Configuration des hiérarchies et des engagements de tiers : processus hérité

  • Rversion finale: Xanadu
  • Mis à jour 1 août 2024
  • 3 minutes de lecture

    • Créez des hiérarchies de tiers en définissant les relations parent-enfant entre le tiers parent et toutes ses filiales. Vous effectuez cette tâche parce que certaines organisations travaillent avec des tiers qui ont des filiales (ou des filiales de filiales) qui peuvent présenter un risque potentiel pour votre entreprise. Vous pouvez effectuer des évaluations au niveau de chaque organisation filiale et déployer les résultats pour calculer un score de risque global pour le tiers parent.

    Hiérarchie de tiers

    Dans cet exemple, l’organisation parente Acme a deux filiales et Acme NA a deux filiales. Dans cette hiérarchie, vous effectuez des évaluations des risques pour le tiers parent et toutes les filiales, et calculez les scores de risque pour chaque entité. Vous pouvez ensuite regrouper les scores de risque pour calculer le score de risque pour ACME.

    Hiérarchie des tiers.

    Hiérarchie des tiers avec les filiales et les engagements

    Les engagements représentent des produits ou des services fournis à l’organisation parente, directement ou par des filiales, que vous pouvez évaluer en termes de risque. Dans le cas où une filiale fournit des engagements, les scores de risque affectés aux engagements sont déployés pour calculer le score de risque de la filiale, qui à son tour est repris à l’organisation parente.

    Dans cet exemple, la filiale Acme US a trois engagements. Comme dans l’exemple précédent, le risque est évalué pour la société mère, toutes ses filiales et tous leurs engagements. Les scores de risque sont ensuite déployés pour calculer le score de risque du parent.

    Une hiérarchie de tiers avec des filiales et des engagements.

    Consultez Définir un engagement : processus hérité.

    Vue d’ensemble : Configuration d’une hiérarchie de tiers

    Remarque :
    Les procédures de configuration décrites dans cette section ne s’appliquent que si vous travaillez avec des tiers multicouches. c’est-à-dire des tiers qui exploitent des filiales. Ils vous guident également dans la mise en place des missions proposées par les filiales. Si ce ne sont pas les types de tiers avec lesquels vous faites affaire et que vous ne souhaitez pas mettre en place de hiérarchies de tiers, ces procédures sont facultatives.
    Tableau 1. Procédures de configuration pour les hiérarchies de tiers
    Procédure de configuration Description
    Définissez les domaines de risque de tiers.

    Un domaine de risque définit le type de risque à évaluer pour un tiers. Par exemple, vous voudrez peut-être évaluer un tiers de gestion des données en termes de risque de sécurité et une banque en termes de risque financier. Le risque de sécurité et le risque financier sont des domaines à risque. Certaines applications de plateforme font référence aux domaines à risque en tant que « zones à risque ».

    Consultez Définir un domaine de risque de tiers.
    Définissez des critères de domaine de risque de tiers.

    Un critère de domaine de risque de tiers est un groupe de domaines de risque (parfois appelés domaines de risque dans d’autres fonctionnalités de la plateforme) qui s’applique à un type particulier de tiers.

    Consultez Définir les critères du domaine de risque de tiers.
    Définissez les critères du composant.

    Les composants correspondent aux entités pour lesquelles vous pouvez évaluer les risques. Cela système de base comprend les composants d’engagement, de surveillance externe, de filiales et d’évaluations des risques de tiers. Le risque est calculé pour chaque composant, puis le risque est agrégé et déployé pour calculer une cote de risque de tiers.

    Consultez Définir les critères du composant.
    Définir les engagements pour un tiers Définissez un engagement afin de pouvoir évaluer les risques associés aux services ou produits proposés par un tiers. Les engagements peuvent également représenter les produits ou services fournis au tiers parent, soit directement, soit par des départements, des partenaires ou des filiales que vous pouvez également évaluer en termes de risque.

    Une fois les engagements définis, vous pouvez définir des contacts primaires et secondaires pour les tiers et les engagements. Chaque type de contact peut effectuer des activités spécifiques dans le portail du tiers.

    Consultez Définir un engagement : processus hérité.
    Définissez les règles de définition du score de risque de l’engagement.

    Une règle de score de risque d’engagement spécifie les critères de composant qui déterminent quels engagements sont sélectionnés pour l’évaluation. Par exemple, une règle pourrait permettre des évaluations pour les missions qui impliquent plus de 40 000 $ d’activité annuelle. Les règles de notation d’engagement s’appliquent uniquement aux engagements.

    Consultez Définir des règles de définition du score de risque de l’engagement.
    Définissez des règles de définition du score de risque de tiers.

    Définissez des critères, en fonction des scores de risque, qui déterminent quels tiers nécessitent des évaluations. Les règles de notation des risques de tiers s’appliquent aux filiales et aux missions, ainsi qu’aux domaines de risque de tiers.

    Consultez Définir des règles de définition de score de risque de tiers.