サードパーティリスクのアセスメント

  • リリースバージョン: Yokohama
  • 更新日 2025年01月30日
  • 所要時間:12分

    • サードパーティとの関係に関連する潜在的なリスクを特定し、アセスメントのために サードパーティリスク管理 を使用します。内部アンケート、外部アンケート、および文書の要求から収集された情報は、サードパーティのリスクプロファイルを理解し、適切なリスク軽減戦略を決定し、サードパーティまたはエンゲージメントが必要なすべてのコンプライアンス要件を満たしているかどうかを判断するのに役立ちます。

    アンケートへの回答

    次のプロセスは、内部および外部のアンケートに回答するタイミングと方法の概要を示しています。

    固有のリスクに関するアンケート (IRQ) プロセス

    次のインフォグラフィックは、IRQ プロセスを示しています。


    デューデリジェンスワークフローの IRQ プロセスを示すインフォグラフィック。テキストの説明については、以下のプロセスの手順を参照してください。
    IRQ プロセスの手順は次のとおりです。
    1. デューデリジェンス要求のオーナーとしてアサインされたサードパーティリスク (TPR) マネージャー [sn_vdr_risk_asmt.vendor_risk_manager] または TPR 査定人 [sn_vdr_risk_asmt.vendor_assessor] によってデューデリジェンス要求が承認された後、IRQ を選択して内部アセスメントに添付します。
    2. IRQ 査定人としてアサインされた従業員にメール通知が送信されます [snc_internal]。
    3. IRQ 査定人は、IRQ に応答することで内部リスクアセスメントを完了します。
    4. IRQ 査定人が回答を送信し、TPR マネージャーまたはオーナーが IRQ のレビューを行ってクローズした後、デューデリジェンス要求のステータスは [IRQ 対応中 (IRQ in progress)] から [IRQ レビュー中 (IRQ in review)] に更新されます。
    注:
    内部アセスメントの一部として送信した後は、アンケートテンプレートを変更しないでください。代わりに、コピーを作成してテンプレートを複製し、新しいコピーで変更を加えます。送信後にアンケートを更新すると、IRQ 査定人に表示されるバージョンに変更が反映されません。更新されたバージョンを送信するには、既存のアンケートを内部アセスメントから切り離してキャンセルし、更新されたテンプレートを使用してアンケートを追加する必要があります。詳細については、「アンケートや文書要求テンプレートを作成する」と「デザイナーを使用してアンケートや文書要求テンプレートを作成する」を参照してください。

    収集された情報に基づいて、TPR マネージャーとそのチームは、エンゲージメントに関連付けられている潜在的なリスクを評価します。財務の安定性、運用キャパシティ、品質基準への準拠、規制へのコンプライアンス、サードパーティのデリバリタイムラインを満たす能力などの要素を評価します。このアセスメントは、チームがサードパーティのリスクプロファイルを理解し、適切なリスク軽減戦略を決定するのに役立ちます。

    IRQ の詳細については、「IRQ に回答する」を参照してください 。

    サードパーティ (TP) 要素収集プロセス:TP 要素情報の収集

    次のインフォグラフィックは、TP 要素収集プロセスを示しています。


    デューデリジェンスワークフローでの TP 要素収集プロセスを示すインフォグラフィック。テキストの説明については、以下のプロセスの手順を参照してください。
    TP 要素収集プロセスのステップは次のとおりです。
    1. デューデリジェンス要求の IRQ プロセスが完了した後、TP 要素が必要な場合、TPR マネージャーまたはデューデリジェンス要求の所有者は [ 収集の開始 ] を選択し、収集タスクが作成されます。
    2. TPR マネージャーまたは所有者は、要素を収集するための外部アセスメントに TP 要素アンケートをアサインして、そのアセスメントをエンゲージメントに送信し、TP 要素に必要な情報を収集します。
    3. TP 要素アンケートがアサインされたサードパーティエンゲージメント連絡先にメール通知が送信されます。
    4. サードパーティエンゲージメント連絡先が回答を送信した後、TPR マネージャーまたは所有者は、アンケートで必要なすべての情報が提供されたことをレビューして確認します。
    5. TPR マネージャーまたは所有者は、次にサードパーティ要素のリストに移動し、各アンケートの回答セットごとにサードパーティ要素レコードを手動で作成します。

      詳細については、「サードパーティ要素レコードの作成」を参照してください。

    6. すべての TP 要素を作成した後、TPR マネージャーまたは所有者は、収集タスクのアセスメントをクローズします。要求のステータスが [収集中] から [収集中] に変更されます。
    7. 内部ステークホルダー (TPR 査定人、TPR 承認者、TPR マネージャー、または TPR アドミニストレーター) が要素レコードをレビューして承認します。

    これは、TP 要素を収集してエンゲージメントにアサインし、全体的なデューデリジェンスワークフローの一部として評価できるようにするためのオプションのプロセスです。TP 要素の詳細については、「サードパーティ要素の監視」を参照してください。

    デューデリジェンスプロセス:コンプライアンス検証

    次のインフォグラフィックは、デューデリジェンスプロセスを示しています。


    デューデリジェンスワークフローのデューデリジェンスプロセスを示すインフォグラフィック。テキストの説明については、以下のプロセスの手順を参照してください。
    デューデリジェンスプロセスのステップは次のとおりです。
    1. IRQ プロセスまたは TP 要素収集プロセスが完了した後、TPR マネージャーまたは所有者は、サードパーティまたはエンゲージメントに送信するために外部アセスメントに添付する文書のアンケートと要求を選択します。アセスメントの作成の詳細については、「 外部リスクアセスメントを作成サードパーティのリスクアセスメントフォーム」を参照してください。
      注:
      オプションの TP 要素収集プロセスが完了したら、作成した各サードパーティ要素のアセスメントの一部としてアンケートを選択し、アサインする必要があります。エンゲージメント連絡先が TP 要素のアンケートに回答します。
    2. 各アセスメントがアサインされたサードパーティ連絡先とエンゲージメント連絡先にメール通知が送信されます。
      注:
      外部アセスメントの一部として送信した後は、アンケートテンプレートを変更しないでください。代わりに、コピーを作成してテンプレートを複製し、新しいコピーで変更を加えます。送信後にアンケートを更新すると、サードパーティポータルに表示されるバージョンに変更が反映されません。更新されたバージョンを送信するには、既存のアンケートを外部アセスメントから関連付け解除してキャンセルし、更新されたテンプレートを使用してアンケートを追加する必要があります。詳細については、「アンケートや文書要求テンプレートを作成する」と「デザイナーを使用してアンケートや文書要求テンプレートを作成する」を参照してください。
    3. サードパーティ連絡先とエンゲージメント連絡先が回答を送信した後、TPR マネージャーまたは所有者は、アセスメントで必要なすべての情報が提供されたことをレビューして確認します。修正または追加情報が必要な場合は、問題とタスクが作成されます。
    4. TPR マネージャーまたは所有者が各アセスメントを承認してクローズします。

    TPR マネージャーは、このタイプのサードパーティに送信するアンケートと文書要求を決定するプロセスを簡素化および自動化するための アセスメントテンプレートを開発することができます。TPR アドミニストレーターはアンケートテンプレートまたはドキュメント要求テンプレートを定義し、TPR マネージャーはそれらをアセスメントテンプレートにグループ化することができます。組織は、テンプレートを再利用して、今後のアセスメントで類似するサードパーティにアンケートと文書要求を送信できます。テンプレートの詳細については、「 アセスメントテンプレートを作成する」、「 アンケートや文書要求テンプレートを作成する」、および「 デザイナーを使用してアンケートや文書要求テンプレートを作成する」を参照してください。

    TPR マネージャーとそのチームは、サードパーティの応答と内部分析を使用して、サードパーティが必要なすべてのコンプライアンス要件を満たしているかどうかを判断します。これらの要件には、環境規制、労働法、腐敗防止ポリシーなど、適用される法律および規制に対するサードパーティのコンプライアンスの検証などが含まれることがあります。

    注:
    サードパーティリスク査定人、マネージャー、または管理者は、サードパーティまたはエンゲージメントの代わりに質問に回答し、応答を変更し、外部アンケートを送信できます。詳細については、「サードパーティまたはエンゲージメントのためにアンケートに回答する」を参照してください。

    関連するアイテムの機密性が高いため、TPR マネージャーとそのチームは、サードパーティのデータセキュリティとプライバシーの慣行を評価します。サードパーティの情報セキュリティ対策、データ保護ポリシー、アクセス制御、および脆弱性管理プロセスを評価します。サードパーティが専有情報または顧客データにアクセスできる場合、サードパーティに対してサイバーセキュリティ監査を受けるか、データ保護対策の証拠を提供するように要求する場合があります。

    応答のレビューの詳細については、「外部アンケートの応答を確認する」を参照してください。
    注:
    TPR 査定人は、受信または返送されたアンケートを Microsoft Excel スプレッドシートにエクスポートできます。このオプションを使用すると、組織はスプレッドシート環境を使用して質問と回答を確認できます。アンケート回答のエクスポートの詳細については、「アンケート回答をスプレッドシートにエクスポートする」を参照してください 。

    アンケートに応答を事前入力

    TPR マネージャーまたは TPR 査定人は、サードパーティ、エンゲージメント、およびエンティティのアンケートに、同じサードパーティに関連付けられた完了したアンケートからの回答を事前に入力できます。アセスメントの送信後、アンケートには、元の関連付けられたアセスメントが完了したかどうかに関係なく、そのアンケートの最新の完了したバージョンからのすべての回答が事前に入力されます。これは、回答の一貫性を保つことが期待されるアンケートで、プロセスが迅速化され、サードパーティの連絡先が必要な場合にのみ回答を確認および更新できるようにするのに役立ちます。アセスメントの作成の詳細については、「 外部リスクアセスメントを作成」を参照してください。
    重要:
    TPR マネージャーまたは TPR 査定人がアセスメントにアンケートを追加すると、アンケートページでこのオプションを選択または選択解除することができます。アンケートがサードパーティに送信された後は、このオプションを変更できません。詳細については、「アンケートや文書要求テンプレートを作成する」と「アセスメントメトリクスタイプフォーム」を参照してください。

    サードパーティまたはエンゲージメントの連絡先が、事前に入力されたアンケートをサードパーティポータルで開くと、回答が以前のアンケートからコピーされたという通知を受け取ります。次の例に示すように、通知には、応答を提供したアセスメントへのリンクとその最終更新日が含まれています。

    応答が以前のアンケートからコピーされたことを知らせる通知。

    制限事項:
    • 添付ファイル、期間、署名の質問タイプなど、一部の質問タイプとその回答を事前に入力することはできません。これらの質問の回答は空白のままになり、以前の回答は含まれません。
    • 回答は、元のアセスメント (アセスメント A) から新しいアセスメント (アセスメント B) に 1 回コピーされます。このコピーは、アセスメント B がサードパーティまたはエンゲージメントに送信されたときに発生します。後でアセスメント A に加えた変更は、アセスメント B には反映されません。両方の評価は別々のままです。

    問題とタスク

    タスクと問題の両方を作成および管理するには、TPR 査定人 [sn_vdr_risk_asmt.vendor_assessor] ロールが必要です。

    TPR マネージャー、TPR 査定人、または契約交渉者は、チームメンバーまたはサードパーティ連絡先がアンケートの回答または要求された文書に関する懸念に確実に対応できるようにするためのタスクを作成できます。既存のタスクを管理して、アサインされたチームメンバーまたはサードパーティの連絡先がタスクに応答し、必要に応じてタスクを更新することを確認できます。問題の作成と管理の詳細については、「サードパーティまたはエンゲージメントにタスクを作成」および「サードパーティまたはエンゲージメントのタスク管理」を参照してください。

    TPR マネージャー、TPR 査定人、または契約交渉者は、サードパーティまたはエンゲージメントに関するチームの懸念が確実に解決されるよう、問題を作成できます。また、既存の問題を管理して、問題を理解し、適切な担当者と共有し、必要に応じて対処しているかを検証することもできます。タスクの作成と管理の詳細については、「サードパーティまたはエンゲージメントに問題を作成」と「問題を管理する」を参照してください。

    他のアセスメントアクション

    TPR マネージャー、デューデリジェンス要求の所有者、または契約交渉者は、エンゲージメントに影響を与える新しい情報が入手できたり、何らかの変更が生じたりしたため、アセスメントを再オープンしなければならない場合があります。詳細については、「デューデリジェンスを実施する理由」を参照してください。

    TPR マネージャー、デューデリジェンス要求の所有者、または契約交渉者がエンゲージメントからさらに多くの情報を収集する必要がある場合は、アセスメントを再オープンして次のアクションを実行することで、追加のアンケートまたは文書要求を送信できます。
    1. 該当する [DDR] 番号を選択して、[デューデリジェンス要求] レコードページに移動します。
    2. [サードパーティのリスクアセスメント (Third-party risk assessment)] タブで [VRA] 番号を選択して、関連するサードパーティのリスクアセスメントを表示します。
    3. [再オープン (Re-open)] を選択します。

    デューデリジェンス要求のステータスが [TPRM 承認準備完了 (Ready for TPRM approval)] から [デューデリジェンス] に更新されます。TPR マネージャー、所有者、または契約交渉者は、必要に応じてアンケートや文書要求を求めることができます。詳細については、「アセスメントの再オープン」を参照してください。

    TPR マネージャー、デューデリジェンス要求の所有者、または契約交渉者が、進行中のエンゲージメントのアセスメントを必要としない場合、またはエンゲージメントのオンボーディングや更新のために迅速にクローズする必要がある場合、次のアクションを実行してアセスメントをキャンセルできます。
    1. 該当する [DDR] 番号を選択して、[デューデリジェンス要求] レコードページに移動します。
    2. [サードパーティのリスクアセスメント (Third-party risk assessment)] タブで [VRA] 番号を選択して、関連するサードパーティのリスクアセスメントを表示します。
    3. [キャンセル] を選択します。
    1 つまたはすべてのアセスメントがキャンセルされた場合でも、デューデリジェンス要求は承認プロセスに進みます。