例 - サードパーティのオンボーディング

要求プロセス

従業員 (通常、サードパーティと取引を行うユーザー) は、リスクアセスメントのデューデリジェンスプロセスを開始するビジネスケースを作成します。

TPR マネージャーは、エンゲージメントのデューデリジェンスの要求をレビューして承認します。

IRQ プロセス

要求が承認された後、TPR 査定人は IRQ に応答して内部リスクアセスメントを完了します。

収集された情報に基づいて、Acme はサードパーティに関連する潜在的なリスクを評価します。財務の安定性、運用キャパシティ、品質基準への準拠、規制へのコンプライアンス、サードパーティのデリバリタイムラインを満たす能力などの要素を評価します。このアセスメントは、Acme がサードパーティのリスクプロファイルを理解し、適切なリスク軽減戦略を決定するのに役立ちます。

デューデリジェンスプロセス：コンプライアンス検証、データセキュリティ、プライバシーアセスメント

IRQ プロセスが完了すると、Acme の TPRM アプリケーションはアンケートとドキュメントの要求をサードパーティに送信します。アセスメントの一環として、複数のアンケートと文書要求を送信する場合があります。Acme は、サードパーティの認定、ライセンス、またはコンプライアンスを検証するための監査レポートなどのドキュメントを要求する場合があります。

注:

このタイプのサードパーティにどのアンケートと文書要求を送信するかを決定するプロセスを簡素化および自動化するために、Acme のスタッフは アセスメントテンプレートを開発しました。アンケートテンプレートや文書要求テンプレートを定義し、アセスメントテンプレートにグループ化しました。Acme はテンプレートを再利用して、今後のアセスメントで適切なアンケートやドキュメント要求を類似のサードパーティに送信できます。

Acme は、サードパーティの回答と内部分析を使用して、サードパーティが必要なすべてのコンプライアンス要件を満たしているかどうかを判断します。これには、環境規制、労働法、腐敗防止ポリシーなど、適用される法律および規制に対するサードパーティのコンプライアンスの検証が含まれます。

関連するコンポーネントの機密性を考慮して、Acme はサードパーティのデータセキュリティとプライバシー慣行を評価します。サードパーティの情報セキュリティ対策、データ保護ポリシー、アクセス制御、および脆弱性管理プロセスを評価します。サードパーティが Acme の専有情報または顧客データにアクセスできる場合、サードパーティに対してサイバーセキュリティ監査を受けるか、データ保護対策の証拠を提供するように要求する場合があります。

契約上の合意とリスク軽減

相手の利益を保護するために、Acme の TPR 契約交渉担当者 (多くの場合、企業顧問) は、特定されたリスクに対処するための特定の契約規定を組み込んでいます。契約交渉担当者は、IRQ およびデューデリジェンスプロセスで得られた情報を使用して、コンプライアンス、品質基準、機密性、データ保護、事業継続性、および紛争解決メカニズムに関連する条項を含めます。契約では、パフォーマンス測定基準、期待、および非準拠または違反が発生した場合の終了条項の概要を説明することもできます。

継続的な監視とレビュー

Acme は、サードパーティのパフォーマンスと合意された条件の遵守を定期的に評価するために、継続的な監視プロセスを確立します。組織の担当者が、定期的な財務レビュー、品質監査、サイト訪問、またはサーベイを手動で実行する場合があります。また、サードパーティのリスクプロファイルの懸念事項や変更に対処するためのコミュニケーションチャネルも確立します。