Terminologie

  • Rversion finale: Xanadu
  • Mis à jour 1 août 2024
  • 11 minutes de lecture

    • En savoir plus sur les concepts et les termes clés utilisés dans l’application TPRM .

    Troisième, quatrième et nième parties

    Un tiers est une organisation ou une personne avec laquelle vous avez interagi ou avec laquelle vous avez établi une relation d’affaires. Les tiers peuvent avoir des filiales et peuvent conclure des contrats avec des quatrièmes parties. Par exemple, les départements sont des filiales. Une quatrième partie peut conclure un contrat avec d’autres parties (appelées nièmes parties, cinquièmes, sixièmes, etc.). Toutes les parties en aval (de la quatrième à la nième partie) supportent le risque de la même manière que les tiers.

    Un fournisseur fournit les biens ou services que vous utilisez pour produire ou livrer vos propres biens ou services. Tous les fournisseurs sont des tiers, mais tous les tiers ne sont pas des fournisseurs. Voici une liste d’autres types de tiers :

    • Fournisseurs
    • Affiliés
    • Contreparties
    • Consultants
    • Partenaires
    • Services professionnels
    • Conseillers
    • Franchises
    • Concessionnaires
    • Revendeurs
    • Distributeurs
    • Clients
    • Clients
    • Personnel externalisé

    Engagements

    Un engagement est la relation informelle ou contractuelle que vous avez l’intention d’établir avec un tiers qui pourrait potentiellement exposer votre organisation à des risques. L’engagement décrit les services ou produits qui doivent être fournis par le tiers et d’autres détails de la relation. Ces détails peuvent inclure les conditions de paiement, les exigences de confidentialité et la durée de la relation.

    Vous pouvez évaluer chaque engagement à l’aide d’évaluations internes et externes. Les problèmes, les tâches, les évaluations internes et les évaluations externes sont associés aux engagements.

    Dans cet exemple, votre société interagit avec trois tiers et gère plusieurs engagements entre eux.

    Exemple de hiérarchie de trois tiers et de leurs engagements associés.

    Les engagements de tiers particuliers que vous pourriez avoir dépendent de votre secteur d’activité, de votre taille et de vos besoins opérationnels. Chaque mission comporte son propre ensemble de risques et nécessite des mesures de gestion des risques appropriées (diligence raisonnable) pour protéger vos intérêts.

    IRQ : le questionnaire sur les risques inhérents

    Au cours du processus d’évaluation des risques interne, les employés internes de votre organisation répondent aux questions dans l’IRQ. Ces réponses permettent d’évaluer le risque inhérent associé à la collaboration avec un tiers. Un risque inhérent fait référence au niveau de risque avant la mise en œuvre de toute mesure d’atténuation des risques. Un IRQ prend en charge les activités suivantes :

    Détermination des facteurs de risque
    • La nature des services fournis par le tiers.
    • La sensibilité des données concernées.
    • L’emplacement géographique du tiers.
    • La posture de sécurité globale du tiers.
    Détermination de la notation ou de l’évaluation
    Les réponses au questionnaire sont souvent notées ou cotées pour aider à quantifier le risque inhérent associé au tiers. Ce système de notation peut aider à hiérarchiser les efforts de gestion des risques.
    Prise de décision
    Les résultats de l’IRQ sont ensuite utilisés dans le processus décisionnel. Les administrateurs et gestionnaires de risques tiers (TPR) peuvent configurer des IRQ pour envoyer des questionnaires d’évaluation externe spécifique (diligence raisonnable) aux tiers en fonction des réponses spécifiques aux questions.
    • Devriez-vous vous engager auprès du tiers ?
    • Quel est le niveau de diligence raisonnable requis ?
    • Quelles mesures spécifiques d’atténuation des risques devez-vous mettre en œuvre ?
    Diligence raisonnable continue

    L’IRQ peut également faire partie de la gestion courante, avec des réévaluations périodiques pour tenir compte des changements dans les opérations du tiers, des pratiques de sécurité ou d’autres facteurs pertinents.

    Diligence raisonnable (DD)

    La diligence raisonnable est le processus qui consiste à mener une enquête ou un examen approfondi de l’intégrité, de la réputation, de la stabilité financière, de la conformité juridique, des capacités opérationnelles, de la chaîne d’approvisionnement et d’autres facteurs pertinents d’un partenaire commercial, d’un fournisseur ou d’un vendeur potentiel. La vérification diligente des tiers est un élément crucial de votre programme complet de gestion des risques liés aux tiers. Vous faites preuve de diligence raisonnable pour prendre conscience des risques associés à un tiers afin de pouvoir décider en toute confiance de la manière de nouer votre relation. Utilisez les workflows de diligence raisonnable pour intégrer de nouveaux engagements ou pour réévaluer ou retirer des engagements existants. Les workflows de diligence raisonnable comprennent la collecte d’informations par le biais d’évaluations internes, d’évaluations externes et de renseignements sur les risques. Tous les scores de ces étapes sont analysés par les gestionnaires des risques tiers pour décider d’intégrer, de réévaluer ou de retirer un engagement. La diligence raisonnable comporte également un processus de négociation de contrat facultatif avant de fermer le workflow de diligence raisonnable.

    Consultez Pourquoi faites-vous preuve de diligence raisonnable ? et Types de diligence raisonnable.

    Évaluations des risques de tiers

    Une évaluation des risques de tiers (TPRA) est un ensemble de questionnaires que vous pouvez envoyer à des contacts de tiers ou à des utilisateurs internes pour évaluer les risques de tiers et d’engagement. Une évaluation que vous envoyez aux utilisateurs internes est catégorisée en tant qu’évaluation interne. Une évaluation que vous envoyez à un contact de tiers est appelée une évaluation externe.

    Utilisez une évaluation interne pour calculer les niveaux de tiers et d’engagement. La classification que vous utilisez pour identifier les questionnaires internes dans la table des modèles de questionnaire est le modèle de questionnaire sur les risques inhérents [irq_template]. Vous pouvez joindre automatiquement les questionnaires requis pour les évaluations externes en fonction des réponses que vous recevez des évaluations internes. Vous pouvez configurer cette option dans un questionnaire vers la table de mappage de questions [sn_tprm_dd_m2m_question_to_questionnaire].

    Utilisez une évaluation externe pour évaluer les risques associés au tiers et à l’engagement en fonction des réponses des contacts de tiers que vous recevez. Les cotes de risque d’une évaluation externe sont calculées au niveau de l’évaluation à l’aide de tous les questionnaires joints à l’évaluation. Ces notations d’évaluation sont agrégées et déployées auprès des tiers et des missions. L’agrégation est MIN, MAX ou AVG et peut être configurée dans une configuration de notation. Des contacts tiers (utilisateurs externes) du portail fournisseurs https://<myCompany>.service-now.com/ svdp répondent à ces évaluations externes.

    Fournisseurs de renseignements sur les risques

    Les fournisseurs de renseignements sur les risques génèrent des scores de risque pour divers domaines de risque de tiers. Votre organisation peut acheter des services auprès de fournisseurs qui renvoient des données analogues aux cotes de crédit personnelles. Les scores donnent un aperçu de la fiabilité et de la sécurité d’un tiers donné.

    Consultez Intégration des scores des fournisseurs de renseignements sur les risques.

    Scores des renseignements sur les risques

    Les scores d’intelligence sur les risques sont des évaluations numériques qui évaluent le niveau de risque associé à une organisation particulière. Ces scores sont générés par des fournisseurs de renseignements sur les risques qui collectent et analysent un large éventail de sources de données. Les scores peuvent se présenter sous n’importe quelle forme, qu’il s’agisse de notes ou de chiffres. Le système mappe la valeur de score à la cote appropriée TPRM . Ces scores peuvent aider votre organisation à prendre des décisions éclairées sur l’engagement avec des tiers, la gestion de la conformité et l’atténuation des risques potentiels. Les scores des renseignements sur les risques sont disponibles pour les tiers à partir de la Washington DC publication. Les évaluations des risques sont calculées en fonction des règles de notation associées à l’engagement dans la configuration de notation.

    Scores de tiers

    Les scores de tiers sont des évaluations numériques qui sont un agrégat de vos scores d’intelligence des risques et des scores déterminés par des évaluations externes (questionnaires d’engagement et questionnaires de risque de tiers).

    Ces scores aident les organisations à prendre des décisions éclairées sur la sélection et la gestion de leurs relations avec les tiers, ce qui leur permet de s’aligner sur leurs exigences de tolérance au risque et de conformité. En évaluant les scores des tiers, les organisations peuvent identifier les risques potentiels, hiérarchiser les efforts de diligence raisonnable et mettre en œuvre des stratégies d’atténuation des risques appropriées.

    Éléments tiers

    Les éléments tiers sont les organisations externes sur lesquelles un tiers ou un engagement s’appuie pour fournir des biens, des services ou une assistance. Ces organisations peuvent inclure des vendeurs, des fournisseurs, des prestataires, des particuliers ou toute autre organisation externe ayant accès aux systèmes, aux données ou aux installations du tiers ou de l’engagement. Toute vulnérabilité ou défaillance de ces éléments tiers peut avoir un impact significatif sur les opérations, la réputation et la sécurité du tiers ou de l’engagement. En mettant en œuvre ces contrôles et en tenant compte des risques associés, les organisations peuvent améliorer leur capacité à gérer et à atténuer les impacts négatifs potentiels des tiers et de leurs éléments tiers. Il est essentiel de réévaluer et de mettre à jour régulièrement ces contrôles pour s’adapter aux changements de l’environnement commercial et du paysage réglementaire.

    Voici quelques exemples d’éléments tiers, de contrôles associés et de risques potentiels.

    Centre de données
    Installations ou emplacements où des tiers ou des engagements externalisent le stockage, le traitement et la gestion de leurs données et de leur infrastructure informatique.
    Contrôles:
    • Évaluations de la sécurité des fournisseurs : évaluez régulièrement les mesures de sécurité et les pratiques des fournisseurs tiers qui fournissent des services tels que l’hébergement dans le cloud ou le stockage de données.
    • Chiffrement des données : vérifiez que les données stockées dans le centre de données sont chiffrées pour les protéger contre tout accès non autorisé.
    • Contrôles d’accès : mettez en œuvre des contrôles d’accès stricts pour limiter l’accès physique et virtuel aux installations et aux serveurs du centre de données.
    • Plan de réponse aux incidents : élaborez et maintenez un plan complet de réponse aux incidents pour traiter rapidement tout incident de sécurité.
    Risques:
    • Violations de données : une violation dans le centre de données tiers pourrait entraîner un accès non autorisé et compromettre des informations sensibles.
    • Temps d’arrêt : la dépendance à l’égard d’un centre de données tiers expose l’organisation à un risque de temps d’arrêt si le fournisseur de services rencontre des problèmes techniques.
    • Violations de conformité : le fait que le centre de données ne respecte pas les normes de conformité du secteur ou de la réglementation peut entraîner des conséquences juridiques et financières pour l’organisation.
    Usine de fabrication
    Installations ou emplacements où des tiers ou des prestataires sous-traitent la production ou l’assemblage de leurs produits.
    Contrôles:
    • Audits des fournisseurs : Auditez et évaluez régulièrement les pratiques de sécurité des fournisseurs qui fournissent des composants ou des services essentiels au processus de fabrication.
    • Normes d’assurance de la qualité : Appliquer des normes d’assurance de la qualité pour les fournisseurs tiers afin de promouvoir l’intégrité et la sécurité des matières premières et des composants.
    • Visibilité de la chaîne d’approvisionnement : maintenez une visibilité sur l’ensemble de la chaîne d’approvisionnement afin d’identifier et de traiter les vulnérabilités potentielles.
    • Ententes contractuelles : Établissez des ententes contractuelles claires avec les fournisseurs décrivant les exigences de sécurité et les conséquences en cas de non-conformité.
    Risques:
    • Perturbation de la chaîne d’approvisionnement : la dépendance à l’égard de fournisseurs tiers expose l’organisation au risque de perturbations de la chaîne d’approvisionnement, ce qui a un impact sur la production.
    • Pièces contrefaites : Des contrôles inadéquats sur la chaîne d’approvisionnement peuvent entraîner l’utilisation de composants contrefaits ou de qualité inférieure, compromettant ainsi la qualité du produit.
    • Problèmes de conformité réglementaire : Le non-respect des normes réglementaires par les fournisseurs peut entraîner des conséquences juridiques et réglementaires pour l’usine de fabrication.
    Bénéficiaires effectifs

    Personnes qui, en fin de compte, possèdent ou contrôlent une organisation impliquée dans une relation ou une transaction commerciale. Ces personnes peuvent ne pas être les propriétaires enregistrés ou légaux de l’organisation, mais avoir une influence ou un contrôle significatif sur ses opérations, sa prise de décision ou ses affaires financières.

    Contrôles:
    • Diligence raisonnable : Intégrez un processus de diligence raisonnable robuste pour identifier et vérifier les bénéficiaires effectifs, y compris des vérifications des antécédents, des examens de documents et des entretiens si nécessaire.
    • Obligations contractuelles : Inclure des clauses dans les contrats avec des tiers qui les obligent à divulguer tout changement dans la propriété effective et à confirmer la conformité aux lois et règlements applicables.
    • Surveillance et établissement de rapports : Mettre en place un système de surveillance continue des bénéficiaires effectifs afin de détecter tout changement ou évolution susceptible d’avoir une incidence sur le profil de risque du tiers.
    • Formation et sensibilisation : Former le personnel concerné sur l’importance de comprendre et de surveiller la propriété effective, y compris les signaux d’alarme et les procédures de signalement.
    • Programme de conformité réglementaire : Élaborer et maintenir un programme qui vérifie la conformité à toutes les lois et tous les règlements pertinents liés à la propriété effective, y compris les exigences en matière de déclaration et de divulgation.
    • Procédures d’escalade : Établir des procédures d’escalade claires pour les cas où des préoccupations ou des irrégularités liées à la propriété effective sont identifiées, afin de promouvoir des mesures opportunes et appropriées.
    Risques:
    • Propriété cachée : Les bénéficiaires effectifs peuvent délibérément dissimuler leur propriété, ce qui rend difficile l’évaluation des risques potentiels associés à leur influence sur le tiers.
    • Risque lié à la réputation : Si les bénéficiaires effectifs ont une réputation douteuse, le fait de s’impliquer auprès d’eux peut nuire à la réputation de votre organisation.
    • Conformité réglementaire : Le non-respect de la réglementation relative à la déclaration et à la transparence des bénéficiaires effectifs peut entraîner des conséquences juridiques et réglementaires.
    • Risque financier : Les bénéficiaires effectifs ayant une instabilité financière ou impliqués dans des activités frauduleuses peuvent présenter des risques financiers pour le tiers et, par conséquent, pour votre organisation.