a été résolu.
      • Si le problème était à l’état Fermé incomplet, cela indique que le tiers n’a pas répondu aux questions associées.
      • Si le problème a été Fermé annulé, cela indique que le problème n’avait pas besoin d’être résolu.
      Si le problème est fermé et que l’état de l’évaluation n’est pas fermé ou annulé, la cote de risque du problème est recalculée et affichée.
      Remarque :
      La cote de risque calculée n’est pas affectée par ce calcul.
      Remplacer la cote de risque Option permettant de remplacer la cote de risque calculée pour le tiers. Lorsque cette option est sélectionnée, toute modification future apportée à la cote de risque de l’évaluation affectera uniquement la cote de risque calculée, et non la cote de risque.
      Remarque :
      Si la case est cochée, puis désélectionnée, la cote de risque calculée est utilisée.
      Cote de risque remplacée Si vous avez sélectionné Remplacer la cote de risque, entrez la nouvelle cote de risque.
      Justification Si vous avez sélectionné Remplacer la cote de risque, vous devez saisir un motif pour le remplacement.
      Calendrier de l'évaluation
      Durée prévue (jours) Durée estimée de l’évaluation
      Date de début planifiée / Date de fin prévue Dates et heures planifiées de début et d’achèvement du travail sur l’évaluation.
      Créé par Utilisateur qui a créé cet enregistrement.
      Créé Date/heure de création de l’enregistrement.
      Durée réelle Le temps nécessaire pour terminer l’évaluation des risques de tiers. Ce champ est calculé à l’aide des champs Date d’état réelle et Date de fin effective.
      Date de début réelle Date et heure auxquelles le travail sur l’évaluation a commencé.
      Date de fin réelle Date et heure de fin de l’évaluation.
      Mis à jour Date et heure de dernière mise à jour de l’enregistrement.
      Calendrier du questionnaire
      Durée prévue (jours) Le temps accordé au tiers pour terminer l’évaluation. La valeur est calculée à l’aide de la date d’état planifiée et de la date de fin planifiée.
      Durée de revue (jours) Temps alloué au client pour examiner tous les questionnaires.
      Date d'échéance Délai de réponse et de retour de tous les questionnaires par un tiers.
      Date d'achèvement Date réelle à laquelle le tiers a rempli tous les questionnaires.
      Soumis au fournisseur Date de livraison des questionnaires de tiers.
      Resoumis au fournisseur Date à laquelle les questionnaires sont renvoyés au tiers.
      Réponses attendues par Date à laquelle votre organisation attend que les réponses soient renvoyées par le contact tiers.
      Remarques et commentaires
      Notes de travail Informations sur l’évaluation. Les notes de travail sont visibles par les utilisateurs affectés au problème.
      Commentaires supplémentaires (visible par le client) Informations publiques sur l’évaluation.
    3. Enregistrez l'enregistrement.

      D’autres listes connexes s’affichent. Si vous avez laissé le champ Modèle d’évaluation vide et que vous souhaitez utiliser des modèles d’évaluation pour associer plusieurs questionnaires et/ou demandes de documents à cette évaluation, utilisez les listes connexes Questionnaires ou Demandes de documents .


      Plusieurs listes connexes s’affichent lorsque vous enregistrez le formulaire Évaluation des risques du fournisseur.
    4. Pour associer des questionnaires existants et/ou des demandes de documents à l’évaluation, procédez comme suit.
      1. Ouvrez la liste connexe Questionnaires ou Demandes de documents .
      2. Sélectionnez Modifier, sélectionnez les questionnaires ou les demandes de documents à utiliser, puis sélectionnez Enregistrer.
      3. Répétez l’opération pour l’autre type de questions, si nécessaire.
    5. Pour créer des modèles de demande de questionnaire et/ou de document et les associer à l’évaluation, reportez-vous à Créer un modèle de questionnaire ou un modèle de demande de document.
      Important :
      À l’étape suivante, vous pouvez choisir de soumettre le questionnaire au tiers. Pour préremplir le questionnaire avec les réponses de la dernière évaluation fermée, vous devez sélectionner l’option Inclure les réponses précédentes avant de le soumettre au tiers. Le paramètre ne peut pas être modifié une fois que le questionnaire est envoyé au tiers. Consultez Créer un modèle de questionnaire ou un modèle de demande de document.
    6. Sélectionnez Soumettre à un tiers.
      • L’état de l’évaluation passe à Soumis à un tiers.
      • Les modèles que vous avez sélectionnés génèrent des questionnaires et/ou des demandes de documents.
      • Si l’option Inclure les réponses précédentes est sélectionnée pour un questionnaire, les réponses précédentes sont copiées et ajoutées au questionnaire sortant. La notification sur le portail du tiers inclut le numéro, le nom et la date de clôture de l’évaluation qui a fourni les réponses. La notification comprend également un lien vers l’évaluation.
      • Le contact de tiers principal reçoit une notification par e-mail qui inclut un lien vers l’évaluation dans le portail du tiers.
    7. Lorsque le contact du tiers est prêt à répondre à l’évaluation, il ouvre l’évaluation dans le portail du tiers.

      Travailler avec une évaluation dans le portail du tiers.
      Remarque :
      Dans cet exemple, l’un des questionnaires nécessite une signature. Le tiers ou le réviseur doit enregistrer et signer électroniquement le questionnaire ou la demande de document avant qu’il puisse être soumis. Pour plus d'informations, consultez Signatures électroniques sur les questionnaires ou les demandes de documents.
    8. L’évaluateur TPR déplace l’état de l’évaluation vers Génération d’observations.

      Pendant ce temps, l’évaluateur TPR peut cliquer sur le lien Afficher la réponse dans la liste connexe Demandes de documents ou Questionnaires du document pour afficher la réponse et fournir des commentaires ou modifier les réponses, au besoin.

      Pour tous les problèmes qui surviennent, l’évaluateur TPR crée un problème pour suivre le processus de rattrapage (finalisation avec un tiers).

    9. L’évaluateur TPR fait passer l’évaluation à l’état Fermé .

    Que faire ensuite

    L’évaluateur TPR travaille via le portail du tiers avec le tiers pour clôturer l’évaluation.
    Cycle de vie de l’évaluation des risques du fournisseur.