デューデリジェンスワークフロー

  • リリースバージョン: Yokohama
  • 更新日 2025年01月30日
  • 所要時間:12分

    • サードパーティリスク管理 (TPRM) プロセスでは、サードパーティリスク管理プログラムに一貫したフレームワークを提供します。組織のニーズに合わせてワークフロープロセスをカスタマイズできます。

    デューデリジェンスワークフローのプロセス

    プロセス内の各タスクは、次のタスクを開始する前に完了する必要があります。さまざまなタスクを実行するユーザーのロールについては、「サードパーティリスク管理 でのロール」で説明されています。次の図は、デューデリジェンスワークフローを示しています。

    図 : 1. デューデリジェンスワークフロー

    デューデリジェンスワークフローのプロセスが実行される場所を示すインフォグラフィック。テキストの説明については、以下のワークフローの手順を参照してください。
    要求プロセス:新しいエンゲージメントの開始、既存エンゲージメントの再評価またはオフボーディングの要求
    1. 組織の従業員がサードパーティエンゲージメントのデューデリジェンスを要求します。
      1. 従業員は、自分のインスタンスで 従業員センター にログインします。デューデリジェンス要求フォームを開き、サードパーティの名前と要求の理由を指定します。
        • 新しいエンゲージメントのオンボーディング
        • 既存エンゲージメントのリスクを再評価
        • 契約更新の準備のために既存エンゲージメントを再評価
        • エンゲージメントのオフボーディング (デューデリジェンスあり)
        • エンゲージメントのオフボーディング (デューデリジェンスなし)
        注:
        デューデリジェンスなしでエンゲージメントをオフボーディングする場合、TP 要素の収集とデューデリジェンスプロセスは適用されません。
      2. 従業員はサードパーティおよびエンゲージメントに関する詳細を提供します。この情報には、このエンゲージメントで評価される必要がある製品またはサービス、固有のリスクに関するアンケート査定人 (IRQ) に対応するユーザー、および外部アンケートに回答するサードパーティ (TP) の連絡先またはエンゲージメントの連絡先が含まれます。
      3. サードパーティリスク (TPR) マネージャーがアプリケーションの構成中にリスクインテリジェンスプロバイダーのサービスを統合している可能性があるため、外部リスクインテリジェンスプロバイダーは、いつでもサードパーティのリスクデータを更新する可能性があります。
      4. 従業員がフォームを送信します。
      5. 要求を行った従業員にメール通知が送信されます。
      6. デューデリジェンス要求アサイン先グループにメール通知が送信されます。グループのメンバーは、TPR マネージャーまたは TPR 査定人を要求オーナーとしてアサインできます。このアクションにより、TPR マネージャーのタスクがトリガーされます。
    2. TPR マネージャーは、要求のスコープを設定し、必要に応じて更新してから、承認または却下します。
      1. TPR マネージャーは ベンダー管理ワークスペース にログインし、[デューデリジェンス管理 (Due diligence management)] ページに移動して、要求をレビューして更新します。
        • TPR マネージャーは、IRQ 査定人に提案された人物のレビューを行います。必要であれば、別の人を IRQ 査定人に指定できます。
        • TPR マネージャーは、 [ディスカッション (Discuss)] を選択することで、要求者および他のユーザーとのディスカッションを開始できます。メッセージは、[詳細] タブの [アクティビティ] セクションに記録されます。

      2. TPR マネージャーは、要求を却下または承認します。TPR マネージャーが要求を受け入れると、IRQ プロセスが開始されます。

    注:
    TPR 査定人は、定期的なサードパーティアセスメントを作成して、定期的にリスクを再評価できます。詳細については、「スケジュールで繰り返すようにリスクアセスメントを構成する」を参照してください。
    IRQ プロセス:リスクをスコープ
    1. TPR マネージャーは、IRQ をレビューして承認します。
      1. ベンダー管理ワークスペースでは、TPR マネージャーがシステム上のリストから IRQ をレビューして承認します。

        TPR アドミニストレーターは、組織のカスタム IRQ を作成できます。各 IRQ の内容は、質問の対象となるビジネスエリア、地域、またはサードパーティを担当するユーザーによって作成および管理されます。IRQ を定義するには、TPR アドミニストレーターはサンプル質問をアンケートテンプレートに追加し、必要に応じて質問を変更します。サンプルの質問は ベースシステムで提供されています。IRQ の定義はコード不要のプロセスです。

        ヒント:
        TPR アドミニストレーターは、IRQ の質問に対する回答を利用して、評価対象のサードパーティに送信するアンケートを決定できます。 この機能は、サードパーティリスク管理アプリをアクティブ化している場合にのみ使用できます。

        詳細については、「外部アンケートをアセスメントに自動的に添付するように内部アンケートの回答を設定する」を参照してください。

      2. TPR マネージャーは、デューデリジェンス要求を却下または承認します。要求が承認されると、組織の内部ステークホルダーである IRQ 査定人に IRQ が送信されます。
      3. IRQ 査定人には、メールとキュー内の新しいタスクの両方で IRQ が通知されます。
        注:
        また、リスクスコアに変更が生じた場合、サードパーティのリスクアセスメントを自動送信することもできます。
    2. 内部ユーザーが IRQ に回答します。
      1. 従業員センター では、エンゲージメントに関心のあるすべてのユーザーが IRQ を開き、回答します。

        いくつかの回答から、さらに明確な質問が生成されます。回答によって、どの外部アンケートが自動生成され、サードパーティ連絡先およびエンゲージメント連絡先に送られるセットに追加されるかを決定できます。

        たとえば、IRQ 査定人から、サードパーティがエンゲージメントの一環として政府関係者とやり取りすると回答された場合、サードパーティの国に適した贈賄防止アンケート (米国では ABAC、EU では FCBA など) が含まれます。

      2. IRQ 査定人は、記入が終わった IRQ を送信します。このアクションにより、TPR マネージャーのタスクがトリガーされます。
    3. 内部ステークホルダー (サードパーティアセスメントのレビュー担当者、TPR 査定人、TPR 承認者、TPR マネージャー、または TPR アドミニストレーター) が IRQ 回答をレビューします。
      1. ベンダー管理ワークスペース では、ユーザーは IRQ 応答をレビューします。
      2. TPR マネージャーは IRQ 査定人に明確な説明を求め、IRQ 回答を却下または承認します。
      3. 内部ステークホルダーユーザーが IRQ 回答 を承認すると、エンゲージメント要求をクローズすることで次のプロセスに進みます。
    注:
    IRQ プロセスが IRQ 対応中ステータスになったら、デューデリジェンス要求に関連付けられたリスクインテリジェンスレポートを要求できます。詳細については、「リスクインテリジェンスレポートとスコアの使用」と「デューデリジェンス要求に関連付けられたリスクインテリジェンスレポートを要求する」を参照してください。
    TP 要素収集プロセス:サードパーティ要素情報の収集 (オプション)
    1. TPR マネージャーまたはデューデリジェンス要求の所有者が、サードパーティ要素の収集を開始します。
      1. ベンダー管理ワークスペースで、サードパーティの要素が必要な場合、TPR マネージャーまたは所有者が [収集を開始 (Start collection)] を選択すると、収集タスクが作成されます。
      2. TPR マネージャーまたは所有者は、[収集タスク] タブに移動し、関連するサードパーティ要素収集アンケートを要素収集のための外部アセスメントにアサインします。
        注:
        ベースシステムの一部として、施設、プリンシパル、製品、またはその他として分類されたサードパーティ要素に対して、収集とアセスメントのためのサンプルアンケートを使用できます。
      3. TPR マネージャーまたは所有者がアンケートをレビューして承認し、エンゲージメントに送信します。
    2. エンゲージメントの関係者にメール通知が自動的に送信されます。メッセージは、サードパーティ要素収集アンケートに回答するようエンゲージメント連絡先に通知します。

    3. サードパーティポータルでは、エンゲージメント連絡先がアンケートに直接回答するか、組織の他の連絡先にタスクをアサインします。

    4. エンゲージメント連絡先は、完了したアンケートを返します。
    5. アセスメントのステータスが [回答を受信済み (Reponses received)] に変更され、TPR マネージャーと所有者にアラートが送信されます。
    6. ベンダー管理ワークスペースで、TPR マネージャーまたは所有者はアンケートを開き、必要な情報がすべて提供されたことを確認します。
    7. TPR マネージャーまたは所有者は、サードパーティ要素のリストに移動し、アンケートの回答セットごとにサードパーティ要素レコードを手動で作成します。
    8. すべてのサードパーティ要素が作成された後、TPR マネージャーまたは所有者はアセスメントをクローズします。
    9. 要求のステータスが [収集レビュー中 (Collection in review)] に変更されます。
    10. 内部ステークホルダー (TPR 査定人、TPR 承認者、TPR マネージャー、または TPR アドミニストレーター) が要素レコードをレビューして承認します。
    11. ベンダー管理ワークスペースで、TPR マネージャーまたは所有者はエンゲージメントを開き、[エンティティ] タブに要素をエンティティとして手動で追加します。
    12. すべてのサードパーティ要素エンティティをエンゲージメントに割り当てた後、デューデリジェンスプロセスを開始できます。
    デューデリジェンスプロセス:情報を収集してリスクスコアを生成
    1. 次のいずれかのプロセスにより、外部デューデリジェンスアンケートが選択されます。
      • ベンダー管理ワークスペース では、TPR マネージャーがサードパーティ連絡先およびエンゲージメント連絡先が回答するアンケートを選択します。
      • 選択を行うために設定された構成に従って、システムが自動的にアンケートを選択します。内部アンケートの回答に基づいて選択されるように外部アンケートを設定する方法の詳細については、「外部アンケートをアセスメントに自動的に添付するように内部アンケートの回答を設定する」を参照してください。
      • 選択を行うために定義されたビジネスルールに従って、システムが自動的にアンケートを選択します。

    2. ステップ 1 で使用した選択方法に関係なく、次の 2 つの外部デューデリジェンスアンケートが選択されます。

      • 1 つのセットは、サードパーティ組織に関する情報を収集します。サードパーティの連絡先がそのアンケートに回答します。
      • もう 1 つのセットは、エンゲージメントの対象であるサードパーティ組織内の事業部門に関する情報を収集します。エンゲージメント連絡先 (デューデリジェンス要求で指定) がそのアンケートに回答します。
      注:
      オプションの TP 要素収集プロセスが完了したら、作成した各サードパーティ要素のアセスメントの一部としてアンケートを選択し、アサインする必要があります。エンゲージメント連絡先がサードパーティ要素のアンケートに回答します。
    3. ベンダー管理ワークスペース では、TPR マネージャーは、サードパーティ連絡先およびエンゲージメント連絡先が回答する自動選択されたアンケートを確認します。TPR マネージャーは、選択内容を検証または変更してから、一連のアンケートを承認します。外部アセスメントの作成の詳細については、「 外部リスクアセスメントを作成」を参照してください。
    4. サードパーティの関係者にメールが自動的に送信されます。メッセージは、外部アンケートに回答するように TP 連絡先とエンゲージメント連絡先に通知します。
      注:
      アンケートテンプレートは、既に使用後は変更しないでください。代わりに、コピーを作成することでテンプレートを複製できます。外部アセスメントの一部として送信されたアンケートに変更を加えた場合、それらの更新はサードパーティポータルに表示されるアンケートに表示されません。詳細については、「アンケートや文書要求テンプレートを作成する」と「デザイナーを使用してアンケートや文書要求テンプレートを作成する」を参照してください。
    5. サードパーティポータルでは、TP 連絡先およびエンゲージメント連絡先がアンケートに直接回答するか、サードパーティ組織の他の連絡先にタスクをアサインします。
      注:
      サードパーティポータルは、組織のインスタンスから完全に分離されています。

      反復プロセスでは、TPR マネージャーがアセスメントをクローズする前に、TPR マネージャーが非準拠の問題とタスクを生成できます。TPR マネージャーは、コメントを使用して TP 連絡先およびエンゲージメント連絡先とコミュニケーションを取り、問題とタスクをクローズします。TPR マネージャーは、必要に応じてさまざまな連絡先をアサインすることもできます。 詳細については、「問題を管理する」を参照してください。

    6. TP 連絡先とエンゲージメント連絡先は、完了したアンケートを返します。
    7. 要求のステータスが [TPRM 承認準備完了 (Ready for TPRM approval)] に変更され、TPR マネージャーにアラートが送信されます。
    8. ベンダー管理ワークスペース で、TPR マネージャーは、アンケートが受領され、完了し、必要に応じて署名されていることを検証し、アセスメントフェーズをクローズして承認プロセスを開始します。
    注:
    サードパーティリスクマネージャーまたはオーナーがデューデリジェンスプロセス中に [ 契約リスクプロセスをスキップ ] オプションを選択した場合、アサインされた契約交渉担当者には通知されず、契約リスクプロセスのステータスはスキップされます。承認者とオーナーは、承認プロセスが完了するまで [契約リスクプロセスをスキップ] の選択を更新できます。このプロセスの詳細については、「デューデリジェンス要求プロセス管理」を参照してください。
    承認プロセス:内部ステークホルダーによるリスクの各側面の分析

    すべての内部ステークホルダー (承認者) が、サードパーティ連絡先およびエンゲージメント連絡先からのアンケートの回答とサポートドキュメントをレビューします。回答に問題がなければ、1 人以上の承認者が DD 要求を承認してクローズします。契約の準備が整うと、承認された要求が契約リスクプロセスに移ります。

    • 承認者は要求を承認または却下して、クローズすることができます。
    • 要求をクローズすると、契約リスクプロセスに移るか、または契約が関与しない場合は、エンゲージメントが開始されます。
    契約リスクプロセス

    承認されると、すべてのデューデリジェンス情報を契約交渉担当者が利用できるようになります。契約交渉担当者は、ベンダー管理ワークスペース を使用して、これまでのプロセスで生成されたすべてのデータにアクセスし、契約を設計し解決します。

    • 契約が不要になった場合、契約交渉担当者は契約リスクプロセスをスキップできます。
    • 契約交渉担当者は、必要に応じて追加のデューデリジェンスを要求できます。
    • 契約交渉担当者がサードパーティとの契約を正常に履行した場合、その契約をアップロードし、契約の履行を指定することで、すべての主要なステークホルダーに自動的に通知することができます。
    • 契約交渉担当者は、契約の不履行、およびサードパーティの業務への関与の禁止について明記することができます。
    • 契約交渉担当者は、契約の終了、およびサードパーティの業務への関与の禁止について明記することができます。
    注:
    サードパーティリスク管理アプリケーションのバージョン 19.1.x 以降、階層アンケートと外部アセスメントリマインダーワークフローは廃止され、 ワークフロースタジオに移行されました。これらのワークフローをカスタマイズした場合、この変更の一部として廃止されたり移行されたりすることはありません。