サードパーティ、第 4 の関係者、および n 番目の関係者

サードパーティとは、ユーザーがやり取りしたり、ビジネス関係を結んだりした組織または個人のことです。サードパーティは子会社を持つことができ、第 4 の関係者と契約することができます。たとえば、部門は子会社です。第 4 の関係者は、他の関係者 (第 5、第 6 など) と契約できます。すべてのダウンストリームパーティ(第4からn番目のパーティ)は、サードパーティと同じ方法でリスクを負います。

ベンダーは、自社の商品またはサービスを生産または配送するために使用する商品またはサービスを提供します。すべてのベンダーはサードパーティですが、すべてのサードパーティがベンダーであるとは限りません。他の種類のサードパーティのリストは次のとおりです。

• サプライヤー
• 関連会社
• カウンターパーティ
• コンサルタント
• パートナー
• プロフェッショナルサービス
• アドバイザー
• フランチャイズ
• ディーラー
• リセラー
• ディストリビューター
• 顧客
• クライアント
• アウトソーシングスタッフ

エンゲージメント

サードパーティは、システム、データ、またはプロセスとやり取りする外部エンティティです。エンゲージメントは、組織をリスクにさらす可能性があるサードパーティと形成する予定の非公式または契約上の関係です。エンゲージメントでは、サードパーティによって提供されるサービスまたは製品、および関係のその他の詳細について説明します。これらの詳細には、支払い条件、機密性要件、および関係の期間を含めることができます。

この例では、会社は 3 つのサードパーティとやり取りし、それらの間で複数のエンゲージメントを管理しています。

IRQ - 固有リスクアンケート

内部リスクアセスメントプロセスでは、組織内のユーザーが IRQ の質問に回答して、サードパーティとの関わりに関連する固有リスクを評価できるようにします。固有リスクとは、リスク軽減策を実装する前のリスクのレベルを指します。IRQ は、次のアクティビティをサポートしています。

危険因子の決定

• 第三者が提供するサービスの性質。
• 関連するデータの機密性。
• サードパーティの地理的な場所。
• サードパーティの全体的なセキュリティ体制。

採点または評価の決定

アンケートへの回答は、サードパーティに関連する固有リスクを定量化するために、多くの場合スコア付けまたは評価されます。このスコアリングシステムは、リスク管理の取り組みの優先順位付けに役立ちます。

意思 決定

IRQ の結果は、意思決定プロセスで使用されます。TPR 管理者とマネージャーは、質問に対する特定の回答に基づいて、特定の外部アセスメント (デューデリジェンス) アンケートをサードパーティに送信するように IRQ を構成できます。

• サードパーティとやり取りする必要がありますか?
• どのレベルのデューデリジェンスが必要ですか?
• 具体的にどのようなリスク軽減策を実施すべきか?

継続的なデューデリジェンス

IRQ は、サードパーティの運用、セキュリティ慣行、またはその他の関連要因の変更を説明するために定期的に再評価される、継続的な管理の一部である場合もあります。

デューデリジェンス (DD)

デューデリジェンスは 、潜在的なビジネスパートナー、サプライヤー、またはベンダーの完全性、評判、財務の安定性、法令遵守、運用能力、サプライチェーン、およびその他の関連要因の徹底的な調査または調査を実施するプロセスです。 サードパーティに対してデューデリジェンスを実施することは、包括的なサードパーティリスクプログラムの重要なコンポーネントです。デューデリジェンスを実施してサードパーティに関連するリスクを認識し、関係を形成する方法を安心して決定できるようにします。

「デューデリジェンスを実施する理由」および「デューデリジェンスのタイプ」を参照してください。

リスクインテリジェンスプロバイダー

リスクインテリジェンスプロバイダーは、さまざまなサードパーティリスクドメインのリスクスコアを生成します。組織は、個人のクレジットスコアに類似したデータを返すプロバイダーからサービスを購入できます。スコアは、特定のサードパーティの信頼性と安全性に関するインサイトを提供します。

「リスクインテリジェンスプロバイダーからのスコアの統合」を参照してください。