Datenmodell für Drittpartei-Risikomanagement

  • Freigeben Version: Yokohama
  • Aktualisiert 30. Januar 2025
  • 5 Minuten Lesedauer

    • Verwenden Sie das Datenmodell Risikomanagement von Drittparteien (TPRM), um die Risiken für Ihr Risikomanagementprogramm zu bewerten, zu überwachen und zu mindern.

    TPRM Übersicht über das -Datenmodell

    Die Anwendung Risikomanagement von Drittparteien ist eines der Produkte Governance, Risk und Compliance von .

    Das folgende Modell wird verwendet, um die Fähigkeiten von TPRMzu unterstützen.

    Abbildung : 1. TPRM-Datenmodell
    Beziehung zwischen Sorgfaltspflicht, Drittparteiverwaltung, Richtlinien und Compliance sowie Haupttabellen für Risiko. Eine Textbeschreibung finden Sie im folgenden Text.

    Das Datenmodell der Drittpartei-Risikobewertung enthält verschiedene Komponenten und Beziehungen:

    Komponenten:
    • Risikointelligenz-Punktzahl [sn_vdr_risk_asmt_security_score]
    • Interne Bewertung [sn_vdr_asmt_internal_assessment]
    • Abgestufte Bewertung [sn_vdr_risk_asmt_vdr_tiering_assessment]
    • Ereignisgesteuerter Verwaltungsverlauf [sn_tprm_dd_rule_execution_history]
    • Drittpartei-Sorgfaltspflicht-Anforderung [sn_tprm_dd_request]
    • Unternehmen [core_company]
    • Ereignisgesteuerte Verwaltungsregel [sn_tprm_dd_generation_rule]
    • Drittpartei-Risikobewertung [sn_vdr_risk_asmt_assessment]
    • Drittpartei-Interaktion [sn_vdr_risk_asmt_vendor_engagement]
    • Lieferantenkontakt [vm_dr_contact]
    • Bewertungsmetriktyp [asmt_metric_type]
    • Bewertungsvorlage [sn_vdr_risk_asmt_assessment_template]
    • Drittpartei-Risikoproblem [sn_vdr_risk_asmt_issue]
    • Regel zur Bewertung des Interaktionsrisikos [sn_vdr_risk_asmt_engagement_risk_scoring_rule]
    • Risikobewertung auf Interaktionsebene [sn_vdr_risk_asmt_engagement_level_rating]
    • Risiko [sn_risk_risk]
    • Steuerung [sn_compliance_control]
    Beziehungen:
    • Die Komponente der Drittpartei-Risikobewertung kann eine 1:n-Beziehung mit den folgenden Komponenten haben:
      • Ereignisgesteuerte Verwaltungsverläufe
      • Drittpartei-Sorgfaltspflicht-Anforderungen
      • Unternehmen
      • Drittpartei-Interaktionen
      • Drittpartei-Risikoprobleme
      • Bewertungsvorlagen
    • Die Komponente „Ereignisgesteuerte Verwaltungsverläufe“ und die Komponente „Ereignisgesteuerte Verwaltungsregeln“ können eine Viele-zu-Eins-Beziehung aufweisen.
    • Die Komponente „Ereignisgesteuerte Verwaltungsregeln“ kann eine 1:n-Beziehung zur Komponente „Bewertungsmetriktyp“ und zur Komponente „Bewertungsvorlage“ haben.
    • Die Drittpartei-Interaktionskomponente kann eine 1:n-Beziehung mit den folgenden Komponenten haben:
      • Unternehmen
      • Regel zur Bewertung des Interaktionsrisikos
      • Drittpartei-Risikoproblem
    • Die Komponente „Drittpartei-Interaktion“ kann eine Viele-zu-Viele-Beziehung mit der Komponente „Lieferantenkontakt“ haben.
    • Die Komponente „Lieferantenkontakt“ kann eine 1:n-Beziehung zum Unternehmen und eine Komponente für das Drittparteirisikoproblem haben.
    • Die Komponente „Risikobewertung auf Interaktionsebene“ kann eine Eins-zu-Viele-Beziehung zur Komponente „Drittpartei-Interaktion“ sein.
    • Die Komponente „Drittpartei-Interaktion“ bezieht sich auf die Komponente „Risiko und Steuerung“.
    • Die Komponente „Risk Intelligence-Punktzahl“ bezieht sich auf die Komponente „Drittpartei-Sorgfaltspflicht“.
    • Die Komponente „Tiering-Bewertung“ kann eine 1:n-Beziehung mit den folgenden Komponenten haben:
      • Drittpartei-Sorgfaltspflicht
      • Drittpartei-Interaktion
      • Unternehmen
    • Die Komponente „Tiering Assessment“ kann eine Viele-zu-Viele-Beziehung mit der Komponente des Bewertungsmetriktyps aufweisen.
    • Die Komponente „Drittpartei-Sorgfaltspflicht“ kann 1:n-Beziehungen zu den folgenden Komponenten aufweisen:
      • Ereignisgesteuerter Verwaltungsverlauf
      • Drittpartei-Risikobewertung
      • Unternehmen
    • Die folgenden Komponenten beziehen sich auf die Sorgfaltspflicht für Risiken:
      • Ereignisgesteuerte Verwaltungsregel
      • Ereignisgesteuerter Verwaltungsverlauf
      • Drittpartei-Risiko-Sorgfaltspflicht-Anforderung
    • Die folgenden Komponenten beziehen sich auf die Drittparteiverwaltung:
      • Risk Intelligence-Punktzahl
      • Interne Bewertung
      • Abgestufte Bewertung
      • Drittpartei-Risikobewertung
      • Drittpartei-Interaktion
      • Bewertungsvorlage
      • Drittpartei-Risikoproblem
      • Regel zur Bewertung des Interaktionsrisikos
      • Risikobewertung auf Interaktionsebene
    • Die interne Bewertungskomponente ist eine Erweiterung der abgestuften Bewertungskomponente.
    • Die Steuerungskomponente bezieht sich auf Richtlinien- und Compliance-Management.
    • Die Risikokomponente bezieht sich auf Risikomanagement.
    • Die folgenden Komponenten sind „Global“:
      • Vendorenkontakt
      • Unternehmen
      • Bewertungsmetriktyp
    In der folgenden Tabelle sind die Rollen aufgeführt, die für die Komponenten im Datenmodell TPRM erforderlich sind.
    Tabelle : 1. Rollen für das Datenmodell TPRM.
    Rolle Beschreibung
    sn_vdr_risk_asmt.approver Genehmigen Sie Sorgfaltspflicht-Anforderungen im Risikomanagementprozess von Drittparteien.
    sn_vdr_risk_asmt.contract_negotiator Arbeiten Sie in der Vertragsrisiko-Prozessphase des Onboarding-Prozesses.
    sn_vdr_risk_asmt.vendor_assessment_reviewer Bewertungen bearbeiten.
    sn_vdr_risk_asmt.vendor_assessor Verwalten Sie Drittparteien, Drittparteikontakte, Drittpartei-Risikobewertungen und -probleme, und erfüllen Sie Anforderungen zur Drittpartei-Risikobewertung.
    sn_vdr_risk_asmt.vendor_risk_admin Sie haben vollständige Kontrolle über alle Daten und Bewertungsmetriktypen des Vendor Risk Management.
    sn_vdr_risk_asmt.vendor_risk_manager Verwalten Sie Drittparteien, Drittparteikontakte, Drittparteibewertungsvorlagen, Fragebogenvorlagen, Dokumentationsanforderungsvorlagen und geplante Bewertungen.

    Weitere Informationen zu Rollen finden Sie unter Rollen in Risikomanagement von Drittparteien.

    Kernkomponenten

    TPRM basiert auf dem Senden von Bewertungen und dem Berechnen von Punktzahlen aus den empfangenen Antworten.

    Zur Durchführung von Bewertungen können Sie die folgenden Kernkomponenten verwenden:
    • Drittpartei-Risikobewertung
    • Drittpartei-Interaktion
    • Drittpartei-Sorgfaltspflicht
    • Bewertungs-Setup
    • Risk Intelligence

    Das folgende Diagramm zeigt die wichtigsten Tabellen und den Flow für eine Drittpartei-Risikobewertung des Datenmodells TPRM.

    Abbildung : 2. Drittpartei-Risikobewertungsdatenmodell
    Beziehung zwischen Due-Diligence, Drittpartei-Management, Richtlinien und Compliance sowie Risikohaupttabellen oder Drittpartei-Risikobewertungen. Eine Textbeschreibung finden Sie im folgenden Text.

    Im Folgenden sind die Komponenten und Beziehungen aufgeführt, aus denen sich das Datenmodell der Drittpartei-Risikobewertung zusammensetzt.

    Komponenten:
    • Interne Bewertungen [sn_vdr_risk_asmt_internal_assessment]
    • Abgestufte Bewertungen [sn_vdr_risk_asmt_vdr_tiering_assessment]
    • Externe Bewertungen [sn_vdr_risk_asmt_assessment]
    • Bewertungsvorlage [sn_vdr_risk_asmt_template]
    • Fragebogenvorlagen [asmt_metric_type]
    • Fragebogeninstanz [asmt_assessment_instance]
    • Kategorie [asmt_metric_category]
    • Metrik [asmt_metric]
    Beziehungen:
    • Die Komponente „Metrik“ kann eine Viele-zu-Eins-Beziehung mit der Komponente „Kategorie“ haben.
    • Die Komponente „Kategorie“ kann eine Viele-zu-Eins-Beziehung mit der Komponente „Fragebogen“ haben.
    • Die Komponente „Fragebogenvorlagen“ kann eine Viele-zu-Eins-Beziehung mit den folgenden Komponenten haben:
      • Bewertungsvorlage
      • Abgestufte Bewertungen
      • Externe Bewertungen
    • Die Komponente der Fragebogeninstanz kann eine Viele-zu-Eins-Beziehung mit den folgenden Komponenten haben:
      • Externe Bewertungen
      • Abgestufte Bewertungen
    • Die Bewertungsvorlagenkomponente kann 1:n-Beziehungen zu den folgenden Komponenten aufweisen:
      • Abgestufte Bewertungen
      • Externe Bewertungen
    • Die Komponente „Interne Bewertung“ ist eine Erweiterung der Komponente „Abgestufte Bewertung“.
    • Die internen Bewertungskomponenten beziehen sich auf die Risiko-Sorgfaltspflicht.
    • Die folgenden Komponenten beziehen sich auf die Drittparteiverwaltung:
      • Abgestufte Bewertungen
      • Externe Bewertungen
      • Bewertungsvorlagen
    • Die folgenden Komponenten sind „Global“:
      • Fragebogenvorlagen
      • Kategorie
      • Metrik
      • Fragebogeninstanz

    Weitere Informationen zu Bewertungen finden Sie unter Ihr Drittparteirisiko wird bewertet.

    Das folgende Diagramm zeigt die wichtigsten Tabellen und den Flow, die für die Sorgfaltspflicht im Datenmodell TPRM verwendet werden.

    Abbildung : 3. Sorgfaltspflicht-Datenmodell
    Beziehung zwischen den für die Sorgfaltspflicht verwendeten Tabellen für Risiko-Sorgfaltspflicht, Drittparteiverwaltung, Richtlinien und Compliance sowie Hauptrisiko. Eine Textbeschreibung finden Sie im folgenden Text.

    Im Folgenden sind die Komponenten und Beziehungen aufgeführt, aus denen sich das Sorgfaltspflicht-Datenmodell zusammensetzt.

    Komponenten:
    • Drittpartei [core_company]
    • Interaktionen [sn_vdr_risk_asmt_vendor_engagement]
    • Sorgfaltspflicht [sn_tprm_dd_request]
    • Probleme [sn_vdr_risk_asmt_issue]
    • Aufgaben [sn_vdr_risk_asmt_task]
    • Lieferantenkontakte [vm_vdr_contact]
    • Risikointelligenz-Punktzahlen [sn_vdr_risk_asmt_security_score]
    • Externe Bewertungen [sn_vdr_risk_asmt_assessment]
    • Abgestufte Bewertungen [sn_vdr_risk_asmt_vdr_tiering_assessment]
    • Interne Bewertungen [sn_vdr_risk_asmt_vdr_internal_assessment]
    Beziehungen:
    • Die Drittpartei-Komponente hat eine 1:n-Beziehung zu Tochterunternehmen.
    • Die Drittpartei-Komponente hat eine 1:n-Beziehung mit den folgenden Komponenten:
      • Lieferantenkontakte
      • Interne Bewertungen
      • Externe Bewertungen
      • Abgestufte Bewertungen
      • Risk Intelligence-Punktzahlen
      • Probleme
      • Aufgaben
    • Die Komponente „Sorgfaltspflicht“ hat eine 1:n-Beziehung mit den folgenden Komponenten:
      • Lieferantenkontakte
      • Interne Bewertungen
      • Abgestufte Bewertungen
      • Risk Intelligence-Punktzahlen
    • Die Komponente „Interaktionen“ hat eine 1:n-Beziehung mit den folgenden Komponenten:
      • Lieferantenkontakte
      • Interne Bewertungen
      • Externe Bewertungen
      • Abgestufte Bewertungen
      • Probleme
      • Aufgaben
    • Die Drittpartei-Komponente bezieht sich auf die Sorgfaltspflicht-Komponente.
    • Die Komponente „Interaktionen“ bezieht sich auf die Komponente „Sorgfaltspflicht“.
    • Die Komponente „Externe Bewertungen“ bezieht sich auf die Komponente „Sorgfaltspflicht“.
    • Die Komponente „Interne Bewertung“ ist eine Erweiterung der Komponente „Abgestufte Bewertung“.
    • Die folgenden Komponenten beziehen sich auf die Sorgfaltspflicht für Risiken:
      • Sorgfaltspflicht
      • Interne Bewertungen
    • Die folgenden Komponenten beziehen sich auf die Drittparteiverwaltung:
      • Interaktionen
      • Probleme
      • Aufgaben
      • Risk Intelligence-Punktzahlen
      • Externe Bewertungen
      • Abgestufte Bewertungen
    • Die folgenden Komponenten sind „Global“:
      • Drittpartei
      • Vendorenkontakt

    Das folgende Diagramm zeigt die erforderlichen Rollen, Prozesse und Auswahlmöglichkeiten, die Teil des Sorgfaltspflicht-Workflows sind.

    Abbildung : 4. Sorgfaltspflicht-Workflow
    Workflow, der die erforderlichen Rollen, Prozesse und Auswahlmöglichkeiten zeigt, die Teil des Sorgfaltspflicht-Workflows sind.

    Weitere Informationen zum Sorgfaltspflicht-Workflow finden Sie unter Sorgfaltspflicht-Workflow.

    Das folgende Diagramm zeigt die Haupttabellen, die für die Bewertung des Datenmodells TPRM verwendet werden.

    Abbildung : 5. Bewertungsdatenmodell
    Beziehung zwischen Sorgfaltspflicht, Drittparteiverwaltung, Richtlinien und Compliance sowie Risikohaupttabellen, die für die Risikobewertung verwendet werden. Eine Textbeschreibung finden Sie im folgenden Text.

    Im Folgenden sind die Komponenten und Beziehungen aufgeführt, aus denen sich das Bewertungsdatenmodell zusammensetzt.

    Komponenten:
    • Drittpartei [core_company]
    • Risikobewertungsregel für Drittpartei [sn_vdr_risk_asmt_vendor_risk_scoring_rule]
    • Komponentenkriterien [sn_vdr_risk_asmt_component_criteria]
    • Komponenten [sn_vdr_risk_asmt_component]
    • Interaktion [sn_vdr_risk_asmt_vendor_engagement]
    • Regel zur Bewertung des Interaktionsrisikos [sn_vdr_risk_asmt_engagement_risk_scoring_rule]
    • Kriterien für Risikobereiche [sn_vdr_risk_asmt__risk_area_criteria]
    • Risikodomänen [sn_vdr_risk_asmt_risk_area_definition]
    Beziehungen:
    • Die Komponente „Risikobereichskriterien“ hat eine 1:n-Beziehung zur Komponente „Risikodomäne“.
    • Die Komponente Kriterien für Risikobereiche hat eine Eins-zu-eins-Beziehung zur Komponente Regel zur Bewertungsregel für Interaktionsrisiko und zur Komponente Regel zur Bewertungsregel für Drittparteirisiko.
    • Die Regel zur Bewertung des Interaktionsrisikos hat eine 1:n-Beziehung zur Komponente „Interaktion“.
    • Die Komponentenkriterien haben eine 1:n-Beziehung zu Komponenten.
    • Die Komponentenkriterien haben eine Eins-zu-eins-Beziehung zur Komponente Regel zur Bewertung des Drittparteirisikos.
    • Die Komponente „Drittpartei-Risikobewertungsregel“ hat eine 1:n-Beziehung mit der Komponente „Drittpartei“.
    • Alle diese Komponenten beziehen sich auf die Drittparteiverwaltung.

    Verwenden Sie das Bewertungs-Setup in TPRM, um zu konfigurieren, wie die Punktzahlen aus den externen Risikobewertungen für die Interaktionen und Drittparteien aggregiert werden. Die Kriterientabellen enthalten die Informationen, die sich auf die Zusammenfassung der Punktzahlen mehrerer Datensätze (MIN, MAX, AVG) oder aus mehreren Tabellen (Gewichtungen für jede Tabelle) beziehen. Verwenden Sie die Bewertungsregeln, um Drittparteien oder Interaktionen zu gruppieren und Kriterien zuzuweisen. Sie können alle Datensätze in diesen Tabellen ohne Anpassung konfigurieren.

    Weitere Informationen zur Bewertung finden Sie unter Risikobewertungen und Punktzahlberechnungen durch Drittparteien.

    Das folgende Modelldiagramm zeigt die Haupttabellen, die für Risk Intelligence im Datenmodell TPRM verwendet werden.

    Abbildung : 6. Risk Intelligence-Modell
    Beziehung zwischen den Tabellen „Sorgfaltspflicht für Risiko“, „Drittparteiverwaltung“, „Richtlinien und Compliance“ und „Hauptrisiko“. Eine Textbeschreibung finden Sie im folgenden Text.

    Im Folgenden sind die Komponenten und Beziehungen aufgeführt, aus denen sich das Risk Intelligence-Datenmodell zusammensetzt.

    Komponenten:
    • Drittpartei [core_company]
    • Anbieterservices [sn_vdr_risk_asmt_tpss_provider]
    • Risikointelligenz-Punktzahlen [sn_vdr_risk_asmt_security_score]
    • Punktzahlunterfaktoren [sn_vdr_risk_asmt_tpss_subfactor]
    Beziehungen:
    • Die Komponente „Risk Intelligence-Provider“ hat eine 1:n-Beziehung mit der Komponente „Providerservices“.
    • Die Komponente „Provider-Services“ hat eine 1:n-Beziehung mit der Komponente „Risk Intelligence-Punktzahlen“.
    • Die Komponente „Risikointelligenz-Punktzahlen“ hat eine 1:n-Beziehung zur Komponente „Punktzahlen“ – Unterfaktoren.
    • Die Komponente „Risk Intelligence-Punktzahlen“ bezieht sich auf die Komponente „Risk Intelligence-Anbieter“.
    • Alle diese Komponenten beziehen sich auf die Drittparteiverwaltung.

    Weitere Informationen zu Risk Intelligence finden Sie unter Verwaltung von Risikointelligenz-Berichtsanforderungen.