Administración de activos de terceros

Un entorno de TPRM generalmente comprende a varias terceras partes. Puede utilizar el inventario de activos de terceros para incorporar y administrar los ciclos de vida de sus terceros, lanzar evaluaciones y calcular niveles de criticidad y calificaciones de riesgo. Además, puede utilizar los resultados y las calificaciones de riesgo para priorizar las tareas e identificar y corregir los riesgos potenciales.

Esta solución requiere una suscripción a Gestión de riesgos de terceros.

Una combinación de varios elementos ayuda a establecer un marco de TPRM sólido. El Inventario de activos de terceros es una pieza clave de este marco y funciona con muchos elementos subyacentes.

Elementos en un inventario de activos de TPRM

Los elementos de apoyo en un inventario de activos de terceros incluyen principalmente a las terceras partes involucradas, los usuarios, los estados del flujo de trabajo del ciclo de vida y las evaluaciones. Todos estos elementos se presentan como diferentes atributos en el inventario de activos para recopilar información de un tercero. Cuando recopila y actualiza toda esta información requerida en Gestión de riesgos de terceros, puede comenzar a monitorear y evaluar diferentes terceros y eliminar los riesgos rápidamente.

Cómo funciona

El flujo de trabajo de Gestión de riesgos de terceros tiene lugar principalmente en la aplicación Inventario de activos:

  1. Crear activo de terceros Agregue un activo de terceros al Inventario de activos.
  2. Registrar tercero Agregue detalles críticos a su activo para que esté listo para el proceso de evaluación del riesgo.
  3. Categorizar tercero Utilice una evaluación de criticidad automatizada para priorizar a sus terceros, identificando los que son de misión crítica para su organización.
  4. Evaluar el nivel de riesgo Utilice una evaluación del riesgo estándar automatizada (SIG Lite o CAIQ Lite) para evaluar los riesgos de terceros y crear hallazgos para abordar.
  5. Activar tercero Apruebe y active su tercero, para que pueda comenzar a mitigar los riesgos asociados con él.
  6. Utilizar robots para importar activos y registrar datos en Resultados Utilice un robot de Flujo de trabajo para importar activos y registrar datos en Resultados. En Robots, también puede administrar la configuración de importación; por ejemplo, puede configurar el robot de Flujo de trabajo para importar datos a la misma hora todos los días.
  7. Ver activo y registrar datos Vea los datos importados en Resultados, en tablas dedicadas, para que pueda monitorear sus esfuerzos de mitigación de los riesgos e identificar los elementos de acción restantes.
  8. Archivar tercero Si es necesario, puede archivar un tercero para que aún tenga un registro de la información asociada con él, pero sabrá que ya no tiene que mitigar los riesgos por él.

1. Crear un activo de terceros

Un tercero se identifica y gestiona como un activo en Gestión de riesgos de terceros. Para cada tercero que evalúe, debe ingresarlo como un activo en el Inventario de activos.

Cuando agrega un tercero, se ingresa al estado de flujo de trabajo Borrador.

El registro y la categorización lo ayudan a priorizar las tareas de terceros y corregir los riesgos asociados con ellos.

2. Registrar al tercero

Al registrar un activo de tercero, debe agregar más detalles críticos para avanzar al siguiente estado de flujo de trabajo en el ciclo de vida del activo. Puede ver y editar los atributos de un activo en la ficha Detalles. Los siguientes atributos son obligatorios para registrar un activo de tercero:

  • Propietario del negocio Usuario responsable de toda la información correspondiente a un activo de un tercero. Por ejemplo, un contacto comercial principal para un activo de un tercero, de un departamento o equipo de adquisiciones en particular.
  • Gerente de riesgos Usuario responsable de avanzar en el ciclo de vida de terceros mediante el análisis de las respuestas y los registros de la evaluación. Por ejemplo, un analista de TPRM en su organización.
  • Tipo del tercero Especifica si el activo es un producto o servicio de terceros. Por ejemplo, una suscripción a un servicio basado en la nube puede ser un Servicio mientras que un sistema de control de acceso de usuarios en las instalaciones puede ser un Producto.
  • Descripción de tercero Una breve descripción del activo de terceros.

Para registrar un activo de terceros:

  1. Ingrese valores para los atributos obligatorios anteriores y cualquier otro atributo según corresponda y haga clic en Guardar cambios.
  2. En el flujo de trabajo visual disponible en la parte superior de la página, seleccione Borrador > Registrar o Acciones> Registrar.

    Resultado Gestión de riesgos de terceros valida que el activo de terceros tenga todos los valores obligatorios y lo mueve al estado Registrado.

3. Categorizar al tercero

Categorizar a un tercero implica evaluar el impacto de criticidad que tiene un tercero en una organización y asignarle un nivel de criticidad. Asignar el nivel de criticidad correcto a un tercero es importante, ya que define la cantidad de escrutinio y diligencia que deben llevarse a cabo en las actividades relacionadas con el mantenimiento de este activo.

¿Qué es un nivel de criticidad?

El nivel de criticidad indica el nivel de impacto que los riesgos asociados con un tercero pueden tener en su negocio. Varios factores juegan un papel en la determinación del nivel de criticidad de un tercero, como el acceso a información sensible, incluidos los detalles del cliente, la interrupción del negocio, la importancia financiera y la reputación.

Los niveles de criticidad disponibles en Gestión de riesgos de terceros son:

  • Crítico/a
  • Alto/a
  • Medio/a
  • Bajo/a

El atributo obligatorio para categorizar un activo de terceros es el Nivel de criticidad del tercero.

Puede utilizar las medidas de evaluación interna de su organización y asignar el nivel de criticidad para un tercero o utilizar la evaluación de categorización proporcionada con la solución.

Determinación de los niveles de criticidad mediante evaluaciones de categorización.

Si desea obtener más información sobre cómo determinar los niveles de criticidad a través de evaluaciones de categorización, consulte Calificación de la evaluación para activos de terceros.

Puede iniciar el proceso de categorización seleccionando Registrado > Categorizar en el flujo de trabajo visual o Acciones > Categorizar en la esquina superior derecha de la página. El estado del tercero cambia a Pendiente de categorización. Una vez que se asigna el nivel de criticidad (manualmente o mediante la evaluación de categorización), guarde los detalles y seleccione Aprobar. El activo del tercero pasa al estado Categorizado.

Omitir la evaluación del riesgo para un activo de baja criticidad

Puede haber escenarios en los que tenga terceros de baja criticidad (por ejemplo, un proveedor que suministre material de oficina) y no desee perder tiempo evaluando los riesgos asociados con esos activos. En tal caso, después de categorizar el activo de terceros, puede omitir los pasos de la evaluación del riesgo.

4. Evaluar el nivel de riesgo

Las evaluaciones del riesgo son fundamentales para identificar los riesgos asociados con terceros. Puede generar la evaluación del riesgo para un tercero y distribuirla a un encuestado identificado (generalmente, un tercero propietario). Una vez que el encuestado envía sus respuestas, Diligent One calcula la calificación y el nivel de riesgo y los completa automáticamente en los campos Nivel de riesgo de SIG/CAIQ Lite y Calificación de riesgo. Puede utilizar estas calificaciones de riesgo para identificar riesgos, crear planes de acciones correctivas y continuar o cancelar los servicios del tercero.

Genere una evaluación del riesgo

Gestión de riesgos de terceros admite dos modelos de evaluación: SIG Lite y CAIQ Lite. Puede generar una de estas evaluaciones, según la versión del juego de herramientas de Gestión de riesgos de terceros al que se suscribe su organización.

Para generar una evaluación del riesgo, seleccione Categorizado > Evaluación del riesgo en el flujo de trabajo visual o Acciones > Evaluación del riesgo. Gestión de riesgos de terceros genera la evaluación del riesgo y el tercero pasa al estado Pendiente de evaluación.

Además, puede distribuir esta evaluación al Tercero propietario correspondiente.

Recopile respuestas para su evaluación del riesgo

Después de generar una evaluación del riesgo, debe distribuirla a su Tercero propietario para recopilar respuestas.

Para enviar la evaluación del riesgo al tercero propietario, seleccione Evaluación pendiente > Ejecutar evaluación del riesgo en el flujo de trabajo visual o Acciones >Ejecutar evaluación del riesgo. En el panel Enviar cuestionario, seleccione el cuestionario que desea enviar e ingrese el nombre o la dirección de correo electrónico de la persona (generalmente el tercero propietario del activo de terceros) que puede ingresar la información requerida y haga clic en Enviar.

Revisar y aceptar el nivel de riesgo

Diligent One genera automáticamente una calificación y un nivel de riesgo para un activo de terceros en función de las respuestas de la evaluación. La calificación del riesgo es un valor porcentual y los niveles de riesgo pueden ser Crítico, Alto, Medio o Bajo. Para obtener más información sobre cómo Gestión de riesgos de terceros calcula las calificaciones de riesgo, consulte Calificación de la evaluación para activos de terceros.

Un propietario del negocio puede revisar el nivel de riesgo y la calificación y seleccionar Evaluación pendiente > Aceptar nivel de riesgo o Acciones > Aceptar nivel de riesgo. Diligent One valida que el tercero tiene una calificación de riesgo y un nivel asignados y lo mueve al estado Pendiente de revisión.

Seguir asuntos con hallazgos

Si encuentra un asunto con un activo de terceros que necesita abordar, puede hacerlo creando un hallazgo.

Al visualizar un activo, en la ficha Panorama, puede expandir el cajón de Hallazgos para ver todos los hallazgos asociados con ese activo. Aquí, puede crear hallazgos o realizar un seguimiento del trabajo necesario para abordar los hallazgos existentes.

5. Activar al tercero

Ahora que el propietario del negocio ha revisado y aprobado la calificación y el nivel de riesgo, como gerente de riesgos, puede revisar los atributos en la ficha Detalles y activar al tercero. Los atributos obligatorios para activar un tercero son:

  • Calificación general de riesgo: Seleccione una calificación general de riesgo en función de la criticidad y el nivel de riesgo del tercero. Puede seleccionar un valor entre Crítico, Alto, Medio y Bajo.
  • Base lógica para la calificación: Proporcione su razonamiento para especificar la calificación.

Para activar el tercero, guarde los detalles y seleccione Revisión pendiente > Activar o Acciones > Activar. Si se proporcionan valores para los atributos requeridos, el tercero pasa al estado Activo.

6. Utilizar robots para importar activos y registrar datos en Resultados

Después de activar a sus terceros y comenzar a mitigar los riesgos asociados en Inventario de activos, puede utilizar robots de Flujo de trabajo para importar activos y registrar datos en Resultados, para que pueda ver todo en un solo lugar.

Permisos e instalación

Al igual que todos los demás robots de Flujo de trabajo, debe tener asignado el tipo de usuario Administrador del sistema con una suscripción Profesional para trabajar con estos robots.

En el tablero de mando de Robots, haga clic en la ficha Robots de flujo de trabajo y busque los robots Creación de reportes de activos y Creación de reportes de registros. Las instalaciones anteriores de Gestión de riesgos de terceros no incluían estos robots, por lo que si no los ve, comuníquese con su representante de Diligent para recibir asistencia.

Uso de robots

Para cada robot, puede decidir ejecutarlo según sea necesario o puede programarlo para que se ejecute regularmente (por ejemplo, una vez al día). Si desea obtener más información, consulte Creación de una tarea de robot para ejecutar un script.

Cada vez que ejecuta uno de estos robots, se recrean los datos en Resultados desde cero, por lo que no tiene que preocuparse por ver duplicados de terceros existentes o datos desactualizados de terceros que ha eliminado.

Los scripts de estos robots incluyen algunos elementos que se pueden personalizar. Por ejemplo, puede personalizar las etiquetas de algunos campos para que aparezcan de forma diferente en Resultados. Puede comunicarse con su representante de Diligent para obtener ayuda al realizar estas personalizaciones. Si se siente cómodo editando los scripts, puede realizar las personalizaciones usted mismo. Para obtener más información acerca de la creación de scripts en Robots, consulte Creación de scripts de Python y HCL en Robots.

7. Ver activo y registrar datos

En Resultados, los datos importados mediante robots de Flujo de trabajo se guardan en la colección Creación de reportes de gestión de riesgos. Si navega a esa colección, puede encontrar las tablas de resultados que coinciden con los nombres de los robots que utilizó y ver los datos importados más recientemente. Si desea obtener más información, consulte Panorama de Resultados.

(Opcional) Reevaluar al tercero

Los terceros que son críticos desde el punto de vista del negocio y de seguridad a menudo deben evaluarse periódicamente. También es posible que desee volver a evaluar a otros terceros cuando haya algún cambio en los términos y políticas existentes. Cuando selecciona Activo > Reevaluar, Diligent One devuelve al tercero al estado Registrado. Puede reiniciar los procesos de categorización y evaluación del riesgo.

8. (Opcional) Archivar al tercero

Si ya no necesita monitorear a un tercero pero aún necesita mantener un registro en el sistema, puede archivar el activo. Seleccione Activar > Archivar.

Para facilitar su uso, Gestión de riesgos de terceros le permite archivar un activo de terceros desde cualquier etapa después de agregarlo.

Nota

Una vez que archiva un activo de terceros, no puede revertir ni realizar más actualizaciones en el ciclo de vida. Sin embargo, si es necesario, siempre puede crear un activo nuevo.

También puede Eliminar un tercero archivado cuando ya lo necesite en el sistema.