Terceiro, quarto e partes externas

Um terceiro é qualquer organização ou indivíduo com o qual você interagiu ou entrou em um relacionamento comercial. Os terceiros podem ter subsidiárias e podem contratar quarteirizados. Por exemplo, departamentos são subsidiárias. Um quarteirizado pode contratar outras partes (conhecidas como partes n - quinta, sexta e assim por diante). Todas as partes descendentes (quarteirizados até o enésimo grupo) assumem o risco da mesma forma que os terceiros.

Um fornecedor fornece os bens ou serviços que você usa para produzir ou entregar seus próprios bens ou serviços. Todos os fornecedores são terceiros, mas nem todos os terceiros são fornecedores. Esta é uma lista de alguns outros tipos de terceiros:

• Fornecedores
• Afiliados
• Contrapartes
• Consultores
• Parceiros
• Serviços profissionais
• Consultores
• Franquias
• Revendedores
• Revendedores
• Distribuidores
• Clientes
• Clientes
• Equipe terceirizada

Compromissos

Um compromisso é o relacionamento informal ou contratual que você pretende formar com um terceiro que possa expor sua organização a riscos. O compromisso descreve os serviços ou produtos a serem fornecidos pelo terceiro e outros detalhes do relacionamento. Esses detalhes podem incluir os termos de pagamento, requisitos de confidencialidade e a duração do relacionamento.

Você pode avaliar cada compromisso usando avaliações internas e externas. Os problemas, tarefas, avaliações internas e avaliações externas são associados aos compromissos.

Neste exemplo, Sua empresa interage com três terceiros e gerencia vários compromissos entre eles.

IRQ - o Questionário de Risco Inerente

Durante o processo de avaliação de risco interno, os funcionários internos da sua organização respondem a perguntas no IRQ. Essas respostas ajudam a avaliar o risco inerente associado ao envolvimento com um terceiro. Um risco inerente se refere ao nível de risco antes de implementar quaisquer medidas de redução de risco. Um IRQ é compatível com as seguintes atividades:

Determinar fatores de risco

• A natureza dos serviços fornecidos pelo terceiro.
• A confidencialidade dos dados envolvidos.
• A localização geográfica do terceiro.
• A postura geral de segurança do terceiro.

Determinar pontuação ou classificação

As respostas ao questionário geralmente são pontuadas ou classificadas para ajudar a quantificar o risco inerente associado ao terceiro. Este sistema de pontuação pode ajudar a priorizar os esforços de gestão de riscos.

Tomada de decisão

Os resultados do IRQ são usados no processo de tomada de decisão. Os administradores e gerentes de Risco de terceiros (TPR) podem configurar IRQs para enviar questionários específicos de avaliação externa (diligência prévia) a terceiros com base nas respostas específicas às perguntas.

• Você deve se envolver com o terceiro?
• Qual nível de diligência prévia é necessário?
• Quais medidas específicas de redução de risco você deve implementar?

Diligência prévia contínua

O IRQ também pode fazer parte da gestão contínua, com reavaliações periódicas para considerar mudanças nas operações de terceiros, práticas de segurança ou outros fatores relevantes.

Diligência prévia (DD)

Diligência prévia é o processo de conduzir uma investigação ou exame completo da integridade, reputação, estabilidade financeira, conformidade jurídica, capacidades operacionais, cadeia de suprimentos e outros fatores relevantes de um possível parceiro de negócios, fornecedor ou fornecedor. A realização da diligência prévia em terceiros é um componente crucial do seu abrangente programa de risco de terceiros. Você realiza a devida diligência para se tornar ciente dos riscos associados a um terceiro para que possa decidir com confiança como formar seu relacionamento. Use fluxos de trabalho de diligência prévia para integrar novos compromissos ou para reavaliar ou descontinuar quaisquer compromissos existentes. Os fluxos de trabalho de diligência prévia incluem a coleta de informações por meio de avaliações internas, avaliações externas e inteligência de risco. Todas as pontuações dessas etapas são analisadas pelos gerentes de risco de terceiros para decidir se devem integrar, reavaliar ou descontinuar um compromisso. A diligência prévia também tem um processo de negociação de contrato opcional antes de fechar o fluxo de trabalho de diligência prévia.

Consulte Por que você realiza a diligência prévia e Tipos de due diligence.

Avaliações de risco de terceiros

Uma avaliação de risco de terceiros (TPRA) é um conjunto de questionários que você pode enviar para contatos de terceiros ou usuários internos para avaliar os riscos de terceiros e de compromisso. Uma avaliação que você envia para usuários internos é categorizada como uma avaliação interna. Uma avaliação que você envia para um contato de terceiros é chamada de avaliação externa.

Use uma avaliação interna para calcular os níveis de terceiros e de compromisso. A classificação que você usa para identificar os questionários internos na tabela de modelos de questionário é o modelo de questionário de risco inerente [irq_template]. Você pode anexar automaticamente os questionários necessários para avaliações externas de acordo com as respostas que recebe das avaliações internas. Você pode configurar esta opção em um questionário para questionar a tabela de mapeamento [sn_tprm_dd_m2m_question_to_questionnaire].

Use uma avaliação externa para avaliar os riscos associados ao terceiro e ao compromisso de acordo com as respostas de contato de terceiros que você recebe. As classificações de risco de uma avaliação externa são calculadas no nível de avaliação usando todos os questionários anexados à avaliação. Essas classificações de avaliação são agregadas e acumuladas para terceiros e compromissos. A agregação é MIN, MAX ou AVG e pode ser configurada em uma configuração de pontuação. Contatos de terceiros (usuários externos) do portal do fornecedor https:// <myCompany> .service-now.com/svdp respondem a essas avaliações externas.

Fornecedores de inteligência de risco

Os provedores de inteligência de risco geram pontuações de risco para uma variedade de domínios de risco de terceiros. Sua organização pode comprar serviços de provedores que retornam dados semelhantes às pontuações de crédito pessoal. As pontuações fornecem informações sobre o quão confiável e seguro um terceiro pode ser.

Consulte Integração de pontuações de provedores de inteligência de risco.

Pontuações de inteligência de risco

Aspontuações de inteligência de risco são avaliações numéricas que avaliam o nível de risco associado a uma organização específica. Essas pontuações são geradas por provedores de inteligência de risco que coletam e analisam uma ampla variedade de fontes de dados. As pontuações podem vir de qualquer forma, sejam classificações ou números. O sistema mapeia o valor de pontuação para a classificação TPRM apropriada. Essas pontuações podem ajudar sua organização a tomar decisões informadas sobre como interagir com terceiros, gerenciar a conformidade e reduzir possíveis riscos. As pontuações de inteligência de risco estão disponíveis para terceiros a partir da versão Washington DC. As classificações de risco são calculadas pelas regras de pontuação associadas ao compromisso na configuração de pontuação.

Pontuações de terceiros

Essas pontuações ajudam as organizações a tomar decisões fundamentadas sobre como selecionar e gerenciar seus relacionamentos com terceiros, permitindo o alinhamento com sua tolerância de risco e requisitos de conformidade. Ao avaliar as pontuações de terceiros, as organizações podem identificar possíveis riscos, priorizar esforços de diligência prévia e implementar estratégias apropriadas de redução de riscos.

Elementos de terceiros

Elementos de terceiros são as organizações externas das quais um terceiro ou compromisso depende para fornecer bens, serviços ou suporte. Essas organizações podem incluir fornecedores, prestadores de serviços, indivíduos ou qualquer outra organização externa que tenha acesso aos sistemas, dados ou instalações de terceiros ou compromissos. Quaisquer vulnerabilidades ou falhas nesses elementos de terceiros podem ter um impacto significativo nas operações, na reputação e na segurança do terceiro ou compromisso. Ao implementar esses controles e abordar os riscos associados, as organizações podem aprimorar sua capacidade de gerenciar e mitigar os possíveis impactos negativos de terceiros e de seus elementos de terceiros. Reavaliar e atualizar regularmente esses controles é essencial para se adaptar às mudanças no ambiente de negócios e no cenário regulatório.

Aqui estão alguns exemplos de elementos de terceiros e seus controles associados e riscos potenciais.

Datacenter

Instalações ou locais onde terceiros ou compromissos terceirizam o armazenamento, o processamento e a gestão de seus dados e infraestrutura de TI.

Controles:

• Avaliações de segurança do fornecedor: avalie regularmente as medidas e práticas de segurança de fornecedores terceirizados que fornecem serviços como hospedagem em nuvem ou armazenamento de dados.
• Criptografia de dados: confirme se os dados armazenados no datacenter estão criptografados para proteger contra acesso não autorizado.
• Controles de acesso: implemente controles de acesso rígidos para limitar o acesso físico e virtual às instalações e servidores do datacenter.
• Plano de resposta a incidentes: desenvolva e mantenha um plano abrangente de resposta a incidentes para lidar imediatamente com quaisquer incidentes de segurança.

Riscos:

• Violações de dados: uma violação no datacenter de terceiros pode levar ao acesso não autorizado e ao comprometimento de informações confidenciais.
• Tempo de inatividade: a dependência de um datacenter de terceiros coloca a organização em risco de tempo de inatividade se o provedor de serviços tiver problemas técnicos.
• Violações de conformidade: a falha do datacenter em aderir aos padrões de conformidade regulatórios ou do setor pode levar a consequências jurídicas e financeiras para a organização.

Instalação de fabricação

Instalações ou locais onde terceiros ou compromissos terceirizam a produção ou a montagem de seus produtos.

Controles:

• Auditorias de fornecedores: audite e avalie regularmente as práticas de segurança de fornecedores que fornecem componentes ou serviços críticos para o processo de fabricação.
• Padrões de garantia de qualidade: imponha padrões de garantia de qualidade para fornecedores terceirizados para promover a integridade e a segurança das matérias-primas e componentes.
• Visibilidade da cadeia de suprimentos: mantenha a visibilidade de toda a cadeia de suprimentos para identificar e resolver possíveis vulnerabilidades.
• Acordos contratuais: estabeleça acordos contratuais claros com fornecedores descrevendo os requisitos de segurança e as consequências da não conformidade.

Riscos:

• Interrupção da cadeia de suprimentos: a dependência de fornecedores terceirizados expõe a organização ao risco de interrupções na cadeia de suprimentos, afetando a produção.
• Peças falsificadas: controles inadequados na cadeia de suprimentos podem levar ao uso de componentes falsificados ou de baixa qualidade, comprometendo a qualidade do produto.
• Problemas de conformidade regulatória: a falha dos fornecedores em cumprir os padrões regulatórios pode resultar em consequências jurídicas e regulatórias para a instalação de fabricação.

Proprietários efetivos

Indivíduos que possuem ou controlam uma organização que está envolvida em um relacionamento ou transação comercial. Esses indivíduos podem não ser os proprietários registrados ou jurídicos da organização, mas têm influência ou controle significativos sobre suas operações, tomada de decisão ou assuntos financeiros.

Controles:

• Diligência prévia: incorpore um processo robusto de diligência prévia para identificar e verificar os beneficiários efetivos, incluindo verificações de antecedentes, revisões de documentos e entrevistas quando necessário.
• Obrigações contratuais: incluir cláusulas em contratos com terceiros que exigem que eles divulguem quaisquer mudanças na propriedade efetiva e confirmem a conformidade com as leis e regulamentações aplicáveis.
• Monitoramento e emissão de relatórios: estabeleça um sistema de monitoramento contínuo dos beneficiários efetivos para detectar quaisquer mudanças ou desenvolvimentos que possam afetar o perfil de risco do terceiro.
• Treinamento e conscientização: ofereça treinamento à equipe relevante sobre a importância de entender e monitorar os beneficiários efetivos, incluindo sinalizadores vermelhos e procedimentos de relatório.
• Programa de conformidade regulatória: desenvolva e mantenha um programa que verifica a conformidade com todas as leis e regulamentações relevantes relacionadas a propriedade efetiva, incluindo requisitos de relatório e divulgação.
• Procedimentos de escalação: estabeleça procedimentos de escalação claros para casos em que preocupações ou irregu-

Riscos:

• Propriedade oculta: os proprietários efetivos podem ocultar deliberadamente sua propriedade, tornando difícil avaliar os riscos potenciais associados à sua influência sobre o terceiro.
• Risco à reputação: se os responsáveis efetivos tiverem uma reputação questionável, o envolvimento com eles poderá prejudicar a reputação da sua organização.
• Conformidade regulatória: o não cumprimento das regulamentações relacionadas a relatórios de propriedade efetiva e transparência pode levar a consequências jurídicas e regulatórias.
• Risco financeiro: proprietários efetivos com instabilidade financeira ou envolvimento em atividades fraudulentas podem representar riscos financeiros para o terceiro e, consequentemente, para sua organização.