オンボーディングプロセスの例

この例は、要求の開始から継続的な監視までの、 TPRM アプリケーションの一般的なサードパーティのオンボーディングフローを示しています。

要求プロセス

従業員は、 従業員センターでサードパーティのデューデリジェンス要求を送信して、オンボーディングを開始します。

サードパーティリスク (TPR) マネージャーが [要求] リストから要求レコードを開き、[ 承認] を選択します。

承認後、TPR マネージャーは [ デューデリジェンスの開始 ] を選択して、要求をデューデリジェンスワークフローに移行します。

詳細については、「サードパーティリスクデューデリジェンスを要求する」と「サードパーティエンゲージメントのデューデリジェンス要求」を参照。

固有のリスクに関するアンケート (IRQ) プロセス

デューデリジェンスが開始されると、固有のリスクアセスメントが生成されます。

IRQ 査定人は、 ベンダー管理ワークスペースの [タスク] ページで要求レコードを開き、関連するアセスメントに移動して、固有のリスクアンケートを開きます。

査定人は IRQ の質問に回答し、アセスメントを送信してサードパーティの固有リスクレベルを計算します。

詳細については、「サードパーティリスクのアセスメント」と「内部アセスメントに回答する」を参照。

デューデリジェンスプロセス：コンプライアンス検証、データセキュリティ、プライバシーアセスメント

IRQ が完了すると、アセスメントはデューデリジェンスフェーズに進みます。

TPR マネージャーまたは TPR 査定人は、アセスメントレコードから [サードパーティ に送信 してアンケートと文書要求を送信する] を選択します。

サードパーティの連絡先は、サードパーティポータルでアンケートや文書要求を受信して応答します。

詳細については、「サードパーティリスクのアセスメント」、「外部アセスメントを作成」、「サードパーティまたはエンゲージメントのためにアンケートに回答する」、および「外部アンケートの応答を確認する」を参照してください。

注:

このステップを簡素化するために、Acme はアセスメントテンプレートを使用します。アセスメントテンプレートは、事前定義されたアンケートと文書要求テンプレートを再利用できるようにグループ化します。

Acme は、送信された回答とアップロードされたドキュメントをアセスメントレコードからレビューして、規制、コンプライアンス、およびセキュリティの要件を検証します。

契約上の合意とリスク軽減

デューデリジェンスが完了すると、契約リスク要件が確定します。

TPR 契約交渉担当者は、アセスメント結果をレビューし、必要な契約条項がサードパーティ契約に含まれていることを確認します。

詳細については、「契約リスクプロセスの管理」と「契約リスクプロセスにある DD 要求へのアクセス」を参照。

継続的な監視とレビュー

オンボーディングが完了すると、Acme はエンゲージメントのライフサイクル全体を通じてサードパーティを監視します。

ステークホルダーは、継続的なアセスメント、モニタリング結果、およびサードパーティレコードからの定期的なレビューをレビューして、リスク体制の変化を追跡します。

詳細については、「サードパーティリスクの監視」を参照してください。