サードパーティリスク管理の詳細

  • リリースバージョン: Yokohama
  • 更新日 2025年01月30日
  • 所要時間:13分

    • サードパーティリスク管理 アプリケーションは、サードパーティリスク管理プログラムのプロセス、調達資料、責任者、およびメソッドを一元化して標準化します。サードパーティのポートフォリオを管理し、サードパーティに関して発生する問題を特定、追跡、軽減することで、業務を改善できます。

    サードパーティリスク管理 の概要

    組織の資産、評判、および運用を保護するために、サードパーティリスク管理プログラムは、外部関係者に関連するリスクを特定、評価、および軽減する必要があります。TPRM アプリケーションは、アウトソーシングプロバイダー、パートナー、およびサプライヤーがビジネスの中断やビジネスパフォーマンスへの悪影響を発生させるのを防ぐのに役立ちます。TPRM アプリケーションを使用することで、自動化によってリスクアセスメントプロセスの手作業による負担とコストを削減できます。

    TPRM は、すべてのサードパーティリスク情報を 1 つの環境にまとめます。

    次の主要な機能により、より効果的なリスクアセスメントを行うことができます。
    • オンボーディング、オフボーディング、更新、および追加のデューデリジェンスワークフロー
    • アセスメント管理
    • 継続的なリスク監視
    • リスクパフォーマンス管理

    サードパーティリスク管理 ユーザー

    表 : 1. ユーザー
    ユーザー 説明
    デューデリジェンス要求者 要求者は、エンゲージメントのオンボーディング、再評価、または退職に関心のある組織の従業員であれば誰でもかまいません。

    デューデリジェンス要求のさまざまなタイプの詳細については、「 サードパーティリスクデューデリジェンスを要求する」を参照してください。
    TPRM 査定 TPRM 査定人はリスクマネージャーのチームのメンバーであり、デューデリジェンスプロセスを通じて収集された情報をレビューすることで、潜在的なエンゲージメントのリスクの軽減を支援します。エンゲージメントに関する専門知識に基づいて、デューデリジェンス要求の所有者としてアサインされる可能性があります。
    さまざまなタイプの査定人の例と、それらが TPRMのデューデリジェンスプロセスにどのように影響するかを以下に示します。

    • コンプライアンスリスク査定人:エンゲージメントが業界標準、法的要件、および契約上の義務に準拠していることを確認します。コンプライアンスを確保するために、エンゲージメントのプロセスとアクティビティを定期的にレビューします。

    • サイバーセキュリティリスク査定人:データ侵害やサイバー脅威から保護するためのサイバーセキュリティプラクティスとエンゲージメントのインフラストラクチャを評価します。彼らは定期的にエンゲージメントのセキュリティ対策をレビューし、必要な強化を提案します。

    • オペレーショナルリスク査定人:事業継続性、サプライチェーンロジスティクス、サービス品質などの側面に焦点を当てて、エンゲージメントの既存の運用プラクティスを分析します。エンゲージメントの運用プラクティスを定期的にレビューして、組織の基準に沿っていることを確認し、潜在的な中断に備えて適切な不測の事態が実施されていることを確認します。
    TPRM 承認

    TPRM 承認者は通常、組織内の上級メンバーです。デューデリジェンス結果の最終レビューと承認を担当します。エンゲージメントのオンボーディング、継続、オフボーディングのいずれを含むかにかかわらず、サードパーティエンゲージメントを進める前に、すべてのリスク管理要件が十分に対処されていることを確認するのに役立ちます。

    さまざまなタイプの承認者の例を次に示します。

    • シニアリスクマネージャー:リスク管理戦略と組織の目標との整合性を監督します。
    • 最高コンプライアンス責任者:会社が法的基準と内部ポリシーを遵守する責任があります。
    • 法務担当役員:すべての契約上および規制上の要件が満たされていることを確認する法務チームの上級メンバー。
    契約交渉者 契約交渉担当者は、組織と潜在的なエンゲージメントとの間の契約を調整し、最終決定します。デューデリジェンスプロセスを通じて収集されたすべての情報を使用して、すべての契約に戦略的利益が反映され、リスク管理プロトコルに準拠していることを確認します。
    リスクマネージャー リスクマネージャーは、サードパーティとエンゲージメントの徹底的なリスクアセスメントを主導します。リスクマネージャーとそのチームによって収集およびレビューされた情報に基づいて、リスクに優先順位を付け、軽減戦略を策定し、 TPRM を使用して進行中のサードパーティ関係を効果的に監視および管理します。
    TPRM アドミン アドミニストレーターは、ユーザーロール、権限、およびシステム設定を管理して、組織固有のリスク管理のニーズとコンプライアンス要件を満たす TPRM を設定します。

    TPRMのロールに関する詳細については、「サードパーティリスク管理 でのロール」を参照してください。

    サードパーティリスク管理 のワークフロー

    次のインフォグラフィックは、リスク管理に使用できる最も重要なプロセスのワークフローを示しています。


    デューデリジェンスワークフローのプロセスが実行される場所を示すインフォグラフィック。テキストの説明については、以下のワークフローの手順を参照してください。
    エンゲージメントのデューデリジェンスを要求する

    組織の従業員がサードパーティエンゲージメントのデューデリジェンスを要求します。デューデリジェンス要求は、サードパーティリスク (TPR) マネージャー [sn_vdr_risk_asmt.vendor_risk_manager] によってレビューおよび承認されます。

    詳細については、「サードパーティリスクデューデリジェンスを要求する」を参照してください。
    固有のリスクに関するアンケート (IRQ) を含む内部リスクアセスメントを使用してリスクを評価します

    IRQ は、サードパーティまたはエンゲージメントに必要なデューデリジェンスをスコアリングし、範囲を設定する一連の質問です。デューデリジェンス要求のオーナーとしてアサインされた TPR マネージャーまたは TPR 査定人 [sn_vdr_risk_asmt.vendor_assessor] によってデューデリジェンス要求が承認された後、IRQ を選択して内部アセスメントに添付します。

    注:
    IRQ プロセスが IRQ 対応中ステータスになったら、デューデリジェンス要求に関連付けられたリスクインテリジェンスレポートを要求できます。詳細については、「リスクインテリジェンスレポートとスコアの使用」と「デューデリジェンス要求に関連付けられたリスクインテリジェンスレポートを要求する」を参照してください。

    詳細については、「サードパーティリスクのアセスメント」を参照してください。

    サードパーティ要素とそのエンティティの作成

    デューデリジェンス要求の IRQ プロセスが完了した後、TP 要素が必要な場合、TPR マネージャーまたはデューデリジェンス要求の所有者は [ 収集の開始 ] を選択し、収集タスクが作成されます。サードパーティ要素アンケートがエンゲージメント連絡先に送信されます。TPR マネージャーまたは所有者は、応答に基づいてサードパーティ要素レコードを手動で作成します。エンティティレコードは、要素ごとに自動的に生成されます。TPR マネージャーまたは所有者は、これらの要素をエンティティとして手動で追加します。

    詳細については、「サードパーティリスクのアセスメント」と「サードパーティ要素の監視」を参照してください。

    外部リスクアセスメントを使用してリスクを評価する
    IRQ プロセスまたは TP 要素収集プロセスが完了した後、TPR マネージャーまたは所有者は、サードパーティまたはエンゲージメントに送信するために外部アセスメントに添付する文書のアンケートと要求を選択します。アセスメントの作成の詳細については、「 外部リスクアセスメントを作成サードパーティのリスクアセスメントフォーム」を参照してください。

    このプロセスの詳細については、「 サードパーティリスクのアセスメントサードパーティ要素の監視」を参照してください。

    注:
    統合されたリスクインテリジェンスがある場合は、この時点で関連情報がプルされます。
    リスクインテリジェンスプロバイダーを使用してスコアを統合

    組織は、個人のクレジットスコアに類似したデータを返すプロバイダーからサービスを購入できます。スコアは、特定のサードパーティがどの程度信頼でき、安全であるかについてのインサイトを提供します。

    詳細については、「リスクインテリジェンスプロバイダーからのスコアの統合」を参照してください。

    リスクインテリジェンスレポートとスコアの要求

    TPR 査定人であり、デューデリジェンス要求の所有者であるか、TPR マネージャーロールを持っている場合は、 TPRM アプリケーションのリスクインテリジェンス要求フォームを使用して、サードパーティのスコアまたはレポートを要求できます。リスクインテリジェンスプロバイダーによってレポートとスコアが生成された後、これらのレポートへのリンクが配信され、そのリスクインテリジェンスレポートレコードに関連付けられます。統合されたリスクインテリジェンスがある場合は、この時点で関連情報がプルされます。詳細については、「リスクインテリジェンスレポートとスコアの使用」を参照してください。

    スコアと関連情報の表示

    収集された情報はスコアリングされ、デューデリジェンスプロセスの単一のビューに結合されて、すべてのスコア、完了したアンケート、問題、承認、およびコメントが表示されます。

    スコアリングの詳細については、「 サードパーティのリスク評価とリスクスコアリングの計算リスク評価とスコア計算の検証」を参照してください。アセスメントおよびアンケートレベルでスコアリングを構成する方法については、 アセスメントの構成 を参照してください。

    デューデリジェンス要求の承認

    すべての承認者は、承認を行う前にデューデリジェンスを確認し、詳細情報を確認できます。すべての承認者がデューデリジェンス要求を承認した後、契約を交渉しているユーザーがすべてのデューデリジェンス情報を利用できます。契約リスクプロセスは、契約が必要な場合にのみ適用されます。

    詳細については、「デューデリジェンスの要求の承認または却下」を参照してください。

    契約の交渉

    契約交渉者がすべてのスコアとアンケートの詳細情報を表示できます。追加のデューデリジェンスが必要な場合は、契約交渉者がそれを要求できます。契約交渉者がサードパーティとの契約を正常に履行した場合、契約をアップロードして契約が実行されることを指定できます。このアクションにより、すべての主要なステークホルダーに契約のステータスが自動的に通知されます。契約交渉担当者は、契約リスクプロセスをスキップしたり、デューデリジェンス要求を拒否したり、契約が実行されていないことやサードパーティがビジネスに関与していないことを指定したりすることもできます。

    注:
    サードパーティリスクマネージャーまたはオーナーがデューデリジェンスプロセス中に [ 契約リスクプロセスをスキップ ] オプションを選択した場合、アサインされた契約交渉担当者には通知されず、契約リスクプロセスのステータスはスキップされます。承認者とオーナーは、承認プロセスが完了するまで [契約リスクプロセスをスキップ] の選択を更新できます。このプロセスの詳細については、「デューデリジェンス要求プロセス管理」を参照してください。

    プロセスの詳細については、「契約リスクプロセスの管理」を参照してください。

    サードパーティリスクの監視
    TPR マネージャー、TPR 査定人、およびサードパーティアセスメントレビュー担当者 [sn_vdr_risk_asmt.vendor_assessment_reviewer] は、 ベンダー管理ワークスペースを使用してサードパーティのパフォーマンスを監視およびレビューできます。

    詳細については、「サードパーティリスクの監視」を参照してください。

    サードパーティポータルの管理

    TPR マネージャーは、ログインの作成、ロールのアサイン、サードパーティポータルを介したアンケートやタスクの進捗状況の追跡など、サードパーティの連絡先を管理できます。サードパーティの連絡先は、ポータルを使用してアセスメントへの回答、タスクの委任、およびそれらの情報の管理を行うことができます。また、回答に Microsoft Excel テンプレートまたは SIG Questionnaire を使用するオプションもあります。

    詳細については、「契約リスクプロセスの管理」を参照してください。

    TPRMデューデリジェンスワークフローの詳細については、「デューデリジェンスワークフロー」を参照してください。

    注:
    サードパーティリスク管理アプリケーションのバージョン 19.1.x 以降、階層アンケートと外部アセスメントリマインダーワークフローは廃止され、 ワークフロースタジオに移行されました。これらのワークフローをカスタマイズした場合、この変更の一部として廃止されたり移行されたりすることはありません。

    サードパーティリスク管理 のメリット

    次の表で サードパーティリスク管理アプリケーションの利点を紹介します。

    メリット 機能 ユーザー
    重要なリスク情報を表示し、アクションにすばやくアクセスします。 TPRM ホームページへ。 TPRM 人の全ユーザー
    デューデリジェンス管理レポートを使用して、責任の追跡、優先順位付け、および管理を行います。 TPRM デューデリジェンス管理レポート TPRM 人の全ユーザー
    サードパーティとの関係に関連付けられている潜在的なリスクを特定してアセスメントを行います。 TPRM リスクアクティビティページ TPRM 人の全ユーザー
    アクティブなサードパーティとエンゲージメントの地理的な場所が正確に示されます。フィルターを設定して、特定のリスク評価とエンゲージメントタイプを表示できます。 TPRM リスク集中マップ TPRM 人の全ユーザー
    注意が必要なアセスメント、問題、およびタスクに優先順位を付けます。 TPRM リスクアクティビティページ TPRM 人の全ユーザー
    自分とグループのメンバーにアサインされたタスクにアクセスできます。 TPRM タスクページ TPRM 人の全ユーザー
    TPRM で表示または操作できるすべてのアイテムにアクセスできます。 TPRM リストページ TPRM 人の全ユーザー
    エンゲージメントページを使用して、サードパーティまたはエンゲージメントに関する現在のすべての情報やステータスにアクセスします。 サードパーティの概要を取得 すべての内部ユーザー
    他のシステム (Aravo プラットフォーム、ProcessUnity プラットフォームなど) から既存のデータ (サードパーティ、エンゲージメント、アセスメント、アンケート、問題など) をインポートします。データのインポートに対して課金されることはありません。 他のシステムからの既存データのインポート TPR マネージャーと TPR アドミニストレーター
    デューデリジェンスリクエストのワークフロー内のすべてのプロセス (IRQ、外部デューデリジェンス、承認、契約リスク、クローズ済みの要求) で作業できます。 デューデリジェンス要求プロセスの監視 TPR マネージャーと TPR アドミニストレーター
    サードパーティポータルをサードパーティとリスク査定人がやり取りする主要なポイントとして使用します。 サードパーティポータルの管理 TPR マネージャー、TPR 査定人、およびサードパーティ

    TPRMで使用される用語の詳細については、「用語」を参照してください。

    次に探索する内容

    サードパーティリスク管理を構成して使用する方法の詳細については、以下を参照してください。