オンボーディングプロセスの例

要求プロセス

従業員 (通常、サードパーティと取引を行うユーザー) は、リスクアセスメントのデューデリジェンスプロセスを開始するビジネスケースを作成します。

サードパーティリスク (TPR) マネージャーは、エンゲージメントのデューデリジェンスの要求をレビューして承認します。

固有のリスクに関するアンケート (IRQ) プロセス

要求が承認されると、IRQ 査定人は IRQ に回答して内部リスクアセスメントを完了します。

収集された情報に基づいて、Acme はサードパーティに関連する潜在的なリスクを評価します。財務の安定性、運用キャパシティ、品質基準への準拠、規制へのコンプライアンス、サードパーティのデリバリタイムラインを満たす能力などの要素を評価します。このアセスメントは、Acme がサードパーティのリスクプロファイルを理解し、適切なリスク軽減戦略を決定するのに役立ちます。

デューデリジェンスプロセス：コンプライアンス検証、データセキュリティ、プライバシーアセスメント

IRQ プロセスが完了すると、Acme の TPRM アプリケーションはアンケートとドキュメントの要求をサードパーティに送信します。アセスメントの一環として、複数のアンケートや文書要求を送信する場合があります。Acme はサードパーティの認定、ライセンス、またはコンプライアンスを検証するための監査レポートなどのドキュメントを要求する場合があります。

注:

この種のサードパーティにどのアンケートや文書要求を送信するかを決定するプロセスを簡素化および自動化するために、Acme のスタッフはアセスメントテンプレートを開発しました。アンケートテンプレート、文書要求テンプレート、またはその両方を定義し、それらをアセスメントテンプレートにグループ化しました。Acme はテンプレートを再利用して、今後のアセスメントにおいて、適切なアンケート、文書要求、またはその両方を同様のサードパーティに送信できます。

Acme は、サードパーティの応答と内部分析を使用して、サードパーティが必要なコンプライアンス要件をすべて満たしているかどうかを判断します。これには、環境規制、労働法、腐敗防止ポリシーなど、適用される法律および規制に対するサードパーティのコンプライアンスの検証が含まれます。

関連するコンポーネントの機密性を考慮して、Acme はサードパーティのデータセキュリティとプライバシー慣行を評価します。サードパーティの情報セキュリティ対策、データ保護ポリシー、アクセス制御、および脆弱性管理プロセスを評価します。サードパーティが Acme の専有情報または顧客データにアクセスできる場合、サードパーティに対してサイバーセキュリティ監査を受けるか、データ保護対策の証拠を提供するように要求する場合があります。

契約上の合意とリスク軽減

相手の利益を保護するために、Acme の TPR 契約交渉担当者 (多くの場合、企業顧問) は、特定されたリスクに対処するための特定の契約規定を組み込んでいます。契約交渉担当者は、IRQ およびデューデリジェンスプロセスで得られた情報を使用して、コンプライアンス、品質基準、機密性、データ保護、事業継続性、および紛争解決メカニズムに関連する条項を含めます。契約には、パフォーマンスメトリクス、期待値、および非準拠または違反が発生した場合の契約の解除条項の概要も含めることができます。

継続的な監視とレビュー

Acme は、サードパーティのパフォーマンスと合意された条件の遵守を定期的に評価するために、継続的な監視プロセスを確立します。組織の担当者が、定期的な財務レビュー、品質監査、サイト訪問、またはサーベイを手動で実行する場合があります。また、サードパーティのリスクプロファイルの懸念事項や変更に対処するためのコミュニケーションチャネルも確立します。