Gestione delle risorse di terze parti
Un ambiente TPRM (Third Party Risk Management o Gestione del rischio di terze parti) comprende solitamente numerose terze parti. È possibile utilizzare l'inventario delle risorse di terze parti per inserire e gestire i cicli di vita di queste ultime, avviare valutazioni e calcolare i livelli di criticità e i punteggi di rischio. Inoltre, è possibile utilizzare i punteggi e i finding dei rischi per stabilire le priorità delle attività e identificare e correggere i rischi potenziali.
La combinazione di diversi elementi contribuisce a creare un solido framework TPRM. L'inventario delle risorse di terze parti è un elemento chiave di questo framework e funziona con molti elementi sottostanti.
Elementi di un inventario delle risorse TPRM
Gli elementi di supporto in un inventario delle risorse di terze parti includono principalmente le terze parti coinvolte, gli utenti, gli stati del flusso di lavoro del ciclo di vita e le valutazioni. Tutti questi elementi sono presentati come attributi diversi nell'inventario delle risorse per raccogliere informazioni su una terza parte. Quando vengono raccolte e aggiornate tutte queste informazioni necessarie in Gestione del rischio di terze parti, è possibile iniziare a monitorare e valutare le diverse terze parti ed eliminare i rischi in modo tempestivo.
Mostra di più
| Elemento TPRM | Descrizione | Esempio |
|---|---|---|
| Risorsa | Rappresenta una terza parte in fase di valutazione. | Prodotti, venditori, partner e fornitori di servizi |
| Utente | I ruoli sono assegnati agli utenti per possedere, avviare, portare avanti, monitorare e completare il ciclo di vita delle terze parti. | Gestore del rischio, Proprietario di business, Proprietario di terze parti |
| Stati del flusso di lavoro | Diverse fasi del ciclo di vita di una terza parte, durante le quali gli utenti arricchiscono gli attributi, attivano le valutazioni, calcolano i punteggi di rischio e revisionano i risultati. |
Bozza, Registrato, Categorizzato, Attivo, Archiviato |
| Valutazione | Questionari inviati agli utenti per raccogliere le risposte che aiutano a calcolare i livelli di criticità o i punteggi di rischio. |
Valutazione della categorizzazione (SIG Lite or CAIQ Lite) |
Come funziona
Il flusso di lavoro di Gestione del rischio di terze parti si svolge principalmente nell'applicazione Inventario delle risorse:
- Creare una risorsa di terze parti Aggiungere una risorsa di terze parti all'inventario delle risorse.
- Registrare la terza parte Aggiungere dettagli critici alla risorsa per renderla pronta per il processo di valutazione del rischio.
- Categorizzare la terza parte Utilizzare una valutazione automatica della criticità per assegnare una priorità alle terze parti, identificando quelle che sono strategiche per l'organizzazione.
- Valutare il livello di rischio Utilizzare una valutazione del rischio standard automatizzata (SIG Lite o CAIQ Lite) per valutare i rischi di terze parti e creare finding da affrontare.
- Attivare la terza parte Approvare e attivare la terza parte in modo da poter iniziare a mitigare i rischi a essa associati.
- Utilizzare i robot per importare i dati delle risorse e dei record in Risultati Utilizzare un robot del workflow per importare i dati delle risorse e dei record in Risultati. In Robot è possibile gestire anche le impostazioni di importazione; ad esempio, è possibile impostare il robot del workflow in modo che importi i dati ogni giorno alla stessa ora.
- Visualizzare i dati delle risorse e dei record Visualizzare i dati importati in Risultati, in tabelle dedicate, in modo da poter monitorare gli sforzi di mitigazione del rischio e identificare gli elementi di azione rimanenti.
- Archiviare la terza parte Se necessario, è possibile archiviare una terza parte in modo da conservare un record delle informazioni a essa associate ma senza dover più mitigare i rischi per essa.
1. Creare una risorsa di terze parti
Una terza parte viene identificata e gestita come risorsa in Gestione del rischio di terze parti. È necessario inserire ogni terza parte valutata come risorsa in Inventario delle risorse.
Quando si aggiunge una terza parte, questa viene inserita nello stato del flusso di lavoro Bozza.
Ecco un esempio
Scenario
Ipotizziamo che l'organizzazione collabora con 5 terze parti e, in qualità di Gestore del rischio, ci viene assegnato il compito di aggiungere tutte le terze parti in Gestione del rischio di terze parti per iniziare la gestione del loro ciclo di vita.
Passaggi per aggiungere terze parti
Innanzitutto, creiamo tutte e 5 le terze parti come risorse di Gestione del rischio di terze parti, una per ogni terza parte da valutare. Per ogni terza parte aggiungi:
- In Inventario delle risorse, fare clic sul tipo di risorsa di terze parti, quindi su Aggiungi terza parte.
- Nella finestra di dialogo Aggiungi terza parte, inserire un nome per la terza parte e fare clic su Aggiungi.
Per i passaggi dettagliati, consultare Lavorare con le risorse.
Risultato
Dopo aver aggiunto una risorsa di terze parti, viene visualizzata la pagina dei dettagli della risorsa, quindi puoi procedere con il resto del flusso di lavoro. Quando torni alla dashboard Inventario delle risorse di terze parti, puoi vedere tutte le terze parti della tua organizzazione e visualizzare informazioni dettagliate su di esse.
La registrazione e la categorizzazione aiutano a dare priorità alle attività di terze parti e a rimediare ai rischi a esse associati.
2. Registrare la terza parte
Durante la registrazione di una risorsa di terze parti, è necessario aggiungere altri dettagli critici per farla avanzare allo stato successivo del flusso di lavoro nel ciclo di vita della risorsa. È possibile visualizzare e modificare gli attributi di una risorsa nella scheda Dettagli. I seguenti attributi sono obbligatori per registrare una risorsa di terze parti:
- Proprietario di business Utente responsabile di tutte le informazioni corrispondenti a una risorsa di terze parti. Ad esempio, un contatto di business primario per una risorsa di terze parti, di un particolare dipartimento o team di acquisizione.
- Gestore del rischio Utente responsabile dell'avanzamento del ciclo di vita della terza parte analizzando le risposte e i record di valutazione. Ad esempio, un analista TPRM dell'organizzazione.
- Tipo di terza parte Specifica se la risorsa è un prodotto o un servizio di terze parti. Ad esempio, una sottoscrizione a un servizio basato su cloud è un Servizio, mentre un sistema di controllo dell'accesso degli utenti on-premise è un Prodotto.
- Descrizione della terza parte Breve descrizione della risorsa di terze parti.
Per registrare una risorsa di terze parti:
- Inserire i valori degli attributi obbligatori di cui sopra e di qualsiasi altro attributo applicabile e fare clic su Salva modifiche.
-
Nel flusso di lavoro visivo disponibile nella parte superiore della pagina, selezionare Bozza > Registra o Azioni > Registra.
Risultato La Gestione del rischio di terze parti convalida che la risorsa di terze parti abbia tutti i valori obbligatori e questa passa allo stato Registrato.
3. Categorizzare la terza parte
La categorizzazione di una terza parte implica la valutazione dell'impatto critico di una terza parte sull'organizzazione e l'assegnazione di un livello di criticità. L'assegnazione del corretto livello di criticità a una terza parte è determinante, in quanto definisce la quantità di controlli e attenzione che occorre dedicare alle attività di manutenzione di tale risorsa.
Che cos'è un livello di criticità?
Il livello di criticità indica il livello di impatto che i rischi associati a una terza parte possono avere sul business. Il livello di criticità di una terza parte è determinato da diversi fattori, quali l'accesso a informazioni sensibili, tra cui i dati dei clienti, la compromissione del business, l'importanza finanziaria e la reputazione.
I livelli di criticità disponibili in Gestione del rischio di terze parti sono:
- Critica
- Alta
- Medio
- Basso
Esempio
La tabella seguente mostra un esempio dei livelli di criticità assegnati a diverse terze parti che collaborano con un'azienda di e-commerce.
| Terza parte | Aspetto di criticità per il business | Livello di criticità |
|---|---|---|
| Servizio di gateway di pagamento | L'interruzione comprometterebbe sicuramente il business | Critica |
| Servizio di fatturazione delle transazioni | L'interruzione può compromettere il business | Alta |
| Servizio CRM | L'interruzione non compromette il business, ma potrebbe ridurre la soddisfazione dei clienti | Medio |
| Cancelleria per ufficio | L'interruzione non compromette il business e non comporta altri rischi immediati | Basso |
L'attributo obbligatorio per categorizzare una risorsa di terze parti è il Livello di criticità di terze parti.
È possibile utilizzare le metriche di valutazione interne all'organizzazione e assegnare il livello di criticità per una terza parte o utilizzare la valutazione di categorizzazione fornita con la soluzione.
Determinare i livelli di criticità attraverso valutazioni di categorizzazione
Per maggiori informazioni su come determinare i livelli di criticità attraverso valutazioni di categorizzazione, consultare Punteggio di valutazione per le risorse di terze parti.
È possibile avviare il processo di categorizzazione selezionando Registrato > Categorizza nel flusso di lavoro visivo o Azioni > Categorizza dall'angolo superiore destro della pagina. Lo stato della terza parte cambia in Categorizzazione in sospeso. Una volta assegnato il livello di criticità (manualmente o attraverso la valutazione della categorizzazione), salvare i dettagli e selezionare Approva. La risorsa di terze parti passa allo stato Categorizzato.
Mostra un esempio di categorizzazione di una risorsa di terze parti
Scenario
Hai registrato 5 risorse di terze parti e ora desideri categorizzarle. Utilizzando metriche e calcoli interni, assegni i livelli di criticità a 4 terze parti. Ti accorgi che il livello di criticità di una terza parte non è stato valutato a causa di informazioni mancanti. Decidi di utilizzare la valutazione della categorizzazione fornita nella soluzione.
Passaggi per categorizzare le risorse di terze parti
Per ciascuna delle 4 risorse di terze parti per cui hai inserito i livelli di criticità, aprire la pagina di dettaglio della risorsa corrispondente. Nella scheda Dettagli, selezionare il livello appropriato nel campo Livello di criticità. Salvare i dettagli e selezionare Categorizzazione in sospeso > Approva.
Per la terza parte per cui si desidera determinare il livello di criticità, aprire la pagina dei dettagli della risorsa e selezionare Categorizzazione in sospeso > Avvia valutazione della categorizzazione. Nel pannello Invia questionario, inserire il nome o l'indirizzo e-mail della persona (di solito il Proprietario di business della risorsa di terze parti) che può inserire le informazioni richieste. Quando le risposte vengono inviate, Diligent One calcola il livello di criticità e lo assegna automaticamente alla risorsa di terze parti. Verificare il punteggio e selezionare Categorizzazione in sospeso > Approva.
Risultato
Le risorse di terze parti sono ora categorizzate in base ai livelli di criticità e passano allo stato Categorizzato. A questo punto puoi stabilire la priorità delle attività per le terze parti in base ai livelli di criticità e procedere alla valutazione dei rischi.
Saltare la valutazione del rischio per una risorsa a bassa criticità
Esistono situazioni in cui le risorse di terze parti presentano una bassa criticità (ad esempio, un fornitore di articoli di cancelleria per ufficio) e non si vuole dedicare tempo alla valutazione dei rischi associati a tali risorse. In questo caso, dopo aver classificato la risorsa di terze parti, è possibile saltare i passaggi di valutazione del rischio.
Ecco in che modo
Per saltare il processo di valutazione del rischio:
-
Selezionare Categorizzato > Revisione dal flusso di lavoro visivo o Azioni > Revisione.
La risorsa di terze parti passa allo stato di Revisione in sospeso.
- Nella scheda Dettagli, indicare i valori nei campi Valutazione del rischio complessivo e Motivazione della valutazione e fare clic su Salva modifiche.
-
Selezionare Revisione in sospeso > Attiva.
La risorsa di terze parti passa allo stato Attivo.
Una volta attivato, se si desidera valutare il rischio della terza parte in qualsiasi momento, è possibile utilizzare il flusso di lavoro (Facoltativo) Valutare nuovamente la terza parte.
4. Valutare il livello di rischio
Le valutazioni del rischio sono fondamentali per identificare i rischi associati alle terze parti. È possibile generare la valutazione del rischio per una terza parte e distribuirla a un intervistato identificato, in genere un Proprietario di terze parti. Una volta che l'intervistato ha inviato le proprie risposte, Diligent One calcola il punteggio e il livello di rischio e li inserisce automaticamente nei campi Livello di rischio SIG/CAIQ Lite e Punteggio del rischio. È possibile utilizzare questi punteggi del rischio per identificare i rischi, creare piani di rimedio e continuare o interrompere i servizi della terza parte.
Generare una valutazione del rischio
Gestione del rischio di terze parti supporta due modelli di valutazione: SIG Lite e CAIQ Lite. È possibile generare una di queste valutazioni, in base alla versione del kit di strumenti di Gestione del rischio di terze parti a cui l'organizzazione è sottoscritta.
Per generare una valutazione del rischio, selezionare Categorizzato > Valutazione del rischio nel flusso di lavoro visivo o Azioni > Valutazione del rischio. Gestione del rischio di terze parti genera la valutazione del rischio e la terza parte passa allo stato Valutazione in sospeso.
È possibile distribuire ulteriormente questa valutazione a un Proprietario di terze parti corrispondente.
Raccogliere le risposte per la valutazione del rischio
Dopo aver generato una valutazione del rischio, è necessario distribuirla al Proprietario di terze parti per raccogliere le risposte.
Per inviare la valutazione del rischio al Proprietario di terze parti, selezionare Valutazione in sospeso > Avvia valutazione del rischio nel flusso di lavoro visivo o Azioni > Avvia valutazione del rischio. Nel pannello Invia questionario, selezionare il questionario da inviare, inserire il nome o l'indirizzo e-mail della persona (di solito il Proprietario di terze parti della risorsa di terze parti) che può inserire le informazioni richieste e fare clic su Invia.
Revisionare e accettare il livello di rischio
Diligent One genera automaticamente un punteggio e un livello di rischio per una risorsa di terze parti in base alle risposte della valutazione. Il punteggio del rischio è un valore percentuale e i livelli di rischio possono essere Critico, Alto, Medio o Basso. Per ulteriori informazioni su come Gestione del rischio di terze parti calcola i punteggi di rischio, consultare Punteggio di valutazione per le risorse di terze parti.
Un Proprietario di business può revisionare il livello e il punteggio di rischio e selezionare Valutazione in sospeso > Accetta livello di rischio o Azioni > Accetta livello di rischio. Diligent One convalida che alla terza parte siano stati assegnati un punteggio e un livello di rischio e la sposta nello stato Revisione in sospeso.
Ecco un esempio di valutazione del rischio per una terza parte
Scenario
Una risorsa di terze parti nel tuo ambiente ha un livello di criticità alto e devi valutare il livello di rischio per determinare se è necessario creare dei piani di rimedio.
Passaggi per valutare il rischio di una risorsa di terze parti
- Il Gestore del rischio apre la pagina dei dettagli della risorsa di terze parti e seleziona Categorizzato > Valutazione del rischio.
-
La valutazione del rischio generata viene inviata al Proprietario di terze parti.
- Il Proprietario di business revisiona i livelli di rischio e seleziona Valutazione in sospeso > Accetta livello di rischio.
Una volta che il Proprietario di terze parti ha inviato le proprie risposte, Diligent One calcola il punteggio e il livello di rischio e li inserisce nei campi Livello di rischio e Punteggio del rischio.
Risultato
La risorsa di terze parti è ora valutata in base al rischio e passa allo stato di Revisione in sospeso.
Monitorare le issue con i finding
Se si riscontra una issue relativa a una risorsa di terze parti che deve essere affrontata, è possibile farlo creando un finding.
Nella scheda Panoramica, quando si visualizza una risorsa, è possibile espandere il cassetto Finding per visualizzare tutti i finding associati alla risorsa. Qui è possibile creare nuovi finding o monitorare il lavoro necessario per risolvere i finding esistenti.
Ecco un esempio di monitoraggio di un finding per una terza parte
Scenario
Durante la compilazione del questionario CAIQ Lite, il Proprietario di terze parti si rende conto che non effettui un test annuale dei meccanismi di backup o ripristino. Ti comunica che si tratta di una questione che dovreste approfondire insieme, così crei un finding per monitorare il lavoro.
Passaggi per affrontare un finding
- Per creare un nuovo finding, fare clic su Aggiungi finding, inserire un nome e fare clic su Aggiungi. Gestione del rischio di terze parti salva il finding e lo assegna automaticamente allo stato Aperto. Inserire gli attributi rilevanti per il finding e fare clic su Salva modifiche.
- Per lavorare sul finding, nel flusso di lavoro visivo fare clic su Apri > Avvia. Lo stato cambia in In corso. Inizi a creare un piano per programmare i test annuali e a elencare le caratteristiche di tali test.
- Quando il piano è pronto per essere sottoposto a revisione, fare clic su In corso > Revisione. Lo stato cambia in Revisione in sospeso. Chiedi al Proprietario di terze parti di revisionare i tuoi piani.
- Una volta completata la revisione, fare clic su Revisione in sospeso > Chiudi. Lo stato cambia in Chiuso.
Risultato
Hai affrontato la issue emersa durante la compilazione del questionario da parte del Proprietario di terze parti e ritieni che la tua terza parte sia di conseguenza più sicura.
5. Attivare la terza parte
Ora che un Proprietario di terze parti ha revisionato e approvato il punteggio e il livello di rischio, in qualità di Gestore del rischio è possibile revisionare gli attributi nella scheda Dettagli e attivare le terze parti. Gli attributi obbligatori per attivare una terza parte sono:
- Valutazione del rischio complessivo: selezionare una valutazione del rischio complessivo in base alla criticità e al livello di rischio della terza parte. È possibile selezionare un valore tra Critico, Alto, Medio e Basso.
- Motivazione della valutazione: fornire la motivazione che giustifica l'attribuzione della valutazione.
Per attivare la terza parte, salvare i dettagli e selezionare Revisione in sospeso > Attiva o Azioni > Attiva. Se vengono forniti i valori per gli attributi richiesti, la terza parte passa allo stato Attivo.
6. Utilizzare i robot per importare i dati delle risorse e dei record in Risultati
Dopo aver attivato le terze parti e aver iniziato a mitigare i rischi associati nell'Inventario delle risorse, è possibile utilizzare i robot del workflow per importare i dati delle risorse e dei record in Risultati, in modo da poterli visualizzare tutti in un unico posto.
Autorizzazioni e installazione
Analogamente a tutti gli altri robot del workflow, per lavorare con questi robot è necessario avere un'assegnazione come tipo di utente Amministratore di sistema con una sottoscrizione Professionale.
Dalla dashboard in Robot, selezionare Robot del workflow e cercare i robot reporting delle risorse e reporting dei record. Le precedenti installazioni di Gestione del rischio di terze parti non includevano questi robot, pertanto se non sono presenti contattare il rappresentante Diligent per assistenza.
Utilizzare i robot
Per ogni robot, è possibile decidere di eseguirlo quando è necessario oppure programmarlo in modo che venga eseguito regolarmente (ad esempio, una volta al giorno). Per maggiori informazioni, consultare Creare un'attività del robot per eseguire uno script.
Quando un robot viene eseguito, ricrea i dati ex novo in Risultati, in modo da evitare di visualizzare duplicati di terze parti esistenti o dati obsoleti di terze parti che erano stati eliminati.
Gli script di questi robot includono alcuni elementi che possono essere personalizzati. Ad esempio, è possibile personalizzare le etichette di alcuni campi in modo che appaiano in modo diverso in Risultati. È possibile contattare il proprio rappresentante Diligent per ricevere assistenza durante le personalizzazioni. Se si è in grado di modificare gli script, è possibile effettuare le personalizzazioni autonomamente. Per maggiori informazioni sullo scripting in Robot, consultare Script di Python e HCL in Robot.
7. Visualizzare i dati delle risorse e dei record
In Risultati, i dati importati tramite i robot del workflow vengono salvati nella raccolta reporting della gestione del rischio. Navigando in questa raccolta , è possibile trovare le tabelle dei risultati che corrispondono ai nomi dei robot utilizzati e visualizzare i dati importati più di recente. Per maggiori informazioni, consultare Panoramica di Risultati.
(Facoltativo) Valutare nuovamente la terza parte
Le terze parti ritenute critiche dal punto di vista del business e della sicurezza devono spesso essere valutate periodicamente. È inoltre opportuno rivalutare le altre terze parti in caso di modifiche ai termini e alle politiche esistenti. Selezionando Attivo > Rivaluta, Diligent One sposta nuovamente la terza parte nello stato Registrato. È possibile riavviare i processi di categorizzazione e valutazione del rischio.
8. (Facoltativo) Archiviare la terza parte
Qualora non sia più necessario monitorare una terza parte ma solo mantenere un record di essa nel sistema, è possibile archiviare la risorsa. Selezionare Attivo > Archivia.
Per facilitare l'uso, la Gestione del rischio di terze parti consente di archiviare una risorsa di terze parti in qualsiasi fase dopo averla aggiunta.
Nota
Una volta archiviata una risorsa di terze parti, non è possibile ripristinare o effettuare ulteriori aggiornamenti all'interno del ciclo di vita. Tuttavia, se necessario, è sempre possibile creare una nuova risorsa.
È inoltre possibile eliminare una terza parte archiviata qualora non sia più necessaria nel sistema.
