Évaluation de votre risque de tiers

  • Rversion finale: Xanadu
  • Mis à jour 1 août 2024
  • 7 minutes de lecture

    • Utilisez cette fonction Gestion des risques liés aux tiers pour identifier et évaluer les risques potentiels associés à vos relations avec des tiers. Les informations recueillies à partir de questionnaires internes, de questionnaires externes et de demandes de documentation vous aident à comprendre le profil de risque du tiers, à déterminer les stratégies d’atténuation des risques appropriées et à déterminer si le tiers ou l’engagement répond à toutes les exigences de conformité nécessaires.

    Répondre à des questionnaires

    Les processus suivants décrivent le calendrier et les méthodes de réponse aux questionnaires internes et externes :

    Processus du questionnaire sur les risques inhérents (IRQ)

    Une fois la demande de diligence raisonnable approuvée par le gestionnaire des risques tiers (TPR) [sn_vdr_risk_asmt.vendor_risk_manager], l’évaluateur IRQ [snc_internal] termine l’évaluation des risques interne en répondant à l’IRQ.

    Une fois que l’évaluateur de l’IRQ a soumis ses réponses et que le gestionnaire ou le propriétaire du TPR a examiné et fermé l’IRQ, l’état de la demande de diligence raisonnable est mis à jour de l’IRQ en cours à l’IRQ en cours d’examen.

    Sur la base des informations recueillies, le gestionnaire TPR et son équipe évaluent les risques potentiels associés à l’engagement. Ils évaluent des facteurs tels que la stabilité financière, la capacité opérationnelle, le respect des normes de qualité, le respect de la réglementation et la capacité du tiers à respecter les délais de livraison. Cette évaluation aide l’équipe à comprendre le profil de risque du tiers et à déterminer les stratégies d’atténuation des risques appropriées.

    Pour plus d’informations sur les IRQ, reportez-vous à Répondre à une IRQ.

    Processus de collecte d’éléments TP : collecter des informations sur des éléments tiers

    Une fois que votre demande de diligence raisonnable a terminé le processus IRQ, le gestionnaire TPR ou le propriétaire de la demande de diligence raisonnable peut démarrer le processus de collecte d’éléments tiers (TP). Il s’agit d’un processus facultatif permettant de collecter des éléments TP et de les affecter à des engagements afin qu’ils puissent être évalués dans le cadre du workflow global de diligence raisonnable. Pour plus d’informations sur les éléments TP, reportez-vous à la section Surveillance des éléments tiers.

    Le gestionnaire ou le propriétaire du TPR affecte des questionnaires d’éléments TP à une évaluation externe pour la collecte des éléments et envoie cette évaluation à un engagement pour collecter les informations requises pour les éléments TP. Une fois que la personne-ressource pour la mission a soumis ses réponses, le gestionnaire ou le propriétaire du TPR examine et vérifie que tous les renseignements requis ont été fournis dans les questionnaires.

    Le gestionnaire ou le propriétaire du TPR accède ensuite à la liste des éléments tiers et crée manuellement un enregistrement d’élément tiers pour chaque ensemble de réponses de chaque questionnaire. Une fois que tous les éléments tiers ont été créés, le gestionnaire ou le propriétaire TPR ferme l’évaluation. Le système change l’état de la demande en Collecte en cours de révision. Pour plus d'informations, consultez Créer un enregistrement d’élément tiers.

    Processus de diligence raisonnable : vérification de la conformité

    Lorsque le processus IRQ ou le processus de collecte d’éléments TP est terminé, l’application TPRM envoie des questionnaires et des demandes de documentation au tiers et à l’engagement. Dans le cadre d’une évaluation, votre organisation peut envoyer plusieurs questionnaires et demandes de documents. Par exemple, le gestionnaire TPR peut demander les certifications, licences ou rapports d’audit du tiers pour valider la conformité.

    Si vous avez terminé le processus facultatif de collecte d’éléments TP, un questionnaire doit être sélectionné et affecté dans le cadre d’une évaluation pour chaque élément tiers que vous avez créé. Les questionnaires sur l’élément TP sont remplis par la personne-ressource chargée de l’engagement.

    Remarque :
    Le gestionnaire TPR peut développer des modèles d’évaluation afin de simplifier et d’automatiser le processus de détermination des questionnaires et des demandes de documents à envoyer à un tiers de ce type. L’administrateur TPR peut définir des modèles de questionnaire, des modèles de demande de document, puis le gestionnaire TPR peut les regrouper dans un modèle d’évaluation. Votre organisation peut réutiliser le modèle pour envoyer les questionnaires et les demandes de documents à des tiers similaires lors des évaluations futures. Pour plus d’informations sur les modèles, reportez-vous aux sections Créer un questionnaire ou un modèle de demande de document et Créer un questionnaire ou un modèle de demande de document à l’aide de Designer.

    Le gestionnaire TPR et son équipe utilisent les réponses et l’analyse interne du tiers pour déterminer si le tiers répond à toutes les exigences de conformité nécessaires. Ces exigences peuvent inclure la vérification de la conformité du tiers aux lois et réglementations applicables, telles que les réglementations environnementales, le droit du travail et les politiques de lutte contre la corruption.

    Remarque :

    L’évaluateur, le gestionnaire ou l’administrateur des risques de tiers peut répondre aux questions, modifier les réponses et soumettre des questionnaires externes pour le compte de tiers ou d’engagements. Pour plus d'informations, consultez Répondre à un questionnaire pour un tiers ou un engagement.

    En raison de la nature sensible des éléments concernés, le gestionnaire TPR et son équipe évaluent les pratiques du tiers en matière de sécurité et de confidentialité des données. Ils évaluent les mesures de sécurité de l’information, les politiques de protection des données, les contrôles d’accès et les processus de gestion des vulnérabilités du tiers. Si le tiers a accès à des informations exclusives ou à des données clients, il peut exiger du tiers qu’il se soumette à un audit de cybersécurité ou qu’il fournisse des preuves de ses mesures de protection des données.

    Pour en savoir plus sur l’examen des réponses, reportez-vous à la rubrique Examiner les réponses aux questionnaires externes.
    Remarque :
    Votre évaluateur TPR peut exporter les questionnaires reçus ou retournés vers des feuilles de Microsoft calcul Excel. Cette option permet à votre organisation d’utiliser l’environnement de feuille de calcul pour examiner les questions et les réponses. Pour en savoir plus sur l’exportation des réponses au questionnaire, reportez-vous à la section Exporter les réponses au questionnaire vers une feuille de calcul.

    Actions d’évaluation supplémentaires

    Il se peut que le gestionnaire TPR, le propriétaire de la demande de diligence raisonnable ou le négociateur du contrat doive rouvrir une évaluation en raison de la disponibilité de nouvelles informations qui ont un impact sur l’engagement ou parce qu’un autre changement s’est produit. Pour plus d'informations, consultez Pourquoi faites-vous preuve de diligence raisonnable ?.

    Si le gestionnaire, le propriétaire ou le négociateur du contrat TPR doit recueillir plus d’informations dans le cadre d’une mission, il peut envoyer un questionnaire ou une demande de document supplémentaire en rouvrant une évaluation et en effectuant les actions suivantes :
    1. Accédez à la page d’enregistrement de la demande de diligence raisonnable en sélectionnant le numéro DDR approprié.
    2. Pour afficher l’évaluation des risques de tiers connexe, sélectionnez le numéro VRA dans l’onglet Évaluation des risques de tiers .
    3. Sélectionnez Rouvrir.

    L’état de la demande de diligence raisonnable est mis à jour de Prêt pour l’approbation TPRM à Diligence raisonnable. Le gestionnaire, le propriétaire ou le négociateur du contrat de TPR peut demander des questionnaires et des demandes de documents au besoin. Pour plus d'informations, consultez Rouvrir une évaluation.

    Si le gestionnaire, le propriétaire ou le négociateur du contrat TPR n’exige pas d’évaluation pour un engagement en cours ou une clôture rapide pour l’intégration ou le renouvellement d’un engagement, il peut annuler une évaluation en procédant comme suit :
    1. Accédez à la page d’enregistrement de la demande de diligence raisonnable en sélectionnant le numéro DDR approprié.
    2. Pour afficher l’évaluation des risques de tiers connexe, sélectionnez le numéro VRA dans l’onglet Évaluation des risques de tiers .
    3. Sélectionnez Annuler.
    Même si une ou toutes les évaluations sont annulées, la demande de diligence raisonnable passe par le processus d’approbation.

    Problèmes et tâches

    Le rôle de l’évaluateur TPR [sn_vdr_risk_asmt.vendor_assessor] est requis pour créer et gérer à la fois les tâches et les problèmes.

    Le gestionnaire TPR, l’évaluateur TPR ou le négociateur de contrat peuvent créer des tâches pour s’assurer qu’un membre de l’équipe ou le contact tiers répond aux préoccupations concernant les réponses au questionnaire ou les documents demandés. Ils peuvent gérer les tâches existantes pour vérifier que le membre de l’équipe affecté ou le contact de tiers répond à une tâche et la met à jour si nécessaire. Pour en savoir plus sur la création et la gestion des problèmes, reportez-vous aux rubriques Créer une tâche pour un tiers ou un engagement et Gérer une tâche pour un tiers ou un engagement.

    Le responsable TPR, l’évaluateur TPR ou le négociateur de contrat peuvent créer un problème pour aider à s’assurer que les préoccupations des équipes concernant un tiers ou un engagement sont corrigées. Ils peuvent également gérer les problèmes existants pour s’assurer qu’ils sont compris, partagés avec les bonnes personnes et qu’ils sont traités au besoin. Pour en savoir plus sur la création et la gestion des tâches, reportez-vous aux rubriques Créer un problème pour un tiers ou un engagement et Gérer les problèmes.