외부 공급업체 위험 평가

  • 릴리스 버전: Washingtondc
  • 업데이트 날짜 2024년 02월 01일
  • 읽기4분

    • 외부 공급업체 관계와 관련된 잠재적 위험을 식별하고 평가하는 데 사용합니다 외부 공급업체 위험 관리 . 내부 질문서, 외부 질문서 및 문서 요청에서 수집된 정보는 외부 공급업체의 위험 프로필을 이해하고 적절한 위험 완화 전략을 결정하며 외부 공급업체 또는 참여가 필요한 모든 준수 요구 사항을 충족하는지 여부를 결정하는 데 도움이 됩니다.

    질문서에 응답

    다음 프로세스는 내부 및 외부 질문서에 응답하는 시기와 방법을 간략하게 설명합니다.

    IRQ(Inherent Risk Questionnaire) 프로세스

    TPR(외부 공급업체 위험) 관리자[sn_vdr_risk_asmt.vendor_risk_manager]가 실사 요청을 승인하면 IRQ 평가자[snc_internal]가 IRQ에 응답하여 내부 위험 평가를 완료합니다.

    IRQ 평가자가 응답을 제출하고 TPR 관리자 또는 소유자가 IRQ를 검토하고 종결하면 실사 요청 상태가 IRQ 진행 중에서 IRQ 검토 중으로 업데이트됩니다.

    수집된 정보를 기반으로 TPR 관리자와 해당 팀은 계약과 관련된 잠재적 위험을 평가합니다. 그들은 재정적 안정성, 운영 능력, 품질 표준 준수, 규정 준수 및 납품 일정을 맞출 수 있는 제3자의 능력과 같은 요소를 평가합니다. 이 평가를 통해 팀은 외부 공급업체의 위험 프로필을 이해하고 적절한 위험 완화 전략을 결정할 수 있습니다.

    IRQ에 대한 자세한 내용은 을 참조하십시오 IRQ(Inherent Risk Questionnaire)에 응답.

    실사 프로세스: 규정 준수 검증

    IRQ 프로세스가 완료되면 애플리케이션은 TPRM 질문서와 문서 요청을 외부 공급업체 및 참여에 보냅니다. 평가의 일환으로 조직에서 여러 질문서 및 문서 요청을 보낼 수 있습니다. 예를 들어, TPR 관리자는 규정 준수를 확인하기 위해 타사의 인증, 라이선스 또는 감사 보고서를 요청할 수 있습니다.

    주:
    TPR 관리자는 평가 템플릿을 개발하여 이러한 유형의 제3자에게 보낼 설문지 및 문서 요청을 결정하는 프로세스를 단순화하고 자동화할 수 있습니다. TPR 관리자는 질문서 템플릿, 문서 요청 템플릿을 정의할 수 있으며 TPR 관리자는 이를 평가 템플릿으로 그룹화할 수 있습니다. 조직은 템플릿을 재사용하여 향후 평가에서 유사한 외부 공급업체에 질문서 및 문서 요청을 보낼 수 있습니다. 템플릿에 대한 자세한 내용은 해당 문서를 문서 요청 템플릿 생성참조하십시오질문서 템플릿 또는 문서 요청 템플릿 생성.

    TPR 관리자와 팀은 제3자의 응답과 내부 분석을 사용하여 제3자가 필요한 모든 규정 준수 요구 사항을 충족하는지 여부를 결정합니다. 이러한 요구 사항에는 제3자가 환경 규정, 노동법 및 부패 방지 정책과 같은 해당 법률 및 규정을 준수하는지 확인하는 것이 포함될 수 있습니다.

    관련된 항목의 민감한 특성으로 인해 TPR 관리자와 팀은 제3자의 데이터 보안 및 개인 정보 보호 관행을 평가합니다. 이들은 제3자의 정보 보안 조치, 데이터 보호 정책, 액세스 제어 및 취약성 관리 프로세스를 평가합니다. 제3자가 독점 정보 또는 고객 데이터에 액세스할 수 있는 경우 제3자에게 사이버 보안 감사를 받거나 데이터 보호 조치에 대한 증거를 제공하도록 요구할 수 있습니다.

    응답 검토에 대한 자세한 내용은 을 참조하십시오 외부 질문서에 대한 응답 검토.
    주:
    TPR 평가자는 수신되거나 반환된 설문지를 Excel 스프레드시트로 Microsoft 내보낼 수 있습니다. 이 옵션을 사용하면 조직에서 스프레드시트 환경을 사용하여 질문과 답변을 검토할 수 있습니다. 질문지 응답 내보내기에 대한 자세한 내용은 을 참조하십시오 질문서 응답을 스프레드시트로 익스포트.

    추가 평가 작업

    TPR 관리자는 참여에 영향을 주는 새로운 정보가 있거나 다른 변경이 발생했기 때문에 평가를 다시 열어야 할 수 있습니다. 자세한 내용은 실사를 수행하는 이유 문서를 참조하십시오.

    TPR 관리자가 계약에서 추가 정보를 수집해야 하는 경우 평가를 다시 열고 다음 작업을 수행하여 추가 질문서 또는 문서 요청을 보낼 수 있습니다.
    1. 관련 DDR 번호를 선택하여 실사 요청 기록 페이지로 이동합니다.
    2. 외부 공급업체 위험 평가 탭에서 VRA 번호를 선택하여 관련 외부 공급업체 위험 평가를 봅니다.
    3. 다시 열기를 선택합니다.

    실사 요청 상태가 TPRM 승인 준비 완료에서 실사로 업데이트됩니다. TPR 관리자는 필요에 따라 설문지 및 문서 요청을 요청할 수 있습니다. 자세한 내용은 평가 다시 열기 문서를 참조하십시오.

    TPR 관리자가 진행 중인 계약에 대한 평가가 필요하지 않거나 계약 온보딩 또는 갱신을 위해 빠른 종결이 필요한 경우 다음 작업을 수행하여 평가를 취소할 수 있습니다.
    1. 관련 DDR 번호를 선택하여 실사 요청 기록 페이지로 이동합니다.
    2. 외부 공급업체 위험 평가 탭에서 VRA 번호를 선택하여 관련 외부 공급업체 위험 평가를 봅니다.
    3. 취소를 선택합니다.
    하나 또는 모든 평가가 취소되더라도 실사 요청은 승인 프로세스로 진행됩니다.

    문제점과 작업

    작업과 문제를 모두 생성하고 관리하려면 TPR 관리자 [sn_vdr_risk_asmt.vendor_risk_manager] 또는 TPR 평가자 [sn_vdr_risk_asmt.vendor_assessor] 역할이 필요합니다.

    TPR 관리자 또는 평가자는 팀 구성원 또는 제3자 연락처가 질문서 응답 또는 요청된 문서에 대한 우려 사항에 응답하도록 하는 데 도움이 되는 작업을 만들 수 있습니다. 이들은 기존 작업을 관리하여 할당된 팀 구성원 또는 외부 공급업체 담당자가 작업에 응답하고 필요에 따라 업데이트하는지 확인할 수 있습니다. 문제 생성 및 관리에 대한 자세한 내용은 해당 문서를 외부 공급업체 또는 약속에 대한 작업 관리참조하십시오외부 공급업체 또는 약속에 대한 작업 생성.

    TPR 관리자 또는 평가자는 문제를 생성하여 팀이 외부 공급업체 또는 참여에 대한 우려 사항을 해결하도록 할 수 있습니다. 또한 기존 문제를 관리하여 문제가 이해되었는지, 올바른 사람과 공유되었는지, 필요에 따라 조치가 취해졌는지 확인할 수 있습니다. 작업 생성 및 관리에 대한 자세한 내용은 해당 문서를 문제 관리참조하십시오외부 공급업체 또는 약속에 대한 문제 생성.