Répondre aux exigences de l'AICPA SOC 2 en matière de gestion des risques liés aux tiers

CC2.3 : L'entité communique avec les parties externes sur les questions affectant le fonctionnement du contrôle interne.

Laplateforme de gestion des risques des tiers (TPRM) Prevalent gère de manière centralisée le dialogue sur les risques, les rapports et les mesures correctives entre les organisations et leurs vendeurs, fournisseurs et partenaires tiers.

En outre, la plate-forme permet de stocker des rapports, des documents de politique, des contrats et des preuves à l'appui en vue d'un dialogue, d'une attestation et d'un partage.

Ensemble, ces fonctionnalités permettent aux organisations de disposer d'un référentiel unique pour visualiser et gérer les risques, la documentation relative aux fournisseurs et les mesures correctives.

CC3.2 : L'entité identifie les risques pour la réalisation de ses objectifs dans l'ensemble de l'entité et analyse les risques afin de déterminer comment les gérer.

La plateforme TPRM Prevalent permet aux entreprises d'automatiser les tâches essentielles requises pour évaluer, gérer, surveiller en permanence et corriger les risques liés à la sécurité, à la confidentialité, à la conformité, à la chaîne d'approvisionnement et aux achats des tiers à chaque étape du cycle de vie des fournisseurs, de l'intégration à l'exclusion.

La solution permet d'effectuer et de gérer des évaluations ponctuelles des risques à l'aide de plus de 125 modèles différents, d'analyser les résultats et de surveiller en permanence les risques liés aux tiers ( cyber), les risques commerciaux, financiers et de réputation, afin d'obtenir une vue d'ensemble des tiers.

Des modèles de rapports intégrés permettent aux équipes de sécurité et de gestion des risques de communiquer les résultats de l'évaluation des risques aux dirigeants et aux autres décideurs et parties prenantes.

CC3.4 : L'entité identifie et évalue les changements qui pourraient avoir un impact significatif sur le système de contrôle interne.

La plateforme Prevalent s'appuie sur des enquêtes et des flux de travail personnalisables pour rendre compte de l'accès au système, de la destruction des données, de la gestion de l'accès, de la conformité à toutes les lois pertinentes, des paiements finaux, et plus encore pendant l'externalisation, afin de garantir que les responsabilités évoluent au fur et à mesure que les accords changent.

En outre, Prevalent propose Contract Essentials, une solution qui centralise la distribution, la discussion, la conservation et la révision des contrats des fournisseurs. Elle inclut des fonctionnalités de workflow pour automatiser le cycle de vie des contrats, de l'entrée à la sortie.

CC9.2 : L'entité évalue et gère les risques liés aux fournisseurs et aux partenaires commerciaux.

CC9.2 : L'entité évalue et gère les risques associés aux fournisseurs et aux partenaires commerciaux.

La plateforme Prevalent permet aux entreprises d'automatiser les tâches essentielles requises pour évaluer, gérer, surveiller en permanence et corriger les risques liés à la sécurité, à la confidentialité, à la conformité, à la chaîne d'approvisionnement et aux achats des tiers à chaque étape du cycle de vie des fournisseurs, de l'intégration à l'exclusion :

• Recherche et sélection de fournisseurs : Prevalent Contract Essentials aide les équipes chargées de la gestion des fournisseurs, de l'approvisionnement et des affaires juridiques à simplifier le processus d'établissement et de négociation des conditions contractuelles et des accords de niveau de service, à gérer les lignes rouges et à obtenir des approbations par le biais du flux de travail. La solution est entièrement intégrée à la plateforme TPRM complète, ce qui permet aux entreprises de gérer les contrats des fournisseurs avec la même rigueur que celle dont elles font preuve pour gérer les risques liés aux fournisseurs. En savoir plus sur notre solution de sourcing et de sélection des fournisseurs.

• Accueil et embarquement / Scoring des risques inhérents : La plateforme Prevalent propose des rapports qui révèlent les tendances en matière de risque, l'état et les exceptions au comportement habituel pour les fournisseurs individuels ou les groupes avec des informations d'apprentissage automatique intégrées. Grâce à cette fonctionnalité, les équipes peuvent rapidement identifier les valeurs aberrantes dans les évaluations, les tâches, les risques, etc. qui pourraient justifier une enquête plus approfondie. En savoir plus sur notre solution d'intégration des fournisseurs et notre solution de notation des risques inhérents.

• Évaluation et surveillance : Grâce à la plateforme Prevalent , les équipes de gestion de la sécurité et des risques peuvent assigner manuellement les tâches liées à la gestion des évaluations, ou utiliser une bibliothèque pré-packagée d'ActiveRules pour automatiser une série de tâches normalement exécutées dans le cadre des processus d'évaluation et de révision - comme la mise à jour des profils des fournisseurs et des attributs de risque, l'envoi de notifications ou l'activation du flux de travail - en utilisant la logique "si cela, alors cela". En savoir plus sur notre solution d'évaluation des risques et notre solution de surveillance continue.

• Gestion des SLA et des performances : La plateforme Prevalent permet aux équipes de gestion des fournisseurs d'établir des exigences à suivre et de centraliser les rapports sur les SLA et les performances par rapport à ces exigences, grâce à un tableau de bord unique de rapports et d'analyses. En savoir plus sur notre solution de gestion des SLA et des performances.

• Désintégration et résiliation : La plateforme Prevalent s'appuie sur des enquêtes et des flux de travail personnalisables pour rendre compte de l'accès au système, de la destruction des données, de la gestion de l'accès, du respect de toutes les lois applicables, des paiements finaux, etc. lors de l'externalisation. Découvrez notre solution d'exclusion des fournisseurs.

P6.4 : L'entité obtient des engagements en matière de protection de la vie privée de la part des fournisseurs et des autres tiers qui ont accès aux informations personnelles afin d'atteindre les objectifs de l'entité en matière de protection de la vie privée. L'entité évalue la conformité de ces parties de façon périodique et selon les besoins et prend des mesures correctives, si nécessaire.

Prevalent comprend des évaluations intégrées pour les réglementations de protection des données telles que GDPR, CCPA HIPAA et NYDFS. Les résultats de ces évaluations sont mis en correspondance dans un registre central des risques où les équipes de sécurité et de gestion des risques peuvent visualiser et prendre des mesures sur les risques potentiels pour les données et comparer les actions d'un fournisseur à ses obligations contractuelles.

La plateforme Prevalent comprend des conseils et des recommandations de remédiation intégrés. Les équipes de gestion de la sécurité et des risques peuvent communiquer efficacement avec les fournisseurs et coordonner les efforts de remédiation par le biais de la plate-forme, capturer et auditer les conversations, et enregistrer les dates d'achèvement estimées.

P6.5 : L'entité obtient des fournisseurs et autres tiers ayant accès aux informations personnelles qu'ils s'engagent à l'informer en cas de divulgation non autorisée réelle ou présumée d'informations personnelles. Ces notifications sont communiquées au personnel approprié et font l'objet d'une action conformément aux procédures de réponse aux incidents établies pour atteindre les objectifs de l'entité en matière de protection de la vie privée.

Leservice de réponse aux incidents de tiers Prevalent permet aux équipes de sécurité et de gestion des risques d'identifier et d'atténuer rapidement l'impact des incidents liés à la confidentialité des données en gérant de manière centralisée les fournisseurs, en effectuant des évaluations d'événements, en notant les risques identifiés et en accédant à des conseils de remédiation.