Gerenciando ativos de terceiros

Normalmente, um ambiente de TPRM contém vários terceiros. Você pode usar o inventário de ativos de terceiros para integrar e gerenciar os ciclos de vida dos seus terceiros, iniciar avaliações e calcular os níveis de criticidade e pontuações de risco. Além disso, você pode usar as pontuações de risco e os pontos para priorizar tarefas, além de identificar e remediar possíveis riscos.

Essa solução requer uma assinatura do Gestão de Riscos de Terceiros.

Uma combinação de vários elementos ajuda a configurar uma estrutura de TPRM sólida. O Inventário de Ativos de terceiros é uma parte essencial dessa estrutura e funciona com vários elementos associados.

Elementos em um Inventário de Ativos do TPRM

Os elementos de apoio em um inventário de ativos de terceiros incluem principalmente os terceiros envolvidos, bem como usuários, estados do fluxo de trabalho do ciclo de vida e avaliações. Todos esses elementos são apresentados como atributos diferentes no inventário de ativos para coletar informações de terceiros. Quando coleta e atualiza todas essas informações necessárias no Gestão de Riscos de Terceiros, você pode começar a monitorar e avaliar diferentes terceiros e eliminar os riscos imediatamente.

Elemento de TPRM Descrição Exemplo
Ativo Representa um terceiro sendo avaliado. Produtos, fornecedores, parceiros e provedores de serviços
Usuário As funções são atribuídas aos usuários para controlar propriedade, progresso, monitoramento e conclusão do ciclo de vida de terceiros. Gerente de Riscos, Proprietário do Negócio, Proprietário do Terceiro
Estados de fluxo de trabalho Etapas diferentes de um ciclo de vida de terceiros durante as quais os usuários agregam informações aos atributos, acionam avaliações, calculam classificações de risco e revisam os resultados.

Rascunho, Registrado, Categorizado, Ativo, Arquivado
Avaliação Questionários enviados a usuários para coletar respostas que ajudam a calcular os níveis de criticidade ou pontuações de risco.

Avaliação de categorização (SIG Lite ou CAIQ Lite)

Como funciona?

O fluxo de trabalho do Gestão de Riscos de Terceiros acontece principalmente no aplicativo Inventário de Ativos:

  1. Criar ativo de terceiro Adicione um ativo de terceiro ao Inventário de Ativos.
  2. Registrar terceiro Adicione dados críticos sobre o ativo, para que esteja pronto para o processo de avaliação de risco.
  3. Categorizar terceiro Use uma avaliação de criticidade para priorizar terceiros, identificando os que são cruciais para a organização.
  4. Avaliar nível do risco Use um modelo automatizado de avaliação de risco (SIG Lite ou CAIQ Lite) para avaliar riscos de terceiros e criar pontos para abordar.
  5. Ativar terceiro Aprove e ative o terceiro para começar a mitigar riscos associados a ele.
  6. Usar robôs para importar dados de ativos e de registros para o Resultados Use um Robô de fluxo de trabalho para importar dados de ativos e de registros para o Resultados. No Robôs, também é possível importar configurações. Por exemplo, é possível definir o Robô de fluxo de trabalho para importar dados no mesmo horário todos os dias.
  7. Exibir dados de ativos e de registros Exiba os dados importados no Resultados, em tabelas dedicadas, para monitorar seus esforços de mitigação de risco e identificar itens de ações restantes.
  8. Arquivar terceiro Se necessário, é possível arquivar um terceiro para manter o registro das informações associadas a ele, porém, sabendo que não precisará mais mitigar riscos para ele.

1. Criar um ativo de terceiro

Um terceiro é identificado e gerenciado como um ativo no Gestão de Riscos de Terceiros. Cada terceiro avaliado deve ser inserido como um ativo no Inventário de Ativos.

Quando você adiciona um terceiro, ele entra no estado de fluxo de trabalho Rascunho.

Cenário

Sua organização tem parceria com 5 terceiros e, como Gerente de Riscos, você é designado para adicionar todos os terceiros no Gestão de Riscos de Terceiros para iniciar o gerenciamento do ciclo de vida.

Etapas para adicionar terceiros

Primeiro, crie cada um dos 5 terceiros avaliados individualmente como ativos no Gestão de Riscos de Terceiros. Para cada terceiro adicionado:

  1. No Inventário de Ativos, clique no tipo de ativo Terceiro e em Adicionar Terceiro.
  2. Na caixa de diálogo Adicionar Terceiro, digite um nome para a exibição e clique em Adicionar.

Para obter as etapas detalhadas, consulte Trabalhando com ativos.

Resultado

Depois de adicionar um ativo de terceiro, a página de detalhes do ativo é exibida e você pode prosseguir com o restante do fluxo de trabalho. Ao navegar de volta para o painel de Inventário de Ativos de Terceiros, você pode ver todos os terceiros da sua organização e os detalhes sobre eles.

O registro e a categorização ajudam a priorizar tarefas de terceiros e a corrigir os riscos associados a elas.

2. Registrar o terceiro

Ao registrar um ativo de terceiro, você precisa adicionar mais detalhes críticos para avançar para o próximo estado do fluxo de trabalho no ciclo de vida do ativo. Você pode visualizar e editar os atributos de um ativo na guia Detalhes. Os seguintes atributos são obrigatórios para registrar um ativo de terceiro:

  • Proprietário do Negócio Usuário responsável por todas as informações correspondentes a um ativo de terceiro. Por exemplo, um contato comercial principal para um ativo de terceiro, de um determinado departamento ou equipe de compras.
  • Gerente de Riscos Usuário responsável por progredir no ciclo de vida de terceiros, analisando as respostas e os registros da avaliação. Por exemplo, um Analista de TPRM na sua organização.
  • Tipo de Terceiro Especifica se o ativo é um produto ou serviço de terceiro. Por exemplo, uma assinatura de serviço baseado em nuvem pode ser um Serviço, um sistema de controle de acesso de usuário local pode ser um Produto.
  • Descrição de Terceiro Uma breve descrição do ativo de terceiro.

Para registrar um ativo de terceiro:

  1. Insira valores para os atributos obrigatórios acima e quaisquer outros atributos, conforme aplicável e clique em Salvar alterações.

  2. No fluxo de trabalho visual disponível na parte superior da página, selecione Rascunho > Registrar ou Ações > Registrar.

    Resultado O Gestão de Riscos de Terceiros valida se o ativo de terceiro tem todos os valores obrigatórios e o move para o estado Registrado.

3. Categorizar o terceiro

Categorizar um terceiro envolve avaliar o impacto de criticidade que um terceiro tem em uma organização e atribuir um nível de criticidade a ele. Atribuir o nível de criticidade correto a um terceiro é importante, pois define o nível de inspeção e diligência que deve ir para as atividades relacionadas com a manutenção desse ativo.

O que é nível de criticidade?

O nível de criticidade indica o nível de impacto que os riscos associados a um terceiro podem ter em seus negócios. Vários fatores desempenham um papel na determinação do nível de criticidade de um terceiro, como acesso a informações confidenciais, incluindo detalhes do cliente, interrupção dos negócios, importância financeira e reputação.

Os níveis de criticidade disponíveis no Gestão de Riscos de Terceiros são:

  • Crítico
  • Alto(a)
  • Médio(a)
  • Baixo(a)

A tabela a seguir mostra um exemplo dos níveis de criticidade atribuídos a diferentes terceiros que fazem parceria com uma empresa de comércio eletrônico.

Terceiro Aspecto crítico nos negócios Nível de criticidade
Serviço de gateway de pagamento A interrupção definitivamente interromperia os negócios Crítico
Serviço de faturamento de transações A interrupção pode atrapalhar os negócios Alto(a)
Serviço de CRM A interrupção não atrapalharia os negócios, mas poderia diminuir a satisfação do cliente Médio(a)
Material de escritório A interrupção não atrapalharia e não representa nenhum outro risco imediato Baixo(a)

O atributo obrigatório para categorizar um ativo de terceiro é Nível de Criticidade do Terceiro.

Você pode usar as métricas de avaliação interna da sua organização e atribuir o nível de criticidade para um terceiro ou usar a avaliação de categorização fornecida com a solução.

Determinação dos níveis de criticidade por meio de avaliações de categorização

Para obter mais informações, sobre como determinar os níveis de criticidade por meio de avaliações de categorização, consulte Pontuação de avaliação de ativos de terceiros.

Você pode iniciar o processo de categorização selecionando Registrar > Categorizar no fluxo de trabalho visual ou Ações > Categorizar no canto superior direito da página. O status do terceiro muda para Categorização Pendente. Assim que o nível de criticidade for atribuído (manualmente ou por meio da avaliação de categorização), salve os detalhes e selecione Aprovar. O recurso de terceiros é movido para o estado Categorizado.

Cenário

Você registrou 5 ativos de terceiros e agora deseja categorizá-los. Usando métricas e cálculos internos, você atribui os níveis de criticidade para 4 terceiros. Você percebe que o nível de criticidade de um terceiro não foi avaliado devido à falta de informações. Você decide usar a avaliação de categorização fornecida na solução.

Etapas para categorizar ativos de terceiros

Para cada um dos 4 ativos de terceiros para os quais você inseriu os níveis de criticidade, abra a página de detalhes do ativo correspondente. Na guia Detalhes, selecione o nível apropriado no campo Nível de Criticidade. Salve os detalhes e selecione Categorização pendente > Aprovar.

Para o terceiro para o qual você deseja determinar o nível de criticidade, abra a página de detalhes do ativo e selecione Categorização Pendente > Iniciar Avaliação de Categorização. No painel Enviar questionário, insira o nome ou endereço de e-mail da pessoa (geralmente o Proprietário do Negócio do ativo de terceiro) que pode inserir as informações necessárias. Quando as respostas são enviadas, o Diligent One calcula o nível de criticidade e atribui automaticamente ao ativo de terceiro. Verifique a pontuação e selecione Categorização Pendente > Aprovar.

Resultado

Os ativos de terceiros agora são categorizados com base nos níveis de criticidade e movidos para o estado Categorizado. Agora você pode priorizar suas tarefas para terceiros com base nos níveis de criticidade e continuar avaliando os riscos.

Ignorar a avaliação de risco para um ativo de baixa criticidade

Pode haver cenários em que você terá terceiros de baixa criticidade (por exemplo, um fornecedor que fornece material de escritório) e não quer perder tempo avaliando os riscos associados a esses ativos. Nesse caso, após categorizar o ativo de terceiro, você pode ignorar as etapas de avaliação de risco.

Para ignorar o processo de avaliação de risco:

  1. Selecione Categorizado > Revisão no fluxo de trabalho visual ou Ações > Revisão.

    O recurso de terceiro é movido para o estado Revisão Pendente.

  2. Na guia Detalhes, forneça valores nos campos Classificação de Risco Geral e Justificativa para a Classificação e clique em Salvar alterações.

  3. Selecione Revisão Pendente > Ativar.

    O recurso de terceiro é movido para o estado Ativo.

Depois de ativado, se quiser avaliar o risco do terceiro a qualquer momento, você pode usar o fluxo de trabalho (Opcional) Reavaliar o terceiro.

4. Avaliar o nível de risco

As avaliações de risco são críticas para identificar riscos associados a terceiros. Você pode gerar a avaliação de risco para um terceiro e enviar para um entrevistado identificado, geralmente um proprietário terceirizado. Quando a pessoa envia as respostas, o Diligent One calcula a pontuação e o nível de risco e preenche automaticamente os campos Nível de Risco SIG/CAIQ Lite e Pontuação de Risco. Você pode usar essas pontuações de risco para identificar riscos, criar planos de remediação e continuar ou encerrar os serviços de terceiro.

Gerar uma avaliação de risco

O Gestão de Riscos de Terceiros é compatível com dois modelos de avaliação: SIG Lite e CAIQ Lite. Você pode gerar uma dessas avaliações com base na versão do kit de ferramentas do Gestão de Riscos de Terceiros que sua organização assina.

Para gerar uma avaliação de risco, selecione Categorizado > Avaliar Risco no fluxo de trabalho visual ou Ações > Avaliar Risco. O Gestão de Riscos de Terceiros gera a avaliação de risco e o terceiro é movido para o estado Avaliação Pendente.

Você pode enviar posteriormente essa avaliação para um proprietário terceirizado correspondente.

Coletar respostas para sua avaliação de risco

Depois de gerar uma avaliação de risco, você deve distribuí-la ao seu Proprietário Terceiro para coletar as respostas.

Para enviar a avaliação de risco ao Proprietário Terceiro, selecione Avaliação Pendente > Iniciar Avaliação de Risco no fluxo de trabalho visual ou Ações > Iniciar Avaliação de Risco. No painel Enviar questionário, selecione o questionário a ser enviado e insira o nome ou endereço de e-mail da pessoa (geralmente o Proprietário Terceiro do ativo de terceiro) que pode inserir as informações necessárias e clique em Enviar.

Revisar e aceitar o nível de risco

O Diligent One gera automaticamente uma pontuação e um nível de risco para um ativo de terceiro com base nas respostas da avaliação. A pontuação de risco é um valor percentual, e os níveis de risco podem ser Crítico, Alto, Médio ou Baixo. Para obter mais informações sobre como o Gestão de Riscos de Terceiros calcula pontuações de risco, consulte Pontuação de avaliação de ativos de terceiros.

Um Proprietário do Negócio pode analisar o nível de risco e pontuar e selecionar Avaliação Pendente > Aceitar Nível de Risco ou Ações > Aceitar Nível de Risco. O Diligent One valida se o terceiro tem uma pontuação e um nível de risco atribuídos e o move para o estado Revisão Pendente.

Cenário

Um ativo de terceiro em seu ambiente tem um alto nível de criticidade e você deve avaliar o nível de risco para determinar se precisa para criar quaisquer planos de remediação.

Etapas para avaliar o risco de um ativo de terceiro

  1. O Gerente de Riscos abre a página de detalhes do ativo do terceiro e seleciona Categorizado > Avaliação de Risco.

  2. Ele envia a avaliação de risco gerada para o Proprietário Terceiro.

    3. Quando o Proprietário Terceiro envia as respostas, o Diligent One calcula a pontuação e o nível de risco e preenche os campos Nível de Risco e Pontuação de Risco.

  3. O Proprietário do Negócio analisa os níveis de risco e seleciona Avaliação Pendente > Aceitar Nível de Risco.

Resultado

O ativo de terceiro agora está avaliado quanto ao risco e passa para o estado Revisão Pendente.

Rastrear problemas com pontos

Se você encontrar um problema com um ativo de terceiros que precise resolver, isso pode ser feito criando um ponto.

Ao visualizar um ativo, na guia Visão geral, você pode expandir a gaveta Pontos para visualizar todos os pontos associados a esse ativo. Aqui, você pode criar pontos ou rastrear o trabalho necessário para lidar com os pontos existentes.

Cenário

Ao preencher o questionário CAIQ Lite, o Proprietário Terceiro percebe que você não testa seus mecanismos de backup ou recuperação anualmente. Ele notifica que isso é algo que vocês devem investigar juntos, portanto, você cria um ponto para rastrear esse trabalho.

Etapas para abordar um ponto

  1. Para criar um ponto, clique em Adicionar Ponto, insira um nome para ele e clique em Adicionar. O Gestão de Riscos de Terceiros salva o ponto e atribui automaticamente o status Aberto a ele. Você preenche os atributos relevantes para o ponto e clica em Salvar alterações.
  2. Quando estiver pronto para trabalhar no ponto, no fluxo de trabalho visual, clique em Abrir > Início. O status muda para Em Andamento. Você começa a criar um plano para agendar testes anuais e lista em que consistirão esses testes.
  3. Quando estiver pronto para enviar o plano para revisão, clique em Em Andamento > Revisão. O status muda para Revisão Pendente. Você pede ao Proprietário Terceiro para revisar seus planos.
  4. Depois que a revisão for concluída, clique em Revisão Pendente > Fechar. O status muda para Fechado.

Resultado

Você abordou a questão levantada enquanto o Proprietário Terceiro preenchia o questionário e está confiante de que seu terceiro ficará mais seguro como resultado.

5. Ativar o terceiro

Agora que o Proprietário do Negócio revisou e aprovou a pontuação e o nível de risco, como Gerente de Riscos, você pode revisar todos os atributos na guia Detalhes e ativar o terceiro. Os atributos obrigatórios para ativar um terceiro são:

  • Classificação geral de risco - Selecione uma classificação geral de risco, dependendo da criticidade e do nível de risco do terceiro. Você pode selecionar um valor de Crítico, Alto, Médio e Baixo.
  • Justificativa para a classificação - Forneça seus motivos para especificar a classificação.

Para ativar o terceiro, salve os detalhes e selecione Revisão Pendente > Ativar ou Ações > Ativar. Se os valores forem fornecidos para os atributos necessários, o terceiro muda para o estado Ativo.

6. Usar robôs para importar dados de ativos e registros para o Resultados

Depois de ativar seus terceiros e começar a mitigar os riscos associados no Inventário de Ativos, é possível usar Robôs de fluxo de trabalho para importar dados de ativos e de registros para o Resultado, para que possa visualizar todos em um só lugar.

Permissões e instalação

Como todos os outros Robôs de fluxo de trabalho, você deve ser designado como usuário Administrador do Sistema com uma assinatura Profissional para trabalhar com esses robôs.

No painel do Robôs, selecione Robôs de Fluxo de Trabalho e procure os robôs Relatórios de Ativos e Relatórios de Registros. Instalações mais antigas do Gestão de Riscos de Terceiros não incluíam esses robôs, portanto, se você não os encontrar, entre em contato com seu representante Diligent para obter assistência.

Como usar os robôs

Para cada robô, é possível decidir executar conforme necessário ou agendar uma execução regular (por exemplo, uma vez por dia). Para obter mais informações, consulte Criando uma tarefa de robô para executar um script.

Toda vez que você executa um desses robôs ele recria os dados no Resultados do zero, portanto, não se preocupe com possíveis terceiros duplicados ou dados desatualizados de terceiros já excluídos.

Os scripts nesses robôs incluem alguns elementos que podem ser personalizados. Por exemplo, você pode personalizar os rótulos de alguns campos para que eles apareçam de forma diferente no Resultados. Você pode entrar em contato com seu representante Diligent para obter ajuda nessas personalizações. Se você se sente à vontade para editar os scripts, pode fazer suas próprias personalizações. Para obter mais informações sobre scripts no Robôs, consulte Scripts Python e HCL no Robôs.

7. Exibir dados de ativos e registros

No Resultados, os dados importados utilizando Robôs de fluxo de trabalho são salvos na coleção de Relatórios de Gestão de Riscos. Acessando essa coleção, você encontrará as tabelas de resultados correspondentes aos nomes dos robôs usados e visualizará os dados mais recentes. Para obter mais informações, consulte Visão geral do Resultados.

(Opcional) Reavaliar o terceiro

Terceiros essenciais do ponto de vista do negócio e de segurança geralmente precisam ser avaliados periodicamente. Você também pode querer reavaliar outros terceiros quando houver qualquer alteração nos termos e políticas existentes. Quando você seleciona Ativo > Reavaliar, o Diligent One move o terceiro de volta para o estado Registrado. Você pode reiniciar os processos de categorização e avaliação de risco.

8. (Opcional) Arquivar o terceiro

Se você não precisar mais monitorar um terceiro, mas ainda precisa manter um registro dele no sistema, pode arquivar o ativo. Selecione Ativo > Arquivar.

Para facilitar o uso, o Gestão de Riscos de Terceiros permite arquivar um ativo de terceiro a partir de qualquer estágio após adicioná-lo.

Observação

Depois de arquivar um ativo de terceiro, você não pode voltar atrás ou fazer mais atualizações no ciclo de vida. No entanto, se necessário, você pode criar outro ativo.

Você também pode Excluir um terceiro arquivado quando não precisar mais dele no sistema.