제3자, 제4자 및 n자

제3자는 귀하가 상호 작용하거나 비즈니스 관계를 체결한 모든 조직 또는 개인입니다. 제3자는 자회사를 가질 수 있으며 제4자와 계약할 수 있습니다. 예를 들어 부서는 자회사입니다. 네 번째 당사자는 추가 당사자(n번째 당사자, 즉 다섯 번째, 여섯 번째 당사자라고 함)와 계약할 수 있습니다. 모든 하위 당사자(4자에서 n자)는 외부 공급업체와 동일한 방식으로 위험을 수반합니다.

벤더는 자체 상품 또는 서비스를 생산하거나 제공하는 데 사용하는 상품 또는 서비스를 제공합니다. 모든 공급업체는 외부 공급업체이지만 모든 외부 공급업체가 공급업체는 아닙니다. 다음은 몇 가지 다른 유형의 제3자 목록입니다.

• 공급자
• 제휴사
• 상대방
• 컨설턴트
• 파트너
• 전문 서비스
• 고문
• 프랜차이즈
• 딜러
• 리셀러
• 유통 업체
• 고객
• 클라이언트
• 아웃소싱 직원

참여

계약은 조직을 위험에 노출시킬 수 있는 외부 공급업체와 형성하려는 비공식 또는 계약된 관계입니다. 계약은 외부 공급업체가 제공할 서비스 또는 제품과 관계의 기타 세부 정보를 간략하게 설명합니다. 이러한 세부 정보에는 지불 조건, 기밀성 요구 사항 및 관계 기간이 포함될 수 있습니다.

내부 및 외부 평가를 사용하여 각 계약을 평가할 수 있습니다. 문제, 작업, 내부 평가 및 외부 평가가 계약과 연결됩니다.

이 예에서 귀사는 세 개의 외부 공급업체와 상호 작용하고 이들 간의 여러 계약을 관리합니다.

IRQ - 고유 위험 질문서

내부 위험 평가 프로세스 중에 조직의 내부 직원이 IRQ의 질문에 답변합니다. 이러한 응답은 제3자와의 협력과 관련된 고유한 위험을 평가하는 데 도움이 됩니다. 고유 위험은 위험 완화 조치를 구현하기 전의 위험 수준을 나타냅니다. IRQ는 다음과 같은 활동을 지원합니다.

위험 요인 결정

• 제3자가 제공하는 서비스의 성격.
• 관련된 데이터의 민감도입니다.
• 외부 공급업체의 지리적 위치입니다.
• 외부 공급업체의 전반적인 보안 태세입니다.

점수 또는 등급 결정

설문지에 대한 응답은 종종 외부 공급업체와 관련된 고유한 위험을 정량화하는 데 도움이 되도록 점수를 매기거나 등급을 매깁니다. 이 점수 매기기 시스템은 위험 관리 노력의 우선순위를 정하는 데 도움이 될 수 있습니다.

의사 결정

IRQ의 결과는 의사 결정 과정에 사용됩니다. 제3자 위험(TPR) 관리자는 질문에 대한 특정 응답을 기반으로 특정 외부 평가(실사) 질문서를 제3자에게 전송하도록 IRQ를 구성할 수 있습니다.

• 외부 공급업체와 협력해야 합니까?
• 어떤 수준의 실사가 필요합니까?
• 구현해야 하는 특정 위험 완화 조치는 무엇입니까?

진행 중인 실사

IRQ는 또한 제3자의 운영, 보안 관행 또는 기타 관련 요인의 변경 사항을 설명하기 위해 주기적인 재평가를 통해 지속적인 관리의 일부가 될 수 있습니다.

실사(DD)

실사는 잠재적인 비즈니스 파트너, 공급업체 또는 공급업체의 무결성, 평판, 재무 안정성, 법률 준수, 운영 능력, 공급망 및 기타 관련 요소에 대한 철저한 조사 또는 검사를 수행하는 프로세스입니다. 제3자에 대한 실사를 수행하는 것은 포괄적인 제3자 위험 프로그램의 중요한 구성 요소입니다. 실사를 수행하여 제3자와 관련된 위험을 인식하여 관계를 형성하는 방법을 자신 있게 결정할 수 있습니다. 실사 워크플로우를 사용하여 새 계약을 온보딩하거나 기존 계약을 재평가 또는 폐기합니다. 실사 워크플로우에는 내부 평가, 외부 평가 및 위험 인텔리전스를 통한 정보 수집이 포함됩니다. 외부 공급업체 위험 관리자는 이러한 단계의 모든 점수를 분석하여 계약을 온보딩, 재평가 또는 폐기할지 여부를 결정합니다. 실사에는 실사 워크플로우를 종결하기 전의 선택적 계약 협상 프로세스도 있습니다.

실사를 수행하는 이유 및 실사 유형 문서를 참조하십시오.

외부 공급업체 위험 평가

외부 공급업체 위험 평가 (TPRA)는 외부 공급업체 연락처 또는 내부 사용자에게 외부 공급업체 및 참여 위험을 평가하기 위해 보낼 수 있는 일련의 질문서입니다. 내부 사용자에게 보내는 평가는 내부 평가로 분류됩니다. 외부 공급업체 연락처에 보내는 평가를 외부 평가라고 합니다.

내부 평가를 사용하여 외부 공급업체 및 참여 계층을 계산합니다. 질문서 템플릿 테이블에서 내부 질문서를 식별하는 데 사용하는 분류는 고유 위험 질문서 템플릿 [irq_template]입니다. 내부 평가에서 받은 응답에 따라 외부 평가에 필요한 질문서를 자동으로 첨부할 수 있습니다. 질문서 - 질문 매핑 테이블[sn_tprm_dd_m2m_question_to_questionnaire]에서 이 옵션을 구성할 수 있습니다.

외부 평가를 사용하여 수신한 외부 공급업체 연락처 응답에 따라 외부 공급업체 및 참여와 관련된 위험을 평가합니다. 외부 평가의 위험 등급은 평가에 첨부된 모든 질문서를 사용하여 평가 수준에서 계산됩니다. 이러한 평가 등급은 집계되어 외부 공급업체 및 계약에 롤업됩니다. 집계는 MIN, MAX 또는 AVG이며 점수 설정에서 구성할 수 있습니다. 벤더 포털 https://<myCompany>.service-now.com/ svdp 의 외부 공급업체 연락처(외부 사용자)가 이러한 외부 평가에 응답합니다.

위험 인텔리전스 제공자

위험 인텔리전스 제공자는 다양한 외부 공급업체 위험 도메인에 대한 위험 점수를 생성합니다. 조직은 개인 신용 점수와 유사한 데이터를 반환하는 공급자로부터 서비스를 구매할 수 있습니다. 점수는 특정 제3자가 얼마나 신뢰할 수 있고 안전할 수 있는지에 대한 통찰력을 제공합니다.

위험 인텔리전스 제공자의 점수 통합 문서를 참조하십시오.

위험 인텔리전스 점수

위험 인텔리전스 점수 는 특정 조직과 관련된 위험 수준을 평가하는 수치 평가입니다. 이러한 점수는 광범위한 데이터 소스를 수집하고 분석하는 위험 인텔리전스 제공자에 의해 생성됩니다. 점수는 등급이나 숫자와 같은 형태로 제공될 수 있습니다. 시스템은 점수 값을 적절한 TPRM 등급으로 매핑합니다. 이러한 점수는 조직이 외부 공급업체와의 협력, 규정 준수 관리 및 잠재적 위험 완화에 대해 정보에 입각한 결정을 내리는 데 도움이 될 수 있습니다. 위험 인텔리전스 점수는 릴리스 기준으로 Washington DC 외부 공급업체에서 사용할 수 있습니다. 위험 등급은 점수 설정의 참여와 연결된 점수 규칙에 따라 계산됩니다.

외부 공급업체 점수

이러한 점수는 조직이 외부 공급업체 관계를 선택하고 관리하는 것에 대해 정보에 입각한 결정을 내리는 데 도움이 되며, 이를 통해 위험 허용 범위 및 규정 준수 요구 사항을 충족할 수 있습니다. 조직은 외부 공급업체 점수를 평가하여 잠재적 위험을 식별하고, 실사 작업의 우선순위를 지정하고, 적절한 위험 완화 전략을 구현할 수 있습니다.

외부 공급업체 요소

외부 공급업체 요소는 외부 공급업체 또는 참여가 상품, 서비스 또는 지원을 제공하기 위해 의존하는 외부 조직입니다. 이러한 조직에는 벤더, 공급자, 협력업체, 개인 또는 외부 공급업체 또는 참여의 시스템, 데이터 또는 시설에 액세스할 수 있는 기타 외부 조직이 포함될 수 있습니다. 이러한 외부 공급업체 요소의 취약성 또는 실패는 외부 공급업체 또는 참여의 운영, 평판 및 보안에 상당한 영향을 미칠 수 있습니다. 이러한 통제를 구현하고 관련 위험을 해결함으로써 조직은 외부 공급업체 및 외부 공급업체 요소의 잠재적인 부정적인 영향을 관리하고 완화하는 능력을 향상시킬 수 있습니다. 이러한 통제를 정기적으로 재평가하고 업데이트하는 것은 비즈니스 환경 및 규제 환경의 변화에 적응하는 데 필수적입니다.

다음은 제3자 요소와 관련 통제 및 잠재적 위험에 대한 몇 가지 예입니다.

데이터 센터

외부 공급업체 또는 계약이 데이터 및 IT 인프라의 저장, 처리 및 관리를 아웃소싱하는 시설 또는 위치입니다.

컨트롤:

• 벤더 보안 평가: 클라우드 호스팅 또는 데이터 스토리지와 같은 서비스를 제공하는 타사 벤더의 보안 조치 및 관행을 정기적으로 평가합니다.
• 데이터 암호화: 데이터 센터에 저장된 데이터가 암호화되어 무단 액세스로부터 보호되는지 확인합니다.
• 액세스 제어: 엄격한 액세스 제어를 구현하여 데이터 센터 시설 및 서버에 대한 물리적 및 가상 액세스를 제한합니다.
• 인시던트 대응 계획: 모든 보안 인시던트를 즉시 해결하기 위해 포괄적인 인시던트 대응 계획을 개발하고 유지 관리합니다.

위험:

• 데이터 침해: 타사 데이터 센터의 침해로 인해 중요한 정보에 대한 무단 액세스 및 손상이 발생할 수 있습니다.
• 가동 중지 시간: 타사 데이터 센터에 의존하면 서비스 공급자에게 기술적인 문제가 발생할 경우 조직이 가동 중지 시간의 위험에 처하게 됩니다.
• 규정 준수 위반: 데이터 센터가 산업 또는 규정 준수 표준을 준수하지 않으면 조직에 법적 및 재정적 결과가 발생할 수 있습니다.

제조시설

제3자 또는 계약이 제품의 생산 또는 조립을 아웃소싱하는 시설 또는 위치입니다.

컨트롤:

• 공급업체 감사: 제조 공정에 중요한 구성 요소 또는 서비스를 제공하는 공급업체의 보안 관행을 정기적으로 감사하고 평가합니다.
• 품질 보증 표준: 제3자 공급업체에 대한 품질 보증 표준을 시행하여 원자재 및 구성 요소의 무결성과 안전성을 촉진합니다.
• 공급망 가시성: 전체 공급망에 대한 가시성을 유지하여 잠재적인 취약성을 식별하고 해결합니다.
• 계약: 보안 요구 사항 및 규정 미준수에 대한 결과를 설명하는 명확한 계약 계약을 공급업체와 체결합니다.

위험:

• 공급망 중단: 제3자 공급업체에 대한 의존도는 조직을 공급망 중단 위험에 노출시켜 생산에 영향을 미칩니다.
• 위조 부품: 공급망에 대한 부적절한 통제로 인해 위조 또는 표준 이하의 구성 요소가 사용되어 제품 품질이 저하될 수 있습니다.
• 규정 준수 문제: 공급업체가 규제 표준을 준수하지 않으면 제조 시설에 법적 및 규제적 결과가 발생할 수 있습니다.

수익 소유자

비즈니스 관계 또는 트랜잭션에 관여하는 조직을 최종적으로 소유하거나 통제하는 개인입니다. 이러한 개인은 조직의 등록 또는 법적 소유자가 아닐 수 있지만 조직의 운영, 의사 결정 또는 재무 문제에 상당한 영향력이나 통제력을 가지고 있습니다.

컨트롤:

• 실사: 강력한 실사 프로세스를 통합하여 신원 조회, 문서 검토, 필요한 경우 인터뷰를 포함하여 수익적 소유자를 식별하고 확인합니다.
• 계약상의 의무: 제3자가 수익적 소유권의 변경 사항을 공개하고 관련 법률 및 규정을 준수하는지 확인하도록 요구하는 조항을 제3자와의 계약에 포함합니다.
• 모니터링 및 보고: 수익적 소유자를 지속적으로 모니터링하는 시스템을 구축하여 제3자의 위험 프로필에 영향을 미칠 수 있는 변경 사항이나 개발을 감지합니다.
• 교육 및 인식: 관련 직원에게 위험 신호 및 보고 절차를 포함하여 수익적 소유권을 이해하고 모니터링하는 것의 중요성에 대한 교육을 제공합니다.
• 규정 준수 프로그램: 보고 및 공개 요구 사항을 포함하여 수익적 소유권과 관련된 모든 관련 법률 및 규정의 준수를 확인하는 프로그램을 개발하고 유지 관리합니다.
• 에스컬레이션 절차: 수익적 소유권과 관련된 우려 사항이나 부정 사항이 확인된 사례에 대한 명확한 에스컬레이션 절차를 수립하여 시기 적절하고 적절한 조치를 촉진합니다.

위험:

• 숨겨진 소유권: 수익적 소유자는 의도적으로 소유권을 숨길 수 있으므로 제3자에 대한 영향력과 관련된 잠재적 위험을 평가하기 어렵습니다.
• 평판 위험: 수익적 소유자의 평판이 의심스러운 경우 이들과 연루되면 조직의 평판에 해를 끼칠 수 있습니다.
• 규정 준수: 수익적 소유권 보고 및 투명성과 관련된 규정을 준수하지 않으면 법적 및 규제적 결과가 발생할 수 있습니다.
• 재정적 위험: 재정적 불안정 또는 사기 행위에 연루된 수익적 소유자는 제3자 및 결과적으로 조직에 재정적 위험을 초래할 수 있습니다.