デューデリジェンスワークフローのプロセス

  • リリースバージョン: Washingtondc
  • 更新日 2024年02月01日
  • 読む8読むのに数分

    • TPRM プロセスでは、サードパーティリスク管理プログラムに一貫したフレームワークを提供します。ニーズに合わせてワークフロープロセスをカスタマイズできます。

    デューデリジェンスワークフローのプロセスとチェックポイント

    プロセス内の各タスクは、次のタスクを開始する前に完了する必要があります。さまざまなタスクを実行するユーザーのロールについては、「サードパーティリスク管理 でのロール」で説明されています。


    デューデリジェンスワークフローでプロセスが実行される場所。
    要求プロセス (新しいエンゲージメントの開始を依頼するか、既存のエンゲージメントを再評価またはオフボーディング)
    1. 組織のどの従業員もサードパーティエンゲージメントのデューデリジェンスを要求します。
      1. 従業員は、インスタンスの Employee Center にログインします。デューデリジェンス要求フォームを開き、サードパーティの名前と要求の理由を指定します。
        • 新しいエンゲージメントのオンボーディング
        • 既存エンゲージメントのリスクを再評価
        • 契約更新の準備のために既存のエンゲージメントを再評価
        • エンゲージメントのオフボーディング (デューデリジェンスあり)
        • エンゲージメントのオフボーディング (デューデリジェンスなし)
      2. 従業員は、製品またはサービスを提供するサードパーティのエンティティ (このエンゲージメントでの評価対象) に関する詳細情報を提供します。また、IRQ に回答する必要がある組織のユーザー (TPR 査定人) と、外部アンケートに回答するサードパーティ組織の連絡先 (「サードパーティ連絡先」および「エンゲージメント連絡先」) も指定します。
      3. サードパーティのリスクデータは、外部のリスクインテリジェンスプロバイダーによって、随時非同期に更新される可能性があります(以前は、TPRM アプリの構成中に、サードパーティリスクマネージャー (TPR マネージャー) がリスクインテリジェンスプロバイダーのサービスを統合している可能性がありました)。
      4. 従業員がフォームを送信します。これにより、TPR マネージャーのタスクがトリガーされます。
    2. TPR マネージャーは、要求のスコープを設定し、必要に応じて更新してから、承認または却下します。
      1. TPR マネージャーは、 ベンダー管理ワークスペースにログインします。
      2. [デューデリジェンス管理] ページで、TPR マネージャーは要求をレビューして更新します。
        • TPR マネージャーは、TPR 査定人として提案された人物をレビューし、場合によっては別の人物を指定します。
        • 必要に応じて、TPR マネージャーは要求者とのディスカッションを開始します。「会社の規模に関する詳細情報が必要です」または 「当社はこのサードパーティに年間どれくらいの費用を費やすのだろうか」などの項目です。 [ ディスカッション ] を選択して、他のユーザーにメッセージを送信します。メッセージは、[詳細] タブの [アクティビティ] セクションに記録されます。

      3. TPR マネージャーは、要求を却下または承認します。承認されると、IRQ プロセスが開始されます。

    注:
    従業員がデューデリジェンスを要求する一般的なプロセスに加えて、TPR 査定人は定期的なサードパーティアセスメントを作成して、定期的なスケジュールでリスクを再評価できます。「スケジュールで繰り返すようにリスクアセスメントを構成する」を参照してください。
    IRQ プロセス (リスクをスコープ)
    1. TPR マネージャーは、IRQ をレビューして承認します。
      1. では ベンダー管理ワークスペース、TPR マネージャーが使用する IRQ をレビューして承認します。ビジネスルールによってアンケートが自動選択されたか、TPR マネージャーがシステムに表示されるリストから手動で選択したかのいずれかです。

        組織のカスタム IRQ を作成します。各 IRQ のコンテンツは、通常、ビジネスエリア、地域、または質問の対象となるサードパーティのタイプを担当するユーザーによって作成および管理されます。IRQ を定義するには、サンプル質問をアンケートテンプレートに追加し、必要に応じて質問を変更します。サンプルの質問は ベースシステムで提供されています。IRQ の定義はコード不要のプロセスです。エンゲージメントに使用する IRQ を自動選択するビジネスルールを定義できます。

        ヒント:
        IRQ の質問に対する回答を利用して、評価するサードパーティに送信するアンケートを決定できます。 この機能は、Third-Party Risk Management アプリをアクティブ化している場合にのみ使用できます。

        外部アンケートの作成と構成」を参照してください。

      2. TPR マネージャーは、デューデリジェンス要求を却下または承認します。要求が承認されると、システムは IRQ を TPR 査定人 (組織の「内部ステークホルダー」) に送信します。
      3. TPR 査定人には、メールとキュー内の新しいタスクの両方で IRQ が通知されます。
        注:
        また、リスクスコアの変更に基づいて、サードパーティのリスクアセスメントを自動送信することもできます。
    2. 内部ユーザーが IRQ に回答します。
      1. Employee Center では、エンゲージメントに関心のあるすべてのユーザーが IRQ を開き、IRQ に応答します。

        いくつかの回答から、さらに明確な質問が生成されます。回答によって、どの外部アンケートが自動生成され、サードパーティの連絡先に送られるセットに追加されるかを決定できます。

        たとえば、TPR 査定人から、サードパーティがエンゲージメントの一環として政府関係者とやり取りする予定であると回答された場合、サードパーティの国 (米国では ABAC、EU では FCBA など) に適した贈賄防止アンケートが外部アンケートに含まれます。

      2. TPR 査定人は、記入済みの IRQ を送信します。これにより、TPR マネージャーのタスクがトリガーされます。
    3. 内部ステークホルダー (サードパーティアセスメントのレビュー担当者、TPR 査定人、TPR マネージャー、または TPR 管理者) が IRQ 応答をレビューします。
      1. ベンダー管理ワークスペース、ユーザーは IRQ 応答を確認します。
      2. TPR マネージャーは、TPR 査定人に説明を求め、IRQ 応答を却下または承認する場合があります。
      3. 内部ステークホルダーユーザーが承認すると、エンゲージメント要求をクローズしてデューデリジェンスプロセスを開始します。
    デューデリジェンスプロセス (情報を収集してリスクスコアを生成)
    1. 次のいずれかのプロセスにより、外部デューデリジェンスアンケートが選択されます。
      • ベンダー管理ワークスペースで、TPR マネージャーは、サードパーティ連絡先が回答するアンケートを選択します。
      • アンケートはシステムにより自動選択されます(選択を行うビジネスルールを定義します)。

    2. 選択方法に関係なく、次の 2 つの外部デューデリジェンスアンケートが選択されます。

      • 1 つのセットは、サードパーティ組織に関する情報を収集します。サードパーティの連絡先がそのアンケートに回答します。
      • もう 1 つのセットは、エンゲージメントの対象であるサードパーティ組織内の事業部門に関する情報を収集します。エンゲージメント連絡先 (デューデリジェンス要求で指定) がそのアンケートに回答します。
    3. ベンダー管理ワークスペースで、TPR マネージャーは、サードパーティ連絡先が回答する自動選択されたアンケートを確認します。TPR マネージャーは、選択内容を検証または変更してから、一連のアンケートを承認します。
    4. システムは、サードパーティの人たちにメールを自動送信します。メッセージは、外部アンケートに回答するようにサードパーティ連絡先とエンゲージメント連絡先に通知します。
    5. サードパーティポータルでは、サードパーティの連絡先がアンケートに直接回答するか、サードパーティ組織の他の連絡先にタスクをアサインします。
      注:
      サードパーティポータルは、組織のインスタンスから完全に分離されています。

      反復プロセスでは、TPR マネージャーがアセスメントをクローズする前に、TPR マネージャーが非準拠の問題とタスクを (通常は、TPR マネージャーが所見を生成するときに) 生成できます。TPR マネージャーは、コメントを使用して TP 連絡先とやり取りし、問題とタスクをクローズします。TPR マネージャーは、必要に応じてさまざまな TP 連絡先をアサインすることもできます。問題を管理する」を参照してください。

    6. TP 連絡先とエンゲージメント連絡先は、完了したアンケートを返します。
    7. 要求のステータスが [TPM 承認準備完了 (Ready for TPM approval)] に変更され、TPR マネージャーにアラートが送信されます。
    8. ベンダー管理ワークスペース、TPR マネージャーは、アンケートが受領され、完了し、必要に応じて署名されていることを検証し、アセスメントフェーズを閉じて承認プロセスを開始します。
    承認プロセス (リスクの各側面が適切な内部ステークホルダーによって分析される)

    すべての内部ステークホルダー (承認者) が、サードパーティ連絡先からのアンケート回答と補足ドキュメントをレビューします。応答に問題がなければ、1 人以上の承認者が DD 要求を承認してクローズします。契約が準備されると、承認された要求は 契約リスクプロセスに移ります。

    • 承認者は、要求を承認または却下してクローズできます。また、必要に応じて修復の問題を作成します。
      • 問題の修正とは、コントロールの失敗またはリスクへの暴露の原因となっている根本的な問題が修正されることを意味します。質問に対して問題が作成されると、サードパーティポータルでその質問の横にビジュアルインジケーターが表示されます。
      • 問題の受け入れとは、既知のコントロールの失敗またはリスクに対する例外を作成することを意味します。
      • [受入れ済み] のコントロールは、コントロールが再評価されるまでは、非準拠ステータスのままになります。これにより、監査中に所見を文書化するために問題を使用することができます。
    • 要求をクローズすると、契約リスクプロセスに移るか、または契約が関与しない場合は、エンゲージメントが開始されます。
    契約リスクプロセス

    承認されると、すべてのデューデリジェンス情報を契約交渉担当者が利用できるようになります。ベンダー管理ワークスペースを使用して、契約交渉担当者は、契約を設計および決済するために、前のプロセスで生成されたすべてのデータにアクセスします。

    • 契約交渉担当者は、必要に応じて追加のデューデリジェンスを要求できます。
    • 契約交渉担当者がサードパーティとの契約を正常に履行した場合、契約をアップロードし、契約が実行されることを指定して、すべての主要な利害関係者に自動的に通知することができます。
    • 契約交渉担当者は、契約が実行されず、サードパーティがビジネスに従事しないことを指定することもできます。
    • 契約交渉担当者は、契約が終了し、サードパーティがビジネスに従事しないことを指定することもできます。