サードパーティ・リスク管理(TPRM)

TPRMはなぜ重要なのか?

ほとんどの企業は、自社で担当する領域と委託先に依頼する領域に分け、ハイブリッドで運営されています。変化の激しいITの分野では、ハードウェア、アプリケーション、それらを運用する人材などますますサードパーティへの依存度が増しています。

こうした委託先に内在するリスクは、委託元である企業にとってもビジネスを行う上でのリスクであり、それらを正しく管理しなければ、法規制への違反、損害賠償などの訴訟、企業に対する社会的信用の失墜につながる恐れがあります。

TPRMに必要な3つの機能

Arhcer サードパーティガバナンス

Archer サードパーティリスク管理

機能紹介

サードパーティ カタログ

企業は、サードパーティに関連して自社にもたらされるリスクに対しても適切に管理・対応する仕組みを構築する必要があります。そのためには、自社で契約している委託先事業者のリストと、それらの各事業者がどのようなリスク管理、およびそのためのガバナンスの仕組み・手順を実施しているのかについて理解する必要があります。

Archer Third Party Catalog を利用すれば、すべてのサードパーティとの関係、エンゲージメント、関連する契約、および各サードパーティとのやりとりを担当する自社の事業部門と責任者をカタログ化しドキュメント化することが可能です。

サードパーティ リスク管理

Third Party Risk Management は、サードパーティ向けにあらかじめ用意された一連のリスク評価アンケートが用意されており、サードパーティの統制を評価し、さらに分析するために関連するエビデンス文書の収集をサポートしてくれます。アンケート(質問票)の結果は、サードパーティが提供する各業務の残存リスクの判定に反映されます。

残留リスクは、コンプライアンス/訴訟、財務、情報セキュリティ、レピュテーション、回復力、戦略的リスク、持続可能性、再委託先(委託先の委託先やその先の委託先まで)のリスクといった複数のリスクカテゴリーにわたって評価されます。固有(内在)リスクと残留リスクのレベルは、エンゲージメントごとに算出され、関連するサードパーティレベルで集計することで、ベンダー組織単位で総合的なリスクを表示、把握することが可能です。リスク評価の所見は自動的に生成され、例外要求または改善計画として課題管理ワークフローで管理することが可能です。

サードパーティ 契約事項

Third Party Engagement は、サードパーティが組織に提供している製品やサービスをカタログ化します。また、製品やサービスのエンゲージメントを、そのサポート対象であるビジネス・プロセスやビジネス・ユニットに関連付けることで、各サードパーティに対する依存度を全体的に把握することができます。

エンゲージメントの透明性・説明責任を確保し、複数のリスクカテゴリーにわたる固有のリスクアセスメントを実施し、各サプライヤーの保険のカタログを作成して妥当性および各サードパーティーの財務的実行可能性(Financial Feasibility)を評価し、すべてのエンゲージメント単位のリスクをその上位の製品やサービスを提供するサードパーティーレベルで集計することが可能です。これにより、組織は、各サードパーティ別にそれぞれの固有のリスクを把握することができます。

サードパーティ ガバナンス

Third Party Governance は、サプライヤーのエンゲージメント・パフォーマンスをモニタリングします。評価指標は、品質、イノベーション、パフォーマンス、リレーションシップの4つのカテゴリーで設定可能です。

各業務ごとに評価指標を作成し、サードパーティレベルまで集約することで、すべての製品またはサービスの業務におけるパフォーマンスを測定し、サードパーティに対して改善を促すよう働きかけることができます。

Third Party Security Risk Monitoring

サードパーティの多くは、セキュリティ義務を含む正式な契約関係を結んでいますが、そうでないサードパーティもあります。サードパーティが別の委託先に委託している場合もあります。サードパーティとの関係に伴うリスクを許容範囲内で管理するためには、サードパーティに内在するリスクを理解することは重要です。

Third Party Security Risk Monitoring は、透明性の高いセキュリティ測定、分析、アナリストレベルの洞察を提供し、サードパーティの情報セキュリティ・リスク管理プログラムを劇的に改善します。人工知能(AI)を使用して、さまざまなサードパーティのIT資産のリスク態勢を自動的に評価し、サードパーティが情報セキュリティをどの程度管理しているかを把握します。

Third Party Security Risk Monitoringは、スタンドアローンのソリューションとしても有効ですが、Archerの提供するほかの機能とセットで導入することで、より広範なITおよびサード・パーティのリスク管理プログラムを実施するための基盤として機能します。

Archer サードパーティ ガバナンスソリューションの詳細は、こちらからお問い合わせください。