Troisième, quatrième et nième parties

Un tiers est une organisation ou une personne avec laquelle vous avez interagi ou établi une relation d’affaires. Des tiers peuvent avoir des filiales et peuvent passer des contrats avec des prestataires 4PL. Par exemple, les départements sont des filiales. Une quatrième partie peut passer un contrat avec d’autres parties (appelées nPL : cinquième, sixième, etc.). Toutes les parties en aval (de la quatrième à la nième partie) supportent le risque de la même manière que les tiers.

Un fournisseur fournit les biens ou les services que vous utilisez pour produire ou livrer vos propres biens ou services. Tous les fournisseurs sont des tiers, mais tous les tiers ne sont pas des fournisseurs. Voici une liste d’autres types de tiers :

• Fournisseurs
• Affiliés
• Contreparties
• Consultants
• Partenaires
• Services professionnels
• Conseillers
• Franchises
• Concessionnaires
• Revendeurs
• Distributeurs
• Clients
• Clients
• Personnel externalisé

Engagements

Un engagement est la relation informelle ou contractuelle que vous avez l’intention d’établir avec un tiers et qui pourrait potentiellement exposer votre organisation à un risque. L’engagement décrit les services ou les produits qui seront fournis par le tiers et d’autres détails de la relation. Ces détails peuvent inclure les conditions de paiement, les exigences de confidentialité et la durée de la relation.

Vous pouvez évaluer chaque engagement à l’aide d’évaluations internes et externes. Les problèmes, les tâches, les évaluations internes et les évaluations externes sont associés aux engagements.

Dans cet exemple, votre société interagit avec trois tiers et gère plusieurs engagements entre eux.

Filiales

Une filiale est une organisation détenue ou contrôlée par le tiers et est considérée comme faisant partie de l’organisation du tiers. Ils sont généralement gérés dans le cadre du profil de risque du tiers. Ils sont différents des quatrièmes et nièmes parties qui ont des contrats avec un tiers et ne sont pas détenus ou contrôlés par ce tiers.

L’évaluation des risques pour les filiales est la même que pour les autres tiers. Les notations de risque des filiales contribuent au score de leur tiers de contrôle.

IRQ : le questionnaire sur le risque inhérent

Au cours du processus d’évaluation des risques interne, les employés internes de votre organisation répondent aux questions dans l’IRQ. Ces réponses aident à évaluer le risque inhérent associé à l’engagement avec un tiers. Un risque inhérent fait référence au niveau de risque avant la mise en œuvre de toute mesure d’atténuation des risques. Un IRQ soutient les activités suivantes :

Détermination des facteurs de risque

• La nature des services fournis par le tiers.
• Sensibilité des données concernées.
• L’emplacement géographique du tiers.
• La posture de sécurité globale du tiers.

Détermination de la notation ou de l’évaluation

Les réponses au questionnaire sont souvent notées pour aider à quantifier le risque inhérent associé au tiers. Ce système de notation peut aider à hiérarchiser les efforts de gestion des risques.

Prise de décision

Les résultats de l’IRQ sont ensuite utilisés dans le processus de prise de décision. Les administrateurs et gestionnaires de risque de tiers (TPR) peuvent configurer des IRQ pour envoyer des questionnaires d’évaluation externe spécifiques (diligence raisonnable) aux tiers en fonction des réponses spécifiques aux questions.

• Devriez-vous vous engager avec le tiers ?
• Quel niveau de diligence raisonnable est requis ?
• Quelles mesures spécifiques d’atténuation des risques devez-vous mettre en œuvre ?

Diligence raisonnable continue

L’IRQ peut également faire partie de la gestion continue, avec des réévaluations périodiques pour tenir compte des changements dans les opérations, les pratiques de sécurité ou d’autres facteurs pertinents du tiers.

Diligence raisonnable (DD)

La diligence raisonnable est le processus d’enquête ou d’examen approfondi de l’intégrité, de la réputation, de la stabilité financière, de la conformité légale, des capacités opérationnelles, de la chaîne d’approvisionnement et d’autres facteurs pertinents d’un partenaire commercial, d’un fournisseur ou d’un vendeur potentiel. La diligence raisonnable sur les tiers est un élément crucial de votre programme complet de gestion des risques liés aux tiers. Vous faites preuve de diligence raisonnable pour prendre conscience des risques associés à un tiers afin de pouvoir décider en toute confiance de la façon de former votre relation. Utilisez des workflows de diligence raisonnable pour intégrer de nouveaux engagements, ou pour réévaluer ou mettre hors service des engagements existants. Les workflows de diligence raisonnable comprennent la collecte d’informations par le biais d’évaluations internes, d’évaluations externes et de renseignements sur les risques. Tous les scores de ces étapes sont analysés par les gestionnaires des risques de tiers pour décider s’il faut intégrer, réévaluer ou retirer un engagement. La diligence raisonnable comporte également un processus de négociation de contrat facultatif avant de fermer le workflow de diligence raisonnable.

Consultez Pourquoi effectuer une diligence raisonnable et Types de diligence raisonnable.

Évaluations des risques de tiers

Une évaluation des risques de tiers (TPRA) est un ensemble de questionnaires que vous pouvez envoyer à des contacts tiers ou à des utilisateurs internes pour évaluer les risques de tiers et d’engagement. Une évaluation que vous envoyez aux utilisateurs internes est classée comme une évaluation interne. Une évaluation que vous envoyez à un contact de tiers est appelée évaluation externe.

Utilisez une évaluation interne pour calculer le tiers et les niveaux d’engagement. La classification que vous utilisez pour identifier les questionnaires internes dans la table des modèles de questionnaire est le modèle de questionnaire sur le risque inhérent [irq_template]. Vous pouvez joindre automatiquement les questionnaires requis pour les évaluations externes en fonction des réponses que vous recevez des évaluations internes. Vous pouvez configurer cette option dans un questionnaire à la table de mappage des questions [sn_tprm_dd_m2m_question_to_questionnaire].

Utilisez une évaluation externe pour évaluer les risques associés au tiers et à l’engagement en fonction des réponses de contact de tiers que vous recevez. Les cotes de risque d’une évaluation externe sont calculées au niveau de l’évaluation à l’aide de tous les questionnaires joints à l’évaluation. Ces notations d’évaluation sont agrégées et déployées sur les tiers et les engagements. L’agrégation est MIN, MAX ou AVG et peut être configurée dans une configuration de notation. Les contacts tiers (utilisateurs externes) du portail tiers https://<myCompany>.service-now.com/ svdp répondent à ces évaluations externes.

Pour plus d’informations sur la notation, reportez-vous à la section Cotes de risque de tiers et calculs de notation.

Fournisseurs de veille des risques

Les fournisseurs de veille des risques génèrent des scores de risque pour divers domaines de risque de tiers. Votre organisation peut acheter des services auprès de fournisseurs qui renvoient des données analogues aux cotes de crédit personnelles. Les scores fournissent un aperçu de la fiabilité et de la sécurité d’un tiers particulier.

Consultez Intégrer les scores des fournisseurs de veille des risques.

Scores des renseignements sur les risques

Les scores des renseignements sur les risques sont des évaluations numériques qui évaluent le niveau de risque associé à une organisation particulière. Ces scores sont générés par les fournisseurs de renseignements sur les risques qui collectent et analysent un large éventail de sources de données. Les scores peuvent prendre n’importe quelle forme, qu’il s’agisse d’évaluations ou de chiffres. Le système mappe la valeur du score à l’évaluation appropriée TPRM . Ces scores peuvent aider votre organisation à prendre des décisions éclairées sur l’engagement avec des tiers, la gestion de la conformité et l’atténuation des risques potentiels. Les scores des renseignements sur les risques sont disponibles pour les tiers à partir de la Washington DC version. Les évaluations de risque sont calculées par les règles de notation associées à l’engagement dans la configuration de notation.

Scores de tiers

Ces scores aident les organisations à prendre des décisions éclairées sur la sélection et la gestion de leurs relations avec les tiers, ce qui permet de s’aligner sur leur tolérance au risque et leurs exigences de conformité. En évaluant les scores des tiers, les organisations peuvent identifier les risques potentiels, hiérarchiser les efforts de diligence raisonnable et mettre en œuvre des stratégies d’atténuation des risques appropriées.

Composants de cote de risque

Un composant est l’entité pour laquelle vous pouvez évaluer les risques. Le système de base comprend les engagements, la surveillance externe, les filiales et les évaluations des risques liés aux tiers. Le risque est calculé pour chaque composant, puis le risque est agrégé et déployé pour calculer une cote de risque de tiers.

Un critère de composant est la définition de la façon dont un composant va être utilisé par un tiers. Un critère de composant est un groupe de composants qui doivent s’appliquer à un type particulier de tiers ou d’engagement.

Un domaine ou un domaine de risque définit le type de risque à évaluer pour un tiers. Ceci est généralement aligné sur la zone/le domaine dans lequel le tiers opère ou pour lequel il fournit un produit/service. Par exemple, vous pouvez évaluer un tiers de gestion des données en termes de risque de sécurité et une banque en termes de risque financier.

Un critère de domaine de risque est la définition de la façon dont les domaines de risque vont être utilisés par un tiers. Un critère de domaine de risque de tiers est un groupe (ou un regroupement) de domaines ou de domaines de risque qui peuvent s’appliquer à un type particulier de tiers. Par exemple, les domaines de risques liés à la sécurité, aux finances et à la réputation peuvent être regroupés dans un critère de domaine de risque qui doit s’appliquer à tout tiers. On peut mieux comprendre et atténuer les risques qu’un tiers pose à votre organisation en identifiant les domaines de son activité à évaluer pour les risques et en quantifiant l’importance (poids) de chaque domaine.

Règles de notation

Une règle de notation fournit le mécanisme permettant d’appliquer des critères de composant et des critères de domaine de risque à un tiers et des critères de domaine de risque pour un engagement.

Pour un tiers, les critères du composant déterminent quels composants spécifiques sont applicables et la méthode de notation appropriée pour chaque composant. Ces composantes peuvent inclure l’emplacement géographique, la posture de sécurité globale et les résultats d’évaluations internes et externes. Les méthodes de notation pour ces composants sont configurées dans la configuration de notation. Par exemple, les évaluations internes de l’emplacement géographique et de la posture de sécurité globale font partie du processus d’évaluation interne, tandis que les évaluations externes utilisent des méthodes telles que MIN, MAX ou AVG pour calculer les évaluations des risques. En outre, les scores des renseignements sur les risques des fournisseurs externes sont mappés aux évaluations appropriées et combinés avec les scores d’évaluation externe pour former le score global du tiers.

Pour un tiers, les critères de domaine de risque déterminent les domaines de risque spécifiques applicables et la méthode de notation appropriée pour chaque domaine de risque.

Éléments tiers

Les éléments de tiers désignent les organisations externes sur lesquelles un tiers ou un engagement s’appuie pour fournir des biens, des services ou une assistance. Ces organisations peuvent inclure des fournisseurs, des sous-traitants, des individus ou toute autre organisation externe qui a accès aux systèmes, aux données ou aux installations du tiers ou de l’engagement. Toute vulnérabilité ou défaillance dans ces éléments tiers peut avoir un impact significatif sur les opérations, la réputation et la sécurité du tiers ou de l’engagement. En mettant en œuvre ces contrôles et en traitant les risques associés, les organisations peuvent améliorer leur capacité à gérer et à atténuer les impacts négatifs potentiels des tiers et de leurs éléments tiers. Il est essentiel de réévaluer et de mettre à jour régulièrement ces contrôles pour s’adapter aux changements de l’environnement commercial et du paysage réglementaire.

Voici quelques exemples d’éléments tiers et de leurs contrôles associés et risques potentiels.

Centre de données

Installations ou emplacements où des tiers ou des engagements externalisent le stockage, le traitement et la gestion de leurs données et de leur infrastructure informatique.

Contrôles:

• Évaluations de la sécurité des fournisseurs : évaluez régulièrement les mesures et pratiques de sécurité des fournisseurs tiers fournissant des services tels que l’hébergement cloud ou le stockage de données.
• Chiffrement des données : confirmez que les données stockées dans le centre de données sont chiffrées pour les protéger contre tout accès non autorisé.
• Contrôles d’accès : mettez en place des contrôles d’accès stricts pour limiter l’accès physique et virtuel aux installations et aux serveurs du centre de données.
• Plan de réponse aux incidents : développez et maintenez un plan de réponse aux incidents complet pour traiter rapidement tout incident de sécurité.

Risques:

• Violations de données : une violation dans le centre de données tiers peut entraîner un accès non autorisé et compromettre des informations sensibles.
• Temps d’arrêt : la dépendance à un centre de données tiers expose l’organisation à un risque de temps d’arrêt si le fournisseur de service rencontre des problèmes techniques.
• Violations de la conformité : le non-respect par le centre de données des normes de conformité sectorielles ou réglementaires peut entraîner des conséquences juridiques et financières pour l’organisation.

Usine de fabrication

Installations ou emplacements où des tiers ou des engagements externalisent la production ou l’assemblage de leurs produits.

Contrôles:

• Audits des fournisseurs : Auditez et évaluez régulièrement les pratiques de sécurité des fournisseurs fournissant des composants ou des services critiques pour le processus de fabrication.
• Normes d’assurance qualité : Appliquez des normes d’assurance qualité pour les fournisseurs tiers afin de promouvoir l’intégrité et la sécurité des matières premières et des composants.
• Visibilité de la chaîne d’approvisionnement : maintenez une visibilité sur l’ensemble de la chaîne d’approvisionnement pour identifier et traiter les vulnérabilités potentielles.
• Accords contractuels : Établissez des accords contractuels clairs avec les fournisseurs décrivant les exigences de sécurité et les conséquences en cas de non-conformité.

Risques:

• Perturbation de la chaîne d’approvisionnement : la dépendance à l’égard de fournisseurs tiers expose l’organisation à un risque de perturbations de la chaîne d’approvisionnement, ce qui a un impact sur la production.
• Pièces contrefaites : Des contrôles inadéquats sur la chaîne d’approvisionnement peuvent entraîner l’utilisation de composants contrefaits ou de qualité inférieure, compromettant ainsi la qualité des produits.
• Problèmes de conformité réglementaire : Le non-respect des normes réglementaires par les fournisseurs peut entraîner des conséquences juridiques et réglementaires pour l’installation de fabrication.

Bénéficiaires effectifs

Personnes qui, en dernier ressort, possèdent ou contrôlent une organisation impliquée dans une relation ou une transaction commerciale. Ces personnes peuvent ne pas être les propriétaires enregistrés ou légaux de l’organisation, mais avoir une influence ou un contrôle significatif sur ses opérations, sa prise de décision ou ses affaires financières.

Contrôles:

• Diligence raisonnable : Intégrez un processus de diligence raisonnable solide pour identifier et vérifier les bénéficiaires effectifs, y compris des vérifications des antécédents, des examens de documents et des entretiens si nécessaire.
• Obligations contractuelles : Inclure des clauses dans les contrats avec des tiers qui les obligent à divulguer tout changement dans la propriété effective et à confirmer la conformité aux lois et réglementations applicables.
• Surveillance et rapports : Établir un système de surveillance continue des bénéficiaires effectifs afin de détecter tout changement ou développement susceptible d’avoir une incidence sur le profil de risque du tiers.
• Formation et sensibilisation : Fournir une formation au personnel concerné sur l’importance de comprendre et de surveiller la propriété effective, y compris les signaux d’alarme et les procédures de signalement.
• Programme de conformité réglementaire : Élaborer et maintenir un programme qui vérifie la conformité à toutes les lois et réglementations pertinentes liées à la propriété effective, y compris les exigences en matière de déclaration et de divulgation.
• Procédures d’escalade : Établir des procédures d’escalade claires pour les cas où des préoccupations ou des irrégularités liées à la propriété effective sont identifiées, favorisant une action opportune et appropriée.

Risques:

• Propriété cachée : Les bénéficiaires effectifs peuvent délibérément dissimuler leur propriété, ce qui rend difficile l’évaluation des risques potentiels associés à leur influence sur le tiers.
• Risque de réputation : Si les bénéficiaires effectifs ont une réputation douteuse, leur implication peut nuire à la réputation de votre organisation.
• Conformité réglementaire : Le non-respect des réglementations relatives à la déclaration et à la transparence des bénéficiaires effectifs peut entraîner des conséquences juridiques et réglementaires.
• Risque financier : Les bénéficiaires effectifs en situation d’instabilité financière ou impliqués dans des activités frauduleuses peuvent présenter des risques financiers pour le tiers et, par conséquent, pour votre organisation.