Exemplo de processo de integração

Processo de solicitação

Qualquer funcionário (normalmente um usuário que deseja fazer negócios com um terceiro) faz o caso de negócio para iniciar o processo de diligência prévia para uma avaliação de risco.

Um gerente de risco de terceiros (TPR) revisa a solicitação de diligência prévia para o compromisso e a aprova.

Processo de questionário de risco inerente (IRQ)

Depois que a solicitação é aprovada, o avaliador de IRQ conclui a avaliação de risco interno respondendo ao IRQ.

Com base nas informações coletadas, a Acme avalia os riscos potenciais associados ao terceiro. Eles avaliam fatores como estabilidade financeira, capacidade operacional, adesão aos padrões de qualidade, conformidade com as regulamentações e a capacidade do terceiro de cumprir os cronogramas de entrega. Essa avaliação ajuda a Acme a entender o perfil de risco do terceiro e a determinar as estratégias apropriadas de redução de risco.

Processo de diligência prévia: verificação de conformidade e avaliação de segurança e privacidade de dados

Quando o processo de IRQ é concluído, a aplicação TPRM da Acme envia questionários e solicitações de documentação para o terceiro. Como parte de uma avaliação, você pode enviar vários questionários e solicitações de documentos. A Acme pode solicitar documentos: certificações, licenças ou relatórios de auditoria de terceiros para validar a conformidade.

Nota:

Para simplificar e automatizar o processo de determinação de quais questionários e solicitações de documentos serão enviados a um terceiro desse tipo, a equipe da Acme desenvolveu modelos de avaliação. Eles definiram modelos de questionário, modelos de solicitação de documento ou ambos e os agruparam em um modelo de avaliação. A Acme pode reutilizar o modelo para enviar os questionários apropriados, solicitações de documentos ou ambos para terceiros semelhantes em avaliações futuras.

A Acme usa as respostas de terceiros e a análise interna para determinar se o terceiro atende a todos os requisitos de conformidade necessários. Isso inclui a verificação da conformidade do terceiro com as leis e regulamentações aplicáveis, como regulamentações ambientais, leis trabalhistas e políticas anticorrupção.

Dada a natureza confidencial dos componentes envolvidos, a Acme avalia as práticas de segurança e privacidade de dados de terceiros. Eles avaliam as medidas de segurança da informação de terceiros, as políticas de proteção de dados, os controles de acesso e os processos de gestão de vulnerabilidades. Se o terceiro tiver acesso às informações proprietárias da Acme ou aos dados do cliente, ele poderá exigir que o terceiro passe por uma auditoria de segurança cibernética ou forneça evidências de suas medidas de proteção de dados.

Acordos contratuais e redução de risco

Para proteger seus interesses, o negociador de contratos de TPR da Acme (geralmente advogado corporativo) incorpora provisões contratuais específicas para lidar com os riscos identificados. O negociador de contratos usa as informações obtidas nos processos de IRQ e diligência prévia para incluir cláusulas relacionadas a conformidade, padrões de qualidade, confidencialidade, proteção de dados, continuidade de negócios e mecanismos de resolução de disputas. O contrato também pode descrever métricas de desempenho, expectativas e cláusulas de rescisão se houver uma não conformidade ou violação.

Monitoramento e revisão contínuos

A Acme estabelece um processo de monitoramento contínuo para avaliar regularmente o desempenho de terceiros e a adesão aos termos acordados. As pessoas em sua organização podem executar manualmente revisões financeiras periódicas, auditorias de qualidade, visitas ao local ou pesquisas. Eles também estabelecem canais de comunicação para lidar com quaisquer preocupações ou mudanças no perfil de risco de terceiros.