Créer une évaluation des risques externes : processus hérité

  • Rversion finale: Xanadu
  • Mis à jour 1 août 2024
  • 9 minutes de lecture

    • Créez une évaluation et lancez le cycle de vie de l’évaluation des risques de tiers. Une évaluation des risques externe spécifie les détails du tiers ou de l’engagement et définit le plan pour terminer l’évaluation.

    Avant de commencer

    Rôle requis : sn_vdr_risk_asmt.vendor_risk_manager ou sn_vdr_risk_asmt.vendor_assessor

    Pourquoi et quand exécuter cette tâche

    Les évaluations peuvent être créées sur demande ou peuvent se reproduire selon un calendrier spécifié. Lors de la création d’une évaluation des risques externes à la demande, les gestionnaires TPR sélectionnent le modèle de questionnaire ou le modèle de demande de document et le tiers. Les gestionnaires TPR peuvent sélectionner plusieurs tiers à la fois et déclencher automatiquement des évaluations.

    Procédure

    1. Accédez à la Tout > Gestion des risques liés aux tiers > Évaluations des risques externes > Toutes les évaluations.
    2. Sélectionnez Nouveau , puis renseignez les champs.
      Formulaire d’évaluation des risques du fournisseur.
      Tableau 1. Formulaire d’évaluation des risques du fournisseur
      Champ Description
      Nom Le nom qui identifie l’évaluation des risques de tiers sur tous les formulaires et listes.
      Description Une explication plus détaillée du problème.
      Numéro

      Pour chaque évaluation des risques externes, le système attribue automatiquement un numéro d’identification unique qui commence par le texte VRA.

      L’ID unique est utilisé dans toutes les références à l’élément. Vous pouvez utiliser l’ID pour rechercher ou filtrer l’élément sur lequel vous souhaitez travailler.
      Concerne Entité à laquelle l’évaluation s’applique : tiers ou engagement.
      Fournisseur Le tiers évalué.
      Remarque :
      Vous pouvez réactiver un tiers qui a l’état Résilié . Si une telle demande est acceptée et fermée, l’état du tiers passe à Actif.
      Engagement Sélectionnez l’engagement à évaluer. Le champ n’est visible que si vous avez sélectionné Engagement dans le champ S’applique à .
      Évaluation récurrente Évaluation utilisée pour créer l’évaluation actuelle.
      Modèle d'évaluation

      Sélectionnez un modèle d’évaluation pour créer des questionnaires ou des demandes de documents pour cette évaluation.

      Pour utiliser plusieurs modèles afin de créer plusieurs questionnaires ou demandes de documents pour l’évaluation, laissez le champ vide.
      Propriétaire

      Le propriétaire est la personne qui est propriétaire d’une évaluation à des fins d’audit, et qui surveille et gère l’ensemble des processus d’évaluation. Il incombe aux propriétaires de confirmer que l’évaluation est effectuée en temps opportun par le tiers, d’examiner ses réponses et de créer et de résoudre les problèmes. Pour mener l’évaluation jusqu’à son terme, les propriétaires sont informés lorsqu’une évaluation atteint un jalon particulier. Le propriétaire doit avoir le rôle de gestionnaire ou d’évaluateur TPR.

      Pour les nouvelles demandes, si le champ Propriétaire est vide, l’action suivante se produit : Le système envoie une notification par e-mail à tous les utilisateurs du groupe spécifié dans le groupe d’affectation. Le message indique que la demande a été reçue et qu’elle se trouve dans l’état Nouveau . Le message inclut également un lien vers la page de détails de la demande. reportez-vous à la section Ajouter des utilisateurs aux groupes en fonction des responsabilités.

      Remarque :
      Si le champ Propriétaire est vide et que vous sélectionnez Démarrer le processus IRQ, vous en devenez le propriétaire.
      Groupe d'affectation

      Pour les nouvelles demandes, le groupe d’affectation est défini sur les assignateurs de demandes de diligence raisonnableLe système envoie une notification par e-mail à tous les utilisateurs du groupe spécifié dans le groupe d’affectation. Le message indique que la demande a été reçue et qu’elle se trouve dans l’état Nouveau . Le message inclut également un lien vers la page de détails de la demande.

      Sur le formulaire de demande de diligence raisonnable :

      • N’importe quel membre du groupe peut sélectionner M’affecter ou définir le champ Propriétaire sur n’importe quel autre membre du groupe.
      • Un gestionnaire TPR ou un évaluateur TPR peut effacer le champ Groupe d’affectation ou modifier la valeur pour la sélectionner parmi différents évaluateurs TPR dans la liste de sélection du propriétaire .
      État Le processus de collecte des données d’évaluation auprès d’un tiers passe par plusieurs états. Voir États du cycle de vie d’une évaluation des risques de tiers (externe) pour les descriptions détaillées.
      Cote de risque La cote de risque globale pour le tiers.
      • Critique
      • Élevée
      • Modéré
      • Faible
      • Mineur
      Remarque :
      La cote de risque est déterminée en déterminant une plage d’échelle d’évaluation des risques dans laquelle se situe le score de risque. Il définit comment une plage minimale et maximale de scores d’évaluation est mappée à un score de risque qualitatif.
      Fin de validité de la cote de risque Date d’expiration de la cote de risque. La date doit être postérieure à la date de fin de validité de la cote de risque pour tous les questionnaires ou demandes de documents associés.
      Déclencher par niveau de risque Cochez la case pour lancer l’évaluation lorsque le niveau de risque change pour le tiers.
      Liste de surveillance Ajoutez des utilisateurs qui doivent être informés lorsque cet enregistrement est modifié.
      Évaluation du risque
      Remarque :
      Les évaluations des risques sont calculées et affichées après réception des réponses à l’évaluation.
      Cote de risque calculée Moyenne des cotes de risque du domaine de risque de tiers.
      Remplacer la cote de risque Cochez la case pour remplacer la cote de risque calculée pour le tiers. Lorsque cette option est sélectionnée, les changements futurs apportés à la cote de risque de l’évaluation affecteront uniquement la cote de risque calculée, et non la cote de risque.
      Remarque :
      Si vous décochez une case sélectionnée, la cote de risque calculée est copiée dans l’évaluation.
      Cote de risque remplacée Si vous avez sélectionné Remplacer la cote de risque, entrez la nouvelle cote de risque.
      Justification Si vous avez sélectionné Remplacer la cote de risque, vous devez entrer un motif pour le remplacement.
      Cote de risque du problème Cote de risque pour les problèmes associés aux tiers évalués. La cote de risque du problème est basée sur la priorité des problèmes fermés et la façon dont ils ont été résolus.
      • Si le problème est Fermé terminé, cela indique que le problème a été résolu.
      • Si le problème a été fermé incomplet, cela indique que le tiers n’a pas répondu aux questions associées.
      • Si le problème a été fermé annulé, cela indique que le problème n’avait pas besoin d’être résolu.
      Si le problème est fermé et que l’état de l’évaluation n’est pas fermé ou annulé, la cote de risque du problème est recalculée et affichée.
      Remarque :
      La cote de risque calculée n’est pas affectée par ce calcul.
      Remplacer la cote de risque Option permettant de remplacer la cote de risque calculée pour le tiers. Lorsque cette option est sélectionnée, toute modification ultérieure apportée à la cote de risque de l’évaluation affectera uniquement la cote de risque calculée, et non la cote de risque.
      Remarque :
      Si la case est cochée puis désélectionnée, la cote de risque calculée est utilisée.
      Cote de risque remplacée Si vous avez sélectionné Remplacer la cote de risque, entrez la nouvelle cote de risque.
      Justification Si vous avez sélectionné Remplacer la cote de risque, vous devez entrer un motif pour le remplacement.
      Calendrier de l'évaluation
      Durée prévue (jours) Durée estimée de l’évaluation
      Date de début prévue / Date de fin prévue Dates et heures de début et de fin planifiées pour le travail sur l’évaluation.
      Créé par Utilisateur ayant créé cet enregistrement.
      Créé Date/heure de création de l’enregistrement.
      Durée réelle Le temps nécessaire pour terminer l’évaluation des risques de tiers. Ce champ est calculé à l’aide de la date d’état réelle et de la date de fin réelle.
      Date de début de l'analyse Date et heure auxquelles le travail sur l’évaluation a commencé.
      Date de fin réelle Date et heure de fin de l’évaluation.
      Mis à jour Date et heure de dernière mise à jour de l’enregistrement.
      Calendrier du questionnaire
      Durée prévue (jours) Le temps accordé au tiers pour effectuer l’évaluation. La valeur est calculée à l’aide de la date d’état planifié et de la date de fin planifiée.
      Durée de revue (jours) Temps alloué au client pour passer en revue tous les questionnaires.
      Date d'échéance Délai du tiers pour répondre à tous les questionnaires et les renvoyer.
      Date d'achèvement Date réelle à laquelle le tiers a terminé tous les questionnaires.
      Soumis au fournisseur Date de livraison des questionnaires de tiers.
      Resoumis au fournisseur Date à laquelle les questionnaires sont renvoyés au tiers.
      Réponses attendues par Date à laquelle votre organisation attend que les réponses soient renvoyées par le contact tiers.
      Remarques et commentaires
      Notes de travail Informations sur l’évaluation. Les notes de travail sont visibles par les utilisateurs affectés au problème.
      Commentaires supplémentaires (visible par le client) Informations publiques sur l’évaluation.
    3. Enregistrez l'enregistrement.

      D’autres listes connexes s’affichent. Si vous avez laissé le champ Modèle d’évaluation vide et que vous souhaitez utiliser des modèles d’évaluation pour associer plusieurs questionnaires et/ou demandes de documents à cette évaluation, utilisez les listes connexes Questionnaires ou Demandes de documents.


      Plusieurs listes connexes s’affichent lorsque vous enregistrez le formulaire Évaluation des risques du fournisseur.
    4. Pour associer des questionnaires existants et/ou des demandes de documents à l’évaluation, procédez comme suit.
      1. Ouvrez la liste connexe Questionnaires ou Demandes de documents.
      2. Sélectionnez Modifier, sélectionnez les questionnaires ou les demandes de documents à utiliser, puis sélectionnez Enregistrer.
      3. Répétez l’opération pour l’autre type de questions, si nécessaire.
    5. Pour créer des modèles de questionnaire et/ou de demande de document et les associer à l’évaluation, reportez-vous Créer un questionnaire ou un modèle de demande de documentà .
      Important :
      À l’étape suivante, vous pouvez choisir de soumettre le questionnaire au tiers. Pour préremplir le questionnaire avec les réponses de la dernière évaluation fermée, vous devez sélectionner l’option Inclure les réponses précédentes avant de le soumettre au tiers. Le paramètre ne peut pas être modifié après l’envoi du questionnaire au tiers. Consultez Créer un questionnaire ou un modèle de demande de document.
    6. Sélectionnez Soumettre à un tiers.
      • L’état de l’évaluation devient Soumis à un tiers.
      • Les modèles que vous avez sélectionnés génèrent des questionnaires et/ou des demandes de documents.
      • Si l’option Inclure les réponses précédentes est sélectionnée pour un questionnaire, les réponses précédentes sont copiées et ajoutées au questionnaire sortant. La notification sur le portail du tiers inclut le numéro, le nom et la date de clôture de l’évaluation qui a fourni les réponses. La notification inclut également un lien vers l’évaluation.
      • Le contact de tiers principal reçoit une notification par e-mail qui inclut un lien vers l’évaluation dans le portail du tiers.
    7. Lorsque le contact du tiers est prêt à répondre à l’évaluation, il ouvre l’évaluation dans le portail du tiers.

      Travailler avec une évaluation dans le portail du tiers.
      Remarque :
      Dans l’exemple, l’un des questionnaires nécessite une signature. Le tiers ou le réviseur doit enregistrer et signer électroniquement le questionnaire ou la demande de document avant de pouvoir le soumettre. Pour plus d'informations, consultez Signatures électroniques sur les questionnaires ou les demandes de documents.
    8. L’évaluateur du TPR déplace l’état de l’évaluation vers Génération d’observations.

      Pendant ce temps, l’évaluateur du TPR peut cliquer sur le lien Afficher la réponse dans la liste connexe Demandes de documents ou Questionnaires pour afficher la réponse et fournir des commentaires ou des réponses de changement, au besoin.

      Pour tous les problèmes qui surviennent, l’évaluateur du TPR crée un problème pour suivre le processus de rattrapage (finalisation avec un tiers).

    9. L’évaluateur TPR passe l’évaluation à l’état Fermé .

    Que faire ensuite

    L’évaluateur du TPR travaille via le portail du tiers avec le tiers pour fermer l’évaluation.
    Cycle de vie de l’évaluation des risques du fournisseur.