外部リスクアセスメントの作成 - 従来のプロセス

Xanadu のガバナンス、リスク、コンプライアンス

Release

xanadu

ft:locale

ja-JP

ft:publication_title

Xanadu のガバナンス、リスク、コンプライアンス

ft:clusterId

grc

bundleId

grc

workflow

Technology

外部リスクアセスメントの作成 - 従来のプロセス

リリースバージョン: Xanadu

更新日 2024年08月01日

所要時間：10分

アセスメントを作成し、サードパーティリスクアセスメントライフサイクルを開始します。外部リスクアセスメントは、サードパーティまたはエンゲージメントの詳細を指定し、アセスメントを完了するための計画を定義します。

始める前に

必要なロール：sn_vdr_risk_asmt.vendor_risk_manager または sn_vdr_risk_asmt.vendor_assessor

このタスクについて

アセスメントは、オンデマンドで作成することも、指定されたスケジュールで繰り返すこともできます。オンデマンドの外部リスクアセスメントを作成するときは、TPR マネージャーが、アンケートテンプレートまたは文書要求テンプレート、およびサードパーティを選択します。TPR マネージャーは、一度に複数のサードパーティを選択してアセスメントをトリガーすることができます。

手順

移動先すべて > サードパーティリスク管理 > 外部リスクアセスメント > すべてのアセスメント.

[新規] を選択し、フィールドに入力します。

表 : 1. [ベンダーリスクアセスメント] フォーム
フィールド	説明
名前	すべてのフォームとリストでサードパーティのリスクアセスメントを識別する名前。
説明	問題のより詳細な説明。
番号	外部リスクアセスメントごとに、テキスト「VRA」で始まる一意の ID 番号がシステムによって自動的に割り当てられます。一意の ID は、アイテムへのすべての参照で使用されます。この ID を使用して、作業するアイテムを検索またはフィルタリングできます。
適用先	アセスメントが適用されるエンティティ。サードパーティとエンゲージメントのいずれかです。
ベンダー	評価済みのサードパーティ。注: [終了] ステータスのサードパーティを再有効化できます。このような要求が受け入れられてクローズされると、サードパーティのステータスは [アクティブ] に変更されます。
エンゲージメント	評価対象のエンゲージメントを選択します。このフィールドは、[適用先] フィールドで [エンゲージメント] を選択した場合にのみ表示されます。
繰り返しアセスメント	現在のアセスメントを作成するために使用するアセスメント。
アセスメントテンプレート	このアセスメントのアンケートまたは文書要求を作成する際のアセスメントテンプレートを選択します。複数のテンプレートを使用して、アセスメントに対して複数のアンケートまたは文書要求を作成するには、フィールドを空白のままにします。
所有者	所有者は、監査目的でアセスメントを所有し、アセスメントプロセス全体を監視および管理するユーザーです。所有者は、サードパーティによってアセスメントが適時に完了していることを確認し、回答をレビューし、問題を作成して解決する責任があります。アセスメントを完了まで進めるために、アセスメントが特定のマイルストーンに到達するとオーナーに通知されます。所有者には、TPR マネージャーまたは TPR 査定人ロールが必要です。新しい要求で [オーナー] フィールドが空の場合、「アサイン先グループで指定された [グループ] 内のすべてのユーザーにメール通知が送信されます。このメッセージは、要求が受信され、[新規]状況であることを示しています。このメッセージには、要求の詳細ページへのリンクも含まれています。」というアクションが発生します。「責任に基づいてユーザーをグループに追加する」を参照してください。注: [オーナー] フィールドが空の場合に [IRQ プロセスの開始 (Start the IRQ process)] を選択すると、ユーザー本人がオーナーになります。
アサイン先グループ	新しい要求の場合、[アサイン先グループ] は [デューデリジェンス要求アサイン者] に設定されます。アサイン先グループで指定された [グループ] 内のすべてのユーザーにメール通知が送信されます。このメッセージは、要求が受信され、[新規]状況であることを示しています。このメッセージには、要求の詳細ページへのリンクも含まれています。デューデリジェンス要求フォームで、次の操作を行います。グループのすべてのメンバーは、[自分にアサイン] を選択するか、[所有者] フィールドをグループの他のメンバーに設定できます。 TPR マネージャーまたは TPR 査定人は、[アサイン先グループ] フィールドをクリアするか、[所有者] 選択リストで別の TPR 査定人から選択する値を変更できます。
状況	サードパーティからアセスメントデータを収集するプロセスは、状況が何度か変わります。詳細については、「サードパーティ (外部) リスクアセスメントのライフサイクル状況」を参照してください。
リスク評価	サードパーティの全体的なリスク評価。重大高中低マイナー注: [リスク評価] は、リスクスコアが該当するリスク評価スケール範囲を見つけることによって決定されます。アセスメントスコアの最小範囲と最大範囲を定性的リスクスコアにマッピングする方法を定義します。
リスク評価の有効期限 (Risk rating valid until)	リスク評価の有効期限が切れる日付。この日付は、関連付けられているアンケートまたは文書要求の [リスク評価の有効期限] よりも後でなければなりません。
リスク層によるトリガー (Trigger by risk tier)	サードパーティのリスク階層が変更されたときにアセスメントを開始するには、このチェックボックスをオンにします。
ウォッチリスト	このレコードが変更されたときに通知するユーザーを追加します。
リスクスコアリング注: リスク評価は、アセスメント応答が受信された後に計算され、表示されます。
計算済みリスク評価	サードパーティリスク領域のリスク評価の平均。
リスク評価を上書き	サードパーティの計算されたリスク評価を上書きするには、チェックボックスをオンにします。選択すると、アセスメントリスク評価に対する将来の変更が、リスク評価ではなく、計算されたリスク評価にのみ影響するようになります。注: オンになっていたチェックボックスをオフにすると、計算されたリスク評価がアセスメントにコピーされます。
優先リスク評価	[リスク評価を上書き] を選択した場合、新しいリスク評価を入力します。
正当性	[リスク評価を上書き] を選択した場合、上書きの理由を入力する必要があります。
問題リスク評価	評価対象のサードパーティに関連付けられている問題のリスク評価。問題のリスク評価は、クローズ済みの問題の優先度とその解決方法に基づいています。問題が [完了してクローズ] の場合は、問題が解決されたことを示します。問題が [未完了でクローズ] の場合は、サードパーティが関連付けられている質問を完了しなかったことを示します。問題が [キャンセルしてクローズ] の場合は、問題を解決する必要がないことを示します。問題がクローズ済みで、アセスメントのステータスがクローズまたはキャンセルされていない場合、[問題のリスク評価] が再計算されて表示されます。注: [計算済みリスク評価] はこの計算の影響を受けません。
リスク評価を上書き	サードパーティの計算されたリスク評価を上書きするオプション。選択すると、アセスメントリスク評価に加えられた将来の変更は、リスク評価ではなく、計算されたリスク評価にのみ影響します。注: チェックボックスをオンにしてからオフにすると、計算されたリスク評価が使用されます。
優先リスク評価	[リスク評価を上書き] を選択した場合、新しいリスク評価を入力します。
正当性	[リスク評価を上書き] を選択した場合、上書きの理由を入力する必要があります。
アセスメントスケジュール
計画された期間 (日数)	アセスメントの予定期間
開始予定日/終了予定日	アセスメントの作業の開始予定日時と完了予定日時。
作成者	このレコードを作成したユーザー。
作成済み	レコードが作成された日時。
実際の期間	サードパーティリスクアセスメントの完了に要した時間。このフィールドは、[実開始日] と [実終了日] を使用して計算されます。
開始実績日時	アセスメントの作業が開始された日時。
終了実績日	アセスメントの作業が完了した日時。
更新日時	レコードの最終更新日時。
アンケートのスケジュール
計画された期間 (日数)	サードパーティがアセスメントを完了するために与えられた時間。この値フィールドは [開始予定日] と [終了予定日] を使用して計算されます。
レビュー期間 (日数)	顧客がすべてのアンケートを確認するために割り当てられた時間。
期日	サードパーティがすべてのアンケートに回答して返却する期限。
完了日	サードパーティがすべてのアンケートを完了した実際の日付。
ベンダーに送信済み	サードパーティアンケートの配送日。
ベンダーに再送信	アンケートがサードパーティに再送信された日付。
応答期限	サードパーティの連絡先から応答が返されると組織が想定している日付。
メモとコメント
作業メモ	アセスメントに関する情報。作業メモは、問題にアサインされているユーザーに表示されます。
追加コメント (顧客に表示)	アセスメントに関する公開情報。

レコードを保存します。

追加の関連リストが表示されます。[アセスメントテンプレート] フィールドを空白のままにして、アセスメントテンプレートを使用してこのアセスメントに複数のアンケートや文書要求を関連付ける場合は、[アンケート] または [文書要求] 関連リストを使用します。
既存のアンケートや文書要求をアセスメントに関連付けるには、次の手順を実行します。
1. [アンケート] または [文書要求] 関連リストを開きます。
2. [編集] を選択し、使用するアンケートまたは文書の要求を選択して、[保存] を選択します。
3. 必要に応じて、他のタイプの質問について繰り返します。
新しいアンケートや文書要求テンプレートを作成してアセスメントに関連付けるには、「アンケートや文書要求テンプレートを作成する」を参照してください。

重要:
次のステップで、アンケートをサードパーティに送信することを選択できます。直近にクローズされたアセスメントからの回答をアンケートに事前入力するには、サードパーティに送信する前に [以前の応答を含む (Include previous responses)] オプションを選択する必要があります。アンケートがサードパーティに送信された後は、設定を変更できません。「アンケートや文書要求テンプレートを作成する」を参照してください。
[サードパーティに送信] を選択します。
- アセスメントのステータスが [サードパーティに送信済み] に変わります。
- 選択したテンプレートによって、アンケートや文書要求が生成されます。
- アンケートの [以前の応答を含む (Include previous responses)] オプションが選択されている場合、以前の回答がコピーされ、送信アンケートに追加されます。サードパーティポータルの通知には、応答を提供したアセスメントの番号、名前、およびクローズ日が含まれています。通知には、アセスメントへのリンクも含まれています。
- サードパーティの主要連絡先に、サードパーティポータル内のアセスへのリンクを含むメール通知が届きます。
サードパーティの連絡先担当者は、アセスメントに回答する準備ができた時点で、サードパーティポータルでアセスメントを開きます。

注:
この例では、アンケートのうちいずれか 1 つに署名が必要です。サードパーティまたはレビュー担当者は、アンケートまたはドキュメントの要求を送信する前に、保存して電子署名する必要があります。詳細については、「アンケートまたは文書要求の電子署名」を参照してください。
TPR 査定人は、アセスメントのステータスを [所見を生成中] に移行します。

この間に、TPR 査定人が文書の [文書要求]/[アンケート] 関連リスト内にある [応答を表示] リンクを選択して、応答を表示したり、必要に応じてコメントを入力したり、応答を変更したりすることが可能です。

問題が発生した場合は、TPR 査定人が問題を作成して修正プロセスを追跡します (サードパーティとの最終処理)。
TPR 査定人がアセスメントを [クローズ済み] ステータスに移行します。

次のタスク

TPR 査定人は、サードパーティポータルを通じて、サードパーティと連携してアセスメントをクローズします。
ベンダーリスクアセスメントのライフサイクル。