Explorer Gestion des risques liés aux tiers

  • Rversion finale: Yokohama
  • Mis à jour 30 janv. 2025
  • 12 minutes de lecture

    • L’application Gestion des risques liés aux tiers centralise et normalise les processus, les matériaux sources, les personnes responsables et les méthodes de votre programme de gestion des risques liés aux tiers. Vous pouvez améliorer vos opérations en gérant votre portefeuille de tiers et en identifiant, suivant et atténuant les problèmes qui surviennent avec les tiers.

    Vue d'ensemble de Gestion des risques liés aux tiers

    Pour protéger les actifs, la réputation et les opérations de votre organisation, votre programme de gestion des risques liés aux tiers doit identifier, évaluer et atténuer les risques associés aux parties externes. L’application TPRM vous aide à empêcher vos prestataires, partenaires et fournisseurs externalisés de provoquer une interruption de l’activité ou un impact négatif sur les performances de votre entreprise. En utilisant l’application, vous pouvez réduire la charge manuelle et les coûts de votre processus d’évaluation des risques grâce à l’automatisation TPRM .

    TPRM Regroupe toutes les informations sur les risques de tiers dans un seul environnement.

    Les fonctionnalités clés suivantes peuvent vous aider à évaluer les risques plus efficacement :
    • Workflows d’intégration, de séparation, de renouvellements et de diligence raisonnable supplémentaires
    • Gestion de l’évaluation
    • Surveillance continue des risques
    • Gestion des performances Risk

    Utilisateurs Gestion des risques liés aux tiers

    Tableau 1. Utilisateurs
    Utilisateur Description
    Demandeurs de diligence raisonnable Les demandeurs peuvent être n’importe quel employé de votre organisation intéressé par l’intégration, la réévaluation ou la séparation d’un engagement.

    Pour plus d’informations sur les différents types de demandes de diligence raisonnable, reportez-vous à la section Demande de diligence raisonnable pour la gestion des risques liés aux tiers.
    TPRM Évaluateurs TPRM Les évaluateurs sont des membres de l’équipe du gestionnaire des risques qui aident à atténuer le risque d’un engagement potentiel en examinant les informations recueillies dans le cadre du processus de diligence raisonnable. Ils pourraient être affectés en tant que propriétaires des demandes de diligence raisonnable en fonction de leur expertise ou de leur connaissance de l’engagement.
    Voici quelques exemples de différents types d’évaluateurs et leur impact sur le processus de diligence raisonnable pour TPRM:

    • Évaluateur des risques de conformité : confirme que les engagements sont conformes aux normes du secteur, aux exigences juridiques et aux obligations contractuelles. Ils examinent régulièrement les processus et les activités de mobilisation pour assurer la conformité.

    • Évaluateur des risques de cybersécurité : évalue les pratiques et les infrastructures de cybersécurité des engagements pour se protéger contre les violations de données et les cybermenaces. Ils examinent régulièrement les mesures de sécurité de l’engagement et suggèrent les améliorations nécessaires.

    • Évaluateur des risques opérationnels : Analyse les pratiques opérationnelles existantes des engagements, en se concentrant sur des aspects tels que la continuité des activités, la logistique de la chaîne d’approvisionnement et la qualité du service. Ils examinent régulièrement les pratiques opérationnelles de la mission pour s’assurer qu’elles sont conformes aux normes de l’organisation et que des mesures d’urgence appropriées sont en place en cas de perturbations potentielles.
    TPRM Approbateurs

    TPRM Les approbateurs sont généralement un membre senior au sein de l’organisation. Il est responsable de l’examen final et de l’approbation des résultats de la diligence raisonnable. Ils permettent de confirmer que toutes les exigences en matière de gestion des risques ont été satisfaites de manière satisfaisante avant de poursuivre tout engagement de tiers, qu’il s’agisse d’un engagement, d’une poursuite ou de la séparation d’un engagement.

    Voici quelques exemples de différents types d’approbateurs :

    • Gestionnaire principal des risques : Supervise les stratégies de gestion des risques et l’alignement avec les objectifs organisationnels.
    • Responsable de la conformité : responsable du respect par l’entreprise des normes juridiques et des politiques internes.
    • Cadre juridique : Un membre senior de l’équipe juridique qui veille à ce que toutes les exigences contractuelles et réglementaires soient respectées.
    Négociateur de contrat Les négociateurs de contrats orchestrent et finalisent les accords entre votre organisation et les engagements potentiels. Ils utilisent toutes les informations recueillies dans le cadre du processus de diligence raisonnable pour s’assurer que tous les contrats reflètent vos intérêts stratégiques et adhèrent à vos protocoles de gestion des risques.
    Responsable de la gestion des risques Les gestionnaires des risques mènent des évaluations approfondies des risques des tiers et des engagements. Sur la base des informations collectées et examinées par le gestionnaire des risques et son équipe, ils hiérarchisent les risques, développent des stratégies d’atténuation et les utilisent TPRM pour surveiller et gérer efficacement les relations en cours avec les tiers.
    TPRM Administrateur Les administrateurs gèrent les rôles d’utilisateur, les autorisations et les paramètres système à configurer TPRM pour répondre aux besoins spécifiques de votre organisation en matière de gestion des risques et aux exigences de conformité.

    Pour en savoir plus sur les rôles, reportez-vous à TPRM la section Rôles dans Gestion des risques liés aux tiers.

    Workflow Gestion des risques liés aux tiers

    L’infographie suivante présente le workflow des processus les plus importants que vous pouvez utiliser pour gérer les risques.


    Infographie montrant où les processus du workflow de diligence raisonnable sont effectués. Pour la description du texte, consultez les étapes du workflow qui suivent.
    Demander une diligence raisonnable pour un engagement

    Un employé de votre organisation demande une diligence raisonnable pour un engagement de tiers. La demande de diligence raisonnable est examinée et approuvée par le gestionnaire des risques liés aux tiers (TPR) [sn_vdr_risk_asmt.vendor_risk_manager].

    Pour plus d'informations, consultez Demande de diligence raisonnable pour la gestion des risques liés aux tiers.
    Évaluez les risques à l’aide d’une évaluation des risques interne contenant un questionnaire sur les risques inhérents (IRQ)

    Une IRQ est un ensemble de questions qui note et définit la portée de la diligence raisonnable requise sur les tiers ou les engagements. Une fois que la demande de diligence raisonnable est approuvée par le gestionnaire TPR ou l’évaluateur TPR [sn_vdr_risk_asmt.vendor_assessor] qui a été affecté en tant que propriétaire de la demande de diligence raisonnable, il sélectionne une IRQ et la joint à une évaluation interne.

    Remarque :
    Une fois que le processus IRQ est entré dans l’état IRQ en cours, vous pouvez demander des rapports d’intelligence sur les risques associés à votre demande de diligence raisonnable. Pour plus d'informations, consultez Utilisation des rapports et scores des renseignements sur les risques et Demander un rapport d’intelligence sur les risques associé à une demande de diligence raisonnable.

    Pour plus d'informations, consultez Évaluation du risque lié à un tiers.

    Créer des éléments tiers et leurs entités

    Une fois que votre demande de diligence raisonnable a terminé le processus IRQ, si des éléments TP sont nécessaires, le gestionnaire TPR ou le propriétaire de la demande de diligence raisonnable sélectionne Démarrer la collecte et une tâche de collecte est créée. Un questionnaire sur l’élément de tiers est envoyé au contact de l’engagement. Le gestionnaire ou le propriétaire du TPR crée manuellement des enregistrements d’éléments tiers en fonction des réponses. Les enregistrements d’entité sont automatiquement générés pour chaque élément. Le gestionnaire ou le propriétaire de TPR ajoute ensuite manuellement ces éléments en tant qu’entités.

    Pour plus d'informations, consultez Évaluation du risque lié à un tiers et Surveillance des éléments tiers.

    Évaluer les risques à l’aide d’une évaluation des risques externes
    Une fois le processus IRQ ou le processus de collecte d’éléments TP terminé, le gestionnaire ou propriétaire TPR sélectionne les questionnaires et demande des documents à joindre aux évaluations externes en vue de les envoyer au tiers ou à l’engagement. Pour plus d’informations sur la création d’évaluations, reportez-vous à Créer une évaluation des risques externes et Formulaire d’évaluation de risque de tiers.

    Pour plus d’informations sur ce processus, reportez-vous à la section Évaluation du risque lié à un tiers et Surveillance des éléments tiers.

    Remarque :
    Si vous disposez de renseignements intégrés sur les risques, les informations pertinentes sont extraites à ce moment-là.
    Intégrer les scores à l’aide de fournisseurs de veille des risques

    Votre organisation peut acheter des services auprès de fournisseurs qui renvoient des données analogues aux cotes de crédit personnelles. Les scores fournissent un aperçu de la fiabilité et de la sécurité d’un tiers particulier.

    Pour plus d'informations, consultez Intégrer les scores des fournisseurs de veille des risques.

    Demander des rapports et des scores d’intelligence sur les risques

    Si vous êtes l’évaluateur TPR et que vous êtes le propriétaire de la demande de diligence raisonnable ou que vous avez le rôle de gestionnaire TPR, vous pouvez utiliser l’application pour demander des scores ou des rapports pour des tiers à l’aide du formulaire de demande d’intelligence sur les TPRM risques. Une fois les rapports et les scores générés par le fournisseur de renseignements sur les risques, les liens vers ces rapports sont remis et associés à cet enregistrement de rapport de renseignements sur les risques. Si vous disposez de renseignements intégrés sur les risques, les informations pertinentes sont extraites à ce moment-là. Pour plus d'informations, consultez Utilisation des rapports et scores des renseignements sur les risques.

    Afficher les scores et les informations connexes

    Les informations recueillies sont notées et combinées dans une vue unique du processus de diligence raisonnable pour afficher tous les scores, les questionnaires remplis, les problèmes, les approbations et les commentaires.

    Pour plus d’informations sur la notation, reportez-vous à la section Cotes de risque de tiers et calculs de notation et Vérification des cotes de risque et calculs de notation. Consultez la rubrique Configuration de l’évaluation pour en savoir plus sur la configuration de la notation au niveau de l’évaluation et du questionnaire.

    Approuver les demandes de diligence raisonnable

    Tous les approbateurs peuvent passer en revue la diligence raisonnable et voir les informations détaillées avant de procéder à une approbation. Une fois que tous les approbateurs ont approuvé la demande de diligence raisonnable, toutes les informations de diligence raisonnable peuvent être mises à la disposition de la personne qui négocie le contrat. Le processus de risque du contrat ne s’applique que si un contrat est requis.

    Pour plus d'informations, consultez Approuver ou rejeter les demandes de diligence raisonnable.

    Négocier un contrat

    Le négociateur du contrat peut voir les informations détaillées de tous les scores et questionnaires. Si une diligence raisonnable supplémentaire est nécessaire, ils peuvent la demander. Si le négociateur du contrat exécute avec succès un contrat avec le tiers, il peut le charger et spécifier que le contrat est exécuté. Cette action notifie automatiquement toutes les personnes concernées clés de l’état du contrat. Le négociateur du contrat peut également ignorer le processus de risque contractuel, rejeter la demande de diligence raisonnable ou spécifier que le contrat n’est pas exécuté et que le tiers n’est pas engagé pour des affaires.

    Remarque :
    Si le gestionnaire des risques ou le propriétaire du tiers sélectionne l’option Ignorer le processus de risque du contrat pendant le processus de diligence raisonnable, le négociateur du contrat affecté n’est pas informé et l’état du processus de risque du contrat est ignoré. Un approbateur et un titulaire peuvent mettre à jour la sélection du processus de risque du contrat ignoré jusqu’à ce que le processus d’approbation soit terminé. Pour plus d’informations sur ce processus, reportez-vous à la section Gestion du processus de demande de diligence raisonnable.

    Pour en savoir plus sur ce processus, voir Gestion du processus de risque du contrat.

    Surveiller le risque de tiers
    Les gestionnaires TPR, les évaluateurs TPR et les examinateurs d’évaluation tiers [sn_vdr_risk_asmt.vendor_assessment_reviewer] peuvent surveiller et examiner les performances des tiers avec Espace de travail de gestion des fournisseurs.

    Pour plus d'informations, consultez Surveillance de votre risque de tiers.

    Gérer le portail du tiers

    Les gestionnaires de TPR peuvent gérer les contacts de tiers, y compris la création de connexions, l’affectation de rôles et le suivi de la progression des questionnaires et des tâches via le portail du tiers. Les contacts de tiers peuvent utiliser le portail pour répondre aux évaluations, déléguer des tâches et gérer leurs informations, avec la possibilité d’utiliser des modèles Microsoft Excel ou le questionnaire SIG pour les réponses.

    Pour plus d'informations, consultez Gestion du processus de risque du contrat.

    Pour obtenir une description détaillée du workflow de TPRM diligence raisonnable, reportez-vous à la section Workflow de diligence raisonnable.

    Remarque :
    À partir de la version 19.1.x de l’application Gestion des risques liés aux tiers, les workflows de questionnaire de hiérarchisation et de rappels d’évaluation externe sont déconseillés et migrés vers Studio de workflow. Si vous avez personnalisé ces workflows, ils ne seront pas déconseillés ni migrés dans le cadre de ce changement.

    Gestion des risques liés aux tiers avantages

    Le tableau suivant présente les avantages de l’application Gestion des risques liés aux tiers .

    Avantage Fonctionnalité Utilisateurs
    Affichez les informations importantes sur les risques et accédez rapidement aux actions. TPRM Page d'accueil Tous les utilisateurs TPRM
    Utilisez les rapports de gestion de la diligence raisonnable pour suivre, classer par ordre de priorité et gérer les responsabilités. TPRM Rapports de gestion de la diligence raisonnable Tous les utilisateurs TPRM
    Identifiez et évaluez le risque potentiel associé à votre relation avec un tiers. TPRM Page de l’activité du risque Tous les utilisateurs TPRM
    Identifiez les emplacements géographiques des tiers actifs et des engagements. Vous pouvez configurer des filtres pour afficher des cotes de risque et des types d’engagements particuliers. TPRM Carte de concentration de risque Tous les utilisateurs TPRM
    Classez par ordre de priorité les évaluations, les problèmes et les tâches qui requièrent une attention particulière. TPRM Page de l’activité du risque Tous les utilisateurs TPRM
    Accéder aux tâches qui vous sont affectées et qui sont affectées aux membres de votre groupe. TPRM Page de tâche Tous les utilisateurs TPRM
    Accédez à tous les éléments que vous pouvez afficher ou sur lesquels vous pouvez agir dans .TPRM TPRM Page de liste Tous les utilisateurs TPRM
    Utilisez la page Engagement pour accéder à toutes les informations actuelles et à l’état d’un tiers ou d’un engagement. Obtenir une vue d’ensemble d’un tiers Tous les utilisateurs internes
    Importez des données existantes (tiers, engagements, évaluations, questionnaires, problèmes, etc.) à partir d’autres systèmes (tels que la Aravo plateforme, la ProcessUnity plateforme, etc.). Vous n’êtes pas facturé pour l’importation des données. Importer des données existantes à partir d’autres systèmes Gestionnaires et administrateurs TPR
    Travaillez sur tous les processus du workflow pour une demande de diligence raisonnable : IRQ, diligence raisonnable externe, approbation, risque contractuel et demandes fermées. Surveillance du processus de demande de diligence raisonnable Gestionnaires et administrateurs TPR
    Utilisez le portail du tiers comme point d’interaction principal pour les tiers et les évaluateurs de risques. Gestion du portail du tiers Gestionnaires TPR, évaluateurs TPR et tiers

    Pour plus d’informations sur la terminologie utilisée dans , reportez-vous Terminologieà TPRM.

    Ce qu'il faut explorer ensuite

    Pour en savoir plus sur la configuration et l'utilisation de Gestion des risques liés aux tiers, consultez :