サードパーティリスクデューデリジェンスを要求する

  • リリースバージョン: Yokohama
  • 更新日 2025年01月30日
  • 所要時間:4分

    • サードパーティ、エンゲージメント、または第 4 の関係者とのやり取りのリスクレベルを判断するために、サードパーティリスク管理 を使用してサードパーティリスクデューデリジェンスを要求します。デューデリジェンスを実施して関連するリスクを認識し、情報に基づいた意思決定を行い、適切なコントロールを確立し、外部関係者と協力する際の潜在的な悪影響を軽減できるようにします。

    組織の従業員であれば誰でも、エンゲージメントに関する事業関係リスクの調査や精査であるデューデリジェンスを要求できます。
    • エンゲージメントは、組織をリスクにさらす可能性があるサードパーティと形成する予定の非公式または契約上の関係です。エンゲージメントでは、サードパーティが提供するサービスや製品、および関係のその他の詳細について概要を説明します。
    • サードパーティとは、ユーザーとやり取りしたり、ビジネス関係を結んだりした組織または個人のことです。サードパーティは、子会社を持つことができ、第 4 の関係者と契約することができます。たとえば、部門は子会社です。
    • 第 4 の関係者は、さらに別の関係者と契約することができます。第 4 の関係者から第 n の関係者までのすべての下流関係者は、サードパーティと同じ方法でリスクを負います。

    これらのセクションで使用される用語、またはデューデリジェンスを実施する理由の詳細については、「 用語 」および「 デューデリジェンスを実施する理由」を参照してください。

    次のインフォグラフィックは、デューデリジェンス要求プロセスを示しています。


    デューデリジェンスワークフローのデューデリジェンス要求プロセスを示すインフォグラフィック。テキストの説明については、以下のプロセスの手順を参照してください。
    デューデリジェンス要求プロセスのステップは次のとおりです。
    1. 組織の従業員がサードパーティエンゲージメントのデューデリジェンスを要求します。
    2. 要求を行った従業員にメール通知が送信されます。
    3. デューデリジェンス要求アサイン先グループにメール通知が送信されます。
    4. グループのメンバーは、サードパーティリスク (TPR) マネージャー [sn_vdr_risk_asmt.vendor_risk_manager] または TPR 査定人 [sn_vdr_risk_asmt.vendor_assessor] を要求のオーナーとしてアサインできます。
    5. デューデリジェンス要求のアサインされたオーナーにメール通知が送信されます。
    6. TPR マネージャーは、エンゲージメントのデューデリジェンスの要求をレビューして承認します。要求者から提供された情報が不十分であった場合、または組織でエンゲージメントが不可能な場合、TPR マネージャーはその要求を却下します。
    7. IRQ プロセスは、TPR マネージャーがデューデリジェンスの要求を承認した後に開始されます。

    デューデリジェンス要求の作成または監視の詳細については、「 サードパーティエンゲージメントのデューデリジェンス要求デューデリジェンス要求プロセスの監視」を参照してください。

    デューデリジェンス要求を作成する場合、次のオプションを使用できます。

    • 新しいエンゲージメントのオンボーディング 既存のサードパーティとの新しいエンゲージメントのためのオンボーディングプロセスを開始します。 このタイプのオンボーディングの詳細については、「例 - サードパーティのオンボーディング」を参照してください 。
    • 既存エンゲージメントの再評価 条件が変化したときに既存のエンゲージメントを再評価します。たとえば、不利なニュースを聞いたり、サードパーティの供給ラインに変更があった場合などです。追加のデューデリジェンスを実施して、リスクを再評価する必要があるかもしれません。
    • 契約更新の既存のエンゲージメントの再評価 組織が現在のサードパーティとの契約やエンゲージメントを更新する前に、デューデリジェンスを実施してリスクを再評価します。
    • エンゲージメントのオフボーディング (デューデリジェンスあり) デューデリジェンスを実施して、エンゲージメントを伴う退職 (関係終了) が最適なアクションであるかどうかを判断します。たとえば、サードパーティやエンゲージメントの現在のパフォーマンスが期待に満たないとしても、それを変更するのはリスクが高すぎる可能性があります。

      酌量すべき状況が決定に寄与する可能性があります。たとえば、サードパーティが入手困難な資料を調達している場合、プロバイダーの切り替えにはコストがかかり、追加のリスクが発生する可能性があります。このような場合、中断の可能性とより高いリスクを軽減するために、長期的な関係が存在する既存のサードパーティとの契約を継続することが望ましい場合があります。

    • エンゲージメントのオフボーディング (デューデリジェンスなし) エンゲージメントが終了した場合、または他の理由で別のサードパーティに切り替えたい場合は、エンゲージメントを完全に終了するように要求します。この場合、通常は追加のデューデリジェンスを実施する必要はありません。ただし、このプロセスには、エンゲージメントによって提供されるサービスが継続されないことを確認するための通常の固有のリスクに関するアンケート (IRQ) プロセスが含まれます。 このタイプのオフボーディングの詳細については、「エンゲージメントのオフボーディング (デューデリジェンスなし) 」を参照してください。
    デューデリジェンス要求ごとに、テキスト「DDR」で始まる一意の ID 番号がシステムによって自動的に割り当てられます。この ID を使用して要求を追跡します。レビュー担当者にメッセージを投稿し、ページから添付ファイルを追加できます。

    次の例は、新しいデューデリジェンス要求がどのように表示されるかを示しています。

    図 : 1. デューデリジェンス要求の追跡例
    従業員サービスセンター (ESC) の [アクティビティ] タブからのデューデリジェンス要求ビュー。

    デューデリジェンスワークフロー全体を構成するさまざまなプロセスの詳細については、「 デューデリジェンスワークフローサードパーティリスクのアセスメント」を参照してください。