Workflow de diligence raisonnable

  • Rversion finale: Washingtondc
  • Mis à jour 8 févr. 2024
  • 8 minutes de lecture

    • Les processus de gestion des risques liés aux tiers fournissentTPRM un cadre de travail cohérent pour votre programme de gestion des risques liés aux tiers. Vous pouvez personnaliser les processus de workflow pour répondre aux besoins de votre organisation.

    Processus du workflow de diligence raisonnable

    Chaque tâche d’un processus doit être terminée avant que la tâche suivante puisse être démarrée. Les rôles des utilisateurs qui exécutent les différentes tâches sont décrits à la section Rôles dans Gestion des risques liés aux tiers. Le diagramme suivant décrit le workflow de diligence raisonnable.

    Figure 1. Workflow de diligence raisonnable

    Infographie qui montre où les processus du workflow de diligence raisonnable sont effectués. Pour la description du texte, consultez les étapes de workflow qui suivent.
    Processus de demande : demander de démarrer un nouvel engagement, de réévaluer ou de supprimer un engagement existant
    1. Un employé de votre organisation demande une diligence raisonnable pour un engagement de tiers.
      1. L’employé se connecte à Centre des employés son instance. Il ouvre le formulaire de demande de diligence raisonnable et spécifie le nom du tiers ainsi que le motif de la demande :
        • Nouvel engagement de séparation
        • Réévaluer un risque pour un engagement existant
        • Réévaluer un engagement existant pour préparer un renouvellement de contrat
        • Engagement de séparation avec diligence raisonnable
        • Engagement de séparation sans diligence raisonnable
      2. L’employé fournit des détails sur le tiers et l’engagement. Les informations comprennent le produit ou le service qui doit être évalué dans le cadre de cet engagement, l’utilisateur qui répondra à l’évaluateur du questionnaire sur les risques inhérents (IRQ) et le contact du tiers ou le contact de l’engagement qui répondra aux questionnaires externes.
      3. À tout moment, un fournisseur externe de renseignements sur les risques peut mettre à jour les données sur les risques pour le tiers, car un gestionnaire des risques tiers (TPR) a peut-être intégré les services d’un fournisseur de renseignements sur les risques lors de la configuration de l’application.
      4. L’employé soumet le formulaire.
      5. Le système envoie un e-mail de confirmation à l’employé qui a fait la demande.
      6. Le système envoie une notification par e-mail au groupe d’affectation de demande de diligence raisonnable. Un membre du groupe peut désigner un gestionnaire TPR ou un évaluateur TPR agissant en tant que propriétaire de la demande. Cette action déclenche une tâche pour le gestionnaire TPR.
    2. Le gestionnaire TPR étend le champ d’application de la demande, la met à jour selon les besoins, puis l’approuve ou la rejette.
      1. Le gestionnaire TPR se connecte et Vendor Management Workspace accède à la page de gestion de la diligence raisonnable, où il examine et met à jour la demande :
        • Le gestionnaire de TPR examine la personne qui a été suggérée comme évaluateur de l’IRQ. Au besoin, ils peuvent désigner une autre personne comme évaluateur de l’IRQ.
        • Le gestionnaire TPR peut démarrer une discussion avec le demandeur et d’autres utilisateurs en sélectionnant Discuter. Le message est enregistré dans la section Activité de l’onglet Détails .

      2. Le gestionnaire TPR rejette ou approuve la demande. Si le gestionnaire TPR accepte la demande, le processus IRQ démarre.

    Remarque :
    Les évaluateurs TPR peuvent créer des évaluations récurrentes de tiers pour réévaluer un risque selon un calendrier régulier. Pour plus d'informations, consultez Configurer l’évaluation des risques pour qu’elle se répète selon un calendrier.
    Processus IRQ : définir le périmètre du risque
    1. Le gestionnaire TPR examine et approuve l’IRQ.
      1. Dans le Vendor Management Workspace, le gestionnaire TPR examine et approuve l’IRQ en sélectionnant un questionnaire qui a été créé automatiquement par une règle métier ou à partir d’une liste du système.

        L’administrateur TPR peut créer des IRQ personnalisées pour une organisation. Le contenu de chaque IRQ est créé et mis à jour par la personne responsable du domaine d’activité, de la zone géographique ou du tiers auquel les questions sont destinées. Pour définir une IRQ, l’administrateur TPR ajoute des exemples de questions à un modèle de questionnaire et modifie les questions selon les besoins. Les exemples de questions sont fournis dans le système de basefichier . La définition d’une IRQ est un processus no-code. Le gestionnaire TPR peut définir les règles métier qui sélectionnent automatiquement l’IRQ à utiliser pour un engagement.

        Conseil :
        Le gestionnaire TPR peut utiliser la réponse à une question dans une IRQ pour déterminer les questionnaires qui sont envoyés au tiers en cours d’évaluation. Cette fonctionnalité n’est disponible que si l’application Gestion des risques liés au tiers a été activée.

        Pour plus d'informations, consultez Créer et configurer un questionnaire externe.

      2. Le gestionnaire TPR rejette la demande de diligence raisonnable ou l’approuve. Lorsque la demande est approuvée, le système envoie l’IRQ à l’évaluateur de l’IRQ, qui est une partie prenante interne d’une organisation.
      3. L’évaluateur de l’IRQ est informé de l’IRQ à la fois par e-mail et par une nouvelle tâche dans sa file d’attente.
        Remarque :
        Le système peut également envoyer automatiquement des évaluations des risques de tiers lorsque des modifications sont apportées à un score de risque.
    2. Les utilisateurs internes répondent à l’IRQ :
      1. Dans le Centre des employés, tout utilisateur intéressé par l’engagement s’ouvre à l’IRQ et y répond.

        Plusieurs réponses soulèvent d’autres questions de clarification. Les réponses peuvent déterminer quels questionnaires externes sont générés automatiquement et ajoutés à l’ensemble pour le contact tiers.

        Par exemple, si un évaluateur de l’IRQ indique que le tiers interagit avec des représentants du gouvernement dans le cadre de l’engagement, un questionnaire anti-corruption adapté au pays du tiers (ABAC aux États-Unis ou FCBA dans l’UE, entre autres) est inclus.

      2. L’évaluateur de l’IRQ soumet l’IRQ complétée. Cette action déclenche une tâche pour le gestionnaire TPR.
    3. Les personnes concernées internes (examinateur tiers de l’évaluation, évaluateur du TPR, approbateur du TPR, gestionnaire du TPR ou administrateur du TPR) examinent les réponses de l’IRQ :
      1. Dans , les Vendor Management Workspaceutilisateurs examinent les réponses IRQ.
      2. Le gestionnaire TPR peut demander des clarifications à l’évaluateur de l’IRQ, puis rejeter ou approuver les réponses de l’IRQ.
      3. Si un utilisateur partie prenante interne approuve les réponses IRQ, il démarre le processus de diligence raisonnable en fermant la demande d’engagement.
    Processus de diligence raisonnable : collecter des informations pour générer un score de risque
    1. L’un ou l’autre des processus suivants entraîne la sélection de questionnaires de diligence raisonnable externes :
      • Dans le Vendor Management Workspace, le gestionnaire TPR sélectionne les questionnaires auxquels les contacts tiers répondent.
      • Le système sélectionne automatiquement les questionnaires en fonction des règles métier qui ont été définies pour effectuer les sélections.

    2. Quelle que soit la méthode de sélection que vous avez utilisée à l’étape 1, deux questionnaires de diligence raisonnable externes sont sélectionnés :

      • Un ensemble collecte des informations sur l’organisation tierce. Le contact du tiers répond à ce questionnaire.
      • L’autre ensemble collecte des informations sur l’unité business au sein de l’organisation tierce qui fait l’objet de l’engagement. Le contact de mission (tel que spécifié dans la demande de diligence raisonnable) répond à ce questionnaire.
    3. Dans le Vendor Management Workspace, le gestionnaire TPR passe en revue les questionnaires sélectionnés automatiquement auxquels les contacts tiers répondent. Le responsable TPR valide ou modifie les sélections puis approuve l’ensemble des questionnaires.
    4. Le système envoie une notification par e-mail aux personnes du tiers. Les messages informent le contact de tiers et le contact d’engagement de répondre aux questionnaires externes.
    5. Dans le portail du tiers, les contacts de tiers répondent directement aux questionnaires ou affectent les tâches à d’autres contacts de l’organisation tierce.
      Remarque :
      Le portail du tiers est entièrement isolé de l’instance de votre organisation.

      Dans un processus itératif, avant que le gestionnaire TPR ne ferme une évaluation, il peut générer des problèmes et des tâches de non-conformité. Le gestionnaire TPR communique avec les contacts TP en utilisant des commentaires pour clôturer les problèmes et les tâches. Le gestionnaire TPR peut également affecter différents contacts TP selon les besoins. Pour en savoir plus, consultez Gérer les problèmes.

    6. Le contact du TP et le contact d’engagement renvoient les questionnaires remplis.
    7. Le système définit l’état de la demande sur Prêt pour l’approbation TPRM et envoie des alertes aux gestionnaires TPR.
    8. Dans le Vendor Management Workspace, le gestionnaire TPR valide que les questionnaires sont reçus, remplis et signés si nécessaire, puis ferme la phase d’évaluation pour lancer le processus d’approbation.
    Processus d’approbation : les parties prenantes internes analysent chaque aspect du risque

    Toutes les personnes concernées internes (approbateurs) passent en revue les réponses au questionnaire et les documents de support du contact tiers. Si les réponses sont bonnes, un ou plusieurs approbateurs approuvent, puis ferment la demande DD. Si un contrat doit être préparé, la demande approuvée passe au processus Risque du contrat .

    • Les approbateurs peuvent approuver ou rejeter la demande, puis la fermer. Les approbateurs créent des problèmes à corriger, le cas échéant.
      • La correction d’un problème consiste à résoudre le problème sous-jacent qui provoque une défaillance du contrôle ou une exposition au risque. Lorsqu’un problème est créé pour une question, un indicateur visuel s’affiche à côté de la question dans le portail du tiers.
      • L’acceptation d’un problème se fait lorsqu’une exception est créée pour une défaillance ou un risque de contrôle connu.
      • Les contrôles acceptés restent à l’état non conforme jusqu’à ce que le contrôle soit réévalué. De cette façon, le numéro peut être utilisé pour documenter les observations lors des audits.
    • La fermeture de la demande la déplace vers le processus de risque du contrat ou, si aucun contrat n’est impliqué, l’engagement commence.
    Processus de risque du contrat

    Après approbation, toutes les informations relatives à la diligence raisonnable peuvent être mises à la disposition du négociateur du contrat. En utilisant le Vendor Management Workspace, le négociateur de contrat accède à toutes les données générées au cours des processus précédents pour concevoir et régler le contrat :

    • Le négociateur du contrat peut demander une diligence raisonnable supplémentaire si nécessaire.
    • Si le négociateur exécute avec succès un contrat avec le tiers, il peut le télécharger et spécifier que le contrat est exécuté afin d’en informer automatiquement toutes les principales parties prenantes.
    • Le négociateur du contrat peut spécifier que le contrat n’est pas exécuté et que le tiers ne sera pas engagé à des fins commerciales.
    • Le négociateur du contrat peut spécifier que le contrat est résilié et que le tiers ne sera pas engagé à des fins commerciales.