Drittpartei, Viertpartei und n-te Partei

Eine Drittpartei ist jede Organisation oder Person, mit der Sie interagiert haben oder mit der Sie eine Geschäftsbeziehung eingegangen sind. Drittparteien können Tochterunternehmen haben und Verträge mit Viertparteien abschließen. Abteilungen sind beispielsweise Tochterunternehmen. Eine vierte Partei kann mit weiteren Parteien Verträge schließen (die als n-te Parteien bezeichnet werden, fünfte, sechste usw.). Alle nachgelagerten Parteien (vierte bis n-te Partei) tragen Risiken auf die gleiche Weise wie Drittparteien.

Ein Lieferant stellt die Waren oder Services bereit, die Sie zur Herstellung oder Lieferung Ihrer eigenen Waren oder Services verwenden. Alle Lieferanten sind Drittparteien, aber nicht alle Drittparteien sind Lieferanten. Hier ist eine Liste einiger anderer Arten von Drittparteien:

• Lieferanten
• Verbundene
• Gegenparteien
• Berater
• Partner
• Professionelle Services
• Berater
• Franchises
• Händler
• Vertriebspartner
• Vertriebspartner
• Kunden
• Clients
• Ausgelagerte Mitarbeiter

Interaktionen

Eine Interaktion ist die formlose oder vertragliche Beziehung, die Sie mit einer Drittpartei eingehen möchten, die Ihre Organisation potenziell Risiken aussetzen könnte. In der Interaktion werden die von der Drittpartei bereitzustellenden Services oder Produkte und andere Details der Beziehung beschrieben. Diese Details können die Zahlungsbedingungen, Vertraulichkeitsanforderungen und die Dauer der Beziehung umfassen.

Sie können jede Interaktion mithilfe interner und externer Bewertungen bewerten. Die Probleme, Aufgaben, internen Bewertungen und externen Bewertungen sind den Interaktionen zugeordnet.

In diesem Beispiel interagiert Ihr Unternehmen mit drei Drittparteien und verwaltet mehrere Interaktionen unter ihnen.

Tochterunternehmen

Ein Tochterunternehmen ist eine Organisation, die sich im Besitz einer Drittpartei befindet oder von ihr kontrolliert wird und als Teil der Organisation der Drittpartei betrachtet wird. Sie werden normalerweise als Teil des Risikoprofils der Drittpartei verwaltet. Sie unterscheiden sich von Viertparteien bis n-ten Parteien, die Verträge mit einer Drittpartei haben und nicht im Besitz oder unter der Kontrolle dieser Drittpartei stehen.

Die Risikobewertung für Tochterunternehmen entspricht der für andere Drittparteien. Die Risikobewertungen der Tochterunternehmen fließen in die Punktzahl der kontrollierenden Drittpartei ein.

IRQ: Fragebogen zu inhärenten Risiken

Während des Prozesses der internen Risikobewertung beantworten interne Mitarbeiter in Ihrer Organisation Fragen im IRQ. Diese Antworten helfen bei der Bewertung des inhärenten Risikos, das mit der Zusammenarbeit mit einer Drittpartei verbunden ist. Ein inhärentes Risiko bezieht sich auf die Risikostufe vor der Implementierung von Risikominderungsmaßnahmen. Ein IRQ unterstützt die folgenden Aktivitäten:

Ermittlung von Risikofaktoren

• Art der von der Drittpartei bereitgestellten Services
• Die Vertraulichkeit der beteiligten Daten.
• Geografischer Standort der Drittpartei
• Gesamtsicherheitsstatus der Drittpartei.

Bewertung oder Bewertung wird bestimmt

Antworten auf den Fragebogen werden häufig bewertet oder bewertet, um das mit der Drittpartei verbundene inhärente Risiko zu quantifizieren. Dieses Bewertungssystem kann bei der Priorisierung von Risikomanagementbemühungen helfen.

Entscheidungsfindung

Die Ergebnisse des IRQ werden dann im Entscheidungsprozess verwendet. Administratoren und Manager für das Risikomanagement von Drittparteien können IRQs konfigurieren, um basierend auf bestimmten Antworten auf Fragen bestimmte Fragebögen zur externen Bewertung (Sorgfaltspflicht) an Drittparteien zu senden.

• Sollen Sie mit der Drittpartei zusammenarbeiten?
• Welches Maß an Sorgfaltspflicht ist erforderlich?
• Welche spezifischen Risikominderungsmaßnahmen sollten Sie implementieren?

Laufende Sorgfaltspflicht

Die IRQ kann auch Teil der laufenden Verwaltung sein, mit regelmäßigen Neubewertungen, um Änderungen an den Abläufen, Sicherheitspraktiken oder anderen relevanten Faktoren der Drittpartei zu berücksichtigen.

Sorgfaltspflicht (DD)

Sorgfaltspflicht ist der Prozess der Durchführung einer gründlichen Untersuchung oder Prüfung der Integrität, des Rufs, der finanziellen Stabilität, der Compliance mit rechtlichen Vorschriften, der betrieblichen Fähigkeiten, der Lieferkette und anderer relevanter Faktoren eines potenziellen Geschäftspartners, Lieferanten oder Lieferanten. Die Durchführung der Due-Diligence-Prüfung von Drittparteien ist eine entscheidende Komponente Ihres umfassenden Drittpartei-Risikoprogramms. Sie führen eine Due-Diligence-Prüfung durch, um sich der mit einer Drittpartei verbundenen Risiken bewusst zu werden, damit Sie zuversichtlich entscheiden können, wie Sie Ihre Beziehung gestalten möchten. Verwenden Sie Sorgfaltspflicht-Workflows, um neue Interaktionen einzuarbeiten oder vorhandene Interaktionen neu zu bewerten oder außer Kraft zu setzen. Sorgfaltspflicht-Workflows umfassen das Sammeln von Informationen durch interne Bewertungen, externe Bewertungen und Risk Intelligence. Alle Punktzahlen aus diesen Schritten werden von den Managern für Drittparteirisiken analysiert, um zu entscheiden, ob eine Interaktion eingearbeitet, neu bewertet oder stillgelegt werden soll. Die Sorgfaltspflicht verfügt auch über einen optionalen Vertragsverhandlungsprozess, bevor der Sorgfaltspflicht-Workflow geschlossen wird.

Siehe Warum Sie Sorgfaltspflicht durchführen und Arten von Sorgfaltspflichten.

Drittpartei-Risikobewertungen

Eine Drittpartei-Risikobewertung (TPRA) ist ein Satz von Fragebogen, den Sie an Drittparteikontakte oder interne Benutzer senden können, um die Drittpartei- und Interaktionsrisiken zu bewerten. Bewertungen, die Sie an interne Benutzer senden, werden als interne Bewertungen kategorisiert. Eine Bewertung, die Sie an einen Drittparteikontakt senden, wird als externe Bewertung bezeichnet.

Verwenden Sie eine interne Bewertung, um die Drittpartei- und Interaktionsstufen zu berechnen. Die Klassifizierung, mit der Sie die internen Fragebogen in der Tabelle mit den Fragebogenvorlagen identifizieren, ist die Vorlage für einen Fragebogen zum inhärenten Risiko [irq_template]. Sie können die erforderlichen Fragebogen für externe Bewertungen automatisch entsprechend den Antworten anhängen, die Sie von den internen Bewertungen erhalten. Sie können diese Option in einer Zuordnungstabelle für Fragebogen [sn_tprm_dd_m2m_question_to_questionnaire] konfigurieren.

Verwenden Sie eine externe Bewertung, um die Risiken zu bewerten, die mit der Drittpartei und der Interaktion verbunden sind, basierend auf den Drittpartei-Kontaktantworten, die Sie erhalten. Die Risikoeinstufungen aus einer externen Bewertung werden auf Bewertungsebene berechnet, indem alle Fragebogen verwendet werden, die an die Bewertung angehängt sind. Diese Bewertungsbeurteilungen werden zusammengefasst und für die Drittparteien und Interaktionen zusammengefasst. Die Zusammenfassung ist entweder MIN, MAX oder AVG und kann in einem Bewertungs-Setup konfiguriert werden. Drittparteikontakte (externe Benutzer) aus dem Drittparteiportal https:// <myCompany> .service-now.com/svdp reagieren auf diese externen Bewertungen.

Weitere Informationen zur Bewertung finden Sie unter Risikobewertungen und Punktzahlberechnungen durch Drittparteien.

Risk Intelligence-Provider

Risk Intelligence-Anbieter generieren Risikopunktzahlen für eine Vielzahl von Drittpartei-Risikodomänen. Ihre Organisation kann Services von Anbietern erwerben, die Daten zurückgeben, die den persönlichen Kreditpunktzahlen entsprechen. Die Punktzahlen geben Aufschluss darüber, wie vertrauenswürdig und sicher eine bestimmte Drittpartei sein kann.

Weitere Informationen finden Sie unter Integration von Punktzahlen von Risk Intelligence-Anbietern.

Risk Intelligence-Punktzahlen

Risk Intelligence-Punktzahlen sind numerische Bewertungen, die das Risikoniveau bewerten, das einer bestimmten Organisation zugeordnet ist. Diese Punktzahlen werden von Risk Intelligence-Anbietern generiert, die eine Vielzahl von Datenquellen sammeln und analysieren. Punktzahlen können eine beliebige Form haben, sei es Bewertungen oder Zahlen. Das System ordnet den Punktzahlwert der entsprechenden TPRM -Bewertung zu. Diese Punktzahlen können Ihrem Unternehmen helfen, fundierte Entscheidungen über die Zusammenarbeit mit Drittparteien, das Compliance-Management und die Minimierung potenzieller Risiken zu treffen. Risk Intelligence-Punktzahlen sind ab dem Release Washington DC für Drittparteien verfügbar. Die Risikoeinstufungen werden anhand der Bewertungsregeln berechnet, die der Interaktion in der Bewertungseinrichtung zugeordnet sind.

Drittpartei-Punktzahlen

Diese Punktzahlen helfen Unternehmen, fundierte Entscheidungen über die Auswahl und Verwaltung ihrer Beziehungen zu Drittparteien zu treffen, und ermöglichen eine Anpassung an ihre Risikotoleranz- und Compliance-Anforderungen. Durch die Bewertung von Drittpartei-Punktzahlen können Organisationen potenzielle Risiken identifizieren, Sorgfaltspflichtmaßnahmen priorisieren und geeignete Risikominderungsstrategien implementieren.

Risikobewertungskomponenten

Eine Komponente ist die Entität, für die Sie das Risiko bewerten können. Das -Basissystem umfasst die Funktionen für Interaktionen, externe Überwachung, Tochterunternehmen und Drittpartei-Risikobewertungen. Das Risiko wird für jede Komponente berechnet. Anschließend wird das Risiko zusammengefasst und zusammengefasst, um eine Drittpartei-Risikobewertung zu berechnen.

Ein Komponentenkriterium ist die Definition, wie eine Komponente von einer Drittpartei verwendet wird. Ein Komponentenkriterium ist eine Gruppe von Komponenten, die für einen bestimmten Typ von Drittpartei oder Interaktion gelten sollten.

Ein Risikobereich oder eine Domäne definiert die Art des Risikos, das für eine Drittpartei zu bewerten ist. Dies ist in der Regel auf den Bereich/die Domäne ausgerichtet, in dem die Drittpartei tätig ist oder für den sie ein Produkt/einen Service bereitstellt. Beispielsweise können Sie eine Drittpartei für die Datenverwaltung hinsichtlich des Sicherheitsrisikos und eine Bank hinsichtlich des finanziellen Risikos bewerten.

Ein Risikobereichskriterium ist die Definition dessen, wie Risikobereiche von einer Drittpartei verwendet werden (in den Risikobereichskriterien definiert). Ein Drittpartei-Risikobereichskriterium ist eine Gruppe (oder Gruppierung) von Risikodomänen oder Risikobereichen, die für einen bestimmten Typ von Drittpartei gelten können. Beispielsweise können Sicherheits-, Finanz- und Reputationsrisikodomänen in Risikobereichskriterien gruppiert werden, die für alle Drittparteien gelten sollten. Sie können die Risiken, die eine Drittpartei für Ihre Organisation darstellt, besser verstehen und mindern, indem Sie die Domänen ihres Geschäfts identifizieren, um das Risiko zu bewerten, und die Bedeutung (Gewichtung) jeder Domäne quantifizieren.

Bewertungsregeln

Eine Bewertungsregel bietet den Mechanismus, um Komponentenkriterien und Risikobereichskriterien auf eine Drittpartei und Risikobereichskriterien für eine Interaktion anzuwenden.

Für eine Drittpartei bestimmen die Komponentenkriterien, welche spezifischen Komponenten anwendbar sind und welche Bewertungsmethode für jede Komponente relevant ist. Zu diesen Komponenten können der geografische Standort, die allgemeine Sicherheitslage und die Ergebnisse aus internen und externen Bewertungen gehören. Die Bewertungsmethoden für diese Komponenten werden im Bewertungs-Setup konfiguriert. Beispielsweise sind interne Bewertungen des geografischen Standorts und der allgemeinen Sicherheitslage Teil des internen Bewertungsprozesses, während externe Bewertungen Methoden wie MIN, MAX oder AVG verwenden, um Risikobewertungen zu berechnen. Darüber hinaus werden Risikointelligenz-Punktzahlen von externen Anbietern den entsprechenden Bewertungen zugeordnet und mit den externen Bewertungspunktzahlen kombiniert, um die Gesamtpunktzahl der Drittpartei zu bilden.

Für eine Drittpartei bestimmen die Kriterien für Risikobereiche, welche spezifischen Risikobereiche (oder Domänen) gelten und welche Bewertungsmethode für jeden Risikobereich relevant ist.

Drittpartei-Elemente

Drittparteielemente sind die externen Organisationen, auf die sich eine Drittpartei oder Interaktion bei der Bereitstellung von Waren, Services oder Support verlässt. Zu diesen Organisationen können Lieferanten, Lieferanten, Auftragnehmer, Einzelpersonen oder andere externe Organisationen gehören, die Zugriff auf die Systeme, Daten oder Einrichtungen der Drittpartei oder Interaktion haben. Alle Schwachstellen oder Fehler in diesen Drittparteielementen können erhebliche Auswirkungen auf den Betrieb, den Ruf und die Sicherheit der Drittpartei oder Interaktion haben. Durch die Implementierung dieser Kontrollen und die Behandlung der damit verbundenen Risiken können Unternehmen ihre Fähigkeit verbessern, die potenziellen negativen Auswirkungen von Drittparteien und deren Drittparteielemente zu verwalten und zu mindern. Die regelmäßige Neubewertung und Aktualisierung dieser Steuerungen ist für die Anpassung an Changes in der Geschäftsumgebung und im regulatorischen Bereich von entscheidender Bedeutung.

Im Folgenden finden Sie einige Beispiele für Drittpartei-Elemente und die zugehörigen Steuerungen und potenziellen Risiken.

Rechenzentrum

Einrichtungen oder Standorte, an die Drittparteien oder Interaktionen die Speicherung, Verarbeitung und Verwaltung ihrer Daten und IT-Infrastruktur auslagern.

Steuerungen:

• Bewertungen der Lieferantensicherheit: Bewerten Sie regelmäßig die Sicherheitsmaßnahmen und -praktiken von Drittanbietern, die Services wie Cloud-Hosting oder Datenspeicherung bereitstellen.
• Datenverschlüsselung: Bestätigen Sie, dass im Rechenzentrum gespeicherte Daten verschlüsselt sind, um sie vor nicht autorisiertem Zugriff zu schützen.
• Zugriffssteuerungen: Implementieren Sie strenge Zugriffssteuerungen, um den physischen und virtuellen Zugriff auf die Einrichtungen und Server des Rechenzentrums zu beschränken.
• Plan für die Reaktion auf Incidents: Entwickeln und pflegen Sie einen umfassenden Plan für die Reaktion auf Incidents, um Security Incidents umgehend zu beheben.

Risiken:

• Datenschutzverletzungen: Ein Verstoß im Rechenzentrum eines Drittanbieters kann zu nicht autorisiertem Zugriff und der Kompromittierung vertraulicher Informationen führen.
• Ausfallzeit: Die Abhängigkeit von einem Rechenzentrum einer Drittpartei birgt das Risiko von Ausfallzeiten, wenn beim Service Provider technische Probleme auftreten.
• Compliance-Verstöße: Wenn das Rechenzentrum branchenspezifische oder regulatorische Compliance-Standards nicht einhält, kann dies rechtliche und finanzielle Konsequenzen für das Unternehmen haben.

Produktionsanlage

Einrichtungen oder Standorte, an die Drittparteien oder Interaktionen die Produktion oder Installation ihrer Produkte outsourcen.

Steuerungen:

• Lieferantenaudits: Auditieren und bewerten Sie regelmäßig die Sicherheitspraktiken von Lieferanten, die kritische Komponenten oder Services für den Herstellungsprozess bereitstellen.
• Qualitätssicherungsstandards: Erzwingen Sie Qualitätssicherungsstandards für Drittanbieter, um die Integrität und Sicherheit von Rohmaterialien und Komponenten zu fördern.
• Transparenz der Lieferkette: Sorgen Sie für Transparenz in der gesamten Lieferkette, um potenzielle Schwachstellen zu identifizieren und zu beheben.
• Vertragliche Vereinbarungen: Erstellen Sie klare vertragliche Vereinbarungen mit Lieferanten, die die Sicherheitsanforderungen und die Konsequenzen der Nichteinhaltung darlegen.

Risiken:

• Unterbrechung der Lieferkette: Die Abhängigkeit von Drittanbietern setzt das Unternehmen dem Risiko von Unterbrechungen der Lieferkette aus, was sich auf die Produktion auswirkt.
• Gefälschte Teile: Unzureichende Kontrollen der Lieferkette können zur Verwendung von gefälschten oder minderwertigen Komponenten führen, was die Qualität des Produkts beeinträchtigt.
• Probleme mit der Compliance mit Vorschriften: Die Nichteinhaltung von gesetzlichen Standards durch Lieferanten kann rechtliche und behördliche Konsequenzen für die Produktionsanlage haben.

Wirtschaftlich Berechtigte

Personen, die letztendlich Besitzer oder Kontrolle einer Organisation sind, die an einer Geschäftsbeziehung oder Transaktion beteiligt ist. Diese Personen sind möglicherweise nicht die eingetragenen oder rechtmäßigen Besitzer der Organisation, haben jedoch erheblichen Einfluss oder Kontrolle über deren Betrieb, Entscheidungsfindung oder finanzielle Angelegenheiten.

Steuerungen:

• Sorgfaltspflicht: Integrieren Sie einen robusten Sorgfaltspflicht-Prozess, um Begünstigte zu identifizieren und zu überprüfen, einschließlich Hintergrundprüfungen, Dokumentüberprüfungen und bei Bedarf Interviews.
• Vertragliche Verpflichtungen: Fügen Sie Klauseln in Verträge mit Drittparteien ein, die von ihnen verlangen, dass sie Änderungen des steuerlichen Eigentums offenlegen und die Einhaltung geltender Gesetze und Vorschriften bestätigen.
• Überwachung und Berichterstellung: Richten Sie ein System für die laufende Überwachung von begünstigten Eigentümern ein, um Änderungen oder Entwicklungen zu erkennen, die sich auf das Risikoprofil der Drittpartei auswirken könnten.
• Schulung und Sensibilisierung: Schulungen der relevanten Mitarbeiter in Bezug auf die Wichtigkeit des Verständnisses und der Überwachung des Geschäftsbereichs, einschließlich Warnmeldungen und Berichtsverfahren.
• Programm für regulatorische Compliance: Entwickeln und pflegen Sie ein Programm, das die Compliance mit allen relevanten Gesetzen und Vorschriften im Zusammenhang mit günstigem Eigentum überprüft, einschließlich Berichts- und Offenlegungsanforderungen.
• Eskalationsverfahren: Richten Sie klare Eskalationsverfahren für Fälle ein, in denen Bedenken oder Unregelmäßigkeiten in Bezug auf den günstigen Eigentümer identifiziert werden, und fördern Sie rechtzeitige und angemessene Maßnahmen.

Risiken:

• Verborgenes Eigentum: Begünstigte können ihr Eigentum absichtlich verbergen, was es schwierig macht, die potenziellen Risiken zu bewerten, die mit ihrem Einfluss auf die Drittpartei verbunden sind.
• Reputationsrisiko: Wenn der Ruf der Begünstigten einen fragwürdigen Ruf hat, kann eine Beteiligung an ihnen dem Ruf Ihrer Organisation schaden.
• Regulatorische Compliance: Die Nichteinhaltung von Vorschriften im Zusammenhang mit der Meldung von steuerlichen Eigentumern und Transparenz kann rechtliche und behördliche Konsequenzen haben.
• Finanzielles Risiko: Begünstigte mit finanzieller Instabilität oder Beteiligung an betrügerischen Aktivitäten können finanzielle Risiken für die Drittpartei und infolgedessen für Ihre Organisation darstellen.