외부 공급업체 요소 모니터링
애플리케이션을 사용하여 확장 가능한 점수 모델, 관계 분석 및 실사 워크플로우 통합을 통해 외부 공급업체 요소를 모니터링할 수 있습니다 외부 공급업체 위험 관리 . 외부 공급업체 요소를 모니터링하고 해당 정보를 활용하면 외부 공급업체 위험 프로그램의 일환으로 더 많은 정보에 입각한 위험 평가를 수행하는 데 도움이 될 수 있습니다.
외부 공급업체 요소 개요
외부 공급업체 요소 (TP 요소)는 계약이 상품, 서비스 또는 지원을 제공하기 위해 의존하는 외부 조직입니다. 이러한 조직에는 공급자, 계약자, 시설, 개인 또는 계약의 시스템, 데이터 또는 시설에 액세스할 수 있는 기타 외부 조직이 포함될 수 있습니다. 각 외부 공급업체 요소는 단일 외부 공급업체에 연결됩니다. 외부 공급업체 요소는 동일한 외부 공급업체의 여러 계약과 연결할 수 있지만 서로 다른 외부 공급업체 간에 공유하거나 재사용할 수는 없습니다.
몇 가지 TP 요소 클래스와 위험 예를 살펴보겠습니다.- 데이터 센터
- 계약 또는 외부 공급업체가 데이터 및 IT 인프라의 스토리지, 처리 및 관리를 아웃소싱하는 시설 또는 위치입니다. 데이터센터에서 데이터 유출, 다운타임 또는 규정 준수 위반이 발생할 수 있으며, 이로 인해 계약이 예기치 않은 위험에 노출될 수 있습니다. 이 예는 시설 TP 요소로 분류됩니다.
- 제조 시설
- 계약 또는 외부 공급업체가 제품의 생산 또는 조립을 아웃소싱하는 시설 또는 위치입니다. 제조 시설은 잠재적으로 공급망 중단, 위조 부품 또는 규정 준수 문제를 경험하여 계약을 예상치 못한 위험에 노출시킬 수 있습니다. 이 예는 시설 TP 요소로 분류됩니다.
- 수익 소유자
- 비즈니스 관계 또는 트랜잭션에 관여하는 조직을 소유하거나 통제하는 개인입니다. 이러한 개인은 조직의 등록 또는 법적 소유자는 아닐 수 있지만 조직의 운영, 의사 결정 또는 재정 문제에 상당한 영향력이나 통제권을 가지고 있습니다. 이 예는 보안 주체 TP 요소로 분류됩니다.
다음 인포그래픽에서는 TP 요소 수집 프로세스를 보여줍니다.
외부 공급업체(TP) 요소와 관련 통제 및 잠재적 위험의 예에 대한 자세한 내용은 을 참조하십시오 용어.
외부 공급업체 요소 수집 및 검토
외부 공급업체 요소를 수집하고 검토하는 것은 선택 사항입니다. 외부 공급업체 위험(TPR) 평가자[sn_vdr_risk_asmt.vendor_assessor] 역할이 있고 실사 요청 소유자 또는 TPR 관리자 [sn_vdr_risk_asmt.vendor_risk_manager] 역할인 경우 실사 요청이 고유 위험 질문서(IRQ) 프로세스를 완료한 후 이 프로세스를 시작할 수 있습니다.
- 벤더 관리 작업 공간에서 TP 요소가 필요한 경우 외부 공급업체 위험(TPR) 관리자 또는 실사 요청 소유자가 수집 시작을 선택하고 수집 작업이 생성됩니다.
- TPR 관리자 또는 소유자는 요소 수집을 위한 외부 평가를 열고 관련 TP 요소 수집 질문서를 추가합니다.
- TPR 관리자 또는 소유자가 질문서를 검토하고 승인하면 계약으로 전송됩니다. 평가에 대한 자세한 내용은 다음 문서를 참조하십시오 외부 공급업체 위험 평가.
- 벤더 관리 작업 공간에서 TPR 관리자 또는 소유자는 질문서를 열고 필요한 모든 정보가 제공되었는지 확인합니다.
- 그런 다음 TPR 관리자 또는 소유자는 TP 요소 목록으로 이동하여 각 질문서의 각 응답 집합에 대한 TP 요소 레코드를 수동으로 만듭니다.
- 모든 TP 요소가 생성된 후 TPR 관리자 또는 소유자는 수집 작업 평가를 종결합니다. 시스템이 요청 상태를 수집 진행 중에서 수집 검토 중으로 변경합니다.
- 내부 이해 관계자(TPR 평가자, TPR 승인자, TPR 관리자 또는 TPR 관리자)가 요소 기록을 검토하고 승인합니다.
참여에 외부 공급업체 요소 추가
에서 TPR 관리자 및 내부 이해 관계자가 벤더 관리 작업 공간TP 요소를 검토하고 승인한 후 TPR 관리자 또는 소유자는 계약을 열고 검토 및 승인된 TP 요소를 해당 외부 공급업체 계약의 계약 요소 탭에 수동으로 추가합니다. 자세한 내용은 참여에 외부 공급업체 요소 기록 추가 문서를 참조하십시오. 계약에 모든 TP 요소를 추가한 후 실사 프로세스를 시작할 수 있습니다. 실사 프로세스 중에 생성한 각 TP 요소에 대한 외부 평가의 일부로 질문서를 선택하고 할당해야 합니다. 외부 공급업체 접촉 창구가 TP 요소 질문서를 작성합니다. 자세한 내용은 외부 공급업체 위험 평가 문서를 참조하십시오.
외부 공급업체 요소 점수 매기기
각 TP 요소를 시설, 제품, 주체 또는 기타의 유형 중 하나로 분류할 수 있습니다. 이 분류는 평가 기준과 후속 점수 매기기를 구성하는 데 도움이 됩니다. TP 요소에 대한 점수는 연관된 외부 공급업체 위험 평가의 위험 등급을 평균하여 결정됩니다. 동일한 TP 요소에 대해 여러 평가를 수행하는 경우 시스템은 중복을 무시하고 점수를 매기기 위해 각 계약에 대한 최신 평가만 고려합니다. 이 프로세스는 TP 요소의 위험 등급이 최신 평가를 반영하도록 하는 데 도움이 됩니다. 예를 들어 TP 요소에 위험 등급이 매우 높음 및 매우 낮음인 평가가 있는 경우 이러한 등급의 평균은 전체 위험을 보통으로 연결합니다.
요소가 평가되고 위험 등급이 결정되면 이 등급은 먼저 시설과 같은 분류에 기반한 구성요소 점수로 집계됩니다. 예를 들어 모든 시설 유형 요소는 계약의 전체 점수에 기여하는 단일 구성요소 점수로 집계됩니다. 그런 다음 계약 점수는 해당 계약 내의 모든 관련 구성요소 점수의 점수를 집계하여 컴파일됩니다. 계약 내에 여러 평가 또는 TP 요소가 있는 경우 각각의 평가 또는 TP 요소는 개별적으로 점수가 매겨진 다음 결합되어 전체 계약 점수를 형성합니다. 그런 다음 특정 외부 공급업체와 연결된 모든 참여의 점수를 집계하여 참여 점수를 외부 공급업체 수준으로 롤업합니다. 이 수준의 집계는 시스템 내에 설정된 점수 규칙에 따라 평균화, 최소 점수 또는 최대 점수 점유와 같은 다양한 규칙을 기반으로 할 수 있습니다. 롤업된 이 점수는 외부 공급업체의 전반적인 위험 또는 성과 점수를 나타내며 이와 관련된 모든 참여 및 요소를 반영합니다.