Administración de activos de terceros
Un entorno de TPRM generalmente comprende a varias terceras partes. Puede utilizar el inventario de activos de terceros para incorporar y administrar los ciclos de vida de sus terceros, lanzar evaluaciones y calcular niveles de criticidad y calificaciones de riesgo. Además, puede utilizar los resultados y las calificaciones de riesgo para priorizar las tareas e identificar y corregir los riesgos potenciales.
Una combinación de varios elementos ayuda a establecer un marco de TPRM sólido. El Inventario de activos de terceros es una pieza clave de este marco y funciona con muchos elementos subyacentes.
Elementos en un inventario de activos de TPRM
Los elementos de apoyo en un inventario de activos de terceros incluyen principalmente a las terceras partes involucradas, los usuarios, los estados del flujo de trabajo del ciclo de vida y las evaluaciones. Todos estos elementos se presentan como diferentes atributos en el inventario de activos para recopilar información de un tercero. Cuando recopila y actualiza toda esta información requerida en Gestión de riesgos de terceros, puede comenzar a monitorear y evaluar diferentes terceros y eliminar los riesgos rápidamente.
Elemento de TPRM | Descripción | Ejemplo |
---|---|---|
Activo | Representa a un tercero que está siendo evaluado. | Productos, proveedores, socios y proveedores de servicios |
Usuario | Los roles se asignan a los usuarios para que sean propietarios, inicien, progresen, supervisen y completen el ciclo de vida de los terceros. | Gerente de riesgos, Propietario del negocio, Tercero propietario |
Estados del flujo de trabajo | Diferentes etapas de un ciclo de vida de terceros durante las cuales los usuarios enriquecen atributos, activan evaluaciones, calculan calificaciones de riesgo y revisan los resultados. |
Borrador, registrado, categorizado, activo, archivado |
Evaluación | Cuestionarios que se envían a los usuarios para recopilar respuestas, que ayudan a calcular los niveles de criticidad o calificaciones de riesgo. |
Evaluación de categorización (SIG Lite o CAIQ Lite) |
Cómo funciona
El flujo de trabajo de Gestión de riesgos de terceros tiene lugar principalmente en la aplicación Inventario de activos:
- Crear activo de terceros Agregue un activo de terceros al Inventario de activos.
- Registrar tercero Agregue detalles críticos a su activo para que esté listo para el proceso de evaluación del riesgo.
- Categorizar tercero Utilice una evaluación de criticidad automatizada para priorizar a sus terceros, identificando los que son de misión crítica para su organización.
- Evaluar el nivel de riesgo Utilice una evaluación del riesgo estándar automatizada (SIG Lite o CAIQ Lite) para evaluar los riesgos de terceros y crear hallazgos para abordar.
- Activar tercero Apruebe y active su tercero, para que pueda comenzar a mitigar los riesgos asociados con él.
- Utilizar robots para importar activos y registrar datos en Resultados Utilice un robot de Flujo de trabajo para importar activos y registrar datos en Resultados. En Robots, también puede administrar la configuración de importación; por ejemplo, puede configurar el robot de Flujo de trabajo para importar datos a la misma hora todos los días.
- Ver activo y registrar datos Vea los datos importados en Resultados, en tablas dedicadas, para que pueda monitorear sus esfuerzos de mitigación de los riesgos e identificar los elementos de acción restantes.
- Archivar tercero Si es necesario, puede archivar un tercero para que aún tenga un registro de la información asociada con él, pero sabrá que ya no tiene que mitigar los riesgos por él.
1. Crear un activo de terceros
Un tercero se identifica y gestiona como un activo en Gestión de riesgos de terceros. Para cada tercero que evalúe, debe ingresarlo como un activo en el Inventario de activos.
Cuando agrega un tercero, se ingresa al estado de flujo de trabajo Borrador.
Escenario
Su organización se asocia con 5 terceros y, como gerente de riesgos, se le asigna agregar a todos los terceros a Gestión de riesgos de terceros para comenzar la gestión del ciclo de vida.
Pasos para agregar terceros
Primero, cree los 5 terceros como activos en Gestión de riesgos de terceros, uno para cada tercero que se evalúa. Para cada tercero que agregue:
- En Inventario de activos, haga clic en el tipo de activo Terceros y, a continuación, haga clic en Agregar tercero.
- En el cuadro de diálogo Agregar tercero, ingrese un nombre para el tercero y haga clic en Agregar.
Si desea conocer los pasos detallados, consulte Trabajo con activos.
Resultado
Después de agregar un activo de terceros, aparece la página de detalles del activo y puede continuar con el resto del flujo de trabajo. Cuando regresa al tablero de mando de Inventario de activos de terceros, puede ver todos los terceros de su organización y ver detalles sobre ellos.
El registro y la categorización lo ayudan a priorizar las tareas de terceros y corregir los riesgos asociados con ellos.
2. Registrar al tercero
Al registrar un activo de tercero, debe agregar más detalles críticos para avanzar al siguiente estado de flujo de trabajo en el ciclo de vida del activo. Puede ver y editar los atributos de un activo en la ficha Detalles. Los siguientes atributos son obligatorios para registrar un activo de tercero:
- Propietario del negocio Usuario responsable de toda la información correspondiente a un activo de un tercero. Por ejemplo, un contacto comercial principal para un activo de un tercero, de un departamento o equipo de adquisiciones en particular.
- Gerente de riesgos Usuario responsable de avanzar en el ciclo de vida de terceros mediante el análisis de las respuestas y los registros de la evaluación. Por ejemplo, un analista de TPRM en su organización.
- Tipo del tercero Especifica si el activo es un producto o servicio de terceros. Por ejemplo, una suscripción a un servicio basado en la nube puede ser un Servicio mientras que un sistema de control de acceso de usuarios en las instalaciones puede ser un Producto.
- Descripción de tercero Una breve descripción del activo de terceros.
Para registrar un activo de terceros:
- Ingrese valores para los atributos obligatorios anteriores y cualquier otro atributo según corresponda y haga clic en Guardar cambios.
-
En el flujo de trabajo visual disponible en la parte superior de la página, seleccione Borrador > Registrar o Acciones> Registrar.
Resultado Gestión de riesgos de terceros valida que el activo de terceros tenga todos los valores obligatorios y lo mueve al estado Registrado.
3. Categorizar al tercero
Categorizar a un tercero implica evaluar el impacto de criticidad que tiene un tercero en una organización y asignarle un nivel de criticidad. Asignar el nivel de criticidad correcto a un tercero es importante, ya que define la cantidad de escrutinio y diligencia que deben llevarse a cabo en las actividades relacionadas con el mantenimiento de este activo.
¿Qué es un nivel de criticidad?
El nivel de criticidad indica el nivel de impacto que los riesgos asociados con un tercero pueden tener en su negocio. Varios factores juegan un papel en la determinación del nivel de criticidad de un tercero, como el acceso a información sensible, incluidos los detalles del cliente, la interrupción del negocio, la importancia financiera y la reputación.
Los niveles de criticidad disponibles en Gestión de riesgos de terceros son:
- Crítico/a
- Alto/a
- Medio/a
- Bajo/a
La siguiente tabla muestra un ejemplo de los niveles de criticidad asignados a diferentes terceros asociados con una empresa de comercio electrónico.
Tercero | Aspecto de criticidad en el negocio | Nivel de criticidad |
---|---|---|
Servicio de puerta de enlace de pago | Los cortes definitivamente interrumpirían el negocio | Crítico/a |
Servicio de facturación de transacciones | Los cortes pueden interrumpir el negocio | Alto/a |
Servicio CRM | Los cortes no interrumpirían el negocio, pero podrían reducir la satisfacción del cliente. | Medio/a |
Material de oficina | Los cortes no interrumpirían el negocio y no presentan ningún otro riesgo inmediato. | Bajo/a |
El atributo obligatorio para categorizar un activo de terceros es el Nivel de criticidad del tercero.
Puede utilizar las medidas de evaluación interna de su organización y asignar el nivel de criticidad para un tercero o utilizar la evaluación de categorización proporcionada con la solución.
Determinación de los niveles de criticidad mediante evaluaciones de categorización.
Si desea obtener más información sobre cómo determinar los niveles de criticidad a través de evaluaciones de categorización, consulte Calificación de la evaluación para activos de terceros.
Puede iniciar el proceso de categorización seleccionando Registrado > Categorizar en el flujo de trabajo visual o Acciones > Categorizar en la esquina superior derecha de la página. El estado del tercero cambia a Pendiente de categorización. Una vez que se asigna el nivel de criticidad (manualmente o mediante la evaluación de categorización), guarde los detalles y seleccione Aprobar. El activo del tercero pasa al estado Categorizado.
Escenario
Ha registrado 5 activos de terceros y ahora desea categorizarlos. Utilizando medidas y cálculos internos, asigna los niveles de criticidad para 4 terceros. Observe que el nivel de criticidad de un tercero no se ha evaluado debido a la falta de información. Decide utilizar la evaluación de categorización proporcionada en la solución.
Pasos para categorizar activos de terceros
Para cada uno de los 4 activos de terceros para los que ingresó los niveles de criticidad, abra la página de detalles del activo correspondiente. En la ficha Detalles, seleccione el nivel apropiado en el campo Nivel de criticidad. Guarde los detalles y seleccione Categorización pendiente > Aprobar.
Para el tercero para el que desea determinar el nivel de criticidad, abra la página de detalles del activo y seleccione Categorización pendiente > Ejecutar evaluación de categorización. En el panel Enviar cuestionario, ingrese el nombre o la dirección de correo electrónico de la persona (generalmente el propietario del negocio del activo de terceros) que puede ingresar la información requerida. Cuando envían sus respuestas, Diligent One calcula el nivel de criticidad y lo asigna automáticamente al activo del tercero. Verifique la calificación y seleccione Categorización pendiente > Aprobar.
Resultado
Los activos de terceros ahora están categorizados según los niveles de criticidad y pasan al estado Categorizado. Ahora puede priorizar sus tareas para los terceros en función de los niveles de criticidad y proceder a evaluar los riesgos.
Omitir la evaluación del riesgo para un activo de baja criticidad
Puede haber escenarios en los que tenga terceros de baja criticidad (por ejemplo, un proveedor que suministre material de oficina) y no desee perder tiempo evaluando los riesgos asociados con esos activos. En tal caso, después de categorizar el activo de terceros, puede omitir los pasos de la evaluación del riesgo.
Para omitir el proceso de evaluación del riesgo:
-
Seleccione Categorizado > Revisar en el flujo de trabajo visual o Acciones > Revisar.
El activo de terceros pasa al estado Pendiente de revisión.
- En la ficha Detalles, proporcione valores en los campos Calificación general de riesgo y Base lógica para la calificación y haga clic en Guardar cambios.
-
Seleccione Revisión pendiente > Activar.
El activo de terceros pasa al estado Activo.
Una vez activado, si desea evaluar el riesgo del tercero en cualquier momento, puede utilizar el flujo de trabajo (Opcional) Reevaluar al tercero.
4. Evaluar el nivel de riesgo
Las evaluaciones del riesgo son fundamentales para identificar los riesgos asociados con terceros. Puede generar la evaluación del riesgo para un tercero y distribuirla a un encuestado identificado (generalmente, un tercero propietario). Una vez que el encuestado envía sus respuestas, Diligent One calcula la calificación y el nivel de riesgo y los completa automáticamente en los campos Nivel de riesgo de SIG/CAIQ Lite y Calificación de riesgo. Puede utilizar estas calificaciones de riesgo para identificar riesgos, crear planes de acciones correctivas y continuar o cancelar los servicios del tercero.
Genere una evaluación del riesgo
Gestión de riesgos de terceros admite dos modelos de evaluación: SIG Lite y CAIQ Lite. Puede generar una de estas evaluaciones, según la versión del juego de herramientas de Gestión de riesgos de terceros al que se suscribe su organización.
Para generar una evaluación del riesgo, seleccione Categorizado > Evaluación del riesgo en el flujo de trabajo visual o Acciones > Evaluación del riesgo. Gestión de riesgos de terceros genera la evaluación del riesgo y el tercero pasa al estado Pendiente de evaluación.
Además, puede distribuir esta evaluación al Tercero propietario correspondiente.
Recopile respuestas para su evaluación del riesgo
Después de generar una evaluación del riesgo, debe distribuirla a su Tercero propietario para recopilar respuestas.
Para enviar la evaluación del riesgo al tercero propietario, seleccione Evaluación pendiente > Ejecutar evaluación del riesgo en el flujo de trabajo visual o Acciones >Ejecutar evaluación del riesgo. En el panel Enviar cuestionario, seleccione el cuestionario que desea enviar e ingrese el nombre o la dirección de correo electrónico de la persona (generalmente el tercero propietario del activo de terceros) que puede ingresar la información requerida y haga clic en Enviar.
Revisar y aceptar el nivel de riesgo
Diligent One genera automáticamente una calificación y un nivel de riesgo para un activo de terceros en función de las respuestas de la evaluación. La calificación del riesgo es un valor porcentual y los niveles de riesgo pueden ser Crítico, Alto, Medio o Bajo. Para obtener más información sobre cómo Gestión de riesgos de terceros calcula las calificaciones de riesgo, consulte Calificación de la evaluación para activos de terceros.
Un propietario del negocio puede revisar el nivel de riesgo y la calificación y seleccionar Evaluación pendiente > Aceptar nivel de riesgo o Acciones > Aceptar nivel de riesgo. Diligent One valida que el tercero tiene una calificación de riesgo y un nivel asignados y lo mueve al estado Pendiente de revisión.
Escenario
Un activo de terceros en su entorno tiene un alto nivel de criticidad y debe evaluar el nivel de riesgo para determinar si necesita crear planes de acciones correctivas.
Pasos para evaluar el riesgo de un activo de terceros
- El gerente de riesgos abre la página de detalles de los activos de terceros y selecciona Categorizado > Evaluación del riesgo.
-
Se envía la evaluación del riesgo generada al tercero propietario.
- El propietario del negocio revisa los niveles de riesgo y selecciona Evaluación pendiente > Aceptar nivel de riesgo.
Una vez que el tercero propietario envía sus respuestas, Diligent One calcula la calificación y el nivel de riesgo y los completa en los campos Nivel de riesgo y Calificación de riesgo.
Resultado
El activo de terceros ahora se evalúa en función del riesgo y pasa al estado Pendiente de revisión.
Seguir asuntos con hallazgos
Si encuentra un asunto con un activo de terceros que necesita abordar, puede hacerlo creando un hallazgo.
Al visualizar un activo, en la ficha Panorama, puede expandir el cajón de Hallazgos para ver todos los hallazgos asociados con ese activo. Aquí, puede crear hallazgos o realizar un seguimiento del trabajo necesario para abordar los hallazgos existentes.
Escenario
Mientras completa el cuestionario CAIQ Lite, el tercero propietario se da cuenta de que usted no prueba sus mecanismos de copia de seguridad o recuperación anualmente. Le notifican que esto es algo que deben analizar juntos, por lo que crea un hallazgo para realizar un seguimiento de ese trabajo.
Pasos para abordar un hallazgo
- Para crear un nuevo hallazgo, haga clic en Agregar hallazgo, ingrese un nombre para el hallazgo y haga clic en Agregar. Gestión de riesgos de terceros guarda su hallazgo y le asigna automáticamente el estado Abierto. Complete los atributos relevantes para el hallazgo y haga clic en Guardar cambios.
- Cuando esté listo para trabajar en el hallazgo, en el flujo de trabajo visual, haga clic en Abrir > Iniciar. El estado cambia a En ejecución. Comienza a crear un plan para programar pruebas anuales y enumera en qué consistirán esas pruebas.
- Cuando esté listo para enviar su plan para revisión, haga clic en En ejecución > Revisar. El estado cambia a Pendiente de revisión. Le pide al tercero propietario que revise sus planes.
- Una vez finalizada la revisión, haga clic en Revisión pendiente > Cerrar. El estado cambia a Cerrado.
Resultado
Ha abordado el asunto planteado mientras el tercero propietario completaba el cuestionario y confía en que, como resultado, su tercero estará más seguro.
5. Activar al tercero
Ahora que el propietario del negocio ha revisado y aprobado la calificación y el nivel de riesgo, como gerente de riesgos, puede revisar los atributos en la ficha Detalles y activar al tercero. Los atributos obligatorios para activar un tercero son:
- Calificación general de riesgo: Seleccione una calificación general de riesgo en función de la criticidad y el nivel de riesgo del tercero. Puede seleccionar un valor entre Crítico, Alto, Medio y Bajo.
- Base lógica para la calificación: Proporcione su razonamiento para especificar la calificación.
Para activar el tercero, guarde los detalles y seleccione Revisión pendiente > Activar o Acciones > Activar. Si se proporcionan valores para los atributos requeridos, el tercero pasa al estado Activo.
6. Utilizar robots para importar activos y registrar datos en Resultados
Después de activar a sus terceros y comenzar a mitigar los riesgos asociados en Inventario de activos, puede utilizar robots de Flujo de trabajo para importar activos y registrar datos en Resultados, para que pueda ver todo en un solo lugar.
Permisos e instalación
Al igual que todos los demás robots de Flujo de trabajo, debe tener asignado el tipo de usuario Administrador del sistema con una suscripción Profesional para trabajar con estos robots.
En el tablero de mando de Robots, haga clic en la ficha Robots de flujo de trabajo y busque los robots Creación de reportes de activos y Creación de reportes de registros. Las instalaciones anteriores de Gestión de riesgos de terceros no incluían estos robots, por lo que si no los ve, comuníquese con su representante de Diligent para recibir asistencia.
Uso de robots
Para cada robot, puede decidir ejecutarlo según sea necesario o puede programarlo para que se ejecute regularmente (por ejemplo, una vez al día). Si desea obtener más información, consulte Creación de una tarea de robot para ejecutar un script.
Cada vez que ejecuta uno de estos robots, se recrean los datos en Resultados desde cero, por lo que no tiene que preocuparse por ver duplicados de terceros existentes o datos desactualizados de terceros que ha eliminado.
Los scripts de estos robots incluyen algunos elementos que se pueden personalizar. Por ejemplo, puede personalizar las etiquetas de algunos campos para que aparezcan de forma diferente en Resultados. Puede comunicarse con su representante de Diligent para obtener ayuda al realizar estas personalizaciones. Si se siente cómodo editando los scripts, puede realizar las personalizaciones usted mismo. Para obtener más información acerca de la creación de scripts en Robots, consulte Creación de scripts de Python y HCL en Robots.
7. Ver activo y registrar datos
En Resultados, los datos importados mediante robots de Flujo de trabajo se guardan en la colección Creación de reportes de gestión de riesgos. Si navega a esa colección, puede encontrar las tablas de resultados que coinciden con los nombres de los robots que utilizó y ver los datos importados más recientemente. Si desea obtener más información, consulte Panorama de Resultados.
(Opcional) Reevaluar al tercero
Los terceros que son críticos desde el punto de vista del negocio y de seguridad a menudo deben evaluarse periódicamente. También es posible que desee volver a evaluar a otros terceros cuando haya algún cambio en los términos y políticas existentes. Cuando selecciona Activo > Reevaluar, Diligent One devuelve al tercero al estado Registrado. Puede reiniciar los procesos de categorización y evaluación del riesgo.
8. (Opcional) Archivar al tercero
Si ya no necesita monitorear a un tercero pero aún necesita mantener un registro en el sistema, puede archivar el activo. Seleccione Activar > Archivar.
Para facilitar su uso, Gestión de riesgos de terceros le permite archivar un activo de terceros desde cualquier etapa después de agregarlo.
Nota
Una vez que archiva un activo de terceros, no puede revertir ni realizar más actualizaciones en el ciclo de vida. Sin embargo, si es necesario, siempre puede crear un activo nuevo.
También puede Eliminar un tercero archivado cuando ya lo necesite en el sistema.