Derdenassets beheren

Een TPRM-omgeving bevat normaal gesproken derden. U kunt de asset-inventaris van derden gebruiken om de levenscycli van uw derden te onboarden en beheren, beoordelingen te starten en ernstniveaus en risicoscores te berekenen. Bovendien kunt u de risicoscores en bevindingen gebruiken om taken te prioriteren en mogelijke risico's te identificeren en corrigeren.

Voor deze oplossing is een abonnement op Derdenrisicobeheer vereist.

Een combinatie van verschillende elementen helpt bij het ontwikkelen van een robuust TPRM-raamwerk. Asset-inventaris van derden is een sleutelonderdeel van dit raamwerk en werk met veel onderliggende elementen.

Elementen in een TPRM-asset-inventaris

Ondersteunende elementen in een asset-inventaris van derden bevatten voornamelijk de betrokken derden, gebruikers, workflowstatussen van de levenscyclus en beoordelingen. Al deze elementen worden weergegeven als verschillende attributen in de asset-inventaris om informatie over een derde te verzamelen. Wanneer u al deze vereiste informatie verzamelt en bijwerkt in Derdenrisicobeheer kunt u derden gaan monitoren en beoordelen en direct risico's wegnemen.

Hoe het werkt

De workflow Derdenrisicobeheer vindt voornamelijk plaats in de Asset-inventaris-app:

  1. Derdenasset maken Voeg een derdenasset toe aan Asset-inventaris.
  2. Derde partij registreren Voeg essentiële details toe aan uw asset zodat deze gereed is voor het risicobeoordelingsproces.
  3. Derde partij categoriseren Gebruik een geautomatiseerde ernstbeoordeling om uw derden te prioriteren, waarbij de derden worden geïdentificeerd die essentieel zijn voor uw organisatie.
  4. Risiconiveau beoordelen Gebruik een geautomatiseerde standaardrisicobeoordeling (SIG Lite of CAIQ Lite) om derdenrisico's te beoordelen en bevindingen te maken die moeten worden aangepast.
  5. Derde partij activeren Keur uw derde goed en activeer deze, zodat u de risico's die hieraan zijn gekoppeld kunt gaan mitigeren.
  6. Robots gebruiken om asset- en recordgegevens in Resultaten te importeren Gebruik een Workflowrobot om asset- en recordgegevens in Resultaten te importeren. In Robots kunt u ook importinstellingen beheren. U kunt bijvoorbeeld de workflowrobot instellen om elke dag op hetzelfde tijdstip gegevens te importeren.
  7. Asset- en recordgegevens weergeven Bekijk de geïmporteerde gegevens in Resultaten, in speciale tabellen, zodat u uw inspanningen voor risicomitigatie kunt monitoren en resterende actie-items kunt identificeren.
  8. Derde partij archiveren Indien nodig kunt u een derde archiveren zodat u wel nog een record van de daaraan gekoppelde informatie hebt, maar u weet dat u de risico's hiervoor niet meer hoeft te mitigeren.

1. Een derdenasset maken

Een derde wordt geïdentificeerd en beheerd als een asset in Derdenrisicobeheer. Elke derde die u beoordeelt moet u als een asset invoeren in Asset-inventaris.

Wanneer u een derde toevoegt, heeft deze de workflowstatus Concept.

Met registratie en categorisering kunt u taken van derden prioriteren en daaraan gekoppelde risico's corrigeren.

2. De derde registreren

Bij het registreren van een derdenasset moet u meer essentiële details toevoegen om deze door te laten gaan naar de volgende workflowstatus in de assetlevenscyclus. Op het tabblad Details kunt u de attributen van een asset weergeven en bewerken. De volgende attributen zijn verplicht om een derdenasset te registreren:

  • Bedrijfseigenaar Gebruiker die verantwoordelijk is voor alle informatie met betrekking tot een derdenasset. Bijvoorbeeld een primaire bedrijfscontactpersoon voor een derdenasset, van een specifieke afdeling of acquisitieteam.
  • Risicobeheerder Gebruiker die verantwoordelijk is voor het doorlopen van de derdenlevenscyclus door de beoordelingsantwoorden en records te analyseren. Bijvoorbeeld een TPRM-analist in uw organisatie.
  • Derdentype Geeft aan of de asset een derdenproduct of -service is. Een abonnement op een cloudgebaseerde service kan bijvoorbeeld een Service zijn, terwijl een controlesysteem voor gebruikerstoegang ter plaatse een Product kan zijn.
  • Derdenbeschrijving Een korte beschrijving van de derdenasset.

Een derdenasset registreren:

  1. Voer waarden voor de bovenstaande verplichte attributen en indien nodig andere attributen in en klik op Wijzigingen opslaan.
  2. In de beschikbare visuele workflow bovenaan de pagina selecteert u Concept > Registreren of Acties > Registreren.

    Resultaat Derdenrisicobeheer valideert of de derdenasset beschikt over alle verplichte waarden en wordt verplaatst naar de status Geregistreerd.

3. De derde categoriseren

Bij het categoriseren van een derde hoort het beoordelen van de ernstimpact die een derde heeft op een organisatie en het eraan toewijzen van een ernstniveau. Het is belangrijk dat het juiste ernstniveau aan een derde wordt toegewezen, omdat dit aangeeft hoe nauwkeurig de activiteiten gerelateerd aan het onderhoud van deze asset moeten worden uitgevoerd.

Wat is een ernstniveau?

Het ernstniveau geeft aan hoeveel impact de risico's gekoppeld aan een derde kunnen hebben op uw bedrijf. Verschillende factoren spelen een rol bij het vaststellen van het ernstniveau van een derde, zoals toegang tot gevoelige informatie zoals klantgegevens, onderbreking van werkzaamheden, financieel belang en reputatie.

De beschikbare ernstniveaus in Derdenrisicobeheer zijn:

  • Kritisch
  • Hoog
  • Gemiddeld
  • Laag

Het verplichte attribuut om een derdenasset te categoriseren is Derdenernstniveau.

U kunt de interne beoordelingsstatistieken van uw organisatie gebruiken en het ernstniveau toewijzen voor een derde of de categoriseringsbeoordeling van de oplossing gebruiken.

Ernstniveaus bepalen via categoriseringsbeoordelingen

Raadpleeg Beoordelingsscore voor externe assets voor meer informatie over het bepalen van ernstniveaus via categoriseringsbeoordelingen.

U kunt het categoriseringsproces starten door Geregistreerd > Categoriseren te selecteren in de visuele workflow of Acties > Categoriseren in de rechterbovenhoek van de pagina. De status van de derde wijzigt naar Categorisering in behandeling. Zodra het ernstniveau is toegewezen (handmatig of via de categoriseringsbeoordeling), slaat u de details op en selecteert u Goedkeuren. De derdenasset gaat naar de status Gecategoriseerd.

Risicobeoordeling overslaan van een asset met laag ernstniveau

Er kunnen zich scenario's voordoen waarin u derden met een laag ernstniveau hebt (bijvoorbeeld een leverancier die kantoorbenodigdheden levert) en u geen tijd wilt besteden aan het beoordelen van risico's met betrekking tot deze assets. In een dergelijk geval kunt u na het categoriseren van de derdenasset de risicobeoordelingsstappen overslaan.

4. Risiconiveau beoordelen

Risicobeoordelingen zijn essentieel voor het vaststellen van risico's gekoppeld aan derden. U kunt de risicobeoordeling voor een derde genereren en deze naar een geïdentificeerde respondent sturen. Dit is normaal gesproken een derdeneigenaar. Wanneer de respondent zijn of haar antwoorden indient, berekent Diligent One de risicoscore en vult deze automatisch in de velden SIG/CAIQ Lite-risiconiveau en Risicoscore in. U kunt deze risicoscores gebruiken om risico's te identificeren, correctieplannen op te stellen en de services van de derde voort te zetten of te beëindigen.

Een risicobeoordeling genereren

Derdenrisicobeheer ondersteunt twee beoordelingsmodellen: SIG Lite en CAIQ Lite. U kunt een van deze beoordelingen genereren, gebaseerd op de versie van de toolkit van Derdenrisicobeheer waarop uw organisatie is geabonneerd.

Als u een risicobeoordeling wilt genereren, selecteert u Gecategoriseerd > Risico beoordelen in de visuele workflow of Acties > Risico beoordelen. Derdenrisicobeheer genereert de risicobeoordeling en de derde krijgt de status Beoordeling in behandeling.

U kunt deze beoordeling naar een overeenkomende derdeneigenaar sturen.

Antwoorden verzamelen voor uw risicobeoordeling

Na het genereren van een risicobeoordeling moet u deze naar de bijbehorende derdeneigenaar sturen om antwoorden te verzamelen.

Als u de risicobeoordeling naar de derdeneigenaar wilt sturen, selecteert u Beoordeling in behandeling > Risicobeoordeling starten in de visuele workflow of Acties > Risicobeoordeling starten. Selecteer in het deelvenster Vragenlijst verzenden de te verzenden vragenlijst en voer de naam of het e-mailadres van de persoon (normaal gesproken de derdeneigenaar van de derdenasset) in die de vereiste informatie kan invoeren en klik op Verzenden.

Risiconiveau beoordelen en accepteren

Diligent One genereert automatisch een risicoscore en -niveau voor een derdenasset op basis van de beoordelingsantwoorden. Risicoscore is een percentagewaarde en risiconiveaus kunnen Kritiek, Hoog, Gemiddeld of Laag zijn. Raadpleeg Beoordelingsscore voor externe assets voor meer informatie over hoe Derdenrisicobeheer risicoscores berekent.

Een bedrijfseigenaar kan het risiconiveau en de risicoscore beoordelen en Beoordeling in behandeling > Risiconiveau accepteren of Acties > Risiconiveau accepteren selecteren. Diligent One valideert dat aan de derde een risicoscore en -niveau is toegewezen en geeft deze de status Beoordeling in behandeling.

Problemen met bevindingen volgen

Als u een probleem met een derdenasset detecteert dat u moet aanpakken, kunt u dat doen door een bevinding te maken.

Als u een asset bekijkt, kunt u op het tabblad Overzicht de lade Bevindingen uitvouwen om alle bevindingen met betrekking tot die asset te bekijken. Hier kunt u bevindingen maken of het werk volgen dat moet worden uitgevoerd om bestaande bevindingen aan te pakken.

5. De derde activeren

Een bedrijfseigenaar heeft de risicoscore en het risiconiveau beoordeeld en goedgekeurd en nu kunt u als risicobeheerder de attributen op het tabblad Details beoordelen en de derde activeren. De verplichte attributen om een derde te activeren zijn:

  • Algehele risicobeoordeling - Selecteer een algehele risicobeoordeling afhankelijk van de ernst en het risiconiveau van de derde. U kunt een waarde selecteren uit Kritiek, Hoog, Gemiddeld en Laag.
  • Reden voor beoordeling - Geef uw reden op voor het opgeven van de beoordeling.

Als u de derde wilt activeren, slaat u de details op en selecteert u Beoordeling in behandeling > Activeren of Acties > Activeren. Als waarden worden verstrekt voor de verplichte attributen, krijgt de derde de status Actief.

6. Robots gebruiken om asset- en recordgegevens te importeren in Resultaten

Na het activeren van uw derden en nadat u een begin hebt gemaakt met het mitigeren van gekoppelde risico's in Asset-inventaris, kunt u workflowrobots gebruiken om asset- en recordgegevens in Resultaten te importeren. U kunt deze gegevens dan op een centrale plek bekijken.

Machtigingen en installatie

Net zoals alle andere workflowrobots moet u het gebruikerstype Systeembeheerder toegewezen krijgen met een Professioneel-abonnement om met deze robots te kunnen werken.

Selecteer vanuit het dashboard in Robots Workflowrobots en zoek naar de robots Assetrapportage en Recordrapportage. Oudere installaties van Derdenrisicobeheer hadden deze robots niet. Als u ze niet ziet, moet u voor hulp contact opnemen met uw Diligent-vertegenwoordiger.

De robots gebruiken

Voor elke robot kunt u beslissen om deze zoals nodig uit te voeren, of u kunt plannen om deze regelmatig uit te voeren (bijvoorbeeld een keer per dag). Voor meer informatie raadpleegt u Een robottaak maken om een script uit te voeren.

Elke keer dat u een van deze robots uitvoert, worden de gegevens in Resultaten weer helemaal opnieuw samengesteld. U hoeft zich dus geen zorgen te maken over duplicaten van bestaande derden, of verouderde gegevens van derden die u hebt verwijderd.

De scripts in deze robots omvatten enkele aanpasbare elementen. U kunt bijvoorbeeld de labels voor sommige velden aanpassen zodat ze anders worden weergegeven in Resultaten. U kunt voor hulp met deze aanpassingen contact opnemen met uw Diligent-vertegenwoordiger. Als u weet u hoe u de scripts moet aanpassen, kunt u dat zelf doen. Raadpleeg voor meer informatie over scripting in Robots Python- en HCL-scripting in Robots .

7. Asset- en recordgegevens weergeven

In Resultaten worden gegevens die met behulp van workflowrobots zijn geïmporteerd opgeslagen in de verzameling Risicobeheerrapportage. Als u naar die verzameling gaat, vindt u de resultatentabellen die overeenkomen met de namen van de robots die u hebt gebruikt en kunt u de meest recent geïmporteerde gegevens bekijken. Voor meer informatie raadpleegt u Overzicht van Resultaten.

(Optioneel) De derde opnieuw beoordelen

Derden die vanuit bedrijfs- en beveiligingsoogpunt essentieel zijn, moeten vaak periodiek worden beoordeeld. Mogelijk moet u ook andere derden opnieuw beoordelen wanneer er wijzigingen worden aangebracht in bestaande voorwaarden en beleidsregels. Als u Actief > Opnieuw beoordelen selecteert, zet Diligent One de derde terug in de status Geregistreerd. U kunt de processen categorisering en risicobeoordeling opnieuw starten.

8. (Optioneel) De derde archiveren

Als u een derde niet meer hoeft te monitoren, maar hier wel een record van moet bewaren in het systeem, kunt u de asset archiveren. Selecteer Actief > Archiveren.

Voor het gebruiksgemak is het in Derdenrisicobeheer mogelijk om een derdenasset na het toevoegen vanuit elke fase te archiveren.

Opmerking

Als u een derdenasset hebt gearchiveerd, kunt u dit niet ongedaan maken en kunt u ook geen updates meer aanbrengen aan de levenscyclus. Indien nodig kunt u echter altijd een nieuwe asset maken.

U kunt een gearchiveerde derde ook Verwijderen wanneer deze niet meer in het systeem aanwezig hoeft te zijn.