リスクインテリジェンスレポートとスコアの使用
サードパーティリスク管理 アプリケーションを使用して、外部のリスクインテリジェンスコンテンツプロバイダーにリスクインテリジェンスレポートまたはスコアを直接要求します。この情報は、個々のサードパーティの重要性やリスクレベルに基づいて要求および管理できます。
リスクインテリジェンスの概要
リスクインテリジェンスプロバイダー は、さまざまなサードパーティリスクドメインのリスクスコアの分析と生成を専門とする企業です。これらのプロバイダーは、個人のクレジットスコアリングシステムと同様のサービスを提供し、組織がサードパーティを評価するのに役立つデータを提供します。
サードパーティリスク (TPR) 査定人 [sn_vdr_risk_asmt.vendor_risk_assessor] ロールを持っているデューデリジェンス要求の所有者であるか、TPR マネージャー [sn_vdr_risk_asmt.vendor_risk_manager] ロールを持っている場合は、TPRM アプリケーションでリスクインテリジェンス要求フォームを使用して、サードパーティのスコアまたはレポートを要求できます。リスクインテリジェンスプロバイダーによってレポートとスコアが生成された後、これらのレポートへのリンクが配信され、そのリスクインテリジェンスレポートレコードに関連付けられます。
これらのレポートの情報は、サードパーティとのやり取りに影響する可能性のある地政学的リスク、経済の安定性、業界固有の傾向、規制の変更など、さまざまなトピックをカバーします。特定のリスク管理プログラムの要件に合わせて、クレジットリスクレポート、コンプライアンスレポート、戦略的リスクレポートなどのさまざまなタイプのレポートを注文できます。
リスクインテリジェンスレポートフレームワークは、レポートを要求する一般的な方法を提供しますが、プロバイダー固有の要件を強制するものではありません。各リスクインテリジェンスプロバイダーは、独自の統合と、そのプロバイダーとの組織の契約に基づいて、要求を実行できるかどうかを決定します。プロバイダーの要件が満たされた場合にのみレポートが返されます。
リスクインテリジェンスプロバイダーと要求タイプの設定
TPR アセスメントレビュー担当者 [sn_vdr_risk_asmt.vendor_assessment_reviewer] ロールを持っている場合は、レポートを要求する前に、プロバイダーを登録し、サードパーティリスク管理 アプリケーションでプロバイダーと要求タイプの両方を設定する必要があります。詳細については、「リスクインテリジェンスプロバイダーを登録する」、「リスクインテリジェンスプロバイダーサービスのセットアップ」、「プロバイダーの要求タイプの設定」を参照してください。リスクインテリジェンスの要求
TPR マネージャー [sn_vdr_risk_asmt.vendor_risk_manager]、デューデリジェンス要求の所有者である TPR 査定人 [sn_vdr_risk_asmt.vendor_risk_assessor]、またはデューデリジェンス要求にアサインされた契約交渉担当者 [sn_vdr_risk_asmt.contract_negotiator] は、リスクインテリジェンスレポート (RIP) またはスコアを要求して、特定のサードパーティの信頼性に関するインサイトを得ることができます。リスクインテリジェンスレポートまたはスコアを要求するには、次のプロセスに従います。
- [RIR request (RIR 要求)] フォームに入力します。RIR 要求は、サードパーティまたはデューデリジェンス要求に関連付けることができます。RIR 要求をデューデリジェンス要求に関連付けると、レビュー担当者と承認者は、ベンダー管理ワークスペース [var.vendor-management-ws] の [リスクインテリジェンスレポート要求] タブから、関連するすべてのアクティビティ、スコア、レポート、および詳細にさらに簡単にアクセスできます。詳細については、「リスクインテリジェンスレポートを要求する」と「デューデリジェンス要求に関連付けられたリスクインテリジェンスレポートを要求する」を参照してください。注:RIR 要求をデューデリジェンス要求に関連付ける場合は、固有のリスクに関するアンケート (IRQ) が完了した後 (つまり、デューデリジェンス要求が IRQ 対応中ステータスになった後) に行う必要があります。
- TPR マネージャー [sn_vdr_risk_asmt.vendor_risk_manager] とそのチームが要求をレビューします。
- その要求が承認されると、TPR マネージャー [sn_vdr_risk_asmt.vendor_risk_manager]、デューデリジェンス要求の所有者である TPR 査定人 [sn_vdr_risk_asmt.vendor_risk_assessor]、またはデューデリジェンス要求にアサインされた契約交渉担当者 [sn_vdr_risk_asmt.contract_negotiator] は、要求を送信できます。要求が送信され、[Order pending (オーダー保留中)] ステータスになると、[Risk Intelligence report request (リスクインテリジェンスレポート要求)] セクションのすべてのフィールドは読み取り専用になるため、プロバイダーに誤ったオーダーが送信されるのを防ぐことができます。 注:TPR マネージャー、TPR 査定人、または契約交渉担当者は、要求が [オープン] または [注文の処理待ち] ステータスのときに RIR 要求をキャンセルできます。サードパーティに影響を与える新しい情報やその他の変更によりレポートが不要になった場合も、RIR 要求をキャンセルできます。
- リスクインテリジェンスプロバイダーによってレポートとスコアが生成されると、これらのレポートとスコアへのリンクが提供され、リスクインテリジェンスレポート要求に関連付けられます。その後、RIR 要求は [完了してクローズ] ステータスになります。
要求が送信された後、リスクインテリジェンスプロバイダーは、独自の要件に基づいて要求を履行できるかどうかを判断します。プラットフォームは要求を送信し、結果を記録しますが、プロバイダー固有の前提条件は検証しません。
RIR 要求とそのプロセスのステータスの詳細については、「リスクインテリジェンスレポート要求の管理」を参照してください。
サードパーティにスコアを手動で追加し、[リスクインテリジェンススコア] 関連リストを使用して、サードパーティの既存のスコアに関する背景情報を確認できます。詳細については、「サードパーティリスクデータにリスクインテリジェンススコアを追加する」を参照してください。
制裁関連情報の追跡
サードパーティに関する制裁関連情報を追跡することで、そのサードパーティが政府の制裁または規制によって禁止または制限されているアクティビティに関与しているかどうかを確認できます。サードパーティの制裁関連情報を記録して更新することで、サードパーティリスクプログラムの一環としてデューデリジェンス要求をレビューして承認する際に、チームに常に最新情報を提供できます。制裁関連情報の追跡の詳細については、「制裁関連情報の追跡」を参照してください。