Exemple de processus d’intégration

Processus de demande

Tout employé (généralement un utilisateur qui souhaite faire affaire avec un tiers) présente l’analyse de rentabilisation pour lancer le processus de diligence raisonnable pour une évaluation des risques.

Un gestionnaire de risque de tiers (TPR) examine la demande de diligence raisonnable pour l’engagement et l’approuve.

Processus du questionnaire sur le risque inhérent (IRQ)

Une fois la demande approuvée, l’évaluateur de l’IRQ termine l’évaluation des risques interne en répondant à l’IRQ.

Sur la base des informations recueillies, Acme évalue les risques potentiels associés au tiers. Ils évaluent des facteurs tels que la stabilité financière, la capacité opérationnelle, le respect des normes de qualité, la conformité aux réglementations et la capacité du tiers à respecter les délais de livraison. Cette évaluation aide ACME à comprendre le profil de risque du tiers et à déterminer les stratégies d’atténuation des risques appropriées.

Processus de diligence raisonnable : vérification de la conformité et évaluation de la sécurité et de la confidentialité des données

Lorsque le processus IRQ est terminé, l’application d’Acme envoie des questionnaires TPRM et des demandes de documentation au tiers. Dans le cadre d’une évaluation, vous pouvez envoyer plusieurs questionnaires et demandes de documents. Acme peut demander des documents : certifications, licences ou rapports d’audit du tiers pour valider la conformité.

Remarque :

Afin de simplifier et d’automatiser le processus de détermination des questionnaires et des demandes de documents à envoyer à un tiers de ce type, le personnel d’Acme a développé des modèles d’évaluation. Ils ont défini des modèles de questionnaire, des modèles de demande de document ou les deux, puis les ont regroupés dans un modèle d’évaluation. Acme peut réutiliser le modèle pour envoyer les questionnaires, demandes de documents ou les deux appropriés à des tiers similaires lors de futures évaluations.

Acme utilise les réponses et l’analyse interne du tiers pour déterminer si le tiers répond à toutes les exigences de conformité nécessaires. Cela inclut la vérification de la conformité du tiers aux lois et réglementations applicables, telles que les réglementations environnementales, les lois du travail et les politiques anti-corruption.

Compte tenu de la nature sensible des composants impliqués, Acme évalue les pratiques de sécurité et de confidentialité des données du tiers. Ils évaluent les mesures de sécurité des informations, les politiques de protection des données, les contrôles d’accès et les processus de gestion des vulnérabilités du tiers. Si le tiers a accès aux informations exclusives d’Acme ou aux données des clients, il peut exiger que le tiers se soumette à un audit de cybersécurité ou fournisse des preuves de ses mesures de protection des données.

Accords contractuels et atténuation des risques

Pour protéger ses intérêts, le négociateur de contrats TPR chez Acme (souvent un conseiller juridique d’entreprise) intègre des dispositions contractuelles spécifiques pour traiter les risques identifiés. Le négociateur de contrat utilise les informations obtenues dans les processus d’IRQ et de diligence raisonnable pour inclure des clauses liées à la conformité, aux normes de qualité, à la confidentialité, à la protection des données, à la continuité des activités et aux mécanismes de résolution des litiges. Le contrat peut également décrire les mesures de performance, les attentes et les clauses de résiliation en cas de non-conformité ou de violation.

Surveillance et examen continus

Acme établit un processus de surveillance continue pour évaluer régulièrement les performances du tiers et le respect des conditions convenues. Les personnes de votre organisation peuvent effectuer manuellement des examens financiers périodiques, des audits de qualité, des visites sur site ou des enquêtes. Ils établissent également des canaux de communication pour répondre à toute préoccupation ou changement dans le profil de risque du tiers.