Surveillance des éléments tiers

  • Rversion finale: Xanadu
  • Mis à jour 1 août 2024
  • 5 minutes de lecture

    • Vous pouvez surveiller les éléments tiers via des modèles de notation évolutifs, l’analyse des relations et l’intégration du workflow de diligence raisonnable à l’aide de l’application Gestion des risques liés aux tiers . La surveillance des éléments de tiers et l’exploitation de ces informations peuvent vous aider à effectuer des évaluations des risques plus éclairées dans le cadre de votre programme de gestion des risques de tiers.

    Vue d’ensemble des éléments tiers

    Les éléments tiers (éléments TP) sont les organisations externes sur lesquelles un engagement s’appuie pour fournir des biens, des services ou une assistance. Ces organisations peuvent inclure les fournisseurs, les prestataires, les installations, les individus ou toute autre organisation externe qui peut accéder aux systèmes, aux données ou aux installations de l’engagement.

    Examinons quelques exemples de classes et de risques d’éléments TP :
    Centre de données
    Installation ou emplacement où un engagement ou un tiers externalise le stockage, le traitement et la gestion de ses données et de son infrastructure informatique. Un centre de données peut potentiellement être victime d’une violation de données, d’un temps d’arrêt ou d’une violation de la conformité qui expose ses engagements à des risques inattendus. Cet exemple serait classé comme un élément TP d’installation.
    Usine de fabrication
    Une installation ou un emplacement où un engagement ou un tiers sous-traite la production ou l’assemblage de ses produits. Une usine de fabrication peut potentiellement être confrontée à une perturbation de la chaîne d’approvisionnement, à une pièce contrefaite ou à un problème de conformité réglementaire qui expose ses engagements à des risques inattendus. Cet exemple serait classé comme un élément TP d’installation.
    Bénéficiaire effectif
    Personne qui possède ou contrôle une organisation impliquée dans une relation commerciale ou une transaction. Ces personnes peuvent ne pas être les propriétaires enregistrés ou légaux de l’organisation, mais avoir une influence ou un contrôle significatif sur ses opérations, sa prise de décision ou ses affaires financières. Cet exemple serait classé comme un élément TP principal.

    Pour plus d’informations sur les éléments tiers (TP) et des exemples de leurs contrôles associés et des risques potentiels, reportez-vous à la section Terminologie.

    Collecte et examen d’éléments tiers

    La collecte et l’examen des éléments tiers sont facultatifs. Si vous avez le rôle d’évaluateur des risques tiers (TPR) [sn_vdr_risk_asmt.vendor_assessor] et que vous êtes le propriétaire de la demande de diligence raisonnable ou le gestionnaire TPR [sn_vdr_risk_asmt.vendor_risk_manager], vous pouvez démarrer ce processus une fois que votre demande de diligence raisonnable a terminé le processus du questionnaire sur les risques inhérents (IRQ). Vous devez suivre le processus suivant pour collecter et examiner les éléments TP :
    1. Dans le Espace de travail de gestion des fournisseurs, si des éléments TP sont nécessaires, le gestionnaire des risques tiers (TPR) ou le propriétaire de la demande de diligence raisonnable sélectionne Démarrer la collecte et une tâche de collecte est créée.
    2. Le gestionnaire ou le propriétaire TPR ouvre l’évaluation externe pour la collecte des éléments et ajoute les questionnaires de collecte d’éléments TP pertinents.
    3. Le gestionnaire ou le propriétaire TPR examine et approuve les questionnaires, qui sont ensuite envoyés à l’engagement. Pour en savoir plus sur les évaluations, reportez-vous à Évaluation de votre risque de tiers.
    4. En Espace de travail de gestion des fournisseurs, le gestionnaire ou le propriétaire du TPR ouvre les questionnaires et vérifie que tous les renseignements requis ont été fournis.
    5. Le gestionnaire ou le propriétaire du TPR accède ensuite à la liste des éléments de TP et crée manuellement un enregistrement d’élément de TP pour chaque ensemble de réponses de chaque questionnaire.
    6. Une fois que tous les éléments TP sont créés, le gestionnaire ou le propriétaire TPR ferme l’évaluation de la tâche de collecte. Le système change l’état de la demande en Collecte en cours de révision.
    7. Les personnes concernées internes (évaluateur du TPR, approbateur du TPR, gestionnaire du TPR ou administrateur du TPR) examinent et approuvent les enregistrements d’éléments.
    Pour plus d'informations, consultez Créer un enregistrement d’élément tiers.

    Ajout d’éléments tiers aux engagements

    Une fois que les éléments TP sont examinés et approuvés par le gestionnaire TPR et les personnes concernées internes dans Espace de travail de gestion des fournisseurs, le gestionnaire ou le propriétaire TPR ouvre l’engagement et ajoute manuellement les éléments TP examinés et approuvés en tant qu’entités dans l’onglet Entités de l’engagement. Pour plus d'informations, consultez Ajouter un enregistrement d’élément tiers à un engagement. Une fois que vous avez ajouté toutes les entités d’élément TP à un engagement, vous pouvez commencer le processus de diligence raisonnable. Au cours du processus de diligence raisonnable, vous devez sélectionner et affecter un questionnaire dans le cadre d’une évaluation externe pour chaque élément TP que vous avez créé. Le contact du tiers remplit les questionnaires de l’élément TP. Pour plus d'informations, consultez Évaluation de votre risque de tiers.

    Notation d’éléments tiers

    Vous pouvez classer chaque élément TP dans l’un des types suivants : Installation, Produit, Principal ou Autre. Cette classification vous aide à organiser les critères d’évaluation et la notation qui suit. La notation d’un élément TP est déterminée en faisant la moyenne des évaluations des risques de ses évaluations des risques de tiers associées. Si vous effectuez plusieurs évaluations pour le même élément TP, le système ne prend en compte que la dernière évaluation pour chaque engagement pour la notation, sans tenir compte des doublons. Ce processus permet de s’assurer que la cote de risque de l’élément TP reflète l’évaluation la plus récente. Par exemple, si un élément TP a des évaluations avec des cotes de risque très élevées et très faibles, la moyenne de ces cotes conduit à un risque global modéré.

    Une fois qu’un élément a été évalué et qu’une cote de risque a été déterminée, cette évaluation est d’abord agrégée dans un score de composant basé sur sa classification, telle que l’installation. Par exemple, tous les éléments de type d’installation sont regroupés en un seul score de composant, qui contribue au score global de l’engagement. Le score d’engagement est ensuite compilé en agrégeant les scores de tous les scores de composant pertinents au sein de cet engagement. Si plusieurs évaluations ou éléments TP se trouvent dans un engagement, chacun est noté individuellement, puis combiné pour former le score d’engagement global. Le score d’engagement est ensuite déployé au niveau du tiers en agrégeant les scores de tous les engagements associés à un tiers particulier. L’agrégation à ce niveau peut être basée sur différentes règles, telles que la moyenne, la prise des scores minimums ou maximums, en fonction des règles de notation définies dans le système. Ce score cumulé représente le score global de risque ou de performance du tiers et reflète tous les engagements et éléments qui lui sont associés.

    Remarque :
    Vous pouvez créer vos propres classifications d’éléments TP pour répondre aux exigences spécifiques de votre programme de risque. Pour plus d’informations sur la création de classifications et l’affectation de poids pour la notation, consultez Formulaire d’élément tiers et Définir les critères du composant.