Elemente von Drittparteien werden überwacht

  • Freigeben Version: Yokohama
  • Aktualisiert 30. Januar 2025
  • 4 Minuten Lesedauer

    • Mit der Anwendung Risikomanagement von Drittparteien können Sie Elemente von Drittparteien durch skalierbare Bewertungsmodelle, Beziehungsanalysen und die Integration von Sorgfaltspflicht-Workflows überwachen. Die Überwachung von Drittparteielementen und die Nutzung dieser Informationen können bei der Durchführung fundierterer Risikobewertungen als Teil Ihres Drittparteirisikoprogramms helfen.

    Übersicht über Drittpartei-Elemente

    Drittpartei-Elemente (TP-Elemente) sind die externen Organisationen, auf die sich eine Interaktion verlässt, um Waren, Services oder Support bereitzustellen. Zu diesen Organisationen können Lieferanten, Auftragnehmer, Einrichtungen, Personen oder andere externe Organisationen gehören, die auf die Systeme, Daten oder Einrichtungen der Interaktion zugreifen können.

    Sehen wir uns einige Beispiele für TP-Elementklassen und -risiken an:
    Rechenzentrum
    Eine Einrichtung oder ein Standort, an die eine Interaktion oder eine Drittpartei die Speicherung, Verarbeitung und Verwaltung ihrer Daten und IT-Infrastruktur auslagert. In einem Rechenzentrum kann es zu einer Datenschutzverletzung, Ausfallzeit oder Compliance-Verletzung kommen, die die Interaktionen unerwarteten Risiken aussetzt. Dieses Beispiel wird als Facility TP-Element klassifiziert.
    Produktionsanlage
    Eine Einrichtung oder ein Standort, an die eine Interaktion oder eine Drittpartei die Produktion oder Komponentengruppe ihrer Produkte auslagert. In einer Produktionsanlage kann es zu einer Unterbrechung der Lieferkette, einem gefälschten Teil oder einem Problem mit der Compliance mit Vorschriften kommen, das die Interaktionen unerwarteten Risiken aussetzt. Dieses Beispiel wird als Facility TP-Element klassifiziert.
    Begünstigter Besitzer
    Eine Person, die eine Organisation besitzt oder steuert, die an einer Geschäftsbeziehung oder Transaktion beteiligt ist. Diese Personen sind möglicherweise nicht die eingetragenen oder rechtmäßigen Besitzer der Organisation, haben jedoch erheblichen Einfluss oder Kontrolle über deren Betrieb, Entscheidungsfindung oder finanzielle Angelegenheiten. Dieses Beispiel würde als TP-Prinzipalelement klassifiziert.

    Die folgende Infografik zeigt den TP-Element-Sammlungsprozess.


    Infografik, die den Sammlungsprozess für TP-Elemente im Sorgfaltspflicht-Workflow zeigt. Die Textbeschreibung finden Sie im folgenden Text.

    Weitere Informationen zu Drittpartei-Elementen (TP) und Beispiele zu den zugehörigen Steuerungen und potenziellen Risiken finden Sie unter Terminologie.

    Sammeln und Überprüfen von Drittpartei-Elementen

    Das Sammeln und Überprüfen von Drittpartei-Elementen ist optional. Wenn Sie die Rolle Gutachter für Drittparteirisiken (TPR) [sn_vdr_risk_asmt.vendor_assessor] innehaben und der Besitzer der Sorgfaltspflicht-Anforderung oder der TPR-Manager [sn_vdr_risk_asmt.vendor_risk_manager] sind, können Sie diesen Prozess starten, nachdem Ihre Sorgfaltspflicht-Anforderung das inhärente Risiko abgeschlossen hat Fragebogenprozess (IRQ)

    Führen Sie den folgenden Prozess aus, um TP-Elemente zu sammeln und zu überprüfen:
    1. Wenn in Vendor Management-ArbeitsbereichTP-Elemente benötigt werden, wählt der Manager für Drittparteirisiken (TPR) oder der Besitzer der Sorgfaltspflicht-Anforderung Sammlung starten aus. Daraufhin wird eine Sammlungsaufgabe erstellt.
    2. Der TPR-Manager oder -Besitzer öffnet die externe Bewertung zum Sammeln von Elementen und fügt die relevanten Fragebogen zur TP-Elementsammlung hinzu.
    3. Der TPR-Manager oder -Besitzer prüft und genehmigt die Fragebögen, und sie werden dann an die Interaktion gesendet. Weitere Informationen zu Bewertungen finden Sie unter Ihr Drittparteirisiko wird bewertet.
    4. In Vendor Management-Arbeitsbereichöffnet der TPR-Manager oder Besitzer die Fragebogen und verifiziert, ob alle erforderlichen Informationen angegeben wurden.
    5. Der TPR-Manager oder -Besitzer navigiert dann zur Liste der TP-Elemente und erstellt manuell einen TP-Elementdatensatz für jeden Satz von Antworten in jedem Fragebogen.
    6. Nachdem alle TP-Elemente erstellt wurden, schließt der TPR-Manager oder Besitzer die Erfassungsaufgabenbewertung. Das System ändert den Status der Anforderung von Sammlung in Bearbeitung in Sammlung in Überprüfung.
    7. Die internen Stakeholder (TPR-Gutachter, TPR-Genehmiger, TPR-Manager oder TPR-Administrator) überprüfen und genehmigen die Elementdatensätze.
    Weitere Informationen finden Sie unter Erstellen Sie einen Drittpartei-Elementdatensatz.

    Hinzufügen von Drittparteielementen zu Interaktionen

    Nachdem die TP-Elemente vom TPR-Manager und internen Stakeholdern in Vendor Management-Arbeitsbereichgeprüft und genehmigt wurden, öffnet der TPR-Manager oder Besitzer die Interaktion und fügt die geprüften und genehmigten TP-Elemente manuell als Entitäten auf der Registerkarte Entitäten der Interaktion hinzu. Weitere Informationen finden Sie unter Fügt einer Interaktion einen Drittpartei-Elementdatensatz hinzu. Nachdem Sie alle TP-Elemententitäten zu einer Interaktion hinzugefügt haben, können Sie den Sorgfaltspflichtprozess starten. Während des Sorgfaltspflichtprozesses müssen Sie für jedes von Ihnen erstellte TP-Element einen Fragebogen als Teil einer externen Bewertung auswählen und zuweisen. Der Drittparteikontakt füllt die TP-Elementfragebogen aus. Weitere Informationen finden Sie unter Ihr Drittparteirisiko wird bewertet.

    Bewertung von Drittparteielementen

    Sie können jedes TP-Element in einen der folgenden Typen kategorisieren: Facility, Produkt, Prinzipal oder Sonstige. Diese Klassifizierung hilft Ihnen bei der Organisation der Bewertungskriterien und der anschließenden Bewertung. Die Punktzahl für ein TP-Element wird bestimmt, indem die Risikobewertungen aus den zugehörigen Drittpartei-Risikobewertungen gemittelt werden. Wenn Sie mehrere Bewertungen für dasselbe TP-Element durchführen, berücksichtigt das System für die Punktzahlbewertung nur die neueste Bewertung für jede Interaktion und ignoriert Duplikate. Mit diesem Prozess wird sichergestellt, dass die Risikobewertung des TP-Elements die aktuelle Bewertung widerspiegelt. Wenn beispielsweise für ein TP-Element Bewertungen mit sehr hohen und sehr niedrigen Risikobewertungen vorliegen, führt der Durchschnitt dieser Bewertungen dazu, dass das Gesamtrisiko moderat ist.

    Nachdem ein Element bewertet und eine Risikobewertung bestimmt wurde, wird diese Bewertung zunächst zu einer Komponentenpunktzahl aggregiert, die auf seiner Klassifizierung basiert, z. B. Facility. Beispielsweise werden alle Elemente vom Typ „Einrichtung“ zu einer einzigen Komponentenpunktzahl zusammengefasst, die zur Gesamtpunktzahl der Interaktion beiträgt. Die Interaktionspunktzahl wird dann zusammengestellt, indem die Punktzahlen aus allen relevanten Komponentenpunktzahlen innerhalb dieser Interaktion aggregiert werden. Wenn sich mehrere Bewertungen oder TP-Elemente innerhalb einer Interaktion befinden, wird jedes einzeln bewertet und dann kombiniert, um die Gesamtpunktzahl für die Interaktion zu bilden. Die Interaktionspunktzahl wird dann auf Ebene der Drittpartei zusammengefasst, indem die Punktzahlen aus allen Interaktionen zusammengefasst werden, die einer bestimmten Drittpartei zugeordnet sind. Die Zusammenfassung auf dieser Ebene kann je nach den im System festgelegten Bewertungsregeln auf anderen Regeln basieren, z. B. auf der Ermittlung der Mittelung oder der Ermittlung der minimalen oder maximalen Punktzahlen. Diese Rollup-Punktzahl stellt die Gesamtrisiko- oder Leistungspunktzahl der Drittpartei dar und spiegelt alle Interaktionen und Elemente wider, die ihr zugeordnet sind.

    Hinweis:
    Sie können Ihre eigenen TP-Elementklassifizierungen erstellen, um die spezifischen Risikoprogrammanforderungen zu erfüllen. Weitere Informationen zum Erstellen von Klassifizierungen und zum Zuweisen von Gewichtungen für die Bewertung finden Sie unter Drittpartei-Elementformular und Definieren Sie Komponentenkriterien.