Modelo de dados de gestão de risco de terceiros

  • Versão de lançamento: Yokohama
  • Atualizado 30 de jan. de 2025
  • 9 min. de leitura

    • Use o modelo de dados Gestão de risco de terceiros (TPRM) para avaliar, monitorar e reduzir os riscos do seu programa de gestão de riscos.

    TPRM visão geral do modelo de dados

    A aplicação Gestão de risco de terceiros é um dos produtos Governança, risco e conformidade.

    O modelo a seguir é usado para oferecer suporte aos recursos de TPRM.

    Figura 1. Modelo de dados de TPRM
    Relação entre diligência prévia, gestão de terceiros, política e conformidade e tabelas principais de risco. Para obter uma descrição de texto, consulte o texto a seguir.

    O modelo de dados de avaliação de risco de terceiros inclui vários componentes e relacionamentos:

    Componentes:
    • Pontuação de inteligência de risco [sn_vdr_risk_asmt_security _score]
    • Avaliação interna [sn_vdr_asmt_internal_assessment]
    • Avaliação de hierarquização [sn_vdr_risk_asmt_vdr_tiring_assessment]
    • Histórico de gestão orientada por eventos [sn_tprm_dd_rule_execution_history]
    • Solicitação de diligência prévia de terceiros [sn_tprm_dd_request]
    • Empresa [core_company]
    • Regra de gestão orientada por eventos [sn_tprm_dd_generation_rule]
    • Avaliação de risco de terceiros [sn_vdr_risk_asmt_assessment]
    • Compromisso de terceiros [sn_vdr_risk_asmt_vendor_engagement]
    • Contato do fornecedor [vm_dr_contact]
    • Tipo de métrica de avaliação [asmt_metric_type]
    • Modelo de avaliação [sn_vdr_risk_asmt_assessment_template]
    • Problema de risco de terceiros [sn_vdr_risk_asmt_issue]
    • Regra de pontuação de risco do compromisso [sn_vdr_risk_asmt_engagement_risk_scoring_rule]
    • Classificação de risco do nível de compromisso [sn_vdr_risk_asmt_engagement_level_rating]
    • Risco [sn_risk_risk]
    • Controle [sn_compliance_control]
    Relacionamentos:
    • O componente de avaliação de risco de terceiros pode ter um relacionamento one-to-many com os seguintes componentes:
      • Históricos de gestão orientados por eventos
      • Solicitações de due diligence de terceiros
      • Empresa
      • Compromissos de terceiros
      • Problemas de risco de terceiros
      • Modelos de avaliação
    • O componente de históricos de gestão orientada por eventos pode ter um relacionamento de muitos para um com o componente de regras de gestão orientada por eventos.
    • O componente Regras de gestão orientadas por eventos pode ter um relacionamento de um para muitos com o componente de tipo de métrica de avaliação e o componente de modelo de avaliação.
    • O componente de compromisso de terceiros pode ter um relacionamento one-to-many com os seguintes componentes:
      • Empresa
      • Regra de pontuação de risco do compromisso
      • Problema de risco de terceiros
    • O componente Compromisso de terceiros pode ter um relacionamento de muitos para muitos com o componente de contato do fornecedor.
    • O componente de contato do fornecedor pode ter um relacionamento de um para muitos com a empresa e um componente de problema de risco de terceiros.
    • O componente de classificação de risco do nível de compromisso pode ter um one-to-many com o componente de compromisso de terceiros.
    • O componente Compromisso de terceiros está relacionado ao componente Risco e controle.
    • O componente de pontuação de inteligência de risco está relacionado ao componente de diligência prévia de terceiros.
    • O componente de avaliação de hierarquização pode ter um relacionamento de um para muitos com os seguintes componentes:
      • Diligência prévia de terceiros
      • Compromisso de terceiros
      • Empresa
    • O componente de avaliação de hierarquização pode ter um relacionamento de muitos para muitos com o componente de tipo de métrica de avaliação.
    • O componente de diligência prévia de terceiros pode ter relacionamentos one-to-many com os seguintes componentes:
      • Histórico de gestão orientado por eventos
      • Avaliação de risco de terceiros
      • Empresa
    • Os seguintes componentes estão relacionados à diligência prévia de risco:
      • Regra de gestão orientada por eventos
      • Histórico de gestão orientado por eventos
      • Solicitação de diligência prévia de risco de terceiros
    • Os seguintes componentes estão relacionados à gestão de terceiros:
      • Pontuação de inteligência de risco
      • Avaliação interna
      • Avaliação de hierarquização
      • Avaliação de risco de terceiros
      • Compromisso de terceiros
      • Modelo de avaliação
      • Problema de risco de terceiros
      • Regra de pontuação de risco do compromisso
      • Avaliação de risco do nível da compromisso
    • O componente de avaliação interna é uma extensão do componente de avaliação de hierarquização.
    • O componente de controle está relacionado a Gestão de políticas e conformidade.
    • O componente de risco está relacionado a Gestão de riscos.
    • Os seguintes componentes são globais:
      • Contato do fornecedor
      • Empresa
      • Tipo de métrica de avaliação
    A tabela a seguir lista as funções necessárias para os componentes no modelo de dados TPRM.
    Tabela 1. Funções para o modelo de dados TPRM
    Função Descrição
    sn_vdr_risk_asmt.approver Aprovar solicitações de diligência prévia no processo de gestão de riscos de terceiros.
    sn_vdr_risk_asmt.contract_negotiator Trabalhe na fase do processo de risco do contrato do processo de integração.
    sn_vdr_risk_asmt.vendor_assessment_reviewer Editar avaliações.
    sn_vdr_risk_asmt.vendor_assessor Gerencie terceiros, contatos de terceiros, avaliações de risco de terceiros e problemas e conclua solicitações de avaliação de risco de terceiros.
    sn_vdr_risk_asmt.vendor_risk_admin Tenha controle total sobre todos os dados de gestão de riscos do fornecedor e tipos de métrica de avaliação.
    sn_vdr_risk_asmt.vendor_risk_manager Gerencie terceiros, contatos de terceiros, modelos de avaliação de terceiros, modelos de questionário, modelos de solicitação de documentação e avaliações programadas.

    Para obter mais informações sobre as funções, consulte Funções no Gestão de risco de terceiros.

    Componentes principais

    TPRM se baseia no envio de avaliações e no cálculo de pontuações das respostas recebidas.

    Você pode usar estes componentes principais para executar avaliações:
    • Avaliação de risco de terceiros
    • Compromisso de terceiros
    • Diligência prévia de terceiros
    • Configuração de pontuação
    • Inteligência de risco

    O diagrama a seguir mostra as tabelas principais e o fluxo para uma avaliação de risco de terceiros do modelo de dados TPRM.

    Figura 2. Modelo de dados de avaliação de risco de terceiros
    Relação entre diligência prévia, gestão de terceiros, política e conformidade e tabelas principais de risco ou avaliações de risco de terceiros. Para obter uma descrição de texto, consulte o texto a seguir.

    Aqui estão os componentes e relacionamentos que compõem o modelo de dados de avaliação de risco de terceiros.

    Componentes:
    • Avaliações internas [sn_vdr_risk_asmt_internal_assessment]
    • Avaliações de hierarquização [sn_vdr_risk_asmt_vdr_tiring_assessment]
    • Avaliações externas [sn_vdr_risk_asmt_assessment]
    • Modelo de avaliação [sn_vdr_risk_asmt_template]
    • Modelos de questionário [asmt_metric_type]
    • Instância de questionário [asmt_assessment_instance]
    • Categoria [asmt_metric_category]
    • Métrica [asmt_metric]
    Relacionamentos:
    • O componente Métrica pode ter um relacionamento de muitos para um com o componente Categoria.
    • O componente Categoria pode ter um relacionamento de muitos para um com o componente Questionário.
    • O componente de modelos de questionário pode ter um relacionamento de muitos para um com os seguintes componentes:
      • Modelo de avaliação
      • Avaliações de hierarquização
      • Avaliações externas
    • O componente de instância de questionário pode ter um relacionamento de muitos para um com os seguintes componentes:
      • Avaliações externas
      • Avaliações de hierarquização
    • O componente do modelo de avaliação pode ter relacionamentos de um para muitos com os seguintes componentes:
      • Avaliações de hierarquização
      • Avaliações externas
    • O componente de avaliação interna é uma extensão do componente de avaliação de Hierarquização.
    • Os componentes de avaliação interna estão relacionados à diligência prévia de risco.
    • Os seguintes componentes estão relacionados à gestão de terceiros:
      • Avaliações de hierarquização
      • Avaliações externas
      • Modelos de avaliação
    • Os seguintes componentes são globais:
      • Modelos de questionário
      • Categoria
      • Métrica
      • Instância de questionário

    Para obter mais informações sobre avaliações, consulte Como avaliar o risco de terceiros.

    O diagrama a seguir mostra as tabelas principais e o fluxo que são usados para a diligência prévia no modelo de dados TPRM.

    Figura 3. Modelo de dados de diligência prévia
    Relação entre a diligência prévia de risco, gestão de terceiros, política e conformidade e tabelas principais de risco usadas para diligência prévia. Para obter uma descrição de texto, consulte o texto a seguir.

    Aqui estão os componentes e relacionamentos que compõem o modelo de dados de diligência prévia.

    Componentes:
    • Terceiro [core_company]
    • Compromissos [sn_vdr_risk_asmt_vendor_engagement]
    • Diligência prévia [sn_tprm_dd_request]
    • Problemas [sn_vdr_risk_asmt_issue]
    • Tarefas [sn_vdr_risk_asmt_task]
    • Contatos do fornecedor [vm_vdr_contact]
    • Pontuações de inteligência de risco [sn_vdr_risk_asmt_security_score]
    • Avaliações externas [sn_vdr_risk_asmt_assessment]
    • Avaliações de hierarquização [sn_vdr_risk_asmt_vdr_tiring_assessment]
    • Avaliações internas [sn_vdr_risk_asmt_vdr_internal_assessment]
    Relacionamentos:
    • O componente de terceiros tem um relacionamento de um para muitos com as subsidiárias.
    • O componente de terceiros tem um relacionamento one-to-many com os seguintes componentes:
      • Contatos do fornecedor
      • Avaliações internas
      • Avaliações externas
      • Avaliações de hierarquização
      • Pontuações de inteligência de risco
      • Problemas
      • Tarefas
    • O componente de Diligência prévia tem um relacionamento de um para muitos com os seguintes componentes:
      • Contatos do fornecedor
      • Avaliações internas
      • Avaliações de hierarquização
      • Pontuações de inteligência de risco
    • O componente Compromissos tem um relacionamento one-to-many com os seguintes componentes:
      • Contatos do fornecedor
      • Avaliações internas
      • Avaliações externas
      • Avaliações de hierarquização
      • Problemas
      • Tarefas
    • O componente de terceiros está relacionado ao componente de diligência prévia.
    • O componente Compromissos está relacionado ao componente Diligência prévia.
    • O componente Avaliações externas está relacionado ao componente Diligência prévia.
    • O componente de avaliação interna é uma extensão do componente de avaliação de Hierarquização.
    • Os seguintes componentes estão relacionados à diligência prévia de risco:
      • Due diligence
      • Avaliações internas
    • Os seguintes componentes estão relacionados à gestão de terceiros:
      • Acordos
      • Problemas
      • Tarefas
      • Pontuações de inteligência de risco
      • Avaliações externas
      • Avaliações de hierarquização
    • Os seguintes componentes são globais:
      • Terceiro
      • Contato do fornecedor

    O diagrama a seguir mostra as funções, processos e opções necessárias que fazem parte do fluxo de trabalho de diligência prévia.

    Figura 4. Fluxo de trabalho de diligência prévia
    Fluxo de trabalho que mostra as funções, processos e opções necessárias que existem como parte do fluxo de trabalho de diligência prévia.

    Para obter mais informações sobre o fluxo de trabalho de diligência prévia, consulte Fluxo de trabalho de diligência prévia.

    O diagrama a seguir mostra as tabelas principais que são usadas para pontuar o modelo de dados TPRM.

    Figura 5. Modelo de dados de pontuação
    Relação entre diligência prévia, gestão de terceiros, política e conformidade e tabelas principais de risco que são usadas para pontuação de risco. Para obter uma descrição de texto, consulte o texto a seguir.

    Aqui estão os componentes e relacionamentos que compõem o modelo de dados de pontuação.

    Componentes:
    • Terceiro [core_company]
    • Regra de pontuação de risco de terceiros [sn_vdr_risk_asmt_vendor_risk_scoring _rule]
    • Critérios de componente [sn_vdr_risk_asmt_component_criteria]
    • Componentes [sn_vdr_risk_asmt_component]
    • Compromisso [sn_vdr_risk_asmt_vendor_engagement]
    • Regra de pontuação de risco do compromisso [sn_vdr_risk_asmt_engagement_risk_scoring_rule]
    • Critérios de área de risco [sn_vdr_risk_asmt__risk_area_criteria]
    • Domínios de risco [sn_vdr_risk_asmt_risk_area_definition]
    Relacionamentos:
    • O componente de critérios da área de risco tem um relacionamento de um para muitos com o componente de domínio de risco.
    • O componente de critérios da área de risco tem um relacionamento de um para um com o componente da regra de pontuação de risco do compromisso e o componente da regra de pontuação de risco de terceiros.
    • A regra de pontuação de risco do compromisso tem um relacionamento de um para muitos com o componente de compromisso.
    • Os critérios de componente têm um relacionamento de um para muitos com componentes.
    • Os critérios de componente têm um relacionamento de um para um com o componente da regra de pontuação de risco de terceiros.
    • O componente da regra de pontuação de risco de terceiros tem um relacionamento de um para muitos com o componente de terceiros.
    • Todos esses componentes estão relacionados à gestão de terceiros.

    Use a configuração de pontuação em TPRM para configurar como as pontuações das avaliações de risco externas são agregadas aos compromissos e a terceiros. As tabelas de critérios têm as informações relacionadas à agregação das pontuações de vários registros (MIN, MAX, AVG) ou de várias tabelas (pesos para cada tabela). Use as regras de pontuação para agrupar terceiros ou compromissos e atribuir critérios. Você pode configurar todos os registros nessas tabelas sem qualquer personalização.

    Para obter mais informações sobre pontuação, consulte Classificações de risco de terceiros e cálculos de pontuação.

    O diagrama de modelo a seguir mostra as tabelas principais que são usadas para inteligência de risco no modelo de dados TPRM.

    Figura 6. Modelo de inteligência de risco
    Relação entre a diligência prévia de risco, gestão de terceiros, política e conformidade e tabelas principais de risco. Para obter uma descrição de texto, consulte o texto a seguir.

    Aqui estão os componentes e relacionamentos que compõem o modelo de dados de inteligência de risco.

    Componentes:
    • Terceiro [core_company]
    • Serviços do provedor [sn_vdr_risk_asmt_tpss_provider]
    • Pontuações de inteligência de risco [sn_vdr_risk_asmt_security_score]
    • Subfatores de pontuação [sn_vdr_risk_asmt_tpss_subfactor]
    Relacionamentos:
    • O componente de provedores de inteligência de risco tem um relacionamento de um para muitos com o componente de serviços de provedores.
    • O componente Serviços de provedores tem um relacionamento de um para muitos com o componente de pontuações de inteligência de risco.
    • O componente Pontuações de inteligência de risco tem um relacionamento de um para muitos com o componente de subfatores Pontuações.
    • O componente Pontuações de inteligência de risco está relacionado ao componente dos provedores de inteligência de risco.
    • Todos esses componentes estão relacionados à gestão de terceiros.

    Para obter mais informações sobre inteligência de risco, consulte Gestão de solicitações de relatório de inteligência de risco.