Workflow de diligence raisonnable

  • Rversion finale: Yokohama
  • Mis à jour 30 janv. 2025
  • 11 minutes de lecture

    • Les processus de gestion des risques liés aux tiers fournissentTPRM un cadre cohérent pour votre programme de gestion des risques liés aux tiers. Vous pouvez personnaliser les processus de workflow pour répondre aux besoins de votre organisation.

    Processus dans le workflow de diligence raisonnable

    Chaque tâche d’un processus doit être terminée avant que la tâche suivante puisse être commencée. Les rôles des utilisateurs qui effectuent les différentes tâches sont décrits dans .Rôles dans Gestion des risques liés aux tiers Le diagramme suivant décrit le workflow de diligence raisonnable.

    Figure 1. Workflow de diligence raisonnable

    Infographie montrant où les processus du workflow de diligence raisonnable sont effectués. Pour la description du texte, consultez les étapes du workflow qui suivent.
    Processus de demande : demander à démarrer un nouvel engagement, à réévaluer ou à séparer un engagement existant
    1. Un employé de votre organisation demande une diligence raisonnable pour un engagement de tiers.
      1. L’employé se connecte à Centre des employés son instance. Il ouvre le formulaire de demande de diligence raisonnable et précise le nom du tiers et le motif de la demande :
        • Intégration d’un nouvel engagement
        • Réévaluer un risque pour un engagement existant
        • Réévaluer un engagement existant pour préparer un renouvellement de contrat
        • Séparation d'un engagement avec diligence raisonnable
        • Séparation d’un engagement sans diligence raisonnable
        Remarque :
        Lors de la séparation d’un engagement sans diligence raisonnable, la collecte des éléments TP et le processus de diligence raisonnable ne sont pas applicables.
      2. L’employé fournit des détails sur le tiers et l’engagement. Les informations comprennent le produit ou le service qui doit être évalué dans cet engagement, l’utilisateur qui répondra à l’évaluateur du questionnaire sur les risques inhérents (IRQ) et le contact de tiers (TP) ou le contact d’engagement qui répondra aux questionnaires externes.
      3. À tout moment, un fournisseur de veille des risques externe peut mettre à jour les données de risque pour le tiers, car un gestionnaire des risques de tiers (TPR) peut avoir intégré les services d’un fournisseur de veille des risques lors de la configuration de l’application.
      4. L’employé soumet le formulaire.
      5. Le système envoie une notification par e-mail à l’employé qui a fait la demande.
      6. Le système envoie une notification par e-mail au groupe d’affectation des demandes de diligence raisonnable. Un membre du groupe peut affecter un gestionnaire ou un évaluateur TPR pour agir en tant que propriétaire de la demande. Cette action déclenche une tâche pour le gestionnaire TPR.
    2. Le gestionnaire TPR définit le champ d’application de la demande, la met à jour selon les besoins, puis l’approuve ou la rejette.
      1. Le gestionnaire TPR se connecte Espace de travail de gestion des fournisseurs et accède à la page de gestion de la diligence raisonnable, où il examine et met à jour la demande :
        • Le gestionnaire du TPR examine la personne qui a été suggérée comme évaluateur de l’IRQ. Si nécessaire, ils peuvent spécifier une autre personne en tant qu’évaluateur IRQ.
        • Le gestionnaire de TPR peut démarrer une discussion avec le demandeur et d’autres utilisateurs en sélectionnant Discuter. Le message est enregistré dans la section Activité de l’onglet Détails .

      2. Le gestionnaire TPR rejette ou approuve la demande. Si le gestionnaire TPR accepte la demande, le processus IRQ commence.

    Remarque :
    Les évaluateurs TPR peuvent créer des évaluations tierces récurrentes pour réévaluer un risque selon un calendrier régulier. Pour plus d'informations, consultez Configurer une évaluation des risques pour qu’elle se répète sur un calendrier.
    Processus IRQ : définir le champ d’application du risque
    1. Le gestionnaire TPR examine et approuve l’IRQ.
      1. Dans le Espace de travail de gestion des fournisseurs, le gestionnaire TPR examine et approuve l’IRQ à partir d’une liste dans le système.

        L’administrateur TPR peut créer des IRQ personnalisées pour une organisation. Le contenu de chaque IRQ est créé et maintenu par la personne responsable du domaine d’activité, de la zone géographique ou du tiers auquel les questions sont destinées. Pour définir une IRQ, l’administrateur TPR ajoute des exemples de questions à un modèle de questionnaire et modifie les questions si nécessaire. Les exemples de questions sont fournis dans la section système de base. La définition d’une IRQ est un processus sans code.

        Conseil :
        Le gestionnaire TPR peut utiliser la réponse à une question d’un IRQ pour déterminer les questionnaires qui sont envoyés au tiers évalué. Cette fonctionnalité n’est disponible que si l’application Gestion des risques liés aux tiers a été activée.

        Pour plus d'informations, consultez Configurer des réponses au questionnaire interne pour joindre automatiquement des questionnaires externes aux évaluations.

      2. Le gestionnaire TPR rejette la demande de diligence raisonnable ou l’approuve. Lorsque la demande est approuvée, le système envoie l’IRQ à l’évaluateur de l’IRQ, qui est une personne concernée interne au sein d’une organisation.
      3. L’évaluateur de l’IRQ est informé de l’IRQ à la fois par e-mail et par une nouvelle tâche dans sa file d’attente.
        Remarque :
        Le système peut également envoyer automatiquement des évaluations des risques de tiers lorsque des changements sont apportés à un score de risque.
    2. Les utilisateurs internes répondent à l’IRQ :
      1. Dans , Centre des employéstout utilisateur intéressé par l’engagement ouvre l’IRQ et y répond.

        Plusieurs réponses soulèvent d’autres questions de clarification. Les réponses peuvent déterminer quels questionnaires externes sont générés automatiquement et ajoutés aux ensembles qui vont au TP et au contact d’engagement.

        Par exemple, si un évaluateur de l’IRQ répond que le tiers interagit avec des représentants du gouvernement dans le cadre de l’engagement, un questionnaire anti-corruption adapté au pays du tiers (ABAC aux États-Unis ou FCBA dans l’UE, entre autres) est inclus.

      2. L’évaluateur de l’IRQ soumet l’IRQ remplie. Cette action déclenche une tâche pour le gestionnaire TPR.
    3. Les personnes concernées internes (réviseur d’évaluation tiers, évaluateur TPR, approbateur TPR, gestionnaire TPR ou administrateur TPR) examinent les réponses IRQ :
      1. Dans , Espace de travail de gestion des fournisseursles utilisateurs examinent les réponses IRQ.
      2. Le gestionnaire TPR peut demander des éclaircissements à l’évaluateur de l’IRQ, puis rejeter ou approuver les réponses de l’IRQ.
      3. Si un utilisateur de personne concernée interne approuve les réponses IRQ, il passe au processus suivant en fermant la demande d’engagement.
    Remarque :
    Une fois que le processus IRQ est entré dans l’état IRQ en cours, vous pouvez demander des rapports d’intelligence sur les risques associés à votre demande de diligence raisonnable. Pour plus d'informations, consultez Utilisation des rapports et scores des renseignements sur les risques et Demander un rapport d’intelligence sur les risques associé à une demande de diligence raisonnable.
    Processus de collecte d’éléments TP : collecter des informations sur les éléments tiers (facultatif)
    1. Le gestionnaire TPR ou le propriétaire de la demande de diligence raisonnable démarre la collecte d’éléments tiers.
      1. Dans , si des éléments tiers sont nécessaires, le gestionnaire ou le Espace de travail de gestion des fournisseurspropriétaire de TPR sélectionne Démarrer la collecte et une tâche de collecte est créée.
      2. Le gestionnaire ou le propriétaire du TPR navigue vers l’onglet de tâche de collecte et affecte les questionnaires de collecte d’éléments tiers pertinents à l’évaluation externe pour la collecte des éléments.
        Remarque :
        Dans le cadre du système de base, des exemples de questionnaires de collecte et d’évaluation sont disponibles pour les éléments tiers classés comme une installation, un principal, des produits ou autres.
      3. Le gestionnaire ou le propriétaire du TPR examine et approuve les questionnaires, et ils sont envoyés à l’engagement.
    2. Le système envoie une notification par e-mail aux personnes présentes lors de l’engagement. Les messages informent le contact pour l’engagement de répondre aux questionnaires de collecte d’éléments tiers.

    3. Dans le portail du tiers, les contacts d’engagement répondent directement aux questionnaires ou affectent les tâches à d’autres contacts de l’organisation.

    4. Le contact pour l’engagement renvoie les questionnaires remplis.
    5. Le système modifie l’état de l’évaluation en Réponses reçues et envoie des alertes au gestionnaire et au propriétaire de TPR.
    6. Dans le Espace de travail de gestion des fournisseurs, le gestionnaire ou le propriétaire du TPR ouvre les questionnaires et vérifie que toutes les informations requises ont été fournies.
    7. Le gestionnaire ou le propriétaire du TPR navigue ensuite vers la liste des éléments tiers et crée manuellement un enregistrement d’élément tiers pour chaque ensemble de réponses du questionnaire.
    8. Une fois tous les éléments tiers créés, le gestionnaire ou le propriétaire de TPR ferme l’évaluation.
    9. Le système définit l’état de la demande sur Collecte en cours de révision.
    10. Les personnes concernées internes (évaluateur TPR, approbateur TPR, gestionnaire TPR ou administrateur TPR) examinent et approuvent les enregistrements d’éléments.
    11. Dans , le gestionnaire ou titulaire Espace de travail de gestion des fournisseursde TPR ouvre l’engagement et ajoute manuellement des éléments en tant qu’entités dans l’onglet Entités.
    12. Une fois que toutes les entités d’éléments tiers ont été affectées à un engagement, vous pouvez démarrer le processus de diligence raisonnable.
    Processus de diligence raisonnable : collecter des informations pour générer un score de risque
    1. L’un ou l’autre des processus suivants aboutit à la sélection de questionnaires de diligence raisonnable externe :
      • Dans le Espace de travail de gestion des fournisseurs, le responsable TPR sélectionne les questionnaires auxquels le TP et les contacts d’engagement répondent.
      • Le système sélectionne automatiquement les questionnaires en fonction des configurations définies pour effectuer les sélections. Pour plus d’informations sur la configuration des questionnaires externes à sélectionner en fonction des réponses au questionnaire interne, reportez-vous à la section Configurer des réponses au questionnaire interne pour joindre automatiquement des questionnaires externes aux évaluations.
      • Le système sélectionne automatiquement les questionnaires en fonction des règles métier qui ont été définies pour effectuer les sélections.

    2. Quelle que soit la méthode de sélection que vous avez utilisée à l’étape 1, deux questionnaires de diligence raisonnable externe sont sélectionnés :

      • Un ensemble collecte des informations sur l’organisation tierce. Le contact TP répond à ce questionnaire.
      • L’autre ensemble recueille des informations sur l’unité business au sein de l’organisation tierce qui fait l’objet de l’engagement. Le contact de l’engagement (tel que spécifié dans la demande de diligence raisonnable) répond à ce questionnaire.
      Remarque :
      Si vous avez terminé le processus de collecte d’éléments TP facultatif, un questionnaire doit être sélectionné et affecté dans le cadre d’une évaluation pour chaque élément tiers que vous avez créé. Les questionnaires sur les éléments de tiers sont remplis par le contact de l’engagement.
    3. Dans le Espace de travail de gestion des fournisseurs, le gestionnaire TPR examine les questionnaires sélectionnés automatiquement auxquels répondent le TP et les contacts d’engagement. Le gestionnaire TPR valide ou modifie les sélections, puis approuve l’ensemble des questionnaires. Pour plus d’informations sur la création d’évaluations externes, reportez-vous à la section Créer une évaluation des risques externes.
    4. Le système envoie une notification par e-mail aux personnes du tiers. Les messages informent le contact TP et le contact d’engagement pour répondre aux questionnaires externes.
      Remarque :
      N’apportez aucune modification à un modèle de questionnaire une fois qu’il est déjà utilisé, vous pouvez dupliquer le modèle à la place en faisant une copie. Si vous apportez des modifications à un questionnaire après son envoi dans le cadre d’une évaluation externe, ces mises à jour n’apparaîtront pas dans le questionnaire affiché sur le portail du tiers. Pour plus d'informations, consultez Créer un questionnaire ou un modèle de demande de document et Créer un modèle de questionnaire ou de demande de document à l’aide du concepteur.
    5. Dans le portail du tiers, le TP et les contacts d’engagement répondent directement aux questionnaires ou affectent les tâches à d’autres contacts de l’organisation tierce.
      Remarque :
      Le portail du tiers est entièrement isolé de l’instance de votre organisation.

      Dans un processus itératif, avant que le gestionnaire TPR ne ferme une évaluation, il peut générer des tâches et des problèmes de non-conformité. Le gestionnaire TPR communique avec les contacts TP et les contacts d’engagement à l’aide de commentaires pour résoudre les problèmes et les tâches. Le gestionnaire TPR peut également affecter différents contacts selon les besoins. Pour en savoir plus, consultez Gérer les problèmes.

    6. Le contact TP et le contact d’engagement renvoient les questionnaires remplis.
    7. Le système passe l’état de la demande à Prêt pour l’approbation TPRM et envoie des alertes aux gestionnaires de TPR.
    8. Dans le Espace de travail de gestion des fournisseurs, le gestionnaire de TPR valide que les questionnaires sont reçus, remplis et signés si nécessaire, puis ferme la phase d’évaluation pour lancer le processus d’approbation.
    Remarque :
    Si le gestionnaire des risques ou le propriétaire du tiers sélectionne l’option Ignorer le processus de risque du contrat pendant le processus de diligence raisonnable, le négociateur du contrat affecté n’est pas informé et l’état du processus de risque du contrat est ignoré. Un approbateur et un titulaire peuvent mettre à jour la sélection du processus de risque du contrat ignoré jusqu’à ce que le processus d’approbation soit terminé. Pour plus d’informations sur ce processus, reportez-vous à la section Gestion du processus de demande de diligence raisonnable.
    Processus d’approbation : la personne concernée interne analyse chaque aspect du risque

    Toutes les personnes concernées internes (approbateurs) examinent les réponses au questionnaire et les documents justificatifs des contacts de tiers et d’engagement. Si les réponses sont bonnes, un ou plusieurs approbateurs approuvent puis ferment la demande DD. Si un contrat est préparé, la demande approuvée passe au processus de risque du contrat .

    • Les approbateurs peuvent approuver ou rejeter la demande, puis la fermer.
    • La fermeture de la demande la fait passer soit au processus de risque du contrat, soit si aucun contrat n’est impliqué, l’engagement commence.
    Processus de risque du contrat

    Après approbation, toutes les informations de diligence raisonnable peuvent être mises à la disposition du négociateur du contrat. En utilisant le Espace de travail de gestion des fournisseurs, le négociateur du contrat accède à toutes les données générées au cours des processus précédents pour concevoir et régler le contrat :

    • Le négociateur du contrat peut ignorer le processus de risque du contrat si un contrat n’est plus nécessaire.
    • Le négociateur du contrat peut demander une diligence raisonnable supplémentaire si nécessaire.
    • Si le négociateur du contrat exécute avec succès un contrat avec le tiers, il peut le charger et spécifier que le contrat est exécuté pour notifier automatiquement toutes les personnes concernées clés.
    • Le négociateur du contrat peut spécifier que le contrat n’est pas exécuté et que le tiers ne sera pas engagé pour des affaires.
    • Le négociateur du contrat peut spécifier que le contrat est résilié et que le tiers ne sera pas engagé pour des affaires.
    Remarque :
    À partir de la version 19.1.x de l’application Gestion des risques liés aux tiers, les workflows de questionnaire de hiérarchisation et de rappels d’évaluation externe sont déconseillés et migrés vers Studio de workflow. Si vous avez personnalisé ces workflows, ils ne seront pas déconseillés ni migrés dans le cadre de ce changement.