Uso de Administración de riesgo de terceros

El caso de uso Administración de riesgo de terceros admite los siguientes procesos.

En esta página

Procesos de administración de riesgo de terceros

Diagrama de flujo del caso de uso Administración de riesgos de terceros

Análisis del riesgo residual con Evaluaciones del riesgo de contratación

El cuestionario Evaluación del riesgo de contratación permite evaluar el riesgo residual en función de los controles que tiene implementados el tercero para moderar la exposición al riesgo. El cuestionario se genera en base a las respuestas en el Análisis de Riesgo Inherente para cada categoría de riesgo. Cuando genera una Evaluación del riesgo de contratación, el sistema calcula automáticamente el riesgo residual para cada categoría de riesgo que se evalúa.

Involucrar a los proveedores

Puede usar Evaluaciones del riesgo de contratación con o sin el Archer Engage for Vendors.

La Participación de proveedores es un portal externo que les permite a sus proveedores responder de forma segura los cuestionarios fuera de Archer. Debe instalar el servicio de Participaciones de proveedores y actualizar la clave de licencia de caso de uso para publicar cuestionarios en dicho portal. Para obtener más información sobre la instalación y configuración del servicio Engage for Vendors, consulte la documentación de Engage.

Usar el cuestionario Evaluación del riesgo de contratación con el Engage for Vendors

  1. Crear un cuestionario de evaluación del riesgo de contratación.

  2. Publique un cuestionario de Evaluación del riesgo de contratación en Archer Engage for Vendors para que los contactos de otros fabricantes la completen.

  3. Revise un cuestionario de Evaluación de riesgos de participación evaluando las respuestas y generando hallazgos, planes de corrección o solicitudes de excepción según sea necesario.

  4. Apruebe o rechace el cuestionario.

  5. Analice el riesgo residual calculado para cada categoría de riesgo con base en un cuestionario de Evaluación de riesgo de contratación.

Usar el cuestionario Evaluación del riesgo de contratación sin Engage for Vendors

  1. Generar un cuestionario de evaluación del riesgo de contratación.

  2. Complete un cuestionario de Evaluación de riesgos de contratación respondiendo las preguntas en cada categoría de riesgo que se evalúa.

  3. Revise un cuestionario de Evaluación de riesgos de participación evaluando las respuestas y generando hallazgos, planes de corrección o solicitudes de excepción según sea necesario.

  4. Apruebe o rechace el cuestionario.

  5. Analice el riesgo residual calculado para cada categoría de riesgo con base en un cuestionario de Evaluación de riesgo de contratación.

Análisis de clasificaciones de resiliencia con evaluaciones de resiliencia de otros fabricantes

En el siguiente diagrama, se muestra el flujo del proceso del cuestionario de evaluación de resiliencia de otros fabricantes de Archer.

Resiliencia de otros fabricantes: flujo del proceso de cuestionario de la evaluación

El cuestionario de Evaluación de resiliencia de otros fabricantes le permite calificar el riesgo de otros fabricantes en 5 categorías: cibernética, de las instalaciones, de la infraestructura de TI, del personal y de los proveedores. Después de responder todas las preguntas, el sistema calcula de forma automática la clasificación de resiliencia de cada categoría que se evalúa.

Involucrar a los proveedores

Puede utilizar la Evaluación de resiliencia de otros fabricantes con o sin la participación de proveedores.

La Participación de proveedores es un portal externo que les permite a sus proveedores responder de forma segura los cuestionarios fuera de Archer. Debe instalar el servicio de Participaciones de proveedores y actualizar la clave de licencia de caso de uso para publicar cuestionarios en dicho portal. Para obtener más información sobre la instalación y configuración del servicio Engage for Vendors, consulte la documentación de Engage.

Utilice el cuestionario de Evaluación de resiliencia de terceros con las participaciones de proveedores

  1. Cree un cuestionario de Resiliencia de otros fabricantes.

  2. Publique un cuestionario de Evaluación de resiliencia de otros fabricantes en las Participaciones de proveedores para que los contactos de otros fabricantes lo completen.

  3. Para revisar una Evaluación de resiliencia de otros fabricantes, evalúe las respuestas y genere hallazgos, planes de corrección o solicitudes de excepción según sea necesario.

  4. Apruebe o rechace el cuestionario.

  5. Analice el porcentaje de resiliencia calculado para cada categoría en función de un cuestionario de Resiliencia de otros fabricantes.

Utilice el cuestionario de Evaluación de resiliencia de otros fabricantes sin la participación de proveedores:

  1. Genere un cuestionario de Evaluación de resiliencia de otros fabricantes.

  2. Para completar un cuestionario de Evaluación de resiliencia de otros fabricantes, responda las preguntas de cada categoría de riesgo que se evalúa.

  3. Para revisar un cuestionario de Evaluación de resiliencia de otros fabricantes, evalúe las respuestas y genere hallazgos, planes de corrección o solicitudes de excepción según sea necesario.

  4. Apruebe o rechace el cuestionario.

  5. Analice el porcentaje de resiliencia calculado para cada categoría en función de un cuestionario de Resiliencia de otros fabricantes.

Análisis de calificaciones ESG con la evaluación ESG de otros fabricantes

La Archer evaluación ESG de otros fabricantes le permite realizar un seguimiento de la postura ESG de otros fabricantes, incluido el cumplimiento de las reglamentaciones y las divulgaciones públicas. Después de responder preguntas en las 3 categorías: Ambiental, Social y de Gobernanza, el sistema calcula automáticamente la calificación porcentual para cada categoría que se evalúa.

En el siguiente diagrama, se muestra el flujo del proceso del cuestionario de Evaluación ESG de otros fabricantes de Archer.

Engage for Vendors

Puede utilizar la Archer Evaluación de ESG de otros fabricantes con o sin Engage for Vendors.

La Participación de proveedores es un portal externo que les permite a sus proveedores responder de forma segura los cuestionarios fuera de Archer. Debe instalar el servicio de Participaciones de proveedores y actualizar la clave de licencia de caso de uso para publicar cuestionarios en dicho portal. Para obtener más información sobre la instalación y configuración del servicio Engage for Vendors, consulte la Archer Ayuda en Engage.

Utilice el cuestionario de Evaluación de ESG de otros fabricantes con las participaciones de proveedores

  1. Cree un cuestionario de ESG de otros fabricantes.

  2. Publique un cuestionario de Evaluación de ESG de otros fabricantes en las Participaciones de proveedores para que los contactos de otros fabricantes lo completen.

  3. Para revisar una Evaluación de ESG de otros fabricantes, evalúe las respuestas y genere hallazgos, planes de corrección o solicitudes de excepción según sea necesario.

  4. Apruebe o rechace el cuestionario.

  5. Analice el porcentaje de ESG calculado para cada categoría en función de un cuestionario de ESG de otros fabricantes.

Utilice el cuestionario de Evaluación de ESG de otros fabricantes sin las participaciones de proveedores

  1. Genere un cuestionario de Evaluación de ESG de otros fabricantes.

  2. Para completar un cuestionario de Evaluación de ESG de otros fabricantes, responda las preguntas de cada categoría de riesgo que se evalúa.

  3. Para revisar una Evaluación de ESG de otros fabricantes, evalúe las respuestas y genere hallazgos, planes de corrección o solicitudes de excepción según sea necesario.

  4. Apruebe o rechace el cuestionario.

  5. Analice el porcentaje de ESG calculado para cada categoría en función de un cuestionario de ESG de otros fabricantes.

Documentación de terceros

El caso de uso Administración de riesgo terceros de Archer le permite documentar las relaciones con terceros de su organización en 3 niveles: tercero, filial y subfilial. La aplicación Perfil de terceros es un repositorio central de todos sus terceros e incluye aspectos clave de las relaciones con terceros, como contactos de relaciones, contactos externos de terceros, estado, contrataciones y evaluaciones de riesgo.

El tablero Administración ejecutiva de terceros proporciona al equipo ejecutivo una ubicación centralizada para informes actualizados relacionados con terceros. Revise este tablero para obtener información crítica de terceros, como el rendimiento de terceros, los riesgos residuales y los contratos que están activos o vencidos. Este tablero le brinda al equipo ejecutivo información sobre qué elementos requieren una acción inmediata.

Use el caso de uso Administración de riesgo de terceros de Archer para:

  • Documentar un perfil de terceros que describe la jerarquía del negocio de cada relación con terceros.

  • Revisar los informes de terceros mediante el panel de administración de terceros.

Creación de contrataciones de terceros

La aplicación Contrataciones le permite administrar cada contratación que tenga con un tercero. Un tercero puede proporcionar múltiples productos y servicios a su organización, y las contrataciones le ayudan a realizar un seguimiento de cada producto o servicio único. También puede vincular unidades de negocios a contrataciones para registrar el contexto de negocios de su relación con terceros. Además, puede cargar documentos de terceros en el repositorio de documentos de terceros.

Use el caso de uso Administración de riesgo de terceros de Archer para:

  • Crear una contratación de terceros

  • Cargue y almacenen documentos al Repositorio de documentos de terceros para evaluar documentos de terceros relacionados con contrataciones en cualquier momento durante el proceso de contratación.

Medición de riesgo de contratación

Mida los riesgos inherentes y residuales de cada trabajo en función de siete categorías de riesgo para evaluar a terceros que puedan representar riesgos para su organización. El riesgo inherente es el impacto y la probabilidad de un riesgo en ausencia de controles y transferencia de riesgo.

Mida el riesgo residual para evaluar los controles que existen para mitigar el riesgo inherente para cada categoría de riesgo.

También puede generar evaluaciones de riesgo de contratación para que las completen sus contactos externos de terceros, lo que lo ayuda a analizar el riesgo residual y generar hallazgos según sea necesario.

Las Evaluaciones de Riesgo del Compromiso se pueden utilizar con o sin el Vendor Portal de Archer, que es un portal externo que permite a sus proveedores responder de forma segura cuestionarios fuera de Archer.

Estas son las tareas para medir el riesgo de participación:

  1. Revise las categorías de Riesgo de compromiso.

  2. Inicie un análisis de riesgo identificando las categorías de riesgo a evaluar y los evaluadores clave para cada conjunto de preguntas de categoría de riesgo inherente.

  3. Analice el riesgo inherente respondiendo preguntas de riesgo inherente para cada categoría de riesgo que se evalúa.

  4. Seleccione manualmente o permita que el sistema calcule el riesgo residual para evaluar los controles que existen para mitigar el riesgo inherente para cada categoría de riesgo.

Categorías de riesgo de contratación

El caso de uso de Administración de riesgos de terceros tiene siete categorías de riesgo que puede evaluar. Estas categorías de riesgo proporcionan a la organización una perspectiva ampliada del riesgo general que presenta un tercero o una contratación.

En la siguiente tabla se describen las siete categorías de riesgo.

Categoría de riesgo

Descripción

Cumplimiento de normas y riesgo de litigio

Evalúa el riesgo involucrado si una contratación de tercero infringe leyes o normativas, o presenta riesgo de asuntos legales debido a reclamaciones de productos o de responsabilidad general.

Riesgo financiero

Evalúa el riesgo que presenta una contratación a través de riesgo de crédito, mercado o liquidez, o producto de robo.

Riesgo para la seguridad de información

Evalúa la cantidad de riesgo asociado con la vulneración o el robo de información del cliente, el empleado o el partner, o la propiedad intelectual de la empresa.

Riesgo para la reputación

La evaluación del riesgo de reputación, que suele estar en función de todas las demás categorías de riesgo, es una evaluación subjetiva de una contratación y de los otros riesgos que presenta la contratación.

Riesgo para la resistencia

Evalúa el riesgo para la organización producto de la interrupción o el incumplimiento de un tercero respecto de una contratación.

Riesgo estratégico

Evalúa la importancia estratégica de una contratación de terceros para la organización y la eficacia de dicho tercero en el cumplimiento de las expectativas estratégicas.

Riesgo de ESG

Evalúa el impacto ambiental, social y de gobernanza potencial asociado a la prestación de una contratación.

Revisión de contrataciones de terceros

El Gerente de riesgos de la Unidad de negocios y el Gerente de la Unidad de negocios deben revisar el análisis de riesgo para la aprobación final o el rechazo de la contratación general. Una vez que el Gerente de la Unidad de negocios finaliza la aprobación, se activa el compromiso. Luego, puede realizar un monitoreo continuo de los compromisos activados, a medida que se acercan las fechas de vencimiento y reevaluación de riesgos.

Estas son las tareas para revisar las interacciones de terceros:

  1. Realice la revisión inicial de un análisis de riesgos para cada categoría de evaluación de riesgos en un trabajo.

  2. Realice una revisión final del análisis de riesgos y apruebe o rechace el compromiso.

  3. Supervise y reevalúe los documentos y las evaluaciones de riesgos y revise los paneles de control apropiados para asegurarse de que los compromisos estén actualizados y de que se satisfagan los hallazgos, los planes de corrección y las solicitudes de excepción.