Évaluations de la hiérarchisation des risques de tiers : processus hérité

  • Rversion finale: Xanadu
  • Mis à jour 1 août 2024
  • 2 minutes de lecture

    • Les organisations utilisent la hiérarchisation des risques pour classer leurs tiers en catégories de risque potentiel au moment de l’intégration. Les niveaux de risque prédéfinis standard sont Aucun, Faible, Mineur, Modéré, Élevé et Critique. Chaque niveau de risque est associé à des questions d’évaluation et à des demandes de documents.

    Le processus IRQ, plus complet, remplace la hiérarchisation

    Dans l’application TPRM , l’IRQ est un questionnaire interne qui améliore le processus initial d’évaluation des niveaux. Les IRQ améliorent les évaluations des risques internes avec une flexibilité, un contrôle et une évolutivité accrus. Contrairement à une évaluation par niveaux où les questionnaires externes sont déterminés uniquement par le niveau de risque, un IRQ peut déclencher dynamiquement des questionnaires externes en fonction des réponses des personnes interrogées et du niveau de risque.

    Pour assurer une transition transparente vers TPRM, vous pouvez dupliquer les évaluations de hiérarchisation existantes et les désigner comme évaluations internes IRQ. La hiérarchisation des risques est prise en charge en tant que processus hérité immuable.

    Opération héritée

    1. La plupart des organisations importent leur portefeuille tiers par le biais d’une feuille de calcul ou d’une intégration à une autre solution d’intégration. Les gestionnaires des risques liés aux tiers (TPR) effectuent des mises à jour continues des informations sur les tiers, y compris les scores de sécurité et les niveaux de risque.
    2. Le gestionnaire TPR ou l’évaluateur TPR détermine le ou les catégories de risque d’exposition pour le tiers.
    3. Le gestionnaire TPR sélectionne le tiers, affecte le modèle de questionnaire de hiérarchisation et affecte l’évaluateur interne requis pour effectuer l’évaluation.
      Figure 1. Relation de la table d’évaluation de la hiérarchisation des risques
      Relation de la table d’évaluation de la hiérarchisation des risques.
    4. Les personnes concernées internes naviguent vers Libre-service > Mes évaluations et enquêtes pour terminer et soumettre l’évaluation.
    5. Une fois que l’évaluateur interne a répondu au questionnaire, le système calcule le score de hiérarchisation comme étant la moyenne de tous les scores. Le gestionnaire TPR peut lancer l’évaluation des risques ou une règle métier configurée peut en envoyer une automatiquement. Lorsque l’évaluation est fermée, le système affecte un niveau de risque au tiers en fonction du score de hiérarchisation.
    Figure 2. Calcul du niveau de risque en fonction des réponses
    Formulaire d’évaluation de la hiérarchisation des risques.

    Échelle de hiérarchisation des risques et calculs de notation

    Figure 3. Processus de hiérarchisation des risques
    Le questionnaire de hiérarchisation des risques et l’évaluation de la hiérarchisation des risques, les instances d’évaluation, le score de hiérarchisation et la couche de risque.
    1. L’évaluation de hiérarchisation initie une instance d’évaluation pour l’évaluateur interne affecté.
    2. La moyenne des scores de réponse est calculée pour générer le score de hiérarchisation.
    3. Le score de hiérarchisation est mappé aux niveaux de risque.
    4. Le niveau de risque est affecté au tiers lorsque l’évaluation de la hiérarchisation est fermée.