외부 공급업체 관계와 관련된 잠재적 위험을 식별하고 평가하는 데 사용합니다 외부 공급업체 위험 관리 . 내부 질문서, 외부 질문서 및 설명서 요청에서 수집된 정보는 외부 공급업체의 위험 프로필을 이해하고, 적절한 위험 완화 전략을 결정하며, 외부 공급업체 또는 참여가 필요한 모든 규정 준수 요구 사항을 충족하는지 여부를 판단하는 데 도움이 됩니다.
질문서에 응답
다음 프로세스는 내부 및 외부 질문서에 응답하는 시기와 방법을 간략하게 설명합니다.
- 고유 위험 질문서(IRQ) 프로세스
-
다음 인포그래픽에서는 IRQ 프로세스를 보여줍니다.
-
다음은 IRQ 프로세스의 단계입니다.
- 실사 요청의 소유자로 할당된 외부 공급업체 위험(TPR) 관리자 [sn_vdr_risk_asmt.vendor_risk_manager] 또는 TPR 평가자 [sn_vdr_risk_asmt.vendor_assessor]가 실사 요청을 승인한 후 IRQ를 선택하고 이를 내부 평가에 첨부합니다.
- 시스템은 IRQ 평가자 [snc_internal]로 할당된 직원에게 이메일 알림을 보냅니다.
- IRQ 평가자는 IRQ에 응답하여 내부 위험 평가를 완료합니다.
- IRQ 평가자가 응답을 제출하고 TPR 관리자 또는 소유자가 IRQ를 검토하고 종결하면 실사 요청 상태가 IRQ 진행 중에서 IRQ 검토 중으로 업데이트됩니다.
주: 내부 평가의 일부로 질문서 템플릿을 전송한 후에는 질문서 템플릿을 변경하지 마십시오. 대신 복사본을 만들어 템플릿을 복제하고 새 복사본을 변경합니다. 질문서를 보낸 후 업데이트하면 IRQ 평가자에게 표시된 버전에 변경 내용이 표시되지 않습니다. 업데이트된 버전을 보내려면 내부 평가에서 기존 질문서를 연결 해제하여 취소한 다음 업데이트된 템플릿을 사용하여 질문서를 추가해야 합니다. 자세한 내용은
질문서 또는 문서 요청 템플릿 생성 및
디자이너를 사용하여 질문서 또는 문서 요청 템플릿 생성 문서를 참조하십시오.
수집된 정보를 기반으로 TPR 관리자와 팀은 계약과 관련된 잠재적 위험을 평가합니다. 재무 안정성, 운영 능력, 품질 표준 준수, 규정 준수 및 제공 일정을 충족하는 외부 공급업체의 능력과 같은 요소를 평가합니다. 이 평가는 팀이 외부 공급업체의 위험 프로필을 이해하고 적절한 위험 완화 전략을 결정하는 데 도움이 됩니다.
IRQ에 대한 자세한 내용은 다음을 참조하십시오 IRQ에 응답.
- 외부 공급업체(TP) 요소 수집 프로세스: TP 요소 정보 수집
-
다음 인포그래픽에서는 TP 요소 수집 프로세스를 보여줍니다.
-
다음은 TP 요소 수집 프로세스의 단계입니다.
- 실사 요청이 IRQ 프로세스를 완료한 후 TP 요소가 필요한 경우 TPR 관리자 또는 실사 요청 소유자가 수집 시작을 선택하고 수집 작업이 생성됩니다.
- TPR 관리자 또는 소유자는 요소 수집을 위한 외부 평가에 TP 요소 질문서를 할당하고 해당 평가를 계약에 전송하여 TP 요소에 필요한 정보를 수집합니다.
- 시스템은 TP 요소 질문서가 할당된 외부 공급업체 참여 접촉 창구에 이메일 알림을 보냅니다.
- 외부 공급업체 참여 담당자가 응답을 제출하면 TPR 관리자 또는 소유자가 필요한 모든 정보가 질문서에 제공되었는지 검토하고 확인합니다.
- 그런 다음 TPR 관리자 또는 소유자는 외부 공급업체 요소 목록으로 이동하여 각 질문서의 각 응답 세트에 대한 외부 공급업체 요소 기록을 수동으로 생성합니다.
자세한 내용은 외부 공급업체 요소 기록 생성 문서를 참조하십시오.
- 모든 TP 요소가 생성되면 TPR 관리자 또는 소유자가 수집 작업 평가를 종결합니다. 시스템이 요청 상태를 수집 진행 중에서 수집 검토중으로 변경합니다.
- 내부 이해 관계자(TPR 평가자, TPR 승인자, TPR 관리자 또는 TPR 관리자)가 요소 기록을 검토하고 승인합니다.
이는 TP 요소를 수집하고 전체 실사 워크플로우의 일부로 평가할 수 있도록 계약에 할당하는 선택적 프로세스입니다. TP 요소에 대한 자세한 내용은 문서를 참조하십시오 외부 공급업체 요소 모니터링.
- 실사 프로세스: 준수 검증
-
다음 인포그래픽은 실사 프로세스를 보여줍니다.
- 다음은 실사 프로세스의 단계입니다.
- IRQ 프로세스 또는 TP 요소 수집 프로세스가 완료된 후 TPR 관리자 또는 소유자는 외부 공급업체 또는 계약에 보내기 위해 외부 평가에 첨부할 질문서 및 문서 요청을 선택합니다. 평가 생성에 대한 자세한 내용은 해당 외부 공급업체 위험 평가 양식문서를 참조하십시오외부 위험 평가 생성.
주: 선택적 TP 요소 수집 프로세스를 완료한 경우 생성한 각 외부 공급업체 요소에 대한 평가의 일부로 질문서를 선택하고 할당해야 합니다. 참여 연락처가 TP 요소 질문서를 작성합니다.
- 시스템은 각 평가가 할당된 외부 공급업체 및 참여 연락처에 이메일 알림을 보냅니다.
주: 외부 평가의 일부로 질문서 템플릿을 전송한 후에는 해당 템플릿을 변경하지 마십시오. 대신 복사본을 만들어 템플릿을 복제하고 새 복사본을 변경합니다. 질문서를 보낸 후 업데이트하면 변경 내용이 외부 공급업체 포털에 표시된 버전으로 표시되지 않습니다. 업데이트된 버전을 보내려면 외부 평가에서 기존 질문서를 연결 해제하여 취소한 다음 업데이트된 템플릿을 사용하여 질문서를 추가해야 합니다. 자세한 내용은
질문서 또는 문서 요청 템플릿 생성 및
디자이너를 사용하여 질문서 또는 문서 요청 템플릿 생성 문서를 참조하십시오.
- 외부 공급업체 및 참여 담당자가 응답을 제출하면 TPR 관리자 또는 소유자가 평가에 필요한 모든 정보가 제공되었는지 검토하고 검증합니다. 정정 또는 추가 정보가 필요한 경우 문제와 작업이 생성됩니다.
- TPR 관리자 또는 소유자는 각 평가를 승인하고 종결합니다.
TPR 관리자는 평가 템플릿을 개발하여 이러한 유형의 외부 공급업체에 보낼 질문서 및 문서 요청을 결정하는 프로세스를 단순화하고 자동화할 수 있습니다. TPR 관리자는 질문서 템플릿과 문서 요청 템플릿을 정의한 다음 TPR 관리자는 이를 평가 템플릿으로 그룹화할 수 있습니다. 조직은 템플릿을 재사용하여 향후 평가에서 유사한 외부 공급업체에 질문서 및 문서 요청을 보낼 수 있습니다. 템플릿에 대한 자세한 내용은 , 질문서 또는 문서 요청 템플릿 생성및 디자이너를 사용하여 질문서 또는 문서 요청 템플릿 생성를 참조하십시오평가 템플릿 생성.
TPR 관리자와 팀은 외부 공급업체의 응답과 내부 분석을 사용하여 외부 공급업체가 필요한 모든 규정 준수 요구 사항을 충족하는지 여부를 결정합니다. 이러한 요구 사항에는 외부 공급업체가 환경 규제, 노동법 및 부패 방지 정책과 같은 관련 법률 및 규정을 준수하는지 확인하는 것이 포함될 수 있습니다.
주: 외부 공급업체 위험 평가자, 관리자 또는 관리자는 외부 공급업체 또는 참여를 대신하여 질문에 답변하고, 응답을 수정하고, 외부 질문서를 제출할 수 있습니다. 자세한 내용은
외부 공급업체 또는 참여에 대한 질문서에 응답 문서를 참조하십시오.
관련 항목의 민감한 특성으로 인해 TPR 관리자와 해당 팀은 타사의 데이터 보안 및 개인 정보 보호 관행을 평가합니다. 외부 공급업체의 정보 보안 조치, 데이터 보호 정책, 액세스 제어 및 취약성 관리 프로세스를 평가합니다. 외부 공급업체가 독점 정보 또는 고객 데이터에 액세스할 수 있는 경우 외부 공급업체에 사이버 보안 감사를 받거나 데이터 보호 조치에 대한 증거를 제공하도록 요구할 수 있습니다.
응답 검토에 대한 자세한 내용은 다음 문서를 외부 질문서에 대한 응답 검토참조하십시오.주: TPR 평가자는 받거나 반환된 설문지를 Excel 스프레드시트로 익스포트할
Microsoft 수 있습니다. 이 옵션을 사용하면 조직에서 스프레드시트 환경을 사용하여 질문과 답변을 검토할 수 있습니다. 질문서 응답을 내보내는 방법에 대한 자세한 내용은 문서를
질문서 응답을 스프레드시트로 익스포트참조하십시오.
응답으로 질문서 미리 채우기
TPR 관리자 또는 TPR 평가자는 동일한 외부 공급업체와 연결된 전체 질문서의 응답으로 외부 공급업체, 참여 및 엔터티에 대한 질문서를 미리 채울 수 있습니다. 평가를 발송한 후에는 원래 관련 평가의 완료 여부와 관계없이 해당 질문서의 가장 최근 완료된 버전의 모든 응답이 질문서에 미리 채워집니다. 이는 응답이 일관성 있게 유지될 것으로 예상되는 질문서에 유용하며, 프로세스를 신속하게 처리하고, 필요한 경우에만 외부 공급업체 담당자가 응답을 검토하고 업데이트할 수 있도록 합니다. 평가 생성에 대한 자세한 내용은 다음 문서를 참조하십시오
외부 위험 평가 생성.
중요사항: TPR 관리자 또는 TPR 평가자가 평가에 질문서를 추가할 때 질문서 페이지에서 이 옵션을 선택하거나 선택 취소할 수 있습니다. 질문서를 외부 공급업체에 보낸 후에는 옵션을 변경할 수 없습니다. 자세한 내용은
질문서 또는 문서 요청 템플릿 생성 및
평가 메트릭 유형 양식 문서를 참조하십시오.
외부 공급업체 또는 참여 연락처가 외부 공급업체 포털에서 미리 채워진 질문서를 열면 응답이 이전 질문서에서 복사되었다는 알림을 받습니다. 다음 예와 같이 알림에는 응답을 제공한 평가와 마지막 업데이트 날짜에 대한 링크가 포함됩니다.
제한:
- 첨부 파일, 기간 및 서명 질문 유형과 같은 일부 질문 유형과 해당 응답은 미리 채울 수 없습니다. 이러한 질문 응답은 비어 있으며 이전 응답은 포함되지 않습니다.
- 응답은 원래 평가(평가 A)에서 최신 평가(평가 B)로 한 번 복사됩니다. 이 복사는 평가 B가 외부 공급업체 또는 계약에 제출될 때 발생합니다. 이후에 평가 A에 대한 변경 사항은 평가 B에 반영되지 않습니다. 두 평가는 별개로 남아 있습니다.
문제점과 작업
작업과 문제를 모두 생성하고 관리하려면 TPR 평가자[sn_vdr_risk_asmt.vendor_assessor]의 역할이 필요합니다.
TPR 관리자, TPR 평가자 또는 계약 협상가는 팀 구성원 또는 외부 공급업체 접촉 창구가 질문서 응답 또는 요청된 문서에 대한 우려 사항에 응답하도록 작업을 생성할 수 있습니다. 기존 작업을 관리하여 할당된 팀 구성원 또는 외부 공급업체 접촉 창구가 작업에 응답하고 필요에 따라 업데이트하는지 확인할 수 있습니다. 문제를 만들고 관리하는 방법에 대한 자세한 내용은 및 외부 공급업체 또는 참여에 대한 작업 관리를 참조하십시오외부 공급업체 또는 참여를 위한 작업 생성.
TPR 관리자, TPR 평가자 또는 계약 협상가는 외부 공급업체 또는 참여에 대한 팀의 우려 사항을 해결하는 데 도움이 되는 문제를 만들 수 있습니다. 또한 기존 문제를 관리하여 해당 문제를 이해하고, 올바른 사람과 공유하고, 필요에 따라 조치를 취하는지 확인할 수 있습니다. 작업 생성 및 관리에 대한 자세한 내용은 해당 문제 관리문서를 참조하십시오외부 공급업체 또는 참여에 대한 문제 생성.
추가 평가 작업
TPR 관리자, 실사 요청 소유자 또는 계약 협상가는 계약에 영향을 줄 수 있는 새로운 정보가 있거나 다른 변경이 발생하여 평가를 다시 열어야 할 수 있습니다. 자세한 내용은 실사를 수행하는 이유 문서를 참조하십시오.
TPR 관리자, 실사 요청 소유자 또는 계약 협상가가 계약에서 추가 정보를 수집해야 하는 경우 평가를 다시 열고 다음 작업을 수행하여 추가 질문서 또는 문서 요청을 보낼 수 있습니다.
- 관련 DDR 번호를 선택하여 실사 요청 기록 페이지로 이동합니다.
- 외부 공급업체 위험 평가 탭에서 VRA 번호를 선택하여 관련 외부 공급업체 위험 평가를 봅니다.
- 다시 열기를 선택합니다.
실사 요청 상태가 TPRM 승인 준비 완료에서 실사로 업데이트됩니다. TPR 관리자, 소유자 또는 계약 협상가는 질문서를 요청하고 필요에 따라 요청을 문서화할 수 있습니다. 자세한 내용은 평가 다시 열기 문서를 참조하십시오.
TPR 관리자, 실사 요청 소유자 또는 계약 협상가가 진행 중인 참여에 대한 평가가 필요하지 않거나 온보딩 또는 계약 갱신을 위한 빠른 종료가 필요한 경우 다음 작업을 수행하여 평가를 취소할 수 있습니다.
- 관련 DDR 번호를 선택하여 실사 요청 기록 페이지로 이동합니다.
- 외부 공급업체 위험 평가 탭에서 VRA 번호를 선택하여 관련 외부 공급업체 위험 평가를 봅니다.
- 취소를 선택합니다.
하나 또는 모든 평가가 취소되더라도 실사 요청은 승인 프로세스로 진행됩니다.