外部リスクアセスメントの管理 - 従来のプロセス
TPR マネージャーがアセスメントをクローズする前に、通常は [所見を生成中] ステータスの間に、ステークホルダーが問題とタスクを作成します。TPR のアセスメント担当者が必要に応じてサードパーティをアサインし、コメントストリームを使用してやり取りし、非準拠を解決します。サードパーティの主要連絡先が、サードパーティポータルを使用してすべてのアセスメントを表示します。
外部リスクアセスメントのワークフロー
- TPR アドミニストレーターがアンケートと文書要求テンプレートを作成します。
- TPR マネージャーが、内部リスクアセスメントと外部リスクアセスメントのテンプレートを作成し、ワークフローに関連する通知も作成します。
- TPR マネージャーが、IRQ を準備して、社内のステークホルダーに送信します。
- 社内のステークホルダーがアセスメントを完了し、送信します。
- 完了したリスク階層アセスメントを受け取った後、TPR 評価担当者が階層アセスメントを更新してクローズします。
- TPR マネージャーが、アセスメントをサードパーティの主要連絡先に送信します。外部リスクアセスメントは、リスクスコアまたはリスク階層の変更に基づいて自動的に送信されます。
- サードパーティの担当者が、サードパーティポータルにサインインしてリスクアセスメントを完了します。
サードパーティポータルに、アセスメントのリストとそれぞれのステータスが表示されます。ポータルから、主要連絡先はアセスメントの一部を完了するために他のサードパーティの協力者を招待できます。他の協力者が特定されると、主連絡先がアセスメントを送信します。
- TPR アセスメント担当者は、アセスメントの結果をレビューして各サードパーティアセスメントをクローズし、必要に応じて修正が必要な問題を作成します。特定の質問に対して問題が作成されると、その質問に対するサードパーティポータルにビジュアルインジケーターが表示されます。
- 修正
- 問題の修正とは、コントロールの失敗またはリスクへの暴露の原因となっている根本的な問題が修正されることを意味します。
- 受け入れ
- 問題の受け入れとは、既知のコントロールの失敗またはリスクに対する例外を作成することを意味します。[受入れ済み] のコントロールは、コントロールが再評価されるまでは、非準拠ステータスのままになります。これにより、監査中に所見を文書化するために問題を使用することができます。