Exemple de processus d’intégration

Processus de demande

Tout employé (généralement un utilisateur qui souhaite faire affaire avec un tiers) présente une analyse de rentabilisation pour lancer le processus de diligence raisonnable en vue d’une évaluation des risques.

Un gestionnaire des risques tiers (TPR) examine la demande de diligence raisonnable pour l’engagement et l’approuve.

Processus du questionnaire sur les risques inhérents (IRQ)

Une fois la demande approuvée, l’évaluateur de l’IRQ termine l’évaluation des risques internes en répondant à l’IRQ.

Sur la base des informations recueillies, Acme évalue les risques potentiels associés au tiers. Ils évaluent des facteurs tels que la stabilité financière, la capacité opérationnelle, le respect des normes de qualité, le respect de la réglementation et la capacité du tiers à respecter les délais de livraison. Cette évaluation aide Acme à comprendre le profil de risque du tiers et à déterminer les stratégies d’atténuation des risques appropriées.

Processus de diligence raisonnable : vérification de la conformité et évaluation de la sécurité et de la confidentialité des données

Lorsque le processus IRQ est terminé, l’application d’Acme envoie des questionnaires TPRM et des demandes de documentation au tiers. Dans le cadre d’une évaluation, vous pouvez envoyer plusieurs questionnaires et demandes de documents. Acme peut demander des documents : certifications, licences ou rapports d’audit du tiers pour valider la conformité.

Remarque :

Afin de simplifier et d’automatiser le processus de détermination des questionnaires et des demandes de documents à envoyer à un tiers de ce type, le personnel d’Acme a développé des modèles d’évaluation. Ils ont défini des modèles de questionnaire, des modèles de demande de document ou les deux, puis les ont regroupés dans un modèle d’évaluation. Acme peut réutiliser le modèle pour envoyer les questionnaires, les demandes de documents ou les deux appropriés à des tiers similaires lors d’évaluations futures.

Acme utilise les réponses et l’analyse interne du tiers pour déterminer si le tiers répond à toutes les exigences de conformité nécessaires. Il s’agit notamment de vérifier la conformité du tiers aux lois et réglementations applicables, telles que les réglementations environnementales, le droit du travail et les politiques de lutte contre la corruption.

Compte tenu de la nature sensible des composants impliqués, Acme évalue les pratiques du tiers en matière de sécurité et de confidentialité des données. Ils évaluent les mesures de sécurité de l’information, les politiques de protection des données, les contrôles d’accès et les processus de gestion des vulnérabilités du tiers. Si le tiers a accès aux informations exclusives ou aux données des clients d’Acme, il peut exiger du tiers qu’il se soumette à un audit de cybersécurité ou qu’il fournisse des preuves de ses mesures de protection des données.

Ententes contractuelles et atténuation des risques

Afin de protéger leurs intérêts, le négociateur du contrat TPR chez Acme (souvent un conseiller juridique d’entreprise) intègre des dispositions contractuelles spécifiques pour faire face aux risques identifiés. Le négociateur du contrat utilise l’information obtenue dans le cadre des processus d’IRQ et de diligence raisonnable pour inclure des clauses relatives à la conformité, aux normes de qualité, à la confidentialité, à la protection des données, à la continuité des activités et aux mécanismes de règlement des différends. Le contrat peut également décrire les mesures de performance, les attentes et les clauses de résiliation en cas de non-conformité ou de violation.

Surveillance et examen continus

Acme met en place un processus de surveillance continue afin d’évaluer régulièrement la performance du tiers et son respect des conditions convenues. Les personnes de votre organisation peuvent effectuer manuellement des examens financiers périodiques, des audits de qualité, des visites sur site ou des enquêtes. Ils établissent également des canaux de communication pour répondre à toute préoccupation ou modification du profil de risque du tiers.