Workflow de diligence raisonnable

  • Rversion finale: Xanadu
  • Mis à jour 1 août 2024
  • 10 minutes de lecture

    • Les processus de gestion des risques liés aux tiers fournissentTPRM un cadre de travail cohérent pour votre programme de gestion des risques liés aux tiers. Vous pouvez personnaliser les processus de workflow pour répondre aux besoins de votre organisation.

    Processus du workflow de diligence raisonnable

    Chaque tâche d’un processus doit être terminée avant que la tâche suivante puisse être démarrée. Les rôles des utilisateurs qui exécutent les différentes tâches sont décrits à la section Rôles dans Gestion des risques liés aux tiers. Le diagramme suivant décrit le workflow de diligence raisonnable.

    Figure 1. Workflow de diligence raisonnable

    Infographie montrant où les processus du workflow de diligence raisonnable sont effectués. Pour la description du texte, consultez les étapes du workflow qui suivent.
    Processus de demande : demandez à démarrer un nouvel engagement, à réévaluer ou à supprimer un engagement existant
    1. Un employé de votre organisation demande une diligence raisonnable pour un engagement de tiers.
      1. L’employé se connecte à Centre des employés partir de son instance. Il ouvre le formulaire de demande de diligence raisonnable et précise le nom du tiers ainsi que le motif de la demande :
        • Intégration d’un nouvel engagement
        • Réévaluer un risque pour un engagement existant
        • Réévaluer un engagement existant pour préparer un renouvellement de contrat
        • Séparation d'un engagement avec diligence raisonnable
        • Séparation d’un engagement sans diligence raisonnable
        Remarque :
        Lors de la séparation d’un engagement sans diligence raisonnable, la collecte des éléments TP et le processus de diligence raisonnable ne sont pas applicables.
      2. L’employé fournit des détails sur le tiers et l’engagement. Les informations comprennent le produit ou le service qui doit être évalué dans le cadre de cet engagement, l’utilisateur qui répondra à l’évaluateur du questionnaire sur les risques inhérents (IRQ) et le contact de tiers (TP) ou le contact d’engagement qui répondra aux questionnaires externes.
      3. À tout moment, un fournisseur externe de renseignements sur les risques peut mettre à jour les données de risque pour le tiers, car un gestionnaire de risque tiers (TPR) peut avoir intégré les services d’un fournisseur de renseignements sur les risques lors de la configuration de l’application.
      4. L’employé envoie le formulaire.
      5. Le système envoie un e-mail de confirmation à l’employé à l’origine de la demande.
      6. Le système envoie une notification par e-mail au groupe d’affectation de demande de diligence raisonnable. Un membre du groupe peut désigner un gestionnaire TPR ou un évaluateur TPR en tant que propriétaire de la demande. Cette action déclenche une tâche pour le gestionnaire TPR.
    2. Le gestionnaire TPR définit le champ d’application de la demande, la met à jour selon les besoins, puis l’approuve ou la rejette.
      1. Le gestionnaire TPR se connecte et Espace de travail de gestion des fournisseurs accède à la page de gestion de la diligence raisonnable, où il examine et met à jour la demande :
        • Le gestionnaire du TPR examine la personne qui a été suggérée comme évaluateur de l’IRQ. Au besoin, ils peuvent désigner une autre personne comme évaluateur de l’IRQ.
        • Le gestionnaire TPR peut démarrer une discussion avec le demandeur et d’autres utilisateurs en sélectionnant Discuter. Le message est enregistré dans la section Activité de l’onglet Détails .

      2. Le gestionnaire TPR rejette ou approuve la demande. Si le gestionnaire TPR accepte la demande, le processus IRQ commence.

    Remarque :
    Les évaluateurs TPR peuvent créer des évaluations récurrentes de tiers pour réévaluer un risque selon un calendrier régulier. Pour plus d'informations, consultez Configurer une évaluation des risques pour qu’elle se reproduise dans un calendrier.
    Processus IRQ : définir le risque
    1. Le gestionnaire du TPR examine et approuve l’IRQ.
      1. Dans le Espace de travail de gestion des fournisseurs, le gestionnaire TPR examine et approuve l’IRQ en sélectionnant un questionnaire qui a été créé automatiquement par une règle métier ou à partir d’une liste du système.

        L’administrateur TPR peut créer des IRQ personnalisées pour une organisation. Le contenu de chaque IRQ est créé et mis à jour par la personne responsable du domaine d’activité, de la zone géographique ou par un tiers auquel les questions sont destinées. Pour définir une IRQ, l’administrateur TPR ajoute des exemples de questions à un modèle de questionnaire et modifie les questions en conséquence. Les exemples de questions sont fournis dans le système de basefichier . La définition d’une IRQ est un processus sans code. Le gestionnaire TPR peut définir les règles métier qui sélectionnent automatiquement l’IRQ à utiliser pour un engagement.

        Conseil :
        Le gestionnaire TPR peut utiliser la réponse à une question dans une IRQ pour déterminer les questionnaires qui sont envoyés au tiers évalué. Cette fonctionnalité n’est disponible que si l’application Gestion des risques liés aux tiers a été activée.

        Pour plus d'informations, consultez Configurer les réponses au questionnaire interne pour joindre automatiquement les questionnaires externes aux évaluations.

      2. Le gestionnaire TPR rejette la demande de diligence raisonnable ou l’approuve. Lorsque la demande est approuvée, le système envoie l’IRQ à l’évaluateur de l’IRQ, qui est une partie prenante interne d’une organisation.
      3. L’évaluateur de l’IRQ est informé de l’IRQ à la fois par e-mail et par une nouvelle tâche dans sa file d’attente.
        Remarque :
        Le système peut également envoyer automatiquement des évaluations des risques de tiers lorsque des modifications sont apportées à un score de risque.
    2. Les utilisateurs internes répondent à l’IRQ :
      1. Dans le Centre des employés, tout utilisateur intéressé par l’engagement ouvre l’IRQ et y répond.

        Plusieurs réponses génèrent d’autres questions de clarification. Les réponses peuvent déterminer quels questionnaires externes sont générés automatiquement et ajoutés aux ensembles envoyés au TP et au contact d’engagement.

        Par exemple, si un évaluateur de l’IRQ répond que le tiers interagit avec des représentants du gouvernement dans le cadre de l’engagement, un questionnaire anti-corruption adapté au pays du tiers (ABAC aux États-Unis ou FCBA dans l’UE, entre autres) est inclus.

      2. L’évaluateur de l’IRQ soumet l’IRQ remplie. Cette action déclenche une tâche pour le gestionnaire TPR.
    3. Les parties prenantes internes (examinateur d’évaluation tiers, évaluateur TPR, approbateur TPR, gestionnaire TPR ou administrateur TPR) examinent les réponses IRQ :
      1. Dans le , les Espace de travail de gestion des fournisseursutilisateurs examinent les réponses IRQ.
      2. Le gestionnaire du TPR peut demander des éclaircissements à l’évaluateur de l’IRQ, puis rejeter ou approuver les réponses de l’IRQ.
      3. Si un utilisateur partie prenante interne approuve les réponses IRQ, il passe au processus suivant en fermant la demande d’engagement.
    Remarque :
    Une fois que le processus IRQ est entré dans l’état IRQ en cours, vous pouvez demander des rapports d’intelligence sur les risques associés à votre demande de diligence raisonnable. Pour plus d'informations, consultez Utilisation des rapports et des scores des renseignements sur les risques et Demander un rapport d’intelligence sur les risques associé à une demande de diligence raisonnable.
    Processus de collecte d’éléments TP : collecter des informations sur des éléments tiers (facultatif)
    1. Le gestionnaire TPR ou le propriétaire de la demande de diligence raisonnable démarre la collecte d’éléments tiers.
      1. Dans le Espace de travail de gestion des fournisseurs, si des éléments tiers sont nécessaires, le gestionnaire ou le propriétaire TPR sélectionne Démarrer la collecte et une tâche de collecte est créée.
      2. Le gestionnaire ou le propriétaire TPR accède à l’onglet de tâche de collecte et affecte les questionnaires de collecte d’éléments tiers pertinents à l’évaluation externe pour la collecte des éléments.
        Remarque :
        Dans le cadre du système de base, des exemples de questionnaires à des fins de collecte et d’évaluation sont disponibles pour les éléments tiers classés comme une installation, un principal, des produits ou autre.
      3. Le gestionnaire ou le propriétaire TPR examine et approuve les questionnaires, qui sont ensuite envoyés à l’engagement.
    2. Le système envoie une notification par e-mail aux personnes présentes à l’engagement. Les messages informent le contact de l’engagement de répondre aux questionnaires de collecte d’éléments tiers.

    3. Dans le portail du tiers, les contacts d’engagement répondent directement aux questionnaires ou affectent les tâches à d’autres contacts de l’organisation.

    4. Le contact d’engagement renvoie les questionnaires remplis.
    5. Le système modifie l’état de l’évaluation en Réponses reçues et envoie des alertes au gestionnaire et au propriétaire du TPR.
    6. Dans le Espace de travail de gestion des fournisseurs, le gestionnaire ou le propriétaire du TPR ouvre les questionnaires et vérifie que toutes les informations requises ont été fournies.
    7. Le gestionnaire ou le propriétaire du TPR accède ensuite à la liste des éléments tiers et crée manuellement un enregistrement d’élément tiers pour chaque ensemble de réponses du questionnaire.
    8. Une fois que tous les éléments tiers ont été créés, le gestionnaire ou le propriétaire TPR ferme l’évaluation.
    9. Le système change l’état de la demande en Collecte en cours de révision.
    10. Les personnes concernées internes (évaluateur TPR, approbateur TPR, gestionnaire TPR ou administrateur TPR) examinent et approuvent les enregistrements d’éléments dans les éléments tiers.
    11. Dans le Espace de travail de gestion des fournisseurs, le gestionnaire ou le propriétaire TPR ouvre l’engagement et ajoute manuellement des éléments en tant qu’entités dans l’onglet Entités.
    12. Une fois que toutes les entités d’éléments tiers sont affectées à un engagement, vous pouvez commencer le processus de diligence raisonnable.
    Processus de diligence raisonnable : collecter des informations pour générer un score de risque
    1. L’un ou l’autre des processus suivants entraîne la sélection de questionnaires de diligence raisonnable externes :
      • Dans le Espace de travail de gestion des fournisseurs, le gestionnaire TPR sélectionne les questionnaires auxquels répondent les contacts TP et d’engagement.
      • Le système sélectionne automatiquement les questionnaires en fonction des configurations définies pour effectuer les sélections. Pour en savoir plus sur la configuration des questionnaires externes à sélectionner en fonction des réponses au questionnaire interne, reportez-vous à Configurer les réponses au questionnaire interne pour joindre automatiquement les questionnaires externes aux évaluations.
      • Le système sélectionne automatiquement les questionnaires en fonction des règles métier qui ont été définies pour effectuer les sélections.

    2. Quelle que soit la méthode de sélection que vous avez utilisée à l’étape 1, deux questionnaires de diligence raisonnable externes sont sélectionnés :

      • Un ensemble collecte des informations sur l’organisation tierce. Le contact TP répond à ce questionnaire.
      • L’autre ensemble collecte des informations sur l’unité business au sein de l’organisation tierce qui fait l’objet de l’engagement. Le contact d’engagement (tel que spécifié dans la demande de diligence raisonnable) répond à ce questionnaire.
      Remarque :
      Si vous avez terminé le processus facultatif de collecte d’éléments TP, un questionnaire doit être sélectionné et affecté dans le cadre d’une évaluation pour chaque élément tiers que vous avez créé. Les questionnaires sur les éléments tiers sont remplis par le contact de mission.
    3. Dans le Espace de travail de gestion des fournisseurs, le gestionnaire TPR passe en revue les questionnaires sélectionnés automatiquement auxquels répondent les TP et les contacts d’engagement. Le gestionnaire TPR valide ou modifie les sélections, puis approuve l’ensemble des questionnaires.
    4. Le système envoie une notification par e-mail aux personnes du tiers. Les messages informent le contact TP et le contact d’engagement pour qu’il réponde aux questionnaires externes.
    5. Dans le portail du tiers, les contacts de TP et d’engagement répondent directement aux questionnaires ou affectent les tâches à d’autres contacts de l’organisation tierce.
      Remarque :
      Le portail du tiers est entièrement isolé de l’instance de votre organisation.

      Dans un processus itératif, avant que le gestionnaire TPR ne ferme une évaluation, il peut générer des problèmes et des tâches de non-conformité. Le gestionnaire TPR communique avec les contacts TP et les contacts d’engagement en utilisant des commentaires pour clore les problèmes et les tâches. Le gestionnaire TPR peut également affecter différents contacts selon les besoins. Pour en savoir plus, consultez Gérer les problèmes.

    6. Le contact TP et le contact d’engagement renvoient les questionnaires remplis.
    7. Le système passe l’état de la demande à Prêt pour l’approbation TPRM et envoie des alertes aux gestionnaires TPRM.
    8. Dans le Espace de travail de gestion des fournisseurs, le gestionnaire TPR valide que les questionnaires sont reçus, complétés et signés si nécessaire, puis ferme la phase d’évaluation pour lancer le processus d’approbation.
    Processus d’approbation : la partie prenante interne analyse chaque aspect du risque

    Toutes les personnes concernées internes (approbateurs) examinent les réponses au questionnaire et les documents justificatifs des contacts du tiers et de l’engagement. Si les réponses sont bonnes, un ou plusieurs approbateurs approuvent, puis ferment la demande DD. Si un contrat est préparé, la demande approuvée passe au processus de risque contractuel .

    • Les approbateurs peuvent approuver ou rejeter la demande, puis la fermer.
    • La fermeture de la demande la déplace vers le processus de risque du contrat ou, si aucun contrat n’est impliqué, l’engagement commence.
    Processus de risque du contrat

    Après approbation, toutes les informations relatives à la diligence raisonnable peuvent être mises à la disposition du négociateur du contrat. En utilisant le Espace de travail de gestion des fournisseurs, le négociateur contractuel accède à toutes les données générées au cours des processus précédents pour concevoir et régler le contrat :

    • Le négociateur du contrat peut demander une diligence raisonnable supplémentaire si nécessaire.
    • Si le négociateur du contrat exécute avec succès un contrat avec le tiers, il peut le télécharger et spécifier que le contrat est exécuté pour en informer automatiquement toutes les personnes concernées clés.
    • Le négociateur du contrat peut spécifier que le contrat n’est pas exécuté et que le tiers ne sera pas engagé à des fins commerciales.
    • Le négociateur du contrat peut spécifier que le contrat est résilié et que le tiers ne sera pas engagé à des fins commerciales.