サードパーティリスク管理のデータモデル
サードパーティリスク管理 (TPRM) データモデルを使用して、リスク管理プログラムのリスクを評価、監視、および軽減します。
TPRM データモデルの概要
サードパーティリスク管理 アプリケーションは、ガバナンス、リスク、コンプライアンス 製品の 1 つです。次のモデルは、TPRM の機能をサポートするために使用されます。
サードパーティリスクアセスメントのデータモデルには、さまざまなコンポーネントと関係が含まれています。
コンポーネント:
- リスクインテリジェンススコア [sn_vdr_risk_asmt_security _score]
- 内部アセスメント [sn_vdr_asmt_internal_assessment]
- 階層アセスメント [sn_vdr_risk_asmt_vdr_tiering_assessment]
- イベント駆動型管理履歴 [sn_tprm_dd_rule_execution_history]
- サードパーティのデューデリジェンス要求 [sn_tprm_dd_request]
- 会社 [core_company]
- イベント駆動型管理ルール [sn_tprm_dd_generation_rule]
- サードパーティリスクアセスメント [sn_vdr_risk_asmt_assessment]
- サードパーティエンゲージメント [sn_vdr_risk_asmt_vendor_engagement]
- ベンダー連絡先 [vm_dr_contact]
- アセスメントメトリクスタイプ [asmt_metric_type]
- アセスメントテンプレート [sn_vdr_risk_asmt_assessment_template]
- サードパーティリスク問題 [sn_vdr_risk_asmt_issue]
- エンゲージメントリスクスコアリングルール [sn_vdr_risk_asmt_engagement_risk_scoring_rule]
- エンゲージメントレベルリスク評価 [sn_vdr_risk_asmt_engagement_level_rating]
- リスク [sn_risk_risk]
- コントロール [sn_compliance_control]
関係:
次の表に、TPRM データモデルのコンポーネントに必要なロールを示します。- サードパーティリスクアセスメントコンポーネントは、次のコンポーネントと 1 対多の関係を持つことができます。
- イベント駆動型管理履歴
- サードパーティのデューデリジェンス要求
- 会社
- サードパーティエンゲージメント
- サードパーティリスクの問題
- アセスメントテンプレート
- イベント駆動型管理履歴コンポーネントは、イベント駆動型管理ルールコンポーネントと多対 1 の関係を持つことができます。
- イベント駆動型管理ルールコンポーネントは、アセスメントメトリクスタイプコンポーネントおよびアセスメントテンプレートコンポーネントと 1 対多の関係を持つことができます。
- サードパーティエンゲージメントコンポーネントは、次のコンポーネントと 1 対多の関係を持つことができます。
- 会社
- エンゲージメントリスクスコアリングルール
- サードパーティリスクの問題
- サードパーティエンゲージメントコンポーネントは、ベンダー連絡先コンポーネントと多対多の関係を持つことができます。
- ベンダー連絡先コンポーネントは、会社およびサードパーティリスク問題コンポーネントと 1 対多の関係を持つことができます。
- エンゲージメントレベルリスク評価コンポーネントは、サードパーティエンゲージメントコンポーネントと 1 対多の関係を持つことができます。
- サードパーティエンゲージメントコンポーネントは、リスクおよびコントロールコンポーネントに関連しています。
- リスクインテリジェンススコアコンポーネントは、サードパーティのデューデリジェンスコンポーネントに関連しています。
- 階層アセスメントコンポーネントは、次のコンポーネントと 1 対多の関係を持つことができます。
- サードパーティデューデリジェンス
- サードパーティエンゲージメント
- 会社
- 階層アセスメントコンポーネントは、アセスメントメトリクスタイプコンポーネントと多対多の関係を持つことができます。
- サードパーティのデューデリジェンスコンポーネントは、次のコンポーネントと 1 対多の関係を持つことができます。
- イベント駆動型管理履歴
- サードパーティのリスクアセスメント
- 会社
- 次のコンポーネントは、リスクデューデリジェンスに関連しています。
- イベント駆動型管理ルール
- イベント駆動型管理履歴
- サードパーティリスクデューデリジェンス要求
- 次のコンポーネントは、サードパーティ管理に関連しています。
- リスクインテリジェンススコア
- 内部アセスメント
- 階層アセスメント
- サードパーティのリスクアセスメント
- サードパーティエンゲージメント
- アセスメントテンプレート
- サードパーティリスクの問題
- エンゲージメントリスクスコアリングルール
- エンゲージメントレベルリスク評価
- 内部アセスメントコンポーネントは、階層アセスメントコンポーネントの拡張です。
- コントロールコンポーネントは ポリシーとコンプライアンス管理 に関連しています。
- リスクコンポーネントは リスク管理に関連しています。
- 次のコンポーネントはグローバルです。
- ベンダー連絡先
- 会社
- アセスメントメトリクスタイプ
| ロール | 説明 |
|---|---|
| sn_vdr_risk_asmt.approver | サードパーティリスク管理プロセスでデューデリジェンス要求を承認します。 |
| sn_vdr_risk_asmt.contract_negotiator | オンボーディングプロセスの契約リスクプロセスステージで作業します。 |
| sn_vdr_risk_asmt.vendor_assessment_reviewer | アセスメントを編集します。 |
| sn_vdr_risk_asmt.vendor_assessor | サードパーティ、サードパーティの連絡先、サードパーティのリスクアセスメント、および問題を管理し、サードパーティリスクアセスメントの要求を完了します。 |
| sn_vdr_risk_asmt.vendor_risk_admin | すべてのベンダーリスク管理データとアセスメントメトリクスタイプを完全にコントロールできます。 |
| sn_vdr_risk_asmt.vendor_risk_manager | サードパーティ、サードパーティ連絡先、サードパーティアセスメントテンプレート、アンケートテンプレート、ドキュメント要求テンプレート、およびスケジュール設定済みアセスメントを管理します。 |
ロールに関する詳細については、「サードパーティリスク管理 でのロール」を参照してください。
コアコンポーネント
TPRM は、アセスメントを送信し、受け取った回答からスコアを計算することに基づいています。
次のコアコンポーネントを使用して、アセスメントを実行できます。
- サードパーティのリスクアセスメント
- サードパーティエンゲージメント
- サードパーティデューデリジェンス
- スコアリングセットアップ
- リスクインテリジェンス
次の図は、TPRM データモデルのサードパーティリスクアセスメントの主なテーブルとフローを示しています。
サードパーティリスクアセスメントのデータモデルを構成するコンポーネントと関係は次のとおりです。
コンポーネント:
- 内部アセスメント [sn_vdr_risk_asmt_internal_assessment]
- 階層アセスメント [sn_vdr_risk_asmt_vdr_tiering_assessment]
- 外部アセスメント [sn_vdr_risk_asmt_internal_assessment]
- アセスメントテンプレート [sn_vdr_risk_asmt_template]
- アンケートテンプレート [asmt_metric_type]
- アンケートインスタンス [asmt_assessment_instance]
- カテゴリ [asmt_metric_category]
- メトリクス [asmt_metric]
関係:
- メトリクスコンポーネントは、カテゴリコンポーネントと多対 1 の関係を持つことができます。
- カテゴリコンポーネントは、アンケートコンポーネントと多対 1 の関係を持つことができます。
- アンケートテンプレートコンポーネントは、次のコンポーネントと多対 1 の関係を持つことができます。
- アセスメントテンプレート
- 階層アセスメント
- 外部アセスメント
- アンケートインスタンスコンポーネントは、次のコンポーネントと多対 1 の関係を持つことができます。
- 外部アセスメント
- 階層アセスメント
- アセスメントテンプレートコンポーネントは、次のコンポーネントと 1 対多の関係を持つことができます。
- 階層アセスメント
- 外部アセスメント
- 内部アセスメントコンポーネントは、階層アセスメントコンポーネントの拡張です。
- 内部アセスメントコンポーネントは、リスクデューデリジェンスに関連しています。
- 次のコンポーネントは、サードパーティ管理に関連しています。
- 階層アセスメント
- 外部アセスメント
- アセスメントテンプレート
- 次のコンポーネントはグローバルです。
- アンケートテンプレート
- カテゴリ
- メトリクス
- アンケートインスタンス
アセスメントの詳細については、「サードパーティリスクのアセスメント」を参照してください。
次の図は、TPRM データモデルのデューデリジェンスに使用される主なテーブルとフローを示しています。
デューデリジェンスデータモデルを構成するコンポーネントと関係は次のとおりです。
コンポーネント:
- サードパーティ [core_company]
- エンゲージメント [sn_vdr_risk_asmt_vendor_engagement]
- デューデリジェンス [sn_tprm_dd_request]
- 問題 [sn_vdr_risk_asmt_issue]
- タスク [sn_vdr_risk_asmt_task]
- ベンダー連絡先 [vm_vdr_contact]
- リスクインテリジェンススコア [sn_vdr_risk_asmt_security_score]
- 外部アセスメント [sn_vdr_risk_asmt_internal_assessment]
- 階層アセスメント [sn_vdr_risk_asmt_vdr_tiering_assessment]
- 内部アセスメント [sn_vdr_risk_asmt_vdr_internal_assessment]
関係:
- サードパーティコンポーネントは、子会社と 1 対多の関係にあります。
- サードパーティコンポーネントは、次のコンポーネントと 1 対多の関係にあります。
- ベンダー連絡先
- 内部アセスメント
- 外部アセスメント
- 階層アセスメント
- リスクインテリジェンススコア
- 問題
- タスク
- デューデリジェンスコンポーネントは、次のコンポーネントと 1 対多の関係にあります。
- ベンダー連絡先
- 内部アセスメント
- 階層アセスメント
- リスクインテリジェンススコア
- エンゲージメントコンポーネントは、次のコンポーネントと 1 対多の関係にあります。
- ベンダー連絡先
- 内部アセスメント
- 外部アセスメント
- 階層アセスメント
- 問題
- タスク
- サードパーティコンポーネントは、デューデリジェンスコンポーネントに関連しています。
- エンゲージメントコンポーネントは、デューデリジェンスコンポーネントに関連しています。
- 外部アセスメントコンポーネントは、デューデリジェンスコンポーネントに関連しています。
- 内部アセスメントコンポーネントは、階層アセスメントコンポーネントの拡張です。
- 次のコンポーネントは、リスクデューデリジェンスに関連しています。
- デューデリジェンス
- 内部アセスメント
- 次のコンポーネントは、サードパーティ管理に関連しています。
- エンゲージメント
- 問題
- タスク
- リスクインテリジェンススコア
- 外部アセスメント
- 階層アセスメント
- 次のコンポーネントはグローバルです。
- サードパーティ
- ベンダー連絡先
次の図は、デューデリジェンスワークフローの一部である必要なロール、プロセス、および選択肢を示しています。
デューデリジェンスワークフローの詳細については、「デューデリジェンスワークフロー」を参照してください。
次の図は、TPRM データモデルのスコアリングに使用される主なテーブルを示しています。
ここでは、スコアリングデータモデルを構成するコンポーネントと関係を示します。
コンポーネント:
- サードパーティ [core_company]
- サードパーティリスクスコアリングルール [sn_vdr_risk_asmt_vendor_risk_scoring _rule]
- コンポーネント基準 [sn_vdr_risk_asmt_component_criteria]
- コンポーネント [sn_vdr_risk_asmt_component]
- エンゲージメント [sn_vdr_risk_asmt_vendor_engagement]
- エンゲージメントリスクスコアリングルール [sn_vdr_risk_asmt_engagement_risk_scoring_rule]
- リスク領域基準 [sn_vdr_risk_asmt_risk_area_criteria]
- リスクドメイン [sn_vdr_risk_asmt_risk_area_definition]
関係:
- リスク領域基準コンポーネントは、リスクドメインコンポーネントと 1 対多の関係にあります。
- リスク領域基準コンポーネントは、エンゲージメントリスクスコアリングルールコンポーネントおよびサードパーティリスクスコアリングルールコンポーネントと 1 対 1 の関係にあります。
- エンゲージメントリスクスコアリングルールは、エンゲージメントコンポーネントと 1 対多の関係にあります。
- コンポーネント基準は、コンポーネントと 1 対多の関係にあります。
- コンポーネント基準は、サードパーティリスクスコアリングルールコンポーネントと 1 対 1 の関係にあります。
- サードパーティリスクスコアリングルールコンポーネントは、サードパーティコンポーネントと 1 対多の関係にあります。
- これらのコンポーネントはすべてサードパーティ管理に関連しています。
TPRM のスコアリングセットアップを使用して、外部リスクアセスメントのスコアをエンゲージメントとサードパーティに集計する方法を設定します。基準テーブルには、複数のレコードのスコア (最小、最大、平均) または複数のテーブルのスコア (各テーブルの重み付け) の集計に関連する情報が含まれています。スコアリングルールを使用して、サードパーティまたはエンゲージメントをグループ化し、基準をアサインします。これらのテーブルのすべてのレコードは、カスタマイズせずに構成できます。
スコアリングの詳細については、「サードパーティのリスク評価とリスクスコアリングの計算」を参照してください。
次のモデル図は、TPRM データモデルのリスクインテリジェンスに使用される主なテーブルを示しています。
リスクインテリジェンスデータモデルを構成するコンポーネントと関係は次のとおりです。
コンポーネント:
- サードパーティ [core_company]
- プロバイダーサービス [sn_vdr_risk_asmt_tpss_provider]
- リスクインテリジェンススコア [sn_vdr_risk_asmt_security_score]
- スコアサブファクター [sn_vdr_risk_asmt_tpss_subfactor]
関係:
- リスクインテリジェンスプロバイダーコンポーネントは、プロバイダーサービスコンポーネントと 1 対多の関係にあります。
- プロバイダーサービスコンポーネントは、リスクインテリジェンススコアコンポーネントと 1 対多の関係にあります。
- リスクインテリジェンススコアコンポーネントは、スコアサブファクターコンポーネントと 1 対多の関係にあります。
- リスクインテリジェンススコアコンポーネントは、リスクインテリジェンスプロバイダーコンポーネントに関連しています。
- これらのコンポーネントはすべてサードパーティ管理に関連しています。
リスクインテリジェンスの詳細については、「リスクインテリジェンスレポート要求の管理」を参照してください。