Drittpartei-Anlagen verwalten

Eine TPRM-Umgebung umfasst in der Regel mehrere Drittparteien. Mit dem Anlagenbestand von Drittparteien können Sie die Lebenszyklen Ihrer Drittparteien einbinden und verwalten, Bewertungen starten sowie Kritikalitätsstufen und Risikobewertungen berechnen. Darüber hinaus können Sie die Risikoeinstufungen und Feststellungen nutzen, um Aufgaben zu priorisieren und potenzielle Risiken zu identifizieren und zu beheben.

Diese Lösung erfordert ein Abonnement für Third Party Risikomanagement.

Eine Kombination aus verschiedenen Elementen hilft, ein robustes TPRM-Framework festzulegen. Der Anlagenbestand von Drittparteien ist ein wichtiger Bestandteil dieses Frameworks und arbeitet mit vielen zugrunde liegenden Elementen.

Elemente im TPRM-Anlagenbestand

Zu den unterstützenden Elementen in einem Anlagenbestand von Drittparteien gehören in erster Linie die beteiligten Parteien, Benutzer, Workflow-Zustände des Lebenszyklus und Bewertungen. Alle diese Elemente werden als verschiedene Attribute im Anlagenbestand dargestellt, um Informationen gegenüber einer Drittpartei zu sammeln. Wenn Sie all diese erforderlichen Informationen in Third Party Risikomanagement sammeln und aktualisieren, können Sie mit der Überwachung und Bewertung verschiedener Drittparteien beginnen und Risiken zeitnah beseitigen.

Funktionsweise

Der Workflow für das Third Party Risikomanagement findet hauptsächlich in der Anlagenbestand-App statt:

  1. Drittpartei-Anlage erstellen Sie fügen eine Drittpartei-Anlage der Anlagenbestand-App hinzu.
  2. Drittpartei registrieren Sie fügen wichtige Details zu Ihrer Anlage hinzu, damit sie für die Risikobewertung bereit ist.
  3. Drittpartei kategorisieren Mit einer automatischen Bewertung der Kritikalität können Sie Ihre Drittparteien priorisieren und diejenigen identifizieren, die für Ihre Organisation von zentraler Bedeutung sind.
  4. Risikostufe bewerten Mit einer automatisierten Standard-Risikobewertung (SIG Lite oder CAIQ Lite) können Sie die Drittpartei-Risiken bewerten und Feststellungen erarbeiten, um sie zu bewältigen.
  5. Drittpartei aktivieren Sie genehmigen und aktivieren Ihre Drittpartei, damit Sie beginnen können, die mit ihr verbundenen Risiken beizulegen.
  6. Anlagen und Datensatzdaten mit Robots in die Ergebnisse-App importieren Mit einem Workflow-Robot importieren Sie Anlagen und Datensatzdaten in die Ergebnisse-App. In Robots können Sie auch die Importeinstellungen verwalten. So können Sie zum Beispiel den Workflow-Robot so einrichten, dass er jeden Tag zur gleichen Zeit Daten importiert.
  7. Anlagen- und Datensatzdaten anzeigen Sie können die importierten Daten in der Ergebnisse-App in speziellen Tabellen anzeigen, so dass Sie Ihre Bemühungen zur Risikobeilegung überwachen und verbleibende Handlungspunkte identifizieren können.
  8. Drittpartei archivieren Bei Bedarf können Sie eine Drittpartei archivieren, so dass Sie weiterhin eine Aufzeichnung der mit ihr verbundenen Informationen haben, aber Sie wissen, dass Sie keine Risiken mehr für sie beilegen müssen.

1. Drittpartei-Anlage erstellen

Eine Drittpartei wird in Third Party Risikomanagement als Anlage identifiziert und verwaltet. Sie müssen jede Drittpartei, die Sie bewerten, als Anlage im Anlagenbestand erfassen.

Beim Hinzufügen einer Drittpartei wechselt diese in den Workflow-Status Entwurf.

Mit Hilfe von Registrierung und Kategorisierung können Sie Aufgaben von Drittparteien priorisieren und die mit ihnen verbundenen Risiken beseitigen.

2. Drittpartei registrieren

Bei der Registrierung einer Drittpartei-Anlage müssen Sie weitere wichtige Details hinzufügen, damit sie in den nächsten Workflow-Zustand im Lebenszyklus der Anlage wechseln kann. Sie können die Attribute einer Anlage auf der Registerkarte Details anzeigen und bearbeiten. Die folgenden Attribute sind für die Registrierung einer Drittpartei-Anlage zwingend notwendig:

  • Geschäftseigentümer Der verantwortliche Benutzer für alle Informationen, die einer Anlage von Drittparteien entsprechen. Beispielsweise ein primärer Geschäftskontakt für eine Drittpartei-Anlage, aus einer bestimmten Abteilung oder einem Beschaffungsteam.
  • Risikomanager Benutzer, der für den Lebenszyklus von Drittparteien verantwortlich ist und die Bewertungsantworten und -datensätze analysiert. Beispielsweise ein TPRM-Analyst in Ihrer Organisation.
  • Drittparteityp Gibt an, ob die Anlage ein Produkt oder eine Dienstleistung einer Drittpartei darstellt. Beispielsweise kann ein Abonnement eines Cloud-basierten Dienstes ein Dienst sein, während ein vor Ort installiertes Benutzerzugangskontrollsystem ein Produkt sein kann.
  • Beschreibung der Drittpartei Eine kurze Beschreibung der Drittpartei-Anlage.

So registrieren Sie ein Drittpartei-Asset:

  1. Geben Sie Werte für die oben genannten obligatorischen Attribute und ggf. für weitere Attribute ein und klicken Sie auf Änderungen speichern.
  2. Wählen Sie im visuellen Workflow oben auf der Seite Entwurf > Registrieren oder Aktionen > Registrieren.

    Ergebnis Third Party Risikomanagement prüft, ob die Drittpartei-Anlage über alle vorgeschriebenen Werte verfügt und versetzt sie in den Zustand Registriert.

3. Drittpartei kategorisieren

Bei der Kategorisierung einer Drittpartei geht es darum, die Auswirkungen einer Drittpartei auf eine Organisation zu bewerten und ihr eine Kritikalitätsstufe zuzuweisen. Die Zuweisung der korrekten Kritikalitätsstufe für eine Drittpartei ist wichtig, da sie den Grad der Kontrolle und Sorgfalt definiert, der bei Aktivitäten im Zusammenhang mit der Wartung dieser Anlage eingehalten werden muss.

Was ist eine Kritikalitätsstufe?

Die Kritikalitätsstufe gibt an, wie stark sich die mit einer Drittpartei verbundenen Risiken auf Ihr Unternehmen auswirken können. Bei der Bestimmung der Kritikalitätsstufe einer Drittpartei spielen verschiedene Faktoren eine Rolle, z. B. der Zugang zu sensiblen Informationen einschließlich Kundendaten, die Störung des Geschäftsbetriebs, die finanzielle Bedeutung und der Ruf.

Die in Third Party Risikomanagement verfügbaren Kritikalitätsstufen sind:

  • Kritisch
  • Hoch
  • Durchschnitt
  • Niedrig

Das obligatorische Attribut zur Kategorisierung einer Drittpartei-Anlage ist Kritikalitätsstufe der Drittpartei.

Sie können entweder die internen Bewertungsmetriken Ihrer Organisation verwenden und die Kritikalitätsstufe für eine Drittpartei zuweisen oder die mit der Lösung bereitgestellte Kategorisierungsbewertung verwenden.

Kritikalitätsstufen durch Bewertungen der Kategorisierung bestimmen

Weitere Informationen zur Bestimmung von Kritikalitätsstufen durch Bewertungen der Kategorisierung finden Sie unter Bewertungs-Scoring für Drittpartei-Anlagen.

Sie können den Kategorisierungsprozess entweder durch die Auswahl von Registriert > Kategorisieren im visuellen Workflow oder von Aktionen > Kategorisieren in der oberen rechten Ecke der Seite einleiten. Der Status der Drittpartei ändert sich in Ausstehende Kategorisierung. Sobald die Kritikalitätsstufe zugewiesen ist (manuell oder durch die Kategorisierungsbewertung), speichern Sie die Einzelheiten und wählen Sie Genehmigen. Die Drittpartei-Anlage wechselt in den Zustand Kategorisiert.

Risikobewertung für eine Anlage mit geringer Kritikalität überspringen

Es gibt Situationen, in denen Sie Drittparteien mit geringer Kritikalität haben (z. B. einen Lieferanten, der Büromaterial liefert) und keine Zeit für die Bewertung der mit diesen Anlagen verbundenen Risiken aufwenden möchten. In einem solchen Fall können Sie nach der Kategorisierung der Drittpartei-Anlage die Schritte der Risikobewertung überspringen.

4. Risikostufe bewerten

Risikobewertungen sind wichtig, um Risiken zu identifizieren, die mit Drittparteien verbunden sind. Sie können die Risikobewertung für eine Drittpartei generieren und sie an einen identifizierten Befragten, normalerweise einen Drittpartei-Eigentümer, verteilen. Sobald der Befragte die Antworten übermittelt, berechnet Diligent One die Risikoeinstufung und -stufe und trägt diese Werte automatisch in die Felder SIG/CAIQ Lite – Risikostufe und Risikoeinstufung ein. Sie können diese Risikoeinstufungen nutzen, um Risiken zu identifizieren, Beilegungspläne zu erstellen und die Dienste der Drittpartei fortzusetzen oder zu beenden.

Risikobewertung generieren

Third Party Risikomanagement unterstützt zwei Bewertungsmodelle – SIG Lite und CAIQ Lite. Sie können basierend auf der Version des Third Party Risikomanagement-Toolkits, die Ihre Organisation abonniert hat, eine dieser Bewertungen generieren.

Um eine Risikobewertung zu generieren, wählen Sie im visuellen Workflow Kategorisiert > Risikobewertung oder Aktionen > Risikobewertung. Third Party Risikomanagement generiert die Risikobewertung und die Drittpartei wechselt in den Zustand Ausstehende Bewertung.

Sie können diese Bewertung an einen entsprechenden Drittpartei-Eigentümer weitergeben.

Antworten für Risikobewertungen erfassen

Nachdem Sie eine Risikobewertung generiert haben, müssen Sie sie an den Eigentümer der Drittpartei verteilen, um Antworten zu erfassen.

Um die Risikobewertung an den Eigentümer der Drittpartei zu senden, wählen Sie im visuellen Workflow Ausstehende Bewertung > Risikobewertung starten oder Aktionen > Risikobewertung starten. Wählen Sie im Bereich Fragebogen senden den zu sendenden Fragebogen aus und geben Sie den Namen oder die E-Mail-Adresse der Person ein (in der Regel der Eigentümer der Drittpartei, zu der die Drittpartei-Anlage gehört), die die erforderlichen Informationen eingeben kann, und klicken Sie auf Senden.

Risikostufe prüfen und akzeptieren

Basierend auf den Bewertungsantworten generiert Diligent One automatisch eine Risikoeinstufung und -stufe für eine Drittpartei-Anlage. Die Risikoeinstufung ist ein Prozentwert und die Risikostufen können „Kritisch“, „Hoch“, „Mittel“ oder „Niedrig“ sein. Weitere Informationen über die Berechnung der Risikoeinstufungen durch Third Party Risikomanagement finden Sie unter Bewertungs-Scoring für Drittpartei-Anlagen.

Ein Geschäftseigentümer kann die Risikostufe und -einstufung überprüfen und Ausstehende Bewertung > Risikostufe akzeptieren oder Aktionen > Risikostufe akzeptieren wählen. Diligent One überprüft, ob der Drittpartei eine Risikoeinstufung und -stufe zugewiesen wurde und versetzt sie in den Zustand Ausstehende Überprüfung.

Probleme mit Feststellungen überwachen

Wenn Sie ein Problem im Zusammenhang mit einer Drittpartei-Anlage finden, das Sie beheben müssen, können Sie dazu eine Feststellung erstellen.

Wenn Sie eine Anlage betrachten, können Sie auf der Registerkarte Übersicht das Verzeichnis Feststellungen erweitern, um alle mit dieser Anlage verbundenen Feststellungen anzuzeigen. Hier können Sie Feststellungen erstellen oder die für die Bearbeitung bestehender Feststellungen erforderliche Arbeit überwachen.

5. Drittpartei aktivieren

Nachdem ein Geschäftseigentümer die Risikoeinstufung und das Risikoniveau geprüft und genehmigt hat, können Sie als Risikomanager die Attribute auf der Registerkarte Details prüfen und die Drittpartei aktivieren. Die obligatorischen Attribute zum Aktivieren einer Drittpartei sind:

  • Allgemeine Risikoeinstufung – Wählen Sie eine Gesamtrisikoeinstufung in Abhängigkeit von der Kritikalität und der Risikostufe der Drittpartei. Sie können einen Wert aus „Kritisch“, „Hoch“, „Mittel“ und „Niedrig“ wählen.
  • Begründung für die Einstufung – Geben Sie eine Begründung für die Angabe der Einstufung an.

Um die Drittpartei zu aktivieren, speichern Sie die Details und wählen Sie Ausstehende Überprüfung > Aktivieren oder Aktionen > Aktivieren. Wenn Werte für die erforderlichen Attribute bereitgestellt werden, wechselt die Drittpartei in den Zustand Aktiv.

6. Mit Robots Anlagen- und Datensatzdaten in die Ergebnisse-App importieren

Nachdem Sie Ihre Drittparteien aktiviert und damit begonnen haben, die damit verbundenen Risiken in der Anlagenbestand-App beizulegen, können Sie mit Hilfe von Workflow-Robots Anlagen- und Datensatzdaten in die Ergebnisse-App importieren, damit Sie alles an einem Ort anzeigen können.

Berechtigungen und Installation

Wie bei allen anderen Workflow-Robots muss Ihnen der Benutzertyp des Systemadministrators mit einem Professional-Abonnement zugewiesen sein, damit Sie mit diesen Robots arbeiten können.

Klicken Sie im Dashboard in Robots auf Workflow Robots und suchen Sie nach den Robots Anlagenberichterstattung und Datensatzberichterstattung. Ältere Installationen von Third Party Risikomanagement enthielten diese Robots nicht. Wenn Sie sie also nicht sehen, wenden Sie sich an Ihren Vertriebspartner von Diligent, um Hilfe zu erhalten.

Robots verwenden

Für jeden Robot können Sie entscheiden, ob er nach Bedarf ausgeführt werden soll, oder ob Sie einen Ablaufplan erstellen möchten (z. B. einmal pro Tag). Weitere Informationen finden Sie unter Robot-Aufgabe zur Ausführung eines Skripts erstellen.

Jedes Mal, wenn Sie einen dieser Robots starten, werden die Daten in der Ergebnisse-App von Grund auf neu erstellt. Sie müssen sich also keine Sorgen über Duplikate von bestehenden Drittparteien oder veraltete Daten von Drittparteien, die Sie gelöscht haben, machen.

Die Skripts in diesen Robots enthalten einige Elemente, die angepasst werden können. So können Sie beispielsweise die Bezeichnungen für einige Felder anpassen, damit sie in der Ergebnisse-App anders angezeigt werden. Wenden Sie sich an Ihren Ansprechpartner bei Diligent, wenn Sie Hilfe bei diesen Anpassungen benötigen. Wenn Sie mit der Bearbeitung der Skripts vertraut sind, können Sie die Anpassungen selbst vornehmen. Weitere Informationen über das Skripting in Robots finden Sie unter Python- und HCL-Skripterstellung in Robots.

7. Anlagen- und Datensatzdaten anzeigen

In der Ergebnisse-App werden Daten, die mit Hilfe von Workflow Robots importiert wurden, in der Sammlung Risikomanagement-Berichterstattung gespeichert. Wenn Sie zu dieser Sammlung navigieren, finden Sie die Ergebnistabellen, die den Namen der von Ihnen verwendeten Robots entsprechen, und können die zuletzt importierten Daten anzeigen. Weitere Informationen finden Sie unter Übersicht über Ergebnisse.

(Optional) Drittpartei neu bewerten

Drittparteien, die aus geschäftlicher und sicherheitstechnischer Sicht kritisch sind, müssen oft regelmäßig bewertet werden. Sie können auch andere Drittparteien neu bewerten, wenn es Änderungen an bestehenden Bedingungen und Richtlinien gibt. Wenn Sie Aktiv > Erneut bewerten wählen, versetzt Diligent One die Drittpartei zurück in den Zustand Registriert. Sie können die Kategorisierung und Risikobewertung erneut starten.

8. (Optional) Drittpartei archivieren

Wenn Sie eine Drittpartei nicht mehr überwachen müssen, aber dennoch einen Datensatz im System aufbewahren möchten, können Sie die Anlage archivieren. Wählen Sie Aktiv > Archivieren.

Um die Nutzung zu vereinfachen, können Sie mit Third Party Risikomanagement eine Drittpartei-Anlage in jeder Phase nach dem Hinzufügen archivieren.

Hinweis

Sie können eine Archivierung nicht mehr rückgängig machen oder weitere Aktualisierungen am Lebenszyklus einer Drittpartei-Anlage vornehmen. Bei Bedarf können Sie jedoch jederzeit eine neue Anlage erstellen.

Sie können eine archivierte Drittpartei auch löschen, wenn Sie sie nicht mehr im System benötigen.