アンケートへの回答

次のプロセスは、内部および外部のアンケートに回答するタイミングと方法の概要を示しています。

固有のリスクに関するアンケート (IRQ) プロセス

デューデリジェンス要求がサードパーティリスク (TPR) マネージャー [sn_vdr_risk_asmt.vendor_risk_manager] によって承認された後、IRQ 査定人 [snc_internal] は IRQ に回答することで内部リスクアセスメントを完了します。

IRQ 査定人が回答を送信し、TPR マネージャーまたはオーナーが IRQ のレビューを行ってクローズした後、デューデリジェンス要求のステータスは [IRQ 対応中 (IRQ in progress)] から [IRQ レビュー中 (IRQ in review)] に更新されます。

収集された情報に基づいて、TPR マネージャーとそのチームは、エンゲージメントに関連付けられている潜在的なリスクを評価します。財務の安定性、運用キャパシティ、品質基準への準拠、規制へのコンプライアンス、サードパーティのデリバリタイムラインを満たす能力などの要素を評価します。このアセスメントは、チームがサードパーティのリスクプロファイルを理解し、適切なリスク軽減戦略を決定するのに役立ちます。

IRQ の詳細については、「IRQ に回答する」を参照してください 。

TP 要素収集プロセス：サードパーティ要素情報の収集

デューデリジェンス要求の IRQ プロセスが完了すると、TPR マネージャーまたはデューデリジェンス要求の所有者は、サードパーティ (TP) 要素の収集プロセスを開始できます。これは、TP 要素を収集してエンゲージメントにアサインし、全体的なデューデリジェンスワークフローの一部として評価できるようにするためのオプションのプロセスです。TP 要素の詳細については、「サードパーティ要素の監視」を参照してください。

TPR マネージャーまたはオーナーは、要素を収集するための外部アセスメントに TP 要素アンケートをアサインし、そのアセスメントをエンゲージメントに送信して TP 要素に必要な情報を収集します。エンゲージメント連絡先が回答を送信した後、TPR マネージャーまたはオーナーは、アンケートで必要なすべての情報が提供されたことをレビューして検証します。

TPR マネージャーまたはオーナーは、サードパーティ要素のリストに移動し、各アンケートの回答セットごとにサードパーティ要素レコードを手動で作成します。すべてのサードパーティ要素が作成された後、TPR マネージャーまたはオーナーがアセスメントをクローズします。要求のステータスが [収集レビュー中 (Collection in review)] に変更されます。詳細については、「サードパーティ要素レコードの作成」を参照してください。

デューデリジェンスプロセス：コンプライアンス検証

IRQ プロセスまたは TP 要素収集プロセスが完了すると、 TPRM アプリケーションはアンケートと文書の要求をサードパーティとエンゲージメントに送信します。アセスメントの一環として、組織が複数のアンケートや文書要求を送信する場合があります。たとえば、TPR マネージャーが、サードパーティの認定、ライセンス、またはコンプライアンスを検証するための監査レポートなどを要求する場合があります。

オプションの TP 要素収集プロセスが完了したら、作成した各サードパーティ要素のアセスメントの一部としてアンケートを選択し、アサインする必要があります。エンゲージメント連絡先が TP 要素のアンケートに回答します。

注:

TPR マネージャーは、このタイプのサードパーティに送信するアンケートと文書要求を決定するプロセスを簡素化および自動化するための アセスメントテンプレートを開発することができます。TPR アドミニストレーターはアンケートテンプレートまたはドキュメント要求テンプレートを定義し、TPR マネージャーはそれらをアセスメントテンプレートにグループ化することができます。組織は、テンプレートを再利用して、今後のアセスメントで類似するサードパーティにアンケートと文書要求を送信できます。テンプレートの詳細については、「アンケートや文書要求テンプレートを作成する」および「デザイナーを使用してアンケートや文書要求テンプレートを作成する」を参照してください。

TPR マネージャーとそのチームは、サードパーティの応答と内部分析を使用して、サードパーティが必要なすべてのコンプライアンス要件を満たしているかどうかを判断します。これらの要件には、環境規制、労働法、腐敗防止ポリシーなど、適用される法律および規制に対するサードパーティのコンプライアンスの検証などが含まれることがあります。

注:

サードパーティリスク査定人、マネージャー、または管理者は、サードパーティまたはエンゲージメントの代わりに質問に回答し、応答を変更し、外部アンケートを送信できます。詳細については、「サードパーティまたはエンゲージメントのためにアンケートに回答する」を参照してください。

関連するアイテムの機密性が高いため、TPR マネージャーとそのチームは、サードパーティのデータセキュリティとプライバシーの慣行を評価します。サードパーティの情報セキュリティ対策、データ保護ポリシー、アクセス制御、および脆弱性管理プロセスを評価します。サードパーティが専有情報または顧客データにアクセスできる場合、サードパーティに対してサイバーセキュリティ監査を受けるか、データ保護対策の証拠を提供するように要求する場合があります。

応答のレビューの詳細については、「外部アンケートの応答を確認する」を参照してください。

注:

TPR 査定人は、受信または返送されたアンケートを Microsoft Excel スプレッドシートにエクスポートできます。このオプションを使用すると、組織はスプレッドシート環境を使用して質問と回答を確認できます。アンケート回答のエクスポートの詳細については、「アンケート回答をスプレッドシートにエクスポートする」を参照してください 。

他のアセスメントアクション

TPR マネージャー、デューデリジェンス要求の所有者、または契約交渉担当者は、エンゲージメントに影響を与える利用可能な新しい情報があるか、またはその他の変更が発生したため、アセスメントを再オープンする必要がある場合があります。詳細については、「デューデリジェンスを実施する理由」を参照してください。

デューデリジェンス要求のステータスが [TPRM 承認準備完了 (Ready for TPRM approval)] から [デューデリジェンス] に更新されます。TPR マネージャー、オーナー、または契約交渉担当者は、必要に応じてアンケートや文書要求を要求できます。詳細については、「アセスメントの再オープン」を参照してください。

問題とタスク

タスクと問題の両方を作成および管理するには、TPR 査定人 [sn_vdr_risk_asmt.vendor_assessor] のロールが必要です。

TPR マネージャー、TPR 査定人、または契約交渉担当者は、チームメンバーまたはサードパーティ連絡先がアンケートの回答または要求されたドキュメントに関する懸念に確実に対応できるようにするためのタスクを作成できます。既存のタスクを管理して、アサインされたチームメンバーまたはサードパーティの連絡先がタスクに応答し、必要に応じてタスクを更新することを確認できます。問題の作成と管理の詳細については、「サードパーティまたはエンゲージメントにタスクを作成」および「サードパーティまたはエンゲージメントのタスク管理」を参照してください。

TPR マネージャー、TPR 査定人、または契約交渉担当者は、サードパーティまたはエンゲージメントに関するチームの懸念を確実に解決するために問題を作成できます。また、既存の問題を管理して、問題を理解し、適切な担当者と共有し、必要に応じて対処しているかを検証することもできます。タスクの作成と管理の詳細については、「サードパーティまたはエンゲージメントに問題を作成」と「問題を管理する」を参照してください。