Risikomanagement von Drittparteien erkunden

  • Freigeben Version: Yokohama
  • Aktualisiert 30. Januar 2025
  • 9 Minuten Lesedauer

    • Die Anwendung Risikomanagement von Drittparteien zentralisiert und standardisiert die Prozesse, Quellmaterialien, Verantwortlichen und Methoden Ihres Programms für das Risikomanagement von Drittparteien. Sie können Ihren Betrieb verbessern, indem Sie Ihr Portfolio von Drittparteien verwalten und die Probleme, die mit Drittparteien auftreten, identifizieren, nachverfolgen und mindern.

    Risikomanagement von Drittparteien – Übersicht

    Um die Assets, den Ruf und den Betrieb Ihrer Organisation zu schützen, muss Ihr Programm für das Risikomanagement von Drittparteien die mit externen Parteien verbundenen Risiken identifizieren, bewerten und mindern. Die Anwendung TPRM hilft Ihnen zu verhindern, dass Ihre ausgelagerten Anbieter, Partner und Lieferanten eine Betriebsunterbrechung verursachen oder sich negativ auf Ihre Geschäftsleistung auswirken. Mit der Anwendung TPRM können Sie den manuellen Aufwand und die Kosten Ihres Risikobewertungsprozesses durch Automatisierung reduzieren.

    TPRM fasst alle Informationen zu Drittparteirisiken in einer zentralen Umgebung zusammen.

    Die folgenden Schlüsselfunktionen können Ihnen helfen, Risiken effektiver zu bewerten:
    • Workflows für Onboarding, Offboarding, Verlängerungen und zusätzliche Sorgfaltspflichten
    • Bewertungsmanagement
    • Kontinuierliche Risikoüberwachung
    • Risiko-Leistungs-Management

    Risikomanagement von Drittparteien-Benutzer

    Tabelle : 1. Anwender
    Anwender Beschreibung
    Anfordernde Personen mit Sorgfaltspflicht Anfordernde Personen können alle Mitarbeiter in Ihrer Organisation sein, die an der Einarbeitung, Neubewertung oder dem Offboarden einer Interaktion interessiert sind.

    Weitere Informationen zu den verschiedenen Typen von Sorgfaltspflicht-Anforderungen finden Sie unter Sorgfaltspflicht für Risikomanagement von Drittparteien anfordern.
    TPRM Beurteiler TPRM Beurteiler sind Mitglieder des Risikomanager-Teams, die bei der Minimierung des Risikos einer potenziellen Interaktion helfen, indem sie Informationen überprüfen, die im Rahmen des Sorgfaltspflicht-Prozesses gesammelt wurden. Sie können basierend auf ihrer Erfahrung oder ihrem Wissen über die Interaktion potenziell als Verantwortliche für Sorgfaltspflicht-Anforderungen zugewiesen werden.
    Im Folgenden finden Sie einige Beispiele für verschiedene Arten von Gutachtern und deren Auswirkungen auf den Sorgfaltspflichtprozess für TPRM:

    • Compliance-Risikogutachter: Bestätigt, dass Interaktionen Branchenstandards, rechtlichen Anforderungen und vertraglichen Verpflichtungen entsprechen. Sie überprüfen regelmäßig Einbindungsprozesse und -aktivitäten, um die Compliance sicherzustellen.

    • Gutachter für Cybersicherheitsrisiken: Bewertet die Cybersicherheitspraktiken und -infrastrukturen von Interaktionen, um sich vor Datenschutzverletzungen und Cyberbedrohungen zu schützen. Sie überprüfen regelmäßig die Sicherheitsmaßnahmen der Interaktion und schlagen erforderliche Verbesserungen vor.

    • Gutachter für Betriebsrisiken: Analysiert die vorhandenen operativen Praktiken von Interaktionen und konzentriert sich dabei auf Aspekte wie Geschäftskontinuität, Lieferkettenlogik und Servicequalität. Sie überprüfen regelmäßig die operativen Praktiken der Interaktion, um sicherzustellen, dass sie den Standards der Organisation entsprechen und dass geeignete Notfallmaßnahmen für potenzielle Unterbrechungen vorhanden sind.
    TPRM Genehmiger

    TPRM Bei den Genehmigern handelt es sich in der Regel um hochrangige Mitglieder der Organisation. Sie sind für die abschließende Überprüfung und Genehmigung der Ergebnisse der Sorgfaltspflicht verantwortlich. Sie helfen zu bestätigen, dass alle Risikomanagementanforderungen zufriedenstellend erfüllt wurden, bevor mit einem Drittpartei-Projekt fortgefahren wird, unabhängig davon, ob es sich um das Onboarding, die Fortsetzung oder das Offboarden eines Projekts handelt.

    Hier sind einige Beispiele für verschiedene Arten von Genehmigern:

    • Senior Risk Manager: Überwacht die Risikomanagementstrategien und die Ausrichtung an den Unternehmenszielen.
    • Chief Compliance Officer: Verantwortlich für die Einhaltung rechtlicher Standards und interner Richtlinien durch das Unternehmen.
    • Rechtlicher Mitarbeiter: Ein leitendes Mitglied des Rechtsteams, das sicherstellt, dass alle vertraglichen und gesetzlichen Anforderungen erfüllt werden.
    Vertragsverhandler Vertragsverhandler orchestrieren und finalisieren Vereinbarungen zwischen Ihrer Organisation und potenziellen Interaktionen. Sie verwenden alle im Rahmen des Sorgfaltspflichtprozesses gesammelten Informationen, um sicherzustellen, dass alle Verträge Ihre strategischen Interessen widerspiegeln und Ihren Risikomanagementprotokollen entsprechen.
    Risikomanager Risikomanager führen gründliche Risikobewertungen von Drittparteien und Interaktionen durch. Basierend auf den Informationen, die der Risikomanager und sein Team gesammelt und überprüft haben, priorisieren sie Risiken, entwickeln Risikominderungsstrategien und verwenden TPRM, um laufende Beziehungen zu Drittparteien effektiv zu überwachen und zu verwalten.
    TPRM-Administrator Administratoren verwalten Anwenderrollen, Berechtigungen und Systemeinstellungen, um TPRM so einzurichten, dass die spezifischen Risikomanagement-Anforderungen und Compliance-Anforderungen Ihrer Organisation erfüllt werden.

    Weitere Informationen zu TPRM -Rollen finden Sie unter Rollen in Risikomanagement von Drittparteien.

    Risikomanagement von Drittparteien – Workflow

    Die folgende Infografik zeigt den Workflow der wichtigsten -Prozesse, mit denen Sie Risiken verwalten können.


    Infografik, die zeigt, wo die Prozesse im Sorgfaltspflicht-Workflow ausgeführt werden. Die Textbeschreibung finden Sie in den folgenden Workflow-Schritten.
    Fordert die Sorgfaltspflicht für eine Interaktion an

    Ein Mitarbeiter Ihrer Organisation fordert die Sorgfaltspflicht für eine Drittpartei-Interaktion an. Die Sorgfaltspflicht-Anforderung wird vom Manager für Drittparteirisiken (TPR) [sn_vdr_risk_asmt.vendor_risk_manager] geprüft und genehmigt.

    Weitere Informationen finden Sie unter Sorgfaltspflicht für Risikomanagement von Drittparteien anfordern.
    Risiko anhand einer internen Risikobewertung mit einem Fragebogen zum inhärenten Risiko (IRQ) bewerten

    Ein IRQ ist eine Reihe von Fragen, mit denen die erforderliche Sorgfaltspflicht der Drittparteien oder Interaktionen bewertet und definiert wird. Nachdem die Sorgfaltspflicht-Anforderung vom TPR-Manager oder TPR-Gutachter [sn_vdr_risk_asmt.vendor_assessor], der als Besitzer der Sorgfaltspflicht-Anforderung zugewiesen wurde, genehmigt wurde, wählt er einen IRQ aus und hängt ihn an eine interne Bewertung an.

    Hinweis:
    Nachdem der IRQ-Prozess in den Status „IRQ in Bearbeitung“ versetzt wurde, können Sie Risikointelligenzberichte anfordern, die Ihrer Sorgfaltspflicht-Anforderung zugeordnet sind. Weitere Informationen finden Sie unter Mithilfe von Risikointelligenz-Berichten und -Punktzahlen und Risikointelligenz-Bericht anfordern, der einer Sorgfaltspflicht-Anforderung zugeordnet ist.

    Weitere Informationen finden Sie unter Ihr Drittparteirisiko wird bewertet.

    Drittpartei-Elemente und deren Entitäten erstellen

    Nachdem Ihre Sorgfaltspflicht-Anforderung den IRQ-Prozess abgeschlossen hat und TP-Elemente erforderlich sind, wählt der TPR-Manager oder Besitzer der Sorgfaltspflicht-Anforderung Sammlung starten aus, und es wird eine Sammlungsaufgabe erstellt. Ein Drittpartei-Elementfragebogen wird an den Interaktionskontakt gesendet. Der TPR-Manager oder -Besitzer erstellt basierend auf den Antworten manuell Datensätze für Drittparteielemente. Entitätsdatensätze werden für jedes Element automatisch generiert. Der TPR-Manager oder Besitzer fügt diese Elemente dann manuell als Entitäten hinzu.

    Weitere Informationen finden Sie unter Ihr Drittparteirisiko wird bewertet und Elemente von Drittparteien werden überwacht.

    Bewerten Sie das Risiko mithilfe einer externen Risikobewertung
    Nach Abschluss des IRQ-Prozesses oder des TP-Elemente-Sammlungsprozesses wählt der TPR-Manager oder -Besitzer Fragebogen aus und fordert Dokumentation an, um sie an externe Bewertungen anzuhängen und an die Drittpartei oder Interaktion zu senden. Weitere Informationen zum Erstellen von Bewertungen finden Sie unter Erstellen Sie eine externe Risikobewertung und Formular „Drittpartei-Risikobewertung“..

    Weitere Informationen zu diesem Prozess finden Sie unter Ihr Drittparteirisiko wird bewertet und Elemente von Drittparteien werden überwacht.

    Hinweis:
    Wenn Sie Risk Intelligence integriert haben, werden zu diesem Zeitpunkt relevante Informationen abgerufen.
    Integrieren Sie Punktzahlen mithilfe von Risk Intelligence-Anbietern

    Ihre Organisation kann Services von Anbietern erwerben, die Daten zurückgeben, die den persönlichen Kreditpunktzahlen entsprechen. Die Punktzahlen geben Aufschluss darüber, wie vertrauenswürdig und sicher eine bestimmte Drittpartei sein kann.

    Weitere Informationen finden Sie unter Integration von Punktzahlen von Risk Intelligence-Anbietern.

    Risikointelligenz-Berichte und -Punktzahlen anfordern

    Wenn Sie der TPR-Gutachter und der Besitzer der Sorgfaltspflicht-Anforderung sind oder die Rolle „TPR-Manager“ innehaben, können Sie die Anwendung TPRM verwenden, um über das Risikointelligenz-Anforderungsformular Punktzahlen oder Berichte für Drittparteien anzufordern. Nachdem die Berichte und Punktzahlen vom Risk Intelligence-Anbieter generiert wurden, werden die Links zu diesen Berichten bereitgestellt und dem betreffenden Risikointelligenz-Berichtsdatensatz zugeordnet. Wenn Sie Risk Intelligence integriert haben, werden zu diesem Zeitpunkt relevante Informationen abgerufen. Weitere Informationen finden Sie unter Mithilfe von Risikointelligenz-Berichten und -Punktzahlen.

    Zeigen Sie Punktzahlen und zugehörige Informationen an

    Die gesammelten Informationen werden bewertet und in einer einzigen Ansicht des Sorgfaltspflicht-Prozesses kombiniert, um alle Punktzahlen, abgeschlossenen Fragebogen, Probleme, Genehmigungen und Kommentare anzuzeigen.

    Weitere Informationen zur Bewertung finden Sie unter Risikobewertungen und Punktzahlberechnungen durch Drittparteien und Verifizierung von Risikobewertungen und Punktzahlberechnungen. Unter Bewertungskonfiguration finden Sie Informationen dazu, wie die Punktzahl auf Bewertungs- und Fragebogenebene konfiguriert werden kann.

    Genehmigen Sie Sorgfaltspflicht-Anforderungen

    Alle Genehmiger können die Sorgfaltspflicht überprüfen und detaillierte Informationen anzeigen, bevor sie eine Genehmigung erteilen. Nachdem alle Genehmiger die Sorgfaltspflicht-Anforderung genehmigt haben, können der Person, die den Vertrag verhandelt, alle Sorgfaltspflicht-Informationen zur Verfügung gestellt werden. Der Vertragsrisikoprozess gilt nur, wenn ein Vertrag erforderlich ist.

    Weitere Informationen finden Sie unter Anforderungen für Sorgfaltspflicht werden genehmigt oder abgelehnt.

    Einen Vertrag aushandeln

    Der Vertragsverhandler kann die detaillierten Informationen aller Punktzahlen und Fragebogen anzeigen. Wenn zusätzliche Sorgfaltspflicht erforderlich ist, kann sie diese anfordern. Wenn der Vertragsverhandler einen Vertrag mit der Drittpartei erfolgreich ausführt, kann er ihn hochladen und angeben, dass der Vertrag ausgeführt wird. Diese Aktion benachrichtigt automatisch alle wichtigen Stakeholder über den Status des Vertrags. Der Vertragsverhandler kann auch den Vertragsrisikoprozess überspringen, die Sorgfaltspflicht-Anforderung ablehnen oder angeben, dass der Vertrag nicht ausgeführt wird und die Drittpartei nicht geschäftlich tätig ist.

    Hinweis:
    Wenn der für das Drittparteirisiko zuständige Manager oder Besitzer während des Sorgfaltspflichtprozesses die Option Vertragsrisikoprozess überspringen auswählt, wird der zugewiesene Vertragsverhandler nicht benachrichtigt, und der Status „Vertragsrisikoprozess“ wird übersprungen. Ein Genehmiger und Besitzer können die Auswahl Vertragsrisikoprozess überspringen, bis der Genehmigungsprozess abgeschlossen ist aktualisieren. Weitere Informationen zu diesem Prozess finden Sie unter Prozessmanagement für Sorgfaltspflicht-Anforderungen.

    Weitere Informationen zu diesem Prozess finden Sie unter Verwaltung des Vertragsrisikoprozesses.

    Überwachen Sie das Risiko von Drittparteien
    TPR-Manager, TPR-Gutachter und Drittpartei-Bewertungsprüfer [sn_vdr_risk_asmt.vendor_assessment_reviewer] können die Leistung von Drittparteien mit Vendor Management-Arbeitsbereichüberwachen und überprüfen.

    Weitere Informationen finden Sie unter Überwachung Ihres Drittparteirisikos.

    Verwalten Sie das Drittparteiportal

    TPR-Manager können über das Drittparteiportal Drittparteikontakte verwalten, einschließlich Anmeldungen erstellen, Rollen zuweisen und den Fortschritt bei Fragebogen und Aufgaben nachverfolgen. Drittparteikontakte können über das -Portal auf Bewertungen reagieren, Aufgaben delegieren und ihre Informationen verwalten. Für ihre Antworten können sie Microsoft Excel-Vorlagen oder den SIG-Fragebogen verwenden.

    Weitere Informationen finden Sie unter Verwaltung des Vertragsrisikoprozesses.

    Eine ausführliche Beschreibung des TPRM Sorgfaltspflicht-Workflows finden Sie unter Sorgfaltspflicht-Workflow.

    Hinweis:
    Ab Version 19.1.x der Anwendung „Risikomanagement von Drittparteien“ sind der Abstufungsfragebogen und die Workflows für externe Bewertungserinnerungen veraltet und werden zu Workflow-Studiomigriert. Wenn Sie diese Workflows angepasst haben, werden sie im Rahmen dieses Change nicht veraltet oder migriert.

    Risikomanagement von Drittparteien – Vorteile

    Die folgende Tabelle zeigt die Vorteile der Anwendung Risikomanagement von Drittparteien.

    Leistung Funktion Anwender
    Zeigen Sie wichtige Risikoinformationen an, und greifen Sie schnell auf Aktionen zu. Homepage von TPRM Alle TPRM Anwender
    Verwenden Sie Sorgfaltspflicht-Managementberichte, um Verantwortlichkeiten nachzuverfolgen, zu priorisieren und zu verwalten. TPRM Sorgfaltspflicht-Managementberichte Alle TPRM Anwender
    Identifizieren und bewerten Sie das potenzielle Risiko, das mit Ihrer Drittparteibeziehung verbunden ist. TPRM Risikoaktivitätsseite Alle TPRM Anwender
    Bestimmen Sie die geografischen Standorte aktiver Drittparteien und Interaktionen. Sie können Filter konfigurieren, um bestimmte Risikobewertungen und Interaktionstypen anzuzeigen. TPRM Risikokonzentrationskarte Alle TPRM Anwender
    Priorisieren Sie Bewertungen, Probleme und Aufgaben, die Aufmerksamkeit erfordern. TPRM Risikoaktivitätsseite Alle TPRM Anwender
    Greifen Sie auf Aufgaben zu, die Ihnen und Mitgliedern Ihrer Gruppe zugewiesen sind. TPRM Aufgabenseite Alle TPRM Anwender
    Greifen Sie auf alle Elemente zu, die Sie in TPRManzeigen oder bearbeiten können. TPRM Listenseite Alle TPRM Anwender
    Verwenden Sie die Interaktionsseite, um auf alle aktuellen Informationen und Status für eine Drittpartei oder Interaktion zuzugreifen. Verschaffen Sie sich einen Überblick über eine Drittpartei Alle internen Benutzer
    Importieren Sie vorhandene Daten (Drittparteien, Interaktionen, Bewertungen, Fragebogen, Probleme usw.) aus anderen Systemen (z. B. Aravo -Plattform, ProcessUnity -Plattform usw.). Der Import der Daten wird Ihnen nicht berechnet. Vorhandene Daten aus anderen Systemen importieren TPR-Manager und TPR-Administratoren
    Alle Prozesse im Workflow für eine Sorgfaltspflicht-Anforderung bearbeiten: IRQs, externe Sorgfaltspflicht, Genehmigung, Vertragsrisiko und geschlossene Anforderungen. Überwachung des Prozesses der Sorgfaltspflicht-Anforderung TPR-Manager und TPR-Administratoren
    Verwenden Sie das Drittparteiportal als primären Interaktionspunkt für Drittparteien und Risikogutachter. Verwaltung des Drittparteiportals TPR-Manager, TPR-Gutachter und Drittparteien

    Weitere Informationen zur in TPRMverwendeten Terminologie finden Sie unter Terminologie.

    Empfehlungen für weitere Themen

    Weitere Informationen über die Konfiguration und den Einsatz von Risikomanagement von Drittparteien finden Sie unter: