サードパーティリスク管理 の探索
サードパーティリスク管理 アプリケーションは、サードパーティリスク管理プログラムのプロセス、調達資料、責任者、およびメソッドを一元化して標準化します。サードパーティのポートフォリオを管理し、サードパーティに関して発生する問題を特定、追跡、軽減することで、業務を改善できます。
サードパーティリスク管理の概要
組織の資産、評判、および運用を保護するために、サードパーティリスク管理プログラムは、外部関係者に関連するリスクを特定、評価、および軽減する必要があります。TPRM アプリケーションは、アウトソーシングプロバイダー、パートナー、およびサプライヤーがビジネスの中断やビジネスパフォーマンスへの悪影響を発生させるのを防ぐのに役立ちます。TPRM アプリケーションを使用することで、自動化によってリスクアセスメントプロセスの手作業による負担とコストを削減できます。
TPRM は、すべてのサードパーティリスク情報を 1 つの環境にまとめます。
- オンボーディング、オフボーディング、更新、および追加のデューデリジェンスワークフロー
- アセスメント管理
- 継続的なリスク監視
- リスクパフォーマンス管理
サードパーティリスク管理 ユーザー
| ユーザー | 説明 |
|---|---|
| デューデリジェンス要求者 | 要求者は、エンゲージメントのオンボーディング、再評価、または退職に関心のある組織の従業員であれば誰でもかまいません。 さまざまなタイプのデューデリジェンス要求の詳細については、「 サードパーティリスクデューデリジェンスを要求する」を参照してください。 |
| TPRM 査定 | TPRM 査定人はリスクマネージャーのチームのメンバーです。デューデリジェンスプロセスを通じて収集された情報をレビューすることで、潜在的なエンゲージメントのリスクを軽減します。エンゲージメントに関する知識または専門知識に基づいて、デューデリジェンス要求の所有者としてアサインされる可能性があります。 ここでは、さまざまなタイプの査定人の例と、彼らが TPRM のデューデリジェンスプロセスにどのように影響するかについて説明します。
|
| TPRM 承認者 |
TPRM 承認者は通常、組織の上級メンバーです。承認者はデューデリジェンスの調査結果の最終的なレビューと承認を担当します。エンゲージメントのオンボーディング、継続、退職のいずれの場合でも、サードパーティエンゲージメントを進める前に、すべてのリスク管理要件が十分に対処されていることを確認します。 ここでは、さまざまなタイプの承認者の例を示します。
|
| 契約交渉者 | 契約交渉者は、組織と潜在的なエンゲージメントとの間の契約を調整し、最終決定します。デューデリジェンスプロセスを通じて収集されたすべての情報を使用して、すべての契約が戦略的利益を反映し、リスク管理プロトコルに準拠していることを確認します。 |
| リスクマネージャー | リスクマネージャーは、サードパーティとエンゲージメントの徹底的なリスクアセスメントを主導します。リスクマネージャーとそのチームが収集およびレビューした情報に基づいて、リスクに優先順位を付け、軽減戦略を策定し、TPRM を使用して進行中のサードパーティ関係を効果的に監視および管理します。 |
| TPRMアドミン | アドミニストレーターは、ユーザーロール、権限、およびシステム設定を管理し、組織固有のリスク管理ニーズとコンプライアンス要件を満たす TPRM を設定します。 |
TPRMのロールに関する詳細については、「サードパーティリスク管理 でのロール」を参照してください。
サードパーティリスク管理 のワークフロー
次のインフォグラフィックは、リスク管理に使用できる最も重要なプロセスのワークフローを示しています。
- エンゲージメントのデューデリジェンスを要求する
組織の従業員がサードパーティエンゲージメントのデューデリジェンスを要求します。サードパーティリスク (TPR) マネージャー [sn_vdr_risk_asmt.vendor_risk_manager] が、デューデリジェンス要求をレビューおよび承認します。
詳細については、「サードパーティリスクデューデリジェンスを要求する」を参照してください。- 固有のリスクに関するアンケート (IRQ) を含む内部アセスメントを使用してリスクを評価します
-
IRQ は、サードパーティまたはエンゲージメントに必要なデューデリジェンスをスコアリングし、範囲を設定する一連の質問です。デューデリジェンス要求の所有者としてアサインされた TPR マネージャーまたは TPR 査定人 [sn_vdr_risk_asmt.vendor_assessor] は、デューデリジェンス要求を承認した後、IRQ を選択して内部アセスメントに添付します。
注:IRQ プロセスが IRQ 対応中ステータスになったら、デューデリジェンス要求に関連付けられたリスクインテリジェンスレポートを要求できます。詳細については、「リスクインテリジェンスレポートとスコアの使用」と「デューデリジェンス要求に関連付けられたリスクインテリジェンスレポートを要求する」を参照してください。詳細については、「サードパーティリスクのアセスメント」を参照してください。
- サードパーティ要素の作成
-
デューデリジェンス要求による IRQ プロセスが完了した後、TP 要素が必要な場合は、TPR マネージャーまたはデューデリジェンス要求の所有者が[収集を開始] を選択すると、収集タスクが作成されます。サードパーティ要素アンケートがサードパーティエンゲージメント連絡先に送信されます。TPR マネージャーまたは所有者は、応答に基づいて、サードパーティ要素レコードを手動で作成します。
詳細については、「サードパーティリスクのアセスメント」と「サードパーティ要素の監視」を参照。
- 外部アセスメントを使用してリスクを評価する
- IRQ プロセスまたは TP 要素収集プロセスが完了した後、TPR マネージャーまたは所有者は、サードパーティまたはエンゲージメントに送信するために外部アセスメントに添付する文書のアンケートと要求を選択します。アセスメントの作成の詳細については、「外部アセスメントを作成」と「サードパーティリスクアセスメントフォーム」を参照してください。
このプロセスの詳細については、「サードパーティリスクのアセスメント」と「サードパーティ要素の監視」を参照してください。
注:統合されたリスクインテリジェンスがある場合は、この時点で関連情報がプルされます。 - リスクインテリジェンスプロバイダーを使用したスコアの統合
-
組織は、個人のクレジットスコアに類似したデータを返すプロバイダーからサービスを購入できます。スコアは、特定のサードパーティがどの程度信頼でき、安全であるかについてのインサイトを提供します。
詳細については、「リスクインテリジェンスプロバイダーからのスコアの統合」を参照してください。
- リスクインテリジェンスレポートとスコアの要求
-
TPR 査定人でありデューデリジェンス要求の所有者であるか、TPR マネージャーロールを持っている場合は、TPRM アプリケーションでリスクインテリジェンス要求フォームを使用して、サードパーティのスコアまたはレポートを要求できます。リスクインテリジェンスプロバイダーによってレポートとスコアが生成された後、これらのレポートへのリンクが配信され、そのリスクインテリジェンスレポートレコードに関連付けられます。統合されたリスクインテリジェンスがある場合は、この時点で関連情報がプルされます。詳細については、「リスクインテリジェンスレポートとスコアの使用」を参照してください。
- スコアと関連情報の表示
-
収集された情報は採点され、デューデリジェンスプロセスの 1 つのビューにまとめられて、すべてのスコア、完了済みのアンケート、問題、承認、およびコメントが表示されます。
採点の詳細については、「従来のアセスメントエンジンを使用したスコア計算」と「従来のアセスメントエンジンを使用したスコア計算の検証」を参照してください。アセスメントとアンケートレベルで採点を構成する方法については、「クラシックアセスメントの構成」を参照してください。
- デューデリジェンス要求の承認
-
すべての承認者が、承認前にデューデリジェンスと詳細情報を確認できます。すべての承認者がデューデリジェンス要求を承認した後、契約を交渉しているユーザーがすべてのデューデリジェンス情報を利用できます。契約リスクプロセスは、契約が必要な場合にのみ適用されます。
詳細については、「デューデリジェンスの要求の承認または却下」を参照してください。
- 契約の交渉
-
契約交渉者がすべてのスコアとアンケートの詳細情報を表示できます。追加のデューデリジェンスが必要な場合は、契約交渉者がそれを要求できます。契約交渉者がサードパーティとの契約を正常に履行した場合、契約をアップロードして契約が実行されることを指定できます。このアクションにより、すべての主要なステークホルダーに契約のステータスが自動的に通知されます。契約交渉担当者は、契約リスクプロセスをスキップしたり、デューデリジェンス要求を拒否したり、契約が実行されていないことやサードパーティがビジネスに関与していないことを指定したりすることもできます。
注:サードパーティリスクマネージャーまたはオーナーがデューデリジェンスプロセス中に [契約リスクプロセスをスキップ ] オプションを選択した場合、アサインされた契約交渉担当者には通知されず、契約リスクプロセスのステータスはスキップされます。承認者とオーナーは、承認プロセスが完了するまで [契約リスクプロセスをスキップ] の選択を更新できます。このプロセスの詳細については、「デューデリジェンス要求プロセス管理」を参照してください。プロセスの詳細については、「契約リスクプロセスの管理」を参照してください。
- サードパーティのリスクの監視
- TPR マネージャー、TPR 査定人、およびサードパーティアセスメントレビュー担当者 [sn_vdr_risk_asmt.vendor_assessment_reviewer] は、ベンダー管理ワークスペースを使用してサードパーティのパフォーマンスを監視およびレビューできます。
詳細については、「サードパーティリスクの監視」を参照してください。
- サードパーティポータルの管理
-
TPR マネージャーは、ログインの作成、ロールのアサイン、サードパーティポータルを通じたアンケートやタスクの進捗状況の追跡など、サードパーティの連絡先を管理できます。サードパーティの連絡先は、ポータルを使用して、アセスメントに応答したり、タスクを委任したり、それらの情報を管理したりすることができます。また、応答に Microsoft Excel テンプレートや SIG Questionnaire を使用するオプションもあります。
詳細については、「契約リスクプロセスの管理」を参照してください。
TPRMデューデリジェンスワークフローの詳細については、「デューデリジェンスワークフロー」を参照してください。
サードパーティリスク管理 のメリット
次の表で サードパーティリスク管理アプリケーションの利点を紹介します。
| メリット | 機能 | ユーザー |
|---|---|---|
| 重要なリスク情報を表示し、アクションにすばやくアクセスします。 | TPRM ホームページ | TPRM 人の全ユーザー |
| デューデリジェンス管理レポートを使用して、責任の追跡、優先順位付け、および管理を行います。 | TPRM デューデリジェンス管理レポート | TPRM 人の全ユーザー |
| サードパーティとの関係に関連付けられている潜在的なリスクを特定してアセスメントを行います。 | TPRM リスクアクティビティページ | TPRM 人の全ユーザー |
| アクティブなサードパーティとエンゲージメントの地理的な場所が正確に示されます。フィルターを設定して、特定のリスク評価とエンゲージメントタイプを表示できます。 | TPRM リスク集中マップ | TPRM 人の全ユーザー |
| 注意が必要なアセスメント、問題、およびタスクに優先順位を付けます。 | TPRM リスクアクティビティページ | TPRM 人の全ユーザー |
| 自分とグループのメンバーにアサインされたタスクにアクセスできます。 | TPRM タスクページ | TPRM 人の全ユーザー |
| TPRM で表示または操作できるすべてのアイテムにアクセスできます。 | TPRM リストページ | TPRM 人の全ユーザー |
| エンゲージメントページを使用して、サードパーティまたはエンゲージメントに関する現在のすべての情報やステータスにアクセスします。 | サードパーティの概要を取得 | すべての内部ユーザー |
| 他のシステム (Aravo プラットフォーム、ProcessUnity プラットフォームなど) から既存のデータ (サードパーティ、エンゲージメント、アセスメント、アンケート、問題など) をインポートします。データのインポートに対して課金されることはありません。 | 他のシステムからの既存データのインポート | TPR マネージャーと TPR アドミニストレーター |
| デューデリジェンス要求のワークフロー内のすべてのプロセス (IRQ、外部デューデリジェンス、承認、契約リスク、クローズ済みの要求) で作業できます。 | デューデリジェンス要求プロセスの監視 | TPR マネージャーと TPR アドミニストレーター |
| サードパーティポータルをサードパーティとリスク査定人がやり取りする主要なポイントとして使用します。 | サードパーティポータルの管理 | TPR マネージャー、TPR 査定人、およびサードパーティ |
TPRM で使用される用語の詳細については、「用語」を参照してください。
詳細情報
サードパーティリスク管理を構成して使用する方法の詳細については、以下を参照してください。