サードパーティ要素の概要

サードパーティ要素 (TP 要素) とは、エンゲージメントが商品、サービス、またはサポートの提供のために依存する外部組織のことです。これらの組織には、サプライヤー、請負業者、施設、個人、またはエンゲージメントのシステム、データ、または設備にアクセスできるその他の外部組織が含まれます。

データセンター

エンゲージメントまたはサードパーティがデータおよび IT インフラの保管、処理、管理を外部委託する施設または場所。データセンターでは、データ侵害、ダウンタイム、またはコンプライアンス違反が発生し、エンゲージメントが予期しないリスクにさらされる可能性があります。この例は、「施設」TP 要素として分類されます。

製造施設

エンゲージメントまたはサードパーティが製品の製造または組み立てを外部委託する施設または場所。製造施設では、サプライチェーンの中断、偽造部品、または規制コンプライアンスの問題が発生し、エンゲージメントが予期しないリスクにさらされる可能性があります。この例は、「施設」TP 要素として分類されます。

受益者

事業関係や取引に関与する組織を所有またはコントロールする個人のことです。これらの個人は、組織の登記上の所有者または法的所有者でなくても、組織の運営、意思決定、財務に対して重大な影響力またはコントロールを及ぼすことができます。この例は、「プリンシパル」TP 要素として分類されます。

サードパーティ (TP) 要素の詳細と、関連するコントロールと潜在的なリスクの例については、「用語」を参照してください。

サードパーティ要素の収集とレビュー

エンゲージメントへのサードパーティ要素の追加

TP 要素が ベンダー管理ワークスペース で TPR マネージャーと内部ステークホルダーによってレビューおよび承認された後、TPR マネージャーまたはオーナーはエンゲージメントを開き、レビューおよび承認された TP 要素をエンゲージメントの [ エンティティ ] タブにエンティティとして手動で追加します。詳細については、「エンゲージメントにサードパーティ要素レコードを追加する」を参照してください。すべての TP 要素エンティティをエンゲージメントに追加したら、デューデリジェンスプロセスを開始できます。デューデリジェンスプロセス中に、作成した各 TP 要素の外部アセスメントの一部としてアンケートを選択してアサインする必要があります。サードパーティ連絡先が TP 要素のアンケートに入力します。詳細については、「サードパーティリスクのアセスメント」を参照してください。

サードパーティ要素のスコアリング

各 TP 要素は、施設、製品、プリンシパル、またはその他のいずれかのタイプに分類できます。この分類は、アセスメント基準とその後のスコアリングを整理するのに役立ちます。TP 要素のスコアリングは、関連するサードパーティリスクアセスメントのリスク評価の平均を取ることによって決定されます。同じ TP 要素に対して複数のアセスメントを実施した場合、システムは重複を無視して、各エンゲージメントの最新のアセスメントのみをスコアリングで考慮します。このプロセスによって、TP 要素のリスク評価が最新の評価を反映していることを確実にすることができます。たとえば、TP 要素に非常に高いリスク評価と非常に低いリスク評価のアセスメントがある場合、これらの評価を平均することによって、全体的なリスクは中程度になります。

要素が評価され、リスク評価が決定された後、この評価はまず、その分類 (施設など) に基づくコンポーネントスコアに集計されます。たとえば、すべての施設タイプの要素が 1 つのコンポーネントスコアに集計され、エンゲージメントの全体的なスコアに加算されます。エンゲージメントスコアは、そのエンゲージメント内の関連するすべてのコンポーネントスコアのスコアを集計することによって計算されます。複数のアセスメントまたは TP 要素がエンゲージメント内にある場合は、それぞれが個別に採点され、全体的なエンゲージメントスコアに集計されます。エンゲージメントスコアは、特定のサードパーティに関連付けられているすべてのエンゲージメントのスコアを集計することによって、サードパーティレベルにロールアップされます。このレベルでの集計は、システム内で設定されたスコアリングルールに応じて、平均化、最小スコアの取得、最大スコアの取得などのさまざまなルールに基づいて計算することができます。このロールアップスコアは、サードパーティの全体的なリスクまたはパフォーマンススコアを表し、サードパーティに関連付けられているすべてのエンゲージメントと要素を反映します。