(정의)

기업이 외부 공급업체나 계약자, 컨설턴트 등과의 관계를 유지할 때 발생할 수 있는 다양한 위험을 식별하고 평가하는 등 관리하는 체계를 말한다.

기업은 이를 통해 자기 기업과 관계가 있는 제삼자(공급업체나 계약자 등)의 위험을 평가하고 완화하여 법령 준수(compliance)를 보장하려고 한다.

(TPRM의 중요성)

기업은 점차 뻗어 나가다 보면 모든 일들을 스스로 해결하지 못하고 많은 업무를 외부에 의존하게 된다. 따라서 외부 업체에서 문제가 발생하면 그 책임이나 피해가 이들과 관계를 맺고 있는 본 기업에까지 영향을 미치는 경우가 허다하다.

따라서 기업이 자기만 잘하면 되는 것이 아니고 관계를 맺고 있는 외부의 제3자 기업도 다 같이 잘해줘야 이들과 관계를 맺고 있는 본 기업도 안전하다.
 

(TPRM을 하는 목적)

① 보안사고 예방: 유관 외부 업체의 보안이 취약해 기업의 내부 데이터나 개인정보가 유출되는 위험을 방지
② 규제 준수: *GDPR, *HIPAA 등 강화되는 글로벌 규제 환경에서 파트너사의 위반 행위로 기업이 법적 책임을 지거나 과징금이 부과되는 위험을 관리

* GDPR: EU의 개인정보보호법으로서 개인에게 자신의 데이터에 대한 권리(열람, 정정, 삭제 등)를 보장
* HIPAA: 미국의 갱닌 의료정보 및 개인정보의 보안을 규제하는 법률.

③ 비즈니스 연속성: 핵심 공급업체의 부도나 서비스 중단이 자기 회사의 운영 중단으로 연결되지 않도록 대비
④ 평판 보호: 외부 업체의 비윤리적 행위나 위법 사항이 본 기업의 브랜드 신뢰도에 타격을 주는 상황의 예방
 

(TPRM의 관리 대상이 되는 제3자 기업(the Third Parties)의 주요 유형)

- 공급업체(Suppliers): 원자재나 부품을 공급하는 기업
- 벤더(Vendors): 소프트웨어나 특정 서비스를 제공하는 업체
- 파트너(Partners): 협력관계를 맺고 있는 사업 파트너
- 계약업체(Contractors/consultant): 특정 프로젝터를 위해 고용된 외부 인력 및 컨설턴트

(제3자 기업의 주요 위험 유형)

- 협력사의 개인정보 유출 → 본 기업의 평판 저하에다 법적 리스크 우려
- 공급업체의 노사분규 등 생산 차질 → 본 기업의 제품 공급 차질
- 외주 IT 업체의 보안 취약 → 본 기업의 해킹 등 사이버 보안 불안

(TPRM의 운영 형태) 

TPRM은 한 기업과 관계를 맺고 있는 수많은 제3의 기업에 대해 대체로 다음과 같은 단계를 밟아 운영되고 있다. 

- 식별 및 분류: 모든 외부 업체를 중요도와 위험 수준에 따라 등급을 매기고
- 실사(due diligence): 계약 전에 업체의 보안 수준과 재무 상태 그리고 규제  준수 여부를 철저히 검증 
- 계약 관리: 보안 및 규제 준수 의무를 계약서에 명시
- 지속적인 모니터링: 계약 기간 동안 정기적으로 위험 요소를 점검하고 평가

(사)한국기업윤리경영연구원 자문교수실