Avaliando seu risco de terceiros

  • Versão de lançamento: Washingtondc
  • Atualizado 1 de fev. de 2024
  • 5 min. de leitura

    • Use Gestão de risco de terceiros para identificar e avaliar os riscos potenciais associados aos seus relacionamentos com terceiros. As informações coletadas de questionários internos, questionários externos e solicitações de documentação ajudam a entender o perfil de risco do terceiro, a determinar as estratégias de redução de risco apropriadas e a determinar se o terceiro ou o compromisso atende a todos os requisitos de conformidade necessários.

    Respondendo a questionários

    Os processos a seguir descrevem o tempo e os métodos para responder a questionários internos e externos:

    Processo de Questionário de Risco Inerente (IRQ)

    Depois que a solicitação de diligência é aprovada pelo gerente de risco de terceiros (TPR) [sn_vdr_risk_asmt.vendor_risk_manager], o avaliador de IRQ [snc_internal] conclui a avaliação de risco interno respondendo ao IRQ.

    Depois que o avaliador de IRQ envia suas respostas e o gerente ou proprietário de TPR revisa e fecha o IRQ, o estado da solicitação de diligência prévia é atualizado de IRQ em andamento para IRQ em revisão.

    Com base nas informações coletadas, o gerente de TPR e sua equipe avaliam os riscos potenciais associados ao compromisso. Eles avaliam fatores como estabilidade financeira, capacidade operacional, adesão a padrões de qualidade, conformidade com regulamentações e capacidade do terceiro de cumprir os cronogramas de entrega. Essa avaliação ajuda a equipe a entender o perfil de risco do terceiro e a determinar as estratégias de redução de risco apropriadas.

    Para obter mais informações sobre IRQs, consulte Responder a um Questionário de Risco Inerente (IRQ).

    Processo de diligência prévia: verificação de conformidade

    Quando o processo de IRQ é concluído, a aplicação TPRM envia questionários e solicitações de documentação para o terceiro e o compromisso. Como parte de uma avaliação, sua organização pode enviar vários questionários e solicitações de documentos. Por exemplo, o gerente de TPR pode solicitar certificações, licenças ou relatórios de auditoria de terceiros para validar a conformidade.

    Nota:
    O gerente de TPR pode desenvolver modelos de avaliação para simplificar e automatizar o processo de determinação de quais questionários e solicitações de documento enviar a um terceiro desse tipo. O administrador de TPR pode definir modelos de questionário, modelos de solicitação de documento e, em seguida, o gerente de TPR pode agrupá-los em um modelo de avaliação. Sua organização pode reutilizar o modelo para enviar os questionários e as solicitações de documentos para terceiros semelhantes em avaliações futuras. Para obter mais informações sobre os modelos, consulte Criar um modelo de questionário ou modelo de solicitação de documento e Criar um modelo de solicitação de documento.

    O gerente de TPR e sua equipe usam as respostas do terceiro e a análise interna para determinar se o terceiro atende a todos os requisitos de conformidade necessários. Esses requisitos podem incluir a verificação da conformidade do terceiro com as leis e regulamentações aplicáveis, como regulamentações ambientais, leis trabalhistas e políticas anticorrupção.

    Devido à natureza confidencial dos itens envolvidos, o gerente de TPR e sua equipe avaliam as práticas de segurança e privacidade dos dados de terceiros. Eles avaliam as medidas de segurança da informação de terceiros, as políticas de proteção de dados, os controles de acesso e os processos de gestão de vulnerabilidades. Se o terceiro tiver acesso a informações proprietárias ou dados do cliente, ele poderá exigir que o terceiro passe por uma auditoria de segurança cibernética ou forneça evidências de suas medidas de proteção de dados.

    Para obter mais informações sobre como revisar respostas, consulte Revisar respostas a questionários externos.
    Nota:
    Seu avaliador de TPR pode exportar questionários recebidos ou devolvidos para Microsoft planilhas do Excel. Esta opção permite que sua organização use o ambiente de planilha para revisar as perguntas e respostas. Para obter mais informações sobre como exportar respostas do questionário, consulte Exportar respostas do questionário para uma planilha.

    Ações de avaliação adicionais

    O gerente de TPR pode precisar reabrir uma avaliação porque há novas informações disponíveis que afetam o compromisso ou ocorreu alguma outra mudança. Para obter mais informações, consulte Por que você realiza a devida diligência.

    Se o gerente de TPR precisar coletar mais informações de um compromisso, ele poderá enviar um questionário adicional ou uma solicitação de documento reabrindo uma avaliação e executando as seguintes ações:
    1. Navegue até a página de registro de solicitação de diligência prévia selecionando o número do DDR relevante.
    2. Exiba a avaliação de risco do terceiro relacionada selecionando o número VRA na guia Avaliação de risco do terceiro.
    3. Selecione Reabrir.

    O estado da solicitação de diligência prévia é atualizado de Pronto para aprovação de TPRM para Diligência prévia. O gerente de TPR pode solicitar questionários e solicitações de documento conforme necessário. Para obter mais informações, consulte Reabrir uma avaliação.

    Se o gerente de TPR não exigir uma avaliação para um compromisso em andamento ou exigir um encerramento rápido para integrar ou renovar um compromisso, ele poderá cancelar uma avaliação executando as seguintes ações:
    1. Navegue até a página de registro de solicitação de diligência prévia selecionando o número do DDR relevante.
    2. Exiba a avaliação de risco do terceiro relacionada selecionando o número VRA na guia Avaliação de risco do terceiro.
    3. Selecione Cancelar.
    Mesmo se uma ou todas as avaliações forem canceladas, a solicitação de diligência prévia prosseguirá para o processo de Aprovação.

    Problemas e tarefas

    A função de gerente de TPR [sn_vdr_risk_asmt.vendor_risk_manager] ou de avaliador de TPR [sn_vdr_risk_asmt.vendor_assessor] é necessária para criar e gerenciar tarefas e problemas.

    Os gerentes ou avaliadores de TPR podem criar tarefas para ajudar a garantir que um membro da equipe ou o contato de terceiros responda às preocupações sobre as respostas do questionário ou os documentos solicitados. Eles podem gerenciar tarefas existentes para verificar se o membro da equipe atribuído ou o contato de terceiros responde a uma tarefa e a atualiza conforme necessário. Para obter mais informações sobre como criar e gerenciar problemas, consulte Criar uma tarefa para um terceiro ou compromisso e Gerenciar uma tarefa para um terceiro ou compromisso.

    Os gerentes ou avaliadores de TPR podem criar um problema para ajudar a garantir que as preocupações das equipes sobre um terceiro ou compromisso sejam corrigidas. Eles também podem gerenciar os problemas existentes para verificar se eles foram compreendidos, compartilhados com as pessoas corretas e tratados conforme necessário. Para obter mais informações sobre como criar e gerenciar tarefas, consulte Criar um problema para um terceiro ou compromisso e Gerenciar problemas.