Gérer les actifs tiers

Un environnement TPRM comprend généralement plusieurs tiers. Vous pouvez utiliser le stock d'actifs tiers pour intégrer et gérer les cycles de vie de vos tiers, lancer des évaluations et calculer les niveaux de criticité ainsi que les scores de risque. De plus, les scores de risque et les découvertes vous permettent de prioriser les tâches, d'identifier et remédier les risques potentiels.

Cette solution exige un abonnement à l’application Gestion des risques tiers.

Combiner différents éléments permet de définir un cadre TPRM robuste. Le stock d'actifs tiers constitue un élément essentiel de ce cadre et fonctionner avec des éléments sous-jacents.

Éléments d'un stock d'actifs TPRM

Les élément de support d'un stock d'actifs tiers comprend à la base les tiers impliqués, les utilisateurs, les états de flux de travail du cycle de vie et les évaluations. Tous ces éléments sont présentés comme des attributs différents dans le stock d’actifs pour collecter des informations relatives à un tiers. Lorsque vous collectez et mettez à jour toutes ces informations nécessaires dans l’application Gestion des risques tiers, vous pouvez commencer la surveillance et l’évaluation des différents tiers et éliminer les risques immédiatement.

Élément TPRM Description Exemple
Actif Représente un tiers en cours d'évaluation. Produits, fournisseurs, partenaires et prestataires de service
Utilisateur Les rôles sont affectés aux utilisateurs afin qu'ils possèdent, lancent, avancent, surveillent et terminent le cycle de vie du tiers. Responsable des risques, Propriétaire de l'activité, Propriétaire tiers
États du flux de travail Différentes étapes d'un cycle de vie tiers au cours duquel les utilisateurs enrichissent les attributs, déclenchent les évaluations, calculent les notes de risque et examinent les résultats.

Brouillon, enregistré, catégorisé, actif, archivé
Évaluation Questionnaires envoyés aux utilisateurs pour collecter des réponses et qui simplifient le calcul des niveaux de criticité ou les scores de risque.

Évaluation de la catégorisation (SIG Lite, CAIQ Lite)

Fonctionnement

Le flux de travail Gestion des risques tiers se trouve essentiellement dans l’application Stock d’actifs :

  1. Créer un actif tiers Ajoutez un actif tiers au stock d’actifs.
  2. Enregistrer un tiers Ajoutez des détails essentiels sur votre actif afin qu'il soit prêt pour le processus d'évaluation du risque.
  3. Catégoriser le tiers Utilisez une évaluation automatisée de la criticité afin de prioriser vos tiers en identifiant ceux dont la mission est essentielle pour votre oganisation.
  4. Évaluer le niveau de risque Utilisez une évaluation automatisée standard de risque (SIG Lite ou CAIQ Lite) pour évaluer des risques tiers et créer des résultats à traiter.
  5. Activer un tiers Approuvez et activez votre tiers afin que vous puissiez commencer à remédier aux risques qui lui sont associés.
  6. Utiliser des robots pour importer l'actif et enregistrer les données dans Résultats Utilisez un robot de flux de travail pour importer l'actif et enregistrer les données dans Résultats. Dans Robots, vous pouvez également gérer les paramètres ; par exemple, vous pouvez configurer le robot de flux de travail afin qu'il importe des données à la même heure quotidiennement.
  7. Voir les données d'actif et d'enregistrement Visualisez les données importées dans Résultats, dans des tables dédiées afin que vous puissiez suivre les efforts d'atténuation de risque et identifier les éléments d'action restant.
  8. Archiver le tiers Si nécessaire, vous pouvez archiver un tiers afin de toujours disposer d'un enregistrement des informations qui lui sont associées, cependant vous savez que vous n'aurez plus à atténuer ses risques.

1. Créer un actif de tiers

Un tiers est identifié et géré comme un actif dans l’application Gestion des risques tiers. Pour chaque tiers que vous évaluez, vous devez le saisir comme un actif dans Stock d’actifs.

Lorsque vous ajoutez un tiers, il prend l'état de flux de travail Brouillon.

Scénario

Votre organisation a un partenariat avec 5 tiers. En tant que gestionnaire des risques, vous avez été désigné pour ajouter tous les tiers dans l’application Gestion des risques tiers afin de commencer la gestion de leur cycle de vie.

Étapes de l’ajout de tiers

Commencez par créer les 5 tiers comme des actifs dans l’application Gestion des risques tiers ; chacun des tiers étant en cours d’évaluation. Pour chaque tiers que vous ajoutez :

  1. Dans Stock d'actifs, cliquez sur le type d'actif Tiers, puis cliquez sur Ajouter un tiers.
  2. Dans la boîte de dialogue Ajouter un tiers, saisissez un nom pour le tiers et cliquez sur Ajouter.

Pour obtenir des informations détaillées sur les étapes, voir Travailler avec les actifs.

Résultat

Après avoir ajouté un actif tiers, la page des détails de l'actif s'affiche et vous pouvez poursuivre avec le reste du flux de travail. Lorsque vous retournez au tableau de bord Stock d'actifs tiers, vous pouvez voir l'ensemble des tiers de votre organisation et voir les détails les concernant.

L'enregistrement et la catégorisation simplifient la priorisation des tâches tiers et la remédiation des risques qui sont associés.

2. Enregistrer le tiers

Lors de l'enregistrement d'un actif tiers, vous ajoutez principalement plus de détails essentiels pour le faire avancer jusqu'au prochain état du flux de travail dans le cycle de vie. Vous pouvez voir et modifier les attributs d'un actif dans l'onglet Détails. Les attributs suivants sont obligatoires pour enregistrer un actif tiers :

  • Responsable de l'activité Utilisateur chargé de toutes les informations correspondant à un actif tiers. Par exemple, un contact primaire pour un actif tiers, d'une équipe des achats ou d'un département particulier.
  • Gestionnaire des risques Utilisateur en charge de l'avancement du cycle de vie du tiers grâce à l'analyse des réponses et enregistrements de l'évaluation. Par exemple, un analyste TPRM dans votre organisation.
  • Type de tiers Indique si l'actif est un service ou un produit tiers. Par exemple, un abonnement à un service basé dans le cloud peut être un service alors qu'un système de contrôle d'accès d'utilisateur sur site peut être un produit.
  • Description de tiers Une brève description de l'actif tiers.

Pour enregistrer un actif tiers :

  1. saisissez des valeurs pour les attributs obligatoires ci-dessus et tout autre attribut, si nécessaire puis cliquez sur Enregistrer les modifications.

  2. Dans le flux de travail visuel disponible en haut de la page, sélectionnez Brouillon > Enregistrer ou Actions > Enregistrer.

    Résultat L’application Gestion des risques tiers valide le fait que l’actif tiers contient toutes les valeurs obligatoires et le bascule vers l’état Enregistré.

3. Catégoriser le tiers

La catégorisation d'un tiers implique l'évaluation de l'impact de criticité qu'un tiers a sur une organisation et l'affectation du niveau de criticité à celui-ci. L'affectation d'un niveau correct de criticité à un tiers est important puisqu'il définit la quantité de surveillance et de diligence à intégrer dans les activités liées à la maintenance de cet actif.

Qu'est-ce qu'un niveau de criticité ?

Le niveau de criticité indique le niveau d'impact que les risque associés à un tiers peuvent avoir sur votre activité. Plusieurs facteurs entrent en jeu dans la détermination du niveau de criticité d’un tiers, tels que l’accès aux informations essentielles dont les détails client, la perturbation de l’activité et l’importance sur les finances et la réputation.

Les niveaux de criticité disponibles dans l’application Gestion des risques tiers sont les suivants :

  • Critique
  • Élevé(e)
  • Moyen
  • Faible

Le tableau illustre un exemple des niveaux de criticité affectés à plusieurs tiers étant en partenariat avec une société d'e-commerce.

Tiers Aspect de la criticité sur l'activité Niveau de criticité
Service du portail de paiement Une panne perturberait indubitablement l'activité. Critique
Service de facturation des opérations Une panne risquerait de perturber l'activité Élevé(e)
Service CRM Une panne ne perturberait pas l'activité mais elle pourrait diminuer la satisfaction client. Moyen
Articles de bureau Une panne ne perturberait pas l'activité et ne présenterait pas d'autres risques immédiats Faible

Niveau de criticité tiers correspond à l'attribut obligatoire pour catégoriser un actif tiers.

Vous pouvez soit utiliser vos mesures d'évaluation interne de l'organisation et affecter le niveau de criticité d'un tiers ou utiliser l'évaluation de catégorisation fournie avec la solution.

Déterminer les niveaux de criticité via des évaluations de catégorisation

Pour en savoir plus sur la détermination des niveaux de criticité via les évaluations de catégorisation, voir Score d’évaluation pour les actifs de tiers.

Vous pouvez lancer le processus de catégorisation en sélectionnant Enregistré > Catégoriser dans le flux de travail visuel ou Actions > Catégoriser dans le coin supérieur droit de la page. Le statut du tiers prend la valeur Catégorisation en attente. Après affectation du niveau de criticité (manuellement ou via l'évaluation de la catégorisation), enregistrez les détails et sélectionnez Approuver. L'actif tiers bascule vers l'état Catégorisé.

Scénario

Vous avez enregistré 5 actifs tiers et vous voulez maintenant les catégoriser. À des calculs et de mesures internes, vous affectez les niveaux de criticité pour 4 tiers. Vous constatez que le niveau de criticité d'un tiers n'a pas été évalué à cause d'informations manquantes. Vous décidez d'utiliser l'évaluation de catégorisation fournie dans la solution.

Étapes pour catégoriser les actifs de tiers

Pour chacun des 4 actifs tiers pour lesquels vous avez saisi les niveaux de criticité, ouvrez la page de détail de l'actif correspondant. Dans l'onglet Détails, sélectionnez le niveau approprié dans le champ Niveau de criticité. Enregistrez les détails et sélectionnez Catégorisation en attente > Approuver.

Pour le tiers pour lequel vous voulez déterminer le niveau de criticité, ouvrez la page des détails de l'actif et sélectionnez Catégorisation en attente > Lancer l'évaluation de la criticité. Dans le panneau Envoyer le questionnaire, saisissez le nom ou l'adresse e-mail de la personne (généralement le propriétaire commercial de l'actif de tiers) capable de saisir les informations requises. Lorsqu'elle a envoyé les réponses, Diligent One calcule le niveau de criticité et l'affecte automatiquement à l'actif tiers. Vérifiez le score et sélectionnez Catégorisation en attente > Approuver.

Résultat

Les actifs de tiers sont désormais catégorisés en fonction des niveaux de criticité et ils passent à l'état Catégorisé. Vous pouvez désormais prioriser vos tâches pour les tiers en fonction des niveaux de criticité et passer à l'évaluation des risques.

Ignorer l'évaluation du risque pour un actif à criticité faible

Il peut y avoir des scénarios qui présentent des tiers à criticité faible (par exemple, un fournisseur qui livre des articles de bureau) et qui ne veulent pas consacrer du temps à l'évaluation des risques associés à ces actifs. Dans ce cas, après la catégorisation de l'actif de tiers, vous pouvez ignorer les étapes d'évaluation du risque.

Pour ignorer le processus d'évaluation du risque :

  1. Sélectionnez Catégorisé > Examen dans le flux de travail visuel ou Actions > Examen.

    L'état Examen en attente est attribué à l'actif de tiers.

  2. Dans l'onglet Détails, saisissez les valeurs dans les champs Notation de risque globale et Justification de la note et cliquez sur Enregistrer les modifications.

  3. Sélectionnez Examen en attente > Activer.

    L'état Actif est attribué à l'actif de tiers.

Une fois qu'il est activé, si vous voulez évaluer le risque du tiers à tout moment, vous pouvez utiliser le flux de de travail (Facultatif) Réévaluer le tiers.

4. Évaluer le niveau de risque

L'évaluation du risque est une opération essentielle pour identifier les risques associés aux tiers. Vous pouvez générer l'évaluation du risque pour un tiers et la distribuer à une personne interrogée, généralement le propriétaire du tiers. Lorsque la personne interrogée a envoyé les réponses, Diligent One calcule le score ainsi que le niveau de risque et les renseigne automatiquement dans les champs Niveau de risque SIG/CAIQ Lite et Score de risque. Vous pouvez utiliser ces scores de risque pour identifier des risques, créer des plans de remédiation et poursuivre les services du tiers ou y mettre fin.

Générer une évaluation du risque

L’application Gestion des risques tiers prend en charge deux modèles d’évaluation : SIG Lite & CAIQ Lite. Vous pouvez générer une de ces évaluations en fonction de la version du kit de ressources Gestion des risques tiers auquel votre organisation est abonnée.

Pour générer une évaluation de risque, sélectionnez Catégorisé > Évaluer le risque dans le flux de travail visuel ou Actions > Évaluer le risque. L’application Gestion des risques tiers génère l’évaluation du risque et l’état Évaluation en attente est attribué au tiers.

Vous pouvez poursuivre la distribution de cette évaluation vers un propriétaire de tiers correspondant.

Collecter des réponses pour votre évaluation du risque

Après la génération d'une évaluation du risque, vous devez la distribuer à son propriétaire du tiers pour collecter des réponses.

Pour envoyer l'évaluation du risque au propriétaire du tiers, sélectionnez Évaluation en attente > Lancer l'évaluation du risque dans le flux de travail visuel ou Actions > Lancer l'évaluation du risque. Dans le panneau Envoyer le questionnaire, sélectionnez le questionnaire à envoyer et saisissez le nom ou l'adresse e-mail de la personne (généralement le propriétaire tiers de l'actif de tiers) capable de saisir les informations requises et cliquez sur Envoyer.

Examiner et accepter le niveau de risque

Diligent One génère automatiquement un score et le niveau de risque pour un actif de tiers en fonction des réponses de l'évaluation. Le score de risque correspond à une valeur de pourcentage et les niveaux de risque peuvent présenter les valeurs Critique, Élevé, Moyen ou Faible. Pour en savoir plus sur la manière dont l’application Gestion des risques tiers calcule les scores de risque, voir Score d’évaluation pour les actifs de tiers.

Un propriétaire commercial peut examiner le niveau de risque et sélectionner Évaluation en attente > Accepter le niveau de risque ou Actions > Accepter le niveau de risque. Diligent One valide le score et le niveau de risque affectés au tiers, puis il lui attribue l'état Examen en attente.

Scénario

Un actif de tiers présent dans votre environnement affiche un niveau de criticité élevé et vous devez évaluer le niveau de risque afin de déterminer si vous devez créer des plans de remédiation.

Étapes pour évaluer le risque d'un actif de tiers

  1. Le Reponsable des risques ouvre la page des détails de l'actif tiers et clique sur Catégorisé > Évaluation du risque.

  2. Il envoie l'évaluation du risque générée au propriétaire du tiers.

    3. Lorsque ce dernier a envoyé les réponses, Diligent One calcule le score ainsi que le niveau de risque et renseigne automatiquement les champs Niveau de risque et Score de risque.

  3. Le propriétaire commercial examine les niveaux de risque et sélectionne Évaluation en attente > Accepter le niveau de risque.

Résultat

L'actif du tiers a désormais fait l'objet d'une évaluation du risque et passe à l'état Examen en attente.

Suivre des problèmes avec découvertes

Si vous trouvez un problème avec un actif tiers que vous devez traiter, vous pouvez créer une découverte.

Lorsque vous visualisez un actif, dans l'onglet Vue d'ensemble, vous pouvez développer le tiroir Découvertes pour afficher toutes les découvertes associées à cet actif. Ici, vous pouvez créer des découvertes ou suivre le travail requis pour traiter des découvertes existantes.

Scénario

Lorsque le questionnaire CAIQ Lite est terminé, le propriétaire tiers réalise que vous n'avez pas testé vos processus de sauvegarde ou de restauration annuellement. Il vous informe que vous devez étudier cela tous les deux. Vous créez donc une découverte pour suivre ce travail.

Étapes pour traiter une découverte

  1. Pour créer une découverte, vous cliquez sur Ajouter une découverte, saisissez un nom pour la découverte et cliquez sur Ajouter. L’application Gestion des risques tiers enregistre votre découverte et l’affecte automatiquement au statut Ouvert. Vous renseignez les attributs pertinents pour la découverte et cliquez sur Enregistrer les modifications.
  2. Lorsque vous êtes prêt à travailler dans la découverte, cliquez sur Ouvrir > Démarrer dans le flux de travail visuel. Le statut prend alors la valeur En cours. Vous commencez à créer un plan pour programmer des tests annuels et vous listez les éléments constitutifs de ces tests.
  3. Lorsque vous êtes en mesure d'envoyer votre plan pour examen, cliquez sur En cours > Examen. Le statut prend la valeur Examen en attente. Vous demandez au propriétaire tiers d'examiner vos plans.
  4. À la fin de l'examen, cliquez sur Examen en attente > Fermer. Le statut prend la valeur Fermé.

Résultat

Vous avez traité le problème détecté pendant que le propriétaire tiers remplissait le questionnaire. Vous êtes désormais confiant sur le fait que votre tiers sera ainsi plus sécurisé.

5. Activer le tiers

Maintenant qu'un responsable de l'activité a examiné et approuvé le score de risque et le niveau, vous pouvez, en tant que gestionnaire des risques, vérifier tous les attributs dans l'onglet Détails et activiez le tiers. Les attributs obligatoires pour activer un tiers sont :

  • Notation de risque globale - Sélectionnez une notation de risque globale en fonction du niveau de criticité et de risque du tiers. Vous pouvez sélectionner une valeur parmi Critique, Élevé, Moyen et Faible.
  • Justification de la note - Indiquez le motif de la note.

Pour activer le tiers, enregistrez les détails et sélectionnez Examen en attente > Activer ou Actions > Activer. Si les valeurs sont fournies pour les attributs requis, le tiers passe à l'état Actif.

6. Utiliser des robots pour importer l'actif et enregistrer les données dans Résultats

Après l'activation de vos tiers et le début de l'atténuation des risques associés dans Stock d'actifs, vous pouvez utiliser des robots de flux de travail pour importer l'actif et enregistrer les données dans Résultats afin de pouvoir y accéder dans un seul endroit.

Permissions et installation

Comme pour tous les autres robots de flux de travail, l'utilisation de ces robots exigent que vous ayez le type d'utilisateur administrateur système avec abonnement professionnel.

Dans le tableau de bord de Robots, sélectionnez Robots de flux de travail et recherchez les robots Rapports sur les actifs et Rapports sur les enregistrements. Les installations précédentes de l’application Gestion des risques tiers ne comprenaient pas ces robots, si vous ne les voyez pas, contactez votre représentant Diligent pour obtenir de l’aide.

Utiliser les robots

Pour chaque robot, vous pouvez choisir de l'exécuter en fonction des besoins ou vous pouvez planifier son exécution régulière (par exemple, une fois par jour). Pour plus d’informations, consultez la section Création d'une tâche de robot pour exécuter un script.

Chaque fois que vous exécutez un de ces robots, il recrée intégralement les données dans Résultats, vous n'avez donc aucune crainte à avoir concernant l'apparition de doublons avec des tiers existants ou de données obsolètes provenant de projets que vous avez supprimés.

Les scripts de ces robots incluent des éléments personnalisables. Par exemple, vous pouvez personnaliser les libellés de certains champs afin qu'ils apparaissent différemment dans Résultats. Vous pouvez contacter votre représentant Diligent afin qu'il vous assiste lors de ces personnalisations. Si vous êtes à l'aise dans l'édition des scripts, vous pouvez apporter vous-même vos propres personnalisations. Pour plus d'informations sur la création de scripts dans Robots, consultez la rubrique Création de scripts Python et HCL dans Robots.

7. Voir l'actif et enregistrer les données

Dans Résultats, les données importées via des robots de flux de travail sont enregistrées dans la collection Reporting de la gestion des risques. Si vous accédez à cette collection, vous pouvez trouver les tables de résultats qui correspondent aux noms des robots que vous utilisez et voir les dernières données importées récemment. Pour plus d’informations, consultez la section Aperçu de l’application Résultats.

(Facultatif) Réévaluer le tiers

Les tiers qui sont critiques des points de vue de l'activité ou de la sécurité doivent souvent faire l'objet d'une évaluation. Il est également possible que vous souhaitiez réévaluer d'autres tiers en cas de modifications des conditions et politiques existantes. Lorsque vous sélectionnez Actif > Réévaluer, Diligent One réattribue l'état Enregistré au tiers. Vous pouvez relancer les processus de catégorisation et d'évaluation du risque.

8. (Facultatif) Archiver le tiers

Si vous n'avez plus besoin de suivre un tiers mais avez toujours besoin de conserver son enregistrement dans le système, vous pouvez archiver l'actif. Sélectionnez Actif > Archiver.

Pour simplifier l’utilisation, l’application Gestion des risques tiers vous permet d’archiver un actif tiers à partir de n’importe quelle étape après son ajout.

Remarque

Lorsque vous archivez un actif de tiers, vous ne pouvez pas rétablir ou effectuer d'autres mises à jour dans le cycle de vie. Cependant, si nécessaire, vous pouvez toujours créer un nouvel actif.

Vous pouvez également supprimer un tiers archivé lorsque vous n'en avez plus besoin dans le système.