제3자, 제4자, n자

제3자는 귀하가 상호 작용하거나 비즈니스 관계를 체결한 모든 조직 또는 개인입니다. 제3자는 자회사를 보유할 수 있으며 제4자와 계약할 수 있습니다. 예를 들어 부서는 자회사입니다. 제4자는 추가 당사자(제5, 제6 등 n번째 당사자라고 함)와 계약할 수 있습니다. 모든 다운스트림 당사자(4자부터 n자까지)는 제3자와 동일한 방식으로 위험을 수반합니다.

공급업체는 자체 상품 또는 서비스를 생산하거나 제공하는 데 사용하는 상품 또는 서비스를 제공합니다. 모든 공급업체는 제3자이지만 모든 공급업체가 공급업체는 아닙니다. 다음은 몇 가지 다른 유형의 제3자 목록입니다.

• 공급자
• 제휴사
• 상대방
• 컨설턴트
• 파트너
• 전문 서비스
• 고문
• 프랜차이즈
• 딜러
• 리셀러
• 유통 업체
• 고객
• 클라이언트
• 아웃소싱 직원

참여

계약은 조직을 위험에 노출시킬 수 있는 외부 공급업체와 형성하려는 비공식적 또는 계약된 관계입니다. 계약은 외부 공급업체가 제공할 서비스 또는 제품과 그 밖의 관계 세부 사항에 대한 개요를 제공합니다. 이러한 세부 정보에는 지불 조건, 기밀 유지 요구 사항 및 관계 기간이 포함될 수 있습니다.

이 예에서 귀사는 세 명의 제3자와 상호작용하고 이들 간의 여러 계약을 관리합니다.

이 예에서 귀사는 3개의 외부 공급업체와 상호작용하고 그 중 여러 계약을 관리합니다.

IRQ—내재적 위험 설문지

내부 위험 평가 프로세스 중에 조직의 내부 직원이 IRQ의 질문에 답변합니다. 이러한 응답은 제3자와의 관계와 관련된 고유한 위험을 평가하는 데 도움이 됩니다. 고유 위험은 위험 완화 조치를 구현하기 전의 위험 수준을 나타냅니다. IRQ는 다음과 같은 활동을 지원합니다.

위험 요인 결정

• 외부 공급업체가 제공하는 서비스의 특성.
• 관련된 데이터의 민감도입니다.
• 외부 공급업체의 지리적 위치입니다.
• 외부 공급업체의 전반적인 보안 태세입니다.

점수 또는 등급 결정

설문지에 대한 응답은 종종 외부 공급업체와 관련된 고유한 위험을 정량화하는 데 도움이 되도록 점수를 매기거나 등급을 매깁니다. 이 점수 시스템은 위험 관리 노력의 우선 순위를 정하는 데 도움이 될 수 있습니다.

의사 결정

IRQ의 결과는 의사 결정 과정에 사용됩니다. 제3자 위험(TPR) 관리자 및 관리자는 질문에 대한 특정 응답을 기반으로 특정 외부 평가(실사) 질문서를 제3자에게 보내도록 IRQ를 구성할 수 있습니다.

• 타사와 협력해야 합니까?
• 어느 수준의 실사가 필요합니까?
• 구체적으로 어떤 위험 완화 조치를 구현해야 합니까?

진행 중인 실사

IRQ는 또한 제3자의 운영, 보안 관행 또는 기타 관련 요인의 변경 사항을 설명하기 위한 주기적인 재평가와 함께 지속적인 관리의 일부가 될 수 있습니다.

실사(DD)

실사는 잠재적 비즈니스 파트너, 공급업체 또는 공급업체의 무결성, 평판, 재무 안정성, 법률 준수, 운영 능력, 공급망 및 기타 관련 요소에 대한 철저한 조사 또는 검사를 수행하는 프로세스입니다. 제3자에 대한 실사를 수행하는 것은 포괄적인 제3자 위험 프로그램의 중요한 구성 요소입니다. 실사를 수행하여 제3자와 관련된 위험을 인식하여 관계를 형성하는 방법을 자신 있게 결정할 수 있습니다.

실사를 수행하는 이유 및 실사 유형 문서를 참조하십시오.

위험 인텔리전스 제공자

위험 인텔리전스 제공자는 다양한 외부 공급업체 위험 도메인에 대한 위험 점수를 생성합니다. 조직은 개인 신용 점수와 유사한 데이터를 반환하는 공급자로부터 서비스를 구매할 수 있습니다. 점수는 특정 제3자가 얼마나 신뢰할 수 있고 안전할 수 있는지에 대한 통찰력을 제공합니다.

위험 인텔리전스 제공자의 점수 통합 문서를 참조하십시오.