サードパーティリスク管理のデータモデル

  • リリースバージョン: Australia
  • 更新日 2026年03月12日
  • 所要時間:15分

    • サードパーティリスク管理 (TPRM) データモデルを使用して、リスク管理プログラムのリスクを評価、監視、および軽減します。

    TPRM データモデルの概要

    サードパーティリスク管理 アプリケーションは、ガバナンス、リスク、コンプライアンス 製品の 1 つです。

    次のモデルは、TPRM の機能をサポートするために使用されます。

    図 : 1. TPRM データモデル
    デューデリジェンス、サードパーティ管理、ポリシーとコンプライアンス、およびリスクメインテーブル間の関係。テキストの説明については、以下のテキストを参照してください。

    サードパーティリスクアセスメントのデータモデルには、さまざまなコンポーネントと関係が含まれています。

    コンポーネント:
    • リスクインテリジェンススコア [sn_vdr_risk_asmt_security _score]
    • 内部アセスメント [sn_vdr_asmt_internal_assessment]
    • 階層アセスメント [sn_vdr_risk_asmt_vdr_tiering_assessment]
    • イベント駆動型管理履歴 [sn_tprm_dd_rule_execution_history]
    • サードパーティのデューデリジェンス要求 [sn_tprm_dd_request]
    • 会社 [core_company]
    • イベント駆動型管理ルール [sn_tprm_dd_generation_rule]
    • サードパーティリスクアセスメント [sn_vdr_risk_asmt_assessment]
    • サードパーティエンゲージメント [sn_vdr_risk_asmt_vendor_engagement]
    • ベンダー連絡先 [vm_dr_contact]
    • アセスメントメトリクスタイプ [asmt_metric_type]
    • アセスメントテンプレート [sn_vdr_risk_asmt_assessment_template]
    • サードパーティリスク問題 [sn_vdr_risk_asmt_issue]
    • エンゲージメントリスクスコアリングルール [sn_vdr_risk_asmt_engagement_risk_scoring_rule]
    • エンゲージメントレベルリスク評価 [sn_vdr_risk_asmt_engagement_level_rating]
    • リスク [sn_risk_risk]
    • コントロール [sn_compliance_control]
    関係:
    • サードパーティリスクアセスメントコンポーネントは、次のコンポーネントと 1 対多の関係を持つことができます。
      • イベント駆動型管理履歴
      • サードパーティのデューデリジェンス要求
      • 会社
      • サードパーティエンゲージメント
      • サードパーティリスクの問題
      • アセスメントテンプレート
    • イベント駆動型管理履歴コンポーネントは、イベント駆動型管理ルールコンポーネントと多対 1 の関係を持つことができます。
    • イベント駆動型管理ルールコンポーネントは、アセスメントメトリクスタイプコンポーネントおよびアセスメントテンプレートコンポーネントと 1 対多の関係を持つことができます。
    • サードパーティエンゲージメントコンポーネントは、次のコンポーネントと 1 対多の関係を持つことができます。
      • 会社
      • エンゲージメントリスクスコアリングルール
      • サードパーティリスクの問題
    • サードパーティエンゲージメントコンポーネントは、ベンダー連絡先コンポーネントと多対多の関係を持つことができます。
    • ベンダー連絡先コンポーネントは、会社およびサードパーティリスク問題コンポーネントと 1 対多の関係を持つことができます。
    • エンゲージメントレベルリスク評価コンポーネントは、サードパーティエンゲージメントコンポーネントと 1 対多の関係を持つことができます。
    • サードパーティエンゲージメントコンポーネントは、リスクおよびコントロールコンポーネントに関連しています。
    • リスクインテリジェンススコアコンポーネントは、サードパーティのデューデリジェンスコンポーネントに関連しています。
    • 階層アセスメントコンポーネントは、次のコンポーネントと 1 対多の関係を持つことができます。
      • サードパーティデューデリジェンス
      • サードパーティエンゲージメント
      • 会社
    • 階層アセスメントコンポーネントは、アセスメントメトリクスタイプコンポーネントと多対多の関係を持つことができます。
    • サードパーティのデューデリジェンスコンポーネントは、次のコンポーネントと 1 対多の関係を持つことができます。
      • イベント駆動型管理履歴
      • サードパーティのリスクアセスメント
      • 会社
    • 次のコンポーネントは、リスクデューデリジェンスに関連しています。
      • イベント駆動型管理ルール
      • イベント駆動型管理履歴
      • サードパーティリスクデューデリジェンス要求
    • 次のコンポーネントは、サードパーティ管理に関連しています。
      • リスクインテリジェンススコア
      • 内部アセスメント
      • 階層アセスメント
      • サードパーティのリスクアセスメント
      • サードパーティエンゲージメント
      • アセスメントテンプレート
      • サードパーティリスクの問題
      • エンゲージメントリスクスコアリングルール
      • エンゲージメントレベルリスク評価
    • 内部アセスメントコンポーネントは、階層アセスメントコンポーネントの拡張です。
    • コントロールコンポーネントは ポリシーとコンプライアンス管理 に関連しています。
    • リスクコンポーネントは リスク管理に関連しています。
    • 次のコンポーネントはグローバルです。
      • ベンダー連絡先
      • 会社
      • アセスメントメトリクスタイプ
    次の表に、TPRM データモデルのコンポーネントに必要なロールを示します。
    表 : 1. TPRM データモデルのロール
    ロール 説明
    sn_vdr_risk_asmt.approver サードパーティリスク管理プロセスでデューデリジェンス要求を承認します。
    sn_vdr_risk_asmt.contract_negotiator オンボーディングプロセスの契約リスクプロセスステージで作業します。
    sn_vdr_risk_asmt.vendor_assessment_reviewer アセスメントを編集します。
    sn_vdr_risk_asmt.vendor_assessor サードパーティ、サードパーティの連絡先、サードパーティのリスクアセスメント、および問題を管理し、サードパーティリスクアセスメントの要求を完了します。
    sn_vdr_risk_asmt.vendor_risk_admin すべてのベンダーリスク管理データとアセスメントメトリクスタイプを完全にコントロールできます。
    sn_vdr_risk_asmt.vendor_risk_manager サードパーティ、サードパーティ連絡先、サードパーティアセスメントテンプレート、アンケートテンプレート、ドキュメント要求テンプレート、およびスケジュール設定済みアセスメントを管理します。

    ロールに関する詳細については、「サードパーティリスク管理 でのロール」を参照してください。

    コアコンポーネント

    TPRM は、アセスメントを送信し、受け取った回答からスコアを計算することに基づいています。

    次のコアコンポーネントを使用して、アセスメントを実行できます。
    • サードパーティのリスクアセスメント
    • サードパーティエンゲージメント
    • サードパーティデューデリジェンス
    • スコアリングセットアップ
    • リスクインテリジェンス

    次の図は、TPRM データモデルのサードパーティリスクアセスメントの主なテーブルとフローを示しています。

    図 : 2. サードパーティリスクアセスメントのデータモデル
    デューデリジェンス、サードパーティ管理、ポリシーとコンプライアンス、およびリスクメインテーブルまたはサードパーティリスクアセスメントの間の関係。テキストの説明については、以下のテキストを参照してください。

    サードパーティリスクアセスメントのデータモデルを構成するコンポーネントと関係は次のとおりです。

    コンポーネント:
    • 内部アセスメント [sn_vdr_risk_asmt_internal_assessment]
    • 階層アセスメント [sn_vdr_risk_asmt_vdr_tiering_assessment]
    • 外部アセスメント [sn_vdr_risk_asmt_internal_assessment]
    • アセスメントテンプレート [sn_vdr_risk_asmt_template]
    • アンケートテンプレート [asmt_metric_type]
    • アンケートインスタンス [asmt_assessment_instance]
    • カテゴリ [asmt_metric_category]
    • メトリクス [asmt_metric]
    関係:
    • メトリクスコンポーネントは、カテゴリコンポーネントと多対 1 の関係を持つことができます。
    • カテゴリコンポーネントは、アンケートコンポーネントと多対 1 の関係を持つことができます。
    • アンケートテンプレートコンポーネントは、次のコンポーネントと多対 1 の関係を持つことができます。
      • アセスメントテンプレート
      • 階層アセスメント
      • 外部アセスメント
    • アンケートインスタンスコンポーネントは、次のコンポーネントと多対 1 の関係を持つことができます。
      • 外部アセスメント
      • 階層アセスメント
    • アセスメントテンプレートコンポーネントは、次のコンポーネントと 1 対多の関係を持つことができます。
      • 階層アセスメント
      • 外部アセスメント
    • 内部アセスメントコンポーネントは、階層アセスメントコンポーネントの拡張です。
    • 内部アセスメントコンポーネントは、リスクデューデリジェンスに関連しています。
    • 次のコンポーネントは、サードパーティ管理に関連しています。
      • 階層アセスメント
      • 外部アセスメント
      • アセスメントテンプレート
    • 次のコンポーネントはグローバルです。
      • アンケートテンプレート
      • カテゴリ
      • メトリクス
      • アンケートインスタンス

    アセスメントの詳細については、「サードパーティリスクのアセスメント」を参照してください。

    次の図は、TPRM データモデルのデューデリジェンスに使用される主なテーブルとフローを示しています。

    図 : 3. デューデリジェンスデータモデル
    デューデリジェンスに使用されるリスクデューデリジェンス、サードパーティ管理、ポリシーとコンプライアンス、およびリスクメインテーブル間の関係。テキストの説明については、以下のテキストを参照してください。

    デューデリジェンスデータモデルを構成するコンポーネントと関係は次のとおりです。

    コンポーネント:
    • サードパーティ [core_company]
    • エンゲージメント [sn_vdr_risk_asmt_vendor_engagement]
    • デューデリジェンス [sn_tprm_dd_request]
    • 問題 [sn_vdr_risk_asmt_issue]
    • タスク [sn_vdr_risk_asmt_task]
    • ベンダー連絡先 [vm_vdr_contact]
    • リスクインテリジェンススコア [sn_vdr_risk_asmt_security_score]
    • 外部アセスメント [sn_vdr_risk_asmt_internal_assessment]
    • 階層アセスメント [sn_vdr_risk_asmt_vdr_tiering_assessment]
    • 内部アセスメント [sn_vdr_risk_asmt_vdr_internal_assessment]
    関係:
    • サードパーティコンポーネントは、子会社と 1 対多の関係にあります。
    • サードパーティコンポーネントは、次のコンポーネントと 1 対多の関係にあります。
      • ベンダー連絡先
      • 内部アセスメント
      • 外部アセスメント
      • 階層アセスメント
      • リスクインテリジェンススコア
      • 問題
      • タスク
    • デューデリジェンスコンポーネントは、次のコンポーネントと 1 対多の関係にあります。
      • ベンダー連絡先
      • 内部アセスメント
      • 階層アセスメント
      • リスクインテリジェンススコア
    • エンゲージメントコンポーネントは、次のコンポーネントと 1 対多の関係にあります。
      • ベンダー連絡先
      • 内部アセスメント
      • 外部アセスメント
      • 階層アセスメント
      • 問題
      • タスク
    • サードパーティコンポーネントは、デューデリジェンスコンポーネントに関連しています。
    • エンゲージメントコンポーネントは、デューデリジェンスコンポーネントに関連しています。
    • 外部アセスメントコンポーネントは、デューデリジェンスコンポーネントに関連しています。
    • 内部アセスメントコンポーネントは、階層アセスメントコンポーネントの拡張です。
    • 次のコンポーネントは、リスクデューデリジェンスに関連しています。
      • デューデリジェンス
      • 内部アセスメント
    • 次のコンポーネントは、サードパーティ管理に関連しています。
      • エンゲージメント
      • 問題
      • タスク
      • リスクインテリジェンススコア
      • 外部アセスメント
      • 階層アセスメント
    • 次のコンポーネントはグローバルです。
      • サードパーティ
      • ベンダー連絡先

    次の図は、デューデリジェンスワークフローの一部である必要なロール、プロセス、および選択肢を示しています。

    図 : 4. デューデリジェンスワークフロー
    デューデリジェンスワークフローの一部として存在する必要なロール、プロセス、および選択肢を示すワークフロー。

    デューデリジェンスワークフローの詳細については、「デューデリジェンスワークフロー」を参照してください。

    次の図は、TPRM データモデルのスコアリングに使用される主なテーブルを示しています。

    図 : 5. スコアリングデータモデル
    リスクのスコアリングに使用されるデューデリジェンス、サードパーティ管理、ポリシーとコンプライアンス、およびリスクメインテーブル間の関係。テキストの説明については、以下のテキストを参照してください。

    ここでは、スコアリングデータモデルを構成するコンポーネントと関係を示します。

    コンポーネント:
    • サードパーティ [core_company]
    • サードパーティリスクスコアリングルール [sn_vdr_risk_asmt_vendor_risk_scoring _rule]
    • コンポーネント基準 [sn_vdr_risk_asmt_component_criteria]
    • コンポーネント [sn_vdr_risk_asmt_component]
    • エンゲージメント [sn_vdr_risk_asmt_vendor_engagement]
    • エンゲージメントリスクスコアリングルール [sn_vdr_risk_asmt_engagement_risk_scoring_rule]
    • リスク領域基準 [sn_vdr_risk_asmt_risk_area_criteria]
    • リスクドメイン [sn_vdr_risk_asmt_risk_area_definition]
    関係:
    • リスク領域基準コンポーネントは、リスクドメインコンポーネントと 1 対多の関係にあります。
    • リスク領域基準コンポーネントは、エンゲージメントリスクスコアリングルールコンポーネントおよびサードパーティリスクスコアリングルールコンポーネントと 1 対 1 の関係にあります。
    • エンゲージメントリスクスコアリングルールは、エンゲージメントコンポーネントと 1 対多の関係にあります。
    • コンポーネント基準は、コンポーネントと 1 対多の関係にあります。
    • コンポーネント基準は、サードパーティリスクスコアリングルールコンポーネントと 1 対 1 の関係にあります。
    • サードパーティリスクスコアリングルールコンポーネントは、サードパーティコンポーネントと 1 対多の関係にあります。
    • これらのコンポーネントはすべてサードパーティ管理に関連しています。

    TPRM のスコアリングセットアップを使用して、外部リスクアセスメントのスコアをエンゲージメントとサードパーティに集計する方法を設定します。基準テーブルには、複数のレコードのスコア (最小、最大、平均) または複数のテーブルのスコア (各テーブルの重み付け) の集計に関連する情報が含まれています。スコアリングルールを使用して、サードパーティまたはエンゲージメントをグループ化し、基準をアサインします。これらのテーブルのすべてのレコードは、カスタマイズせずに構成できます。

    スコアリングの詳細については、「従来のアセスメントエンジンを使用したスコア計算」を参照してください。

    次のモデル図は、TPRM データモデルのリスクインテリジェンスに使用される主なテーブルを示しています。

    図 : 6. リスクインテリジェンスモデル
    リスクデューデリジェンス、サードパーティ管理、ポリシーとコンプライアンス、およびリスクメインテーブル間の関係。テキストの説明については、以下のテキストを参照してください。

    リスクインテリジェンスデータモデルを構成するコンポーネントと関係は次のとおりです。

    コンポーネント:
    • サードパーティ [core_company]
    • プロバイダーサービス [sn_vdr_risk_asmt_tpss_provider]
    • リスクインテリジェンススコア [sn_vdr_risk_asmt_security_score]
    • スコアサブファクター [sn_vdr_risk_asmt_tpss_subfactor]
    関係:
    • リスクインテリジェンスプロバイダーコンポーネントは、プロバイダーサービスコンポーネントと 1 対多の関係にあります。
    • プロバイダーサービスコンポーネントは、リスクインテリジェンススコアコンポーネントと 1 対多の関係にあります。
    • リスクインテリジェンススコアコンポーネントは、スコアサブファクターコンポーネントと 1 対多の関係にあります。
    • リスクインテリジェンススコアコンポーネントは、リスクインテリジェンスプロバイダーコンポーネントに関連しています。
    • これらのコンポーネントはすべてサードパーティ管理に関連しています。

    リスクインテリジェンスの詳細については、「リスクインテリジェンスレポート要求の管理」を参照してください。

    SAE TPRM データモデル

    次のモデル図は、TPRMでのスマートアセスメントエンジンに使用される主なテーブルを示しています。

    図 : 7. SAE TPRM データモデル
    テキストの説明については、以下のテキストを参照してください。

    SAE TPRM データモデルを構成するコンポーネントと関係は次のとおりです。

    コンポーネント:
    • SAE アンケートテンプレートに対するアセスメント [sn_vdr_risk_asmt_m2m_tiering_sae_template、sn_vdr_risk_asmt_m2m_tpra_sae_template]
    • TPRM アセスメント [sn_vdr_risk_asmt_assessment、sn_vdr_risk_asmt_internal_assessment]
    • エンゲージメント [sn_vdr_risk_asmt_vendor_engagement]
    • 採点ルール [sn_vdr_risk_asmt_vendor_risk_scoring_rule、sn_vdr_risk_asmt_engagement_risk_scoring_rule]
    • SAE インスタンス [sn_smart_asmt_instance]
    • SAE アンケートテンプレート [sn_vdr_risk_asmt_sae_questionnaire_template]
    • SAE 評価スケール [sn_vdr_risk_asmt_sae_rating_scale]
    • スコアリング正規化 (SAE 評価スケールとスコアマッピングテーブルで表されます:sn_vdr_risk_asmt_sae_rating_scale、sn_vdr_risk_asmt_score_mapping)
    • 問題生成ルール [sn_vdr_risk_asmt_issue_generation_rule]
    • アセスメント後の自動化 (問題の生成、ワークフロートリガー)
    関係:
    • SAE アンケートテンプレートへのアセスメントコンポーネントは、TPRM アセスメントと多対 1 の関係にあります。
    • SAE アンケートテンプレートへのアセスメントコンポーネントは、SAE インスタンスコンポーネントと 1 対 1 の関係にあります。
    • TPRM アセスメントコンポーネントは、エンゲージメントコンポーネントと多対 1 の関係にあります。
    • エンゲージメントコンポーネントは、採点ルールコンポーネントと多対 1 の関係にあります。
    • SAE アンケートテンプレートコンポーネントは、SAE 評価スケールコンポーネントと多対多の関係にあります。
    • SAE 評価スケールコンポーネントは、スコア正規化コンポーネントと 1 対多の関係にあります。
    • SAE アンケートテンプレートコンポーネントは、問題生成ルールコンポーネントと多対 1 の関係にあります。
    • SAE アンケートテンプレートコンポーネントは、アセスメント後の自動化コンポーネントと 1 対多の関係にあります。

    スマートアセスメントエンジンTPRMの詳細については、「サードパーティリスク管理を使用したスマートアセスメント」を参照してください。