온보딩 프로세스 예시

요청 프로세스

모든 직원(일반적으로 외부 공급업체와 비즈니스를 수행하려는 사용자)은 위험 평가를 위한 실사 프로세스를 시작하기 위해 비즈니스 케이스를 만듭니다.

외부 공급업체 위험(TPR) 관리자가 계약에 대한 실사 요청을 검토하고 승인합니다.

IRQ(고유 위험 질문서) 프로세스

요청이 승인되면 IRQ 평가자는 IRQ에 응답하여 내부 위험 평가를 완료합니다.

수집된 정보를 바탕으로 Acme는 외부 공급업체와 관련된 잠재적 위험을 평가합니다. 재무 안정성, 운영 능력, 품질 표준 준수, 규정 준수 및 납품 일정을 맞출 수 있는 제3자의 능력과 같은 요소를 평가합니다. 이 평가는 Acme가 외부 공급업체의 위험 프로필을 이해하고 적절한 위험 완화 전략을 결정하는 데 도움이 됩니다.

실사 프로세스: 규정 준수 확인, 데이터 보안 및 개인 정보 보호 평가

IRQ 프로세스가 완료되면 Acme의 애플리케이션은 TPRM 제3자에게 설문지와 문서 요청을 보냅니다. 평가의 일부로 여러 질문서와 문서 요청을 보낼 수 있습니다. Acme는 준수 여부를 확인하기 위해 외부 공급업체의 인증, 라이센스 또는 감사 보고서 등의 문서를 요청할 수 있습니다.

주:

이러한 유형의 제3자에게 보낼 질문서와 문서 요청을 결정하는 프로세스를 단순화하고 자동화하기 위해 Acme 직원은 평가 템플릿을 개발했습니다. 질문서 템플릿, 문서 요청 템플릿 또는 둘 다 정의한 다음 평가 템플릿으로 그룹화했습니다. Acme는 템플릿을 재사용하여 향후 평가에서 적절한 질문서, 문서 요청 또는 이 둘을 유사한 외부 공급업체에 보낼 수 있습니다.

Acme는 외부 공급업체의 응답과 내부 분석을 사용하여 외부 공급업체가 필요한 모든 규정 준수 요구 사항을 충족하는지 여부를 결정합니다. 여기에는 제3자가 환경 규제, 노동법 및 부패 방지 정책과 같은 관련 법률 및 규정을 준수하는지 확인하는 것이 포함됩니다.

관련된 구성 요소의 민감한 특성을 감안하여 Acme는 제3자의 데이터 보안 및 개인 정보 보호 관행을 평가합니다. 제3자의 정보 보안 조치, 데이터 보호 정책, 액세스 통제 및 취약성 관리 프로세스를 평가합니다. 제3자가 Acme의 독점 정보 또는 고객 데이터에 액세스할 수 있는 경우, 제3자에게 사이버 보안 감사를 받거나 데이터 보호 조치에 대한 증거를 제공하도록 요구할 수 있습니다.

계약 및 위험 완화

그들의 이익을 보호하기 위해 Acme의 TPR 계약 협상가(종종 기업 고문)는 식별된 위험을 해결하기 위해 특정 계약 조항을 통합합니다. 계약 협상가는 IRQ 및 실사 프로세스에서 얻은 정보를 사용하여 규정 준수, 품질 표준, 기밀성, 데이터 보호, 비즈니스 연속성 및 분쟁 해결 메커니즘과 관련된 조항을 포함합니다. 또한 계약서에는 성과 지표, 기대치 및 규정 미준수 또는 위반이 있는 경우 해지 조항이 요약되어 있습니다.

지속적인 모니터링 및 검토

Acme는 제3자의 성과와 합의된 조건의 준수 여부를 정기적으로 평가하기 위해 지속적인 모니터링 프로세스를 수립합니다. 조직의 담당자는 주기적인 재무 검토, 품질 감사, 현장 방문 또는 설문 조사를 수동으로 수행할 수 있습니다. 또한 제3자의 위험 프로필에 대한 우려 사항이나 변경 사항을 해결하기 위해 커뮤니케이션 채널을 구축합니다.