サードパーティの階層とエンゲージメントの設定 - 従来のプロセス
親サードパーティとそのすべての子会社の間の親子関係を定義して、サードパーティ階層を作成します。このタスクを実行するのは、一部の組織が、ビジネスに潜在的なリスクをもたらす可能性のある子会社 (または子会社の子会社) を持つサードパーティと連携しているためです。個々の子会社組織でアセスメントを実行し、結果をロールアップして親サードパーティの全体的なリスクスコアを計算できます。
サードパーティ階層
この図では、親会社である Acme に 2 つの子会社があり、Acme NA に 2 つの子会社があります。この階層では、親のサードパーティとすべての子会社のリスクアセスメントを実行し、各エンティティのリスクスコアを計算します。その後、リスクスコアを集計 (ロールアップ) して、Acme のリスクスコアを計算できます。
子会社とエンゲージメントを含むサードパーティ階層
エンゲージメントは、直接または子会社から親組織に提供され、リスクを評価できる製品またはサービスを表します。子会社がエンゲージメントを提供している場合、エンゲージメントにアサインされたリスクスコアは、子会社のリスクスコアを計算するためにロールアップされた後、親組織にロールアップされます。
この例では、子会社 Acme US には 3 つのエンゲージメントがあります。前の例と同様に、親会社、そのすべての子会社、およびそのすべてのエンゲージメントについてリスクが評価されます。リスクスコアは、親のリスクスコアを計算するためにロールアップされます。
エンゲージメントの定義 - 従来のプロセス を参照してください。
概要:サードパーティ階層の設定
| セットアップ手順 | 説明 |
|---|---|
| サードパーティリスク領域を定義します。 |
リスクドメインは、サードパーティのために評価するリスクのタイプを定義します。たとえば、セキュリティリスクの観点からデータ管理サードパーティを評価し、財務リスクの観点から銀行を評価することができます。セキュリティリスクと財務リスクはリスクドメインです。一部のプラットフォームアプリケーションでは、リスクドメインを「リスク領域」と呼びます。 「サードパーティリスクドメインを定義する」を参照してください。 |
| サードパーティリスク領域基準を定義します。 |
サードパーティリスク 領域基準 は、特定のタイプのサードパーティに適用される リスクドメイン (他のプラットフォーム機能では リスク領域 と呼ばれることもあります) のグループです。 「サードパーティリスク領域基準を定義」を参照してください。 |
| コンポーネント基準を定義します。 |
コンポーネントは、リスクを評価できるエンティティです。ベースシステム には、エンゲージメント、外部モニタリング、子会社、およびサードパーティリスクアセスメントのコンポーネントが含まれています。コンポーネントごとにリスクが計算されてから、リスクが集計され、ロールアップされてサードパーティリスク評価が計算されます。 「コンポーネント基準を定義する」を参照してください。 |
| サードパーティのエンゲージメントを定義します | エンゲージメントを定義して、サードパーティが提供するサービスまたは製品に関連するリスクを評価できるようにします。エンゲージメントは、直接的に、またはリスクを評価できる部門、パートナー、または子会社から、親サードパーティに提供される製品またはサービスを表すこともあります。 エンゲージメントを定義すると、サードパーティとエンゲージメントの両方で主連絡先とセカンダリ連絡先を指定できます。各タイプの連絡先は、サードパーティポータルで特定のアクティビティを実行できます。 エンゲージメントの定義 - 従来のプロセス を参照してください。 |
| エンゲージメントリスク採点ルールを定義します。 |
エンゲージメントリスク採点ルールは、アセスメントのために選択されるエンゲージメントを決定するコンポーネント基準を指定します。たとえば、ルールにより、年間 40,000 ドルを超えるビジネスに関連するエンゲージメントのアセスメントを有効にすることができます。エンゲージメント採点ルールはエンゲージメントにのみ適用されます。 「エンゲージメントリスク採点ルールを定義する」を参照してください。 |
| サードパーティリスク採点ルールを定義します。 |
リスクスコアに基づいて、アセスメントが必要なサードパーティを決定する基準を定義します。サードパーティリスク採点ルールは、子会社とエンゲージメント、およびサードパーティリスク領域に適用されます。 「サードパーティリスク採点ルールを定義」を参照してください。 |