Surveillance des éléments tiers

  • Rversion finale: Yokohama
  • Mis à jour 30 janv. 2025
  • 5 minutes de lecture

    • Vous pouvez surveiller des éléments tiers via des modèles de notation évolutifs, l’analyse des relations et l’intégration du workflow de diligence raisonnable à l’aide de l’application Gestion des risques liés aux tiers . La surveillance des éléments tiers et l’exploitation de ces informations peuvent vous aider à effectuer des évaluations des risques plus éclairées dans le cadre de votre programme de gestion des risques liés aux tiers.

    Vue d’ensemble des éléments tiers

    Les éléments tiers (éléments TP) désignent les organisations externes sur lesquelles un engagement s’appuie pour fournir des biens, des services ou une assistance. Ces organisations peuvent inclure les fournisseurs, les sous-traitants, les installations, les personnes ou toute autre organisation externe qui peut accéder aux systèmes, aux données ou aux installations de l’engagement.

    Examinons quelques exemples de classe d’éléments TP et de risque :
    Centre de données
    Installation ou emplacement où un engagement ou un tiers externalise le stockage, le traitement et la gestion de ses données et de son infrastructure informatique. Un centre de données peut potentiellement subir une violation de données, un temps d’arrêt ou une violation de conformité exposant ses engagements à un risque inattendu. Cet exemple serait classé comme un élément TP de l’installation.
    Usine de fabrication
    Installation ou emplacement où un engagement ou un tiers externalise la production ou l’assemblage de ses produits. Une usine de fabrication peut potentiellement subir une perturbation de la chaîne d’approvisionnement, une pièce contrefaite ou un problème de conformité réglementaire qui expose ses engagements à des risques inattendus. Cet exemple serait classé comme un élément TP de l’installation.
    Bénéficiaire effectif
    Personne qui possède ou contrôle une organisation impliquée dans une relation ou une transaction commerciale. Ces personnes peuvent ne pas être les propriétaires enregistrés ou légaux de l’organisation, mais avoir une influence ou un contrôle significatif sur ses opérations, sa prise de décision ou ses affaires financières. Cet exemple serait classé comme un élément TP principal.

    L’infographie suivante montre le processus de collecte d’éléments TP.


    Infographie illustrant le processus de collecte d’éléments TP dans le workflow de diligence raisonnable. Pour la description du texte, consultez le texte qui suit.

    Pour plus d’informations sur les éléments de tiers (TP) et des exemples de leurs contrôles associés et des risques potentiels, reportez-vous à la section Terminologie.

    Collecte et examen des éléments tiers

    La collecte et l’examen des éléments tiers sont facultatifs. Si vous avez le rôle d’évaluateur des risques tiers (TPR) [sn_vdr_risk_asmt.vendor_assessor] et que vous avez le rôle de propriétaire de la demande de diligence raisonnable ou de gestionnaire TPR [sn_vdr_risk_asmt.vendor_risk_manager], vous pouvez démarrer ce processus une fois que votre demande de diligence raisonnable a terminé le processus du questionnaire sur le risque inhérent (IRQ).

    Vous devez suivre ce processus pour collecter et examiner les éléments TP :
    1. Dans , Espace de travail de gestion des fournisseurssi des éléments TP sont nécessaires, le gestionnaire des risques tiers (TPR) ou le titulaire de la demande de diligence raisonnable sélectionne Démarrer la collecte et une tâche de collecte est créée.
    2. Le gestionnaire ou propriétaire TPR ouvre l’évaluation externe pour la collecte des éléments et ajoute les questionnaires de collecte d’éléments TP pertinents.
    3. Le gestionnaire ou le propriétaire du TPR examine et approuve les questionnaires, et ils sont envoyés à l’engagement. Pour en savoir plus sur les évaluations, reportez-vous à Évaluation du risque lié à un tiers.
    4. Dans Espace de travail de gestion des fournisseurs, le gestionnaire ou le propriétaire de TPR ouvre les questionnaires et vérifie que toutes les informations requises ont été fournies.
    5. Le gestionnaire ou le propriétaire du TPR accède ensuite à la liste des éléments TP et crée manuellement un enregistrement d’élément TP pour chaque ensemble de réponses dans chaque questionnaire.
    6. Une fois tous les éléments TP créés, le gestionnaire ou le propriétaire de TPR ferme l’évaluation de la tâche de collecte. Le système fait passer l’état de la demande de Collecte en cours à Collecte en cours de révision.
    7. Les personnes concernées internes (évaluateur TPR, approbateur TPR, gestionnaire TPR ou administrateur TPR) examinent et approuvent les enregistrements d’éléments.
    Pour plus d'informations, consultez Créer un enregistrement d’élément tiers.

    Ajout d’éléments tiers aux engagements

    Une fois que les éléments TPR sont examinés et approuvés par le gestionnaire TPR et les personnes concernées internes dans Espace de travail de gestion des fournisseurs, le gestionnaire ou le propriétaire TPR ouvre l’engagement et ajoute manuellement les éléments TP révisés et approuvés en tant qu’entités dans l’onglet Entités de l’engagement. Pour plus d'informations, consultez Ajouter un enregistrement d’élément tiers à un engagement. Après avoir ajouté toutes les entités d’éléments TP à un engagement, vous pouvez démarrer le processus de diligence raisonnable. Au cours du processus de diligence raisonnable, vous devez sélectionner et affecter un questionnaire dans le cadre d’une évaluation externe pour chaque élément TP que vous avez créé. Le contact de tiers remplit les questionnaires d’éléments TP. Pour plus d'informations, consultez Évaluation du risque lié à un tiers.

    Notation d’un élément tiers

    Vous pouvez classer chaque élément TP dans l’un des types suivants : Installation, Produit, Principal ou Autre. Cette classification vous aide à organiser les critères d’évaluation et le score ultérieur. La notation d’un élément TP est déterminée en faisant la moyenne des évaluations des risques à partir de ses évaluations des risques de tiers associées. Si vous effectuez plusieurs évaluations pour le même élément TP, le système prend en compte uniquement la dernière évaluation pour chaque engagement pour la notation, sans tenir compte des doublons. Ce processus permet de s’assurer que la cote de risque de l’élément TP reflète l’évaluation la plus récente. Par exemple, si un élément TP a des évaluations avec des cotes de risque très élevées et très faibles, la moyenne de ces cotes conduit à un risque global modéré.

    Une fois qu’un élément est évalué et qu’une cote de risque est déterminée, cette évaluation est d’abord agrégée en une note de composant basée sur sa classification, comme la facilité. Par exemple, tous les éléments de type Installation sont agrégés en un seul score de composant, qui contribue au score global de l’engagement. Le score d’engagement est ensuite compilé en agrégeant les scores de tous les scores de composant pertinents au sein de cet engagement. Si plusieurs évaluations ou éléments TP se trouvent dans un engagement, chacun est noté individuellement, puis combiné pour former le score d’engagement global. Le score d’engagement est ensuite déployé au niveau du tiers en agrégeant les scores de tous les engagements associés à un tiers particulier. L’agrégation à ce niveau peut être basée sur différentes règles, telles que la moyenne, la prise des scores minimum ou maximum, selon les règles de notation établies dans le système. Ce score cumulé représente le score de risque ou de performance global du tiers et reflète tous les engagements et éléments qui lui sont associés.

    Remarque :
    Vous pouvez créer vos propres classifications d’éléments TP pour répondre aux exigences spécifiques de votre programme de risque. Pour plus d’informations sur la création de classifications et l’affectation de poids pour la notation, reportez-vous à Formulaire d’élément tiers et Définir des critères de composant.