Explorando Gestão de risco de terceiros

  • Versão de lançamento: Yokohama
  • Atualizado 30 de jan. de 2025
  • 11 min. de leitura

    • A aplicação Gestão de risco de terceiros centraliza e padroniza os processos, materiais de origem, pessoas responsáveis e métodos do seu programa de gestão de riscos de terceiros. Você pode melhorar suas operações gerenciando seu portfólio de terceiros e identificando, rastreando e mitigando os problemas que surgem com terceiros.

    Visão geral Gestão de risco de terceiros

    Para proteger os ativos, a reputação e as operações da sua organização, o programa de gestão de riscos de terceiros deve identificar, avaliar e mitigar os riscos associados a partes externas. A aplicação TPRM ajuda a impedir que provedores, parceiros e fornecedores terceirizados criem uma interrupção nos negócios ou um impacto negativo no desempenho dos negócios. Ao usar a aplicação TPRM, você pode reduzir a carga manual e os custos do processo de avaliação de risco por meio da automação.

    TPRM O reúne todas as informações de risco de terceiros em um ambiente.

    As seguintes capacidades principais podem ajudá-lo a avaliar o risco com mais eficácia:
    • Fluxos de trabalho de integração, desligamento, renovações e diligência prévia adicional
    • Gestão de avaliações
    • Monitoramento contínuo de riscos
    • Gestão de desempenho de risco

    Gestão de risco de terceiros Usuários

    Tabela 1. Usuários
    Usuário Descrição
    Solicitantes da diligência prévia Os solicitantes podem ser qualquer funcionário da sua organização interessado em integrar, reavaliar ou desligar um compromisso.

    Para obter mais informações sobre os diferentes tipos de solicitações de diligência prévia, consulte Como solicitar diligência prévia de risco de terceiros.
    TPRM Avaliadores TPRM Os avaliadores são membros da equipe do gerente de risco que ajudam a reduzir o risco de um possível compromisso revisando as informações coletadas por meio do processo de diligência prévia. Eles podem ser atribuídos como proprietários de solicitações de diligência prévia com base em sua experiência ou conhecimento do compromisso.
    Aqui estão alguns exemplos de diferentes tipos de avaliadores e como eles afetariam o processo de diligência prévia para TPRM:

    • Avaliador de riscos de conformidade: confirma que os compromissos estão em conformidade com os padrões do setor, requisitos jurídicos e obrigações contratuais. Eles revisam regularmente os processos e atividades de compromisso para ajudar a garantir a conformidade.

    • Avaliador de riscos de segurança cibernética: avalia as práticas de segurança cibernética e as infraestruturas dos compromissos para proteger contra violações de dados e ameaças cibernéticas. Eles revisam regularmente as medidas de segurança do compromisso e sugerem melhorias necessárias.

    • Avaliador de riscos operacionais: analisa as práticas operacionais existentes de compromissos, com foco em aspectos como continuidade de negócios, logística da cadeia de suprimentos e qualidade de serviço. Eles revisam regularmente as práticas operacionais do compromisso para ajudar a garantir que estejam alinhadas com os padrões da organização e que as contingências apropriadas estejam em vigor para possíveis interrupções.
    TPRM Aprovadores

    TPRM Os aprovadores são normalmente um membro sênior da organização. Eles são responsáveis pela revisão final e aprovação das descobertas de diligência prévia. Eles ajudam a confirmar que todos os requisitos de gestão de riscos foram atendidos de forma satisfatória antes de prosseguir com qualquer compromisso de terceiros, quer envolva integração, continuação ou desligamento de um compromisso.

    Aqui estão alguns exemplos de diferentes tipos de aprovadores:

    • Gerente sênior de riscos: supervisiona as estratégias de gestão de riscos e o alinhamento com os objetivos organizacionais.
    • Diretor de conformidade: responsável pela adesão da empresa aos padrões jurídicos e às políticas internas.
    • Executivo jurídico: membro sênior da equipe jurídica que garante que todos os requisitos contratuais e regulatórios sejam atendidos.
    Negociador de contratos Os negociadores de contrato orquestram e finalizam acordos entre sua organização e possíveis compromissos. Eles usam todas as informações coletadas por meio do processo de diligência prévia para ajudar a garantir que todos os contratos reflitam seus interesses estratégicos e obedeçam aos seus protocolos de gestão de riscos.
    Gerenciador de riscos Os gerentes de risco conduzem avaliações de risco completas de terceiros e compromissos. Com base nas informações coletadas e revisadas pelo gerente de risco e sua equipe, ele prioriza riscos, desenvolve estratégias de mitigação e usa TPRM para monitorar e gerenciar relacionamentos contínuos com terceiros de forma eficaz.
    TPRM Administrador Os administradores gerenciam funções de usuário, permissões e configurações do sistema para configurar TPRM para atender às necessidades de gestão de riscos e requisitos de conformidade específicos da sua organização.

    Para obter mais informações sobre funções TPRM, consulte Funções no Gestão de risco de terceiros.

    Fluxo de trabalho do Gestão de risco de terceiros

    O infográfico a seguir mostra o fluxo de trabalho dos processos mais importantes que você pode usar para gerenciar riscos.


    Infográfico que mostra onde os processos no fluxo de trabalho de diligência prévia são realizados. Para acessar a descrição de texto, consulte as etapas de fluxo de trabalho a seguir.
    Solicitar diligência prévia para um compromisso

    Um funcionário da sua organização solicita a diligência prévia para um compromisso de terceiros. A solicitação de diligência prévia é revisada e aprovada pelo gerente de risco de terceiros (TPR) [sn_vdr_risk_asmt.vendor_risk_manager].

    Para obter mais informações, consulte Como solicitar diligência prévia de risco de terceiros.
    Avalie o risco usando uma avaliação de risco interna que contém um Questionário de Risco Inerente (IRQ)

    Um IRQ é um conjunto de perguntas que pontua e define o escopo da diligência prévia necessária sobre terceiros ou compromissos. Depois que a solicitação de diligência prévia é aprovada pelo gerente de TPR ou avaliador de TPR [sn_vdr_risk_asmt.vendor_assessor] que foi atribuído como o proprietário da solicitação de diligência prévia, ele seleciona um IRQ e o anexa a uma avaliação interna.

    Nota:
    Depois que o processo de IRQ entra no estado de IRQ em andamento, você pode solicitar relatórios de inteligência de risco associados à sua solicitação de diligência prévia. Para obter mais informações, consulte Como usar relatórios e pontuações de inteligência de risco e Solicitar um relatório de inteligência de risco associado a uma solicitação de diligência prévia.

    Para obter mais informações, consulte Como avaliar o risco de terceiros.

    Criar elementos de terceiros e suas entidades

    Depois que sua solicitação de diligência prévia tiver concluído o processo de IRQ, se os elementos de TP forem necessários, o gerente de TPR ou o proprietário da solicitação de diligência prévia selecionará Iniciar coleta e uma tarefa de coleta será criada. Um questionário de elemento de terceiros é enviado para o contato do compromisso. O gerente ou proprietário do TPR cria manualmente registros de elemento de terceiros com base nas respostas. Registros de entidade são gerados automaticamente para cada elemento. O gerente ou proprietário do TPR adiciona manualmente esses elementos como entidades.

    Para obter mais informações, consulte Como avaliar o risco de terceiros e Monitoramento de elementos de terceiros.

    Avaliar o risco usando uma avaliação de risco externa
    Depois que o processo de IRQ ou o processo de coleta de elementos de TP é concluído, o gerente ou proprietário de TPR seleciona questionários e solicitações de documentação a serem anexados a avaliações externas para envio ao terceiro ou compromisso. Para obter mais informações sobre como criar avaliações, consulte Criar uma avaliação de risco externo e Formulário de avaliação de risco de terceiros.

    Para obter mais informações sobre esse processo, consulte Como avaliar o risco de terceiros e Monitoramento de elementos de terceiros.

    Nota:
    Se você tiver alguma inteligência de risco integrada, as informações relevantes serão extraídas neste momento.
    Integrar pontuações usando provedores de inteligência de risco

    Sua organização pode comprar serviços de provedores que retornam dados semelhantes às pontuações de crédito pessoal. As pontuações fornecem informações sobre o quão confiável e seguro um terceiro pode ser.

    Para obter mais informações, consulte Integração de pontuações de provedores de inteligência de risco.

    Solicitar pontuações e relatórios de inteligência de risco

    Se você for o avaliador de TPR e o proprietário da solicitação de diligência prévia ou tiver a função de gerente de TPR, poderá usar a aplicação TPRM para solicitar pontuações ou relatórios para terceiros usando o formulário de solicitação de inteligência de risco. Depois que os relatórios e pontuações são gerados pelo provedor de inteligência de risco, os links para esses relatórios são entregues e associados a esse registro de relatório de inteligência de risco. Se você tiver alguma inteligência de risco integrada, as informações relevantes serão extraídas neste momento. Para obter mais informações, consulte Como usar relatórios e pontuações de inteligência de risco.

    Exibir pontuações e informações relacionadas

    As informações coletadas são pontuadas e combinadas em uma única exibição do processo de diligência prévia para exibir todas as pontuações, questionários concluídos, problemas, aprovações e comentários.

    Para obter mais informações sobre pontuação, consulte Classificações de risco de terceiros e cálculos de pontuação e Verificação de classificações de risco e cálculos de pontuação. Consulte Configuração de avaliação para obter informações sobre como a pontuação pode ser configurada no nível de avaliação e questionário.

    Aprovar solicitações de diligência prévia

    Todos os aprovadores podem revisar a diligência prévia e ver as informações detalhadas antes de fazer uma aprovação. Depois que todos os aprovadores aprovam a solicitação de diligência prévia, todas as informações de diligência prévia podem ser disponibilizadas para a pessoa que está negociando o contrato. O processo de risco de contrato se aplica somente se um contrato for necessário.

    Para obter mais informações, consulte Como aprovar ou rejeitar solicitações de diligência prévia.

    Negociar um contrato

    O negociador de contrato pode ver as informações detalhadas de todas as pontuações e questionários. Se for necessária diligência prévia adicional, eles poderão solicitá-la. Se o negociador de contrato executar com sucesso um contrato com o terceiro, ele poderá carregá-lo e especificar que o contrato seja executado. Esta ação notifica automaticamente todas as principais partes interessadas sobre o status do contrato. O negociador de contratos também pode ignorar o processo de risco do contrato, rejeitar a solicitação de diligência prévia ou especificar que o contrato não foi executado e que o terceiro não está envolvido nos negócios.

    Nota:
    Se o gerente de risco de terceiros ou proprietário selecionar a opção Ignorar processo de risco de contrato durante o processo de diligência prévia, o negociador de contrato atribuído não será notificado e o estado do processo de risco de contrato será ignorado. Um aprovador e proprietário podem atualizar a seleção Ignorar processo de risco de contrato até que o processo de aprovação seja concluído. Para obter mais informações sobre esse processo, consulte Gestão do processo de solicitação de diligência prévia.

    Para obter mais informações sobre esse processo, consulte Como gerenciar o processo de risco do contrato.

    Monitorar o risco de terceiros
    Gerentes de TPR, avaliadores de TPR e revisores de avaliação de terceiros [sn_vdr_risk_asmt.vendor_assessment_reviewer] podem monitorar e revisar o desempenho de terceiros com Espaço de gestão de fornecedores.

    Para obter mais informações, consulte Como monitorar o risco de terceiros.

    Gerenciar o portal de terceiros

    Os gerentes de TPR podem gerenciar contatos de terceiros, incluindo a criação de logins, a atribuição de funções e o acompanhamento do andamento de questionários e tarefas por meio do Portal de terceiros. Contatos de terceiros podem usar o portal para responder a avaliações, delegar tarefas e gerenciar suas informações, com opções para usar modelos do Microsoft Excel ou o questionário SIG para respostas.

    Para obter mais informações, consulte Como gerenciar o processo de risco do contrato.

    Para obter uma descrição detalhada do TPRM fluxo de trabalho de diligência prévia, consulte Fluxo de trabalho de diligência prévia.

    Nota:
    A partir da versão 19.1.x da aplicação Gestão de riscos de terceiros, o questionário de hierarquização e os fluxos de trabalho de lembretes de avaliação externa foram descontinuados e migrados para Workflow Studio. Se você personalizou esses fluxos de trabalho, eles não serão descontinuados nem migrados como parte dessa mudança.

    Benefícios do Gestão de risco de terceiros

    A tabela a seguir mostra os benefícios da aplicação Gestão de risco de terceiros.

    Benefício Recurso Usuários
    Exiba informações importantes sobre riscos e acesse ações rapidamente. Página inicial da TPRM Todos os usuários TPRM
    Use relatórios de gestão de diligência prévia para rastrear, priorizar e gerenciar responsabilidades. TPRM Relatórios de gestão de due diligence Todos os usuários TPRM
    Identifique e avalie o risco potencial associado ao seu relacionamento com terceiros. TPRM Página de atividade de risco Todos os usuários TPRM
    Identifique as localizações geográficas de terceiros ativos e compromissos. Você pode configurar filtros para exibir classificações de risco e tipos de compromisso específicos. TPRM Mapa de concentração de risco Todos os usuários TPRM
    Priorize avaliações, problemas e tarefas que precisam de atenção. TPRM Página de atividade de risco Todos os usuários TPRM
    Acesse as tarefas atribuídas a você e aos membros do seu grupo. TPRM Página da tarefa Todos os usuários TPRM
    Acesse todos os itens que você pode exibir ou agir em TPRM. TPRM Página de lista Todos os usuários TPRM
    Use a página de compromisso para acessar todas as informações e status atuais de um terceiro ou compromisso. Obter uma visão geral de um terceiro Todos os usuários internos
    Importe dados existentes (terceiros, compromissos, avaliações, questionários, problemas e assim por diante) de outros sistemas (como a plataforma Aravo, a plataforma ProcessUnity e assim por diante). Você não é cobrado pela importação dos dados. Importar dados existentes de outros sistemas Gerentes e administradores de RTP
    Trabalhe em todos os processos no fluxo de trabalho de uma solicitação de diligência prévia: IRQs, diligência prévia externa, aprovação, risco de contrato e solicitações encerradas. Como monitorar o processo de solicitação de diligência prévia Gerentes e administradores de RTP
    Use o portal de terceiros como um ponto primário de interação para terceiros e avaliadores de risco. Como gerenciar o portal de terceiros Gerentes de RTP, avaliadores de RTP e terceiros

    Para obter mais informações sobre a terminologia usada em TPRM, consulte Terminologia.

    O que explorar a seguir

    Para saber mais sobre como configurar e usar o Gestão de risco de terceiros, consulte: