サードパーティリスクの評価

ワシントンDCのガバナンス、リスク、コンプライアンス

Release

washingtondc

ft:locale

ja-JP

ft:publication_title

ワシントンDCのガバナンス、リスク、コンプライアンス

ft:clusterId

grc

bundleId

grc

workflow

Technology

サードパーティリスクの評価

リリースバージョン: Washingtondc

更新日 2024年02月01日

読む4読むのに数分

サードパーティとの関係に関連付けられている潜在的なリスクを特定および評価するために使用しますサードパーティリスク管理。内部アンケート、外部アンケート、およびドキュメント要求から収集された情報は、サードパーティのリスクプロファイルを理解し、適切なリスク軽減戦略を決定し、サードパーティまたはエンゲージメントが必要なすべてのコンプライアンス要件を満たしているかどうかを判断するのに役立ちます。

アンケートへの回答

次のプロセスは、内部および外部のアンケートに回答するタイミングと方法の概要を示しています。

固有リスクアンケート (IRQ) プロセス

デューデリジェンス要求がサードパーティリスク (TPR) マネージャー [sn_vdr_risk_asmt.vendor_risk_manager] によって承認された後、IRQ 査定人 [snc_internal] は IRQ に応答して内部リスクアセスメントを完了します。

収集された情報に基づいて、TPR マネージャーとそのチームは、エンゲージメントに関連付けられている潜在的なリスクを評価します。財務の安定性、運用キャパシティ、品質基準への準拠、規制へのコンプライアンス、サードパーティのデリバリタイムラインを満たす能力などの要素を評価します。このアセスメントは、チームがサードパーティのリスクプロファイルを理解し、適切なリスク軽減戦略を決定するのに役立ちます。

IRQ の詳細については、次を参照してください固有リスクアンケート (IRQ) への回答。

デューデリジェンスプロセス:コンプライアンス検証

IRQ プロセスが完了すると、 TPRM アプリケーションはアンケートとドキュメントの要求をサードパーティとエンゲージメントに送信します。アセスメントの一環として、複数のアンケートと文書要求を送信する場合があります。たとえば、コンプライアンスを検証するために、サードパーティの認定、ライセンス、または監査レポートを要求する場合があります。

注:

アセスメントテンプレートを開発して、このタイプのサードパーティに送信するアンケートと文書要求を決定するプロセスを簡素化および自動化できます。アンケートテンプレート、文書要求テンプレートを定義して、アセスメントテンプレートにグループ化することができます。テンプレートを再利用して、今後のアセスメントで類似するサードパーティにアンケートと文書要求を送信できます。テンプレートの詳細については、および文書要求テンプレートの作成を参照してくださいアンケートテンプレートや文書要求テンプレートを作成する。

TPR マネージャーとそのチームは、サードパーティの回答と内部分析を使用して、サードパーティが必要なすべてのコンプライアンス要件を満たしているかどうかを判断します。これらの要件には、環境規制、労働法、腐敗防止ポリシーなど、適用される法律および規制に対するサードパーティのコンプライアンスの検証が含まれる場合があります。

関連するアイテムは機密性が高いため、TPR マネージャーとそのチームは、サードパーティのデータセキュリティとプライバシー慣行を評価します。サードパーティの情報セキュリティ対策、データ保護ポリシー、アクセス制御、および脆弱性管理プロセスを評価します。サードパーティが機密情報または顧客データにアクセスできる場合、サードパーティにサイバーセキュリティ監査を受けるか、データ保護対策の証拠を提供するように要求する場合があります。

回答のレビューの詳細については、「」を参照してください外部アンケートの応答を確認する。

注:

受領または返却されたアンケートを Excel スプレッドシートに Microsoft エクスポートできます。このオプションを使用すると、スプレッドシート環境を使用して質問と回答を確認できます。アンケート回答のエクスポートの詳細については、「」を参照してくださいアンケート回答をスプレッドシートにエクスポートする。

問題とタスク

タスクと問題の両方を作成および管理するには、TPR マネージャー [sn_vdr_risk_asmt.vendor_risk_manager] または TPR 査定人 [sn_vdr_risk_asmt.vendor_assessor] のロールが必要です。

TPR マネージャーまたは査定人は、チームメンバーまたはサードパーティ連絡先がアンケートの回答または要求されたドキュメントに関する懸念に確実に応答できるようにするためのタスクを作成できます。既存のタスクを管理して、アサインされたチームメンバーまたはサードパーティの連絡先がタスクに応答し、必要に応じてタスクを更新することを確認できます。問題の作成と管理の詳細については、「」およびサードパーティまたはエンゲージメントのタスク管理を参照してくださいサードパーティまたはエンゲージメントにタスクを作成。

TPR マネージャーまたは査定人は、問題を作成して、サードパーティまたはエンゲージメントに関するチームの懸念を確実に修正できます。また、既存の問題を管理して、それらが理解され、適切な担当者と共有され、必要に応じて対処されていることを確認することもできます。タスクの作成と管理の詳細については、「」および問題を管理するを参照してくださいサードパーティまたはエンゲージメントに問題を作成。