サードパーティのリスクマネジメントを効果的に行うための 7 つのステップ

Galvanize

Galvanize

Galvanize

優れたサードパーティ リスクマネジメント (TPRM) は、ただのオンボーディング (登録) プロセスという枠をはるかに超えたプログラムです。組織はリスクを適切に管理したいと考えているのならはじめから終わりまで一連の TPRM ライフサイクルにしっかりと注力しなければなりません。

特に多大な時間と労力をかけて臨まなければならないのが、初期段階における取引業者評価と登録です。 ですが、サードパーティが認定取引業者リスト (AVL: approved vendor list) に載る頃には、皆が次のプロジェクトに移り、データ侵害やコンプライアンスの不遵守といったことが起きるまでその取引業者のことを思い出すことはないかもしれません。

Opus & Ponemon の調査によれば、組織は平均して 583 社のサードパーティと秘密情報や機微情報を共有しているとされています。つまるところ、非常に大きなリスクがあるのです。 そして、こうしたサードパーティを一覧ないしデータベースにまとめていると報告したのは調査に回答した組織のうち、たった 34% で、TPRM プログラムがとても有効だと評価したのは全体のわずか 35% でした。

では、組織はどのようにすれば、非常に有効な、適切に管理された TPRM プログラムを築けるのでしょうか。 また、どうすれば、利用している取引業者がもたらすリスクを低減できるのでしょうか。

登録から終了まで、一連の TPRM ライフサイクルの各段階で標準化されたプロセスを立て、テクノロジーを駆使することで、もっと効果的に取引業者リスクを管理できるようになります。 そこで、改善されたプロセスや専用のテクノロジーが確実に役立つ、7 つの領域をまとめましたので以下ご覧ください。

「取引業者を登録するときに、問題を見つけるのはよくあることです (それどころか、1 つも問題が見つからないようなことがあれば、それこそがリスクです)。」

TPRM ライフサイクルのプロセスとテクノロジー

1. 標準化され、かつ自動化された登録プロセスを策定する

初期段階における取引業者の要求や事前審査から必要な書類 (保険や証明書など) まで、通常の登録プロセスに従って手順を踏むことは、重要な要件を見逃さず、貴社と取引業者が協力を開始する用意が整っていることを確認する手立てです。 まず、そのプロセスを決めて、ソフトウェアを活用してワークフローの標準化をした方がよいでしょう。 フレームワークの定義について詳しくは、サードパーティのリスクマネジメントの概要についてまとめている当社のブログ記事をご覧ください。 ブログ記事はこちら

登録プロセスの一環として、(理想的には、ソフトウェア プラットフォーム上で) 取引業者の中央レポジトリを作成した方がよいでしょう。そうすることで、いつでも、取引業者が登録プロセス上のどこにいるかを確認できます。 そして最後は、事業部門や調達部門がシンプルなオンラインフォームで簡単に新規取引業者のリクエストを追加できる方法をプロセスに備えることです。 理想的には、新規取引業者リクエストが追加されたら自動的にその通知が届き、自動化された登録ワークフローを始めるツールを使うのが望ましいでしょう。

2. 取引業者ごとにプロファイルを作成する

取引業者ごとにリスク プロファイルを作成すると、取引業者との関係を明確に定義でき、提供される製品やサービス、そして貴社にどう重要な存在なのかを理解しやすくなります。 また、どういった物理的アクセスやシステム、データアクセスを取引業者に与えるかを定義することができます。

リスク プロファイルを作成して分類することで、取引業者に対して整合性の高い綿密な調査を行い、貴社が利用する取引業者集団を詳しく把握できるようになります。 プロファイルはまた、取引業者リスク プロファイルを完成させるために必要な、アンケートの種類と細かさを明確にします。 取引業者が異なれば、質問も異なるからです (具体的な例を挙げると、クラウドのプロバイダーは機微情報にアクセスすることがあるかもしれませんが、オフィスの清掃会社はありません)。

3. リスク・統制評価を用いる

取引業者がもたらすリスクを把握したら、適切な統制が導入され、そのリスクを管理できているか、そして効果的に運用できているかを確認する必要があります。 大規模なフレームワークでは、こうした統制はその一部を構成していることがあります。

わざわざ一から組み立て直す必要はありません。ベストプラクティスとされる業界の統制フレームワーク ( NIST、ISO、CSA など) に合わせて、自社の評価プロセスを肉付けすればいいのです。

4. 改善管理計画を用意しておく

取引業者を登録するときに、問題を見つけるのはよくあることです (それどころか、1 つも問題が見つからないようなことがあれば、それこそがリスクです)。ですから、登録プロセスを続けられるよう、問題に素早く対処し、改善する計画を用意することが重要なのです。 統制のギャップなのか、それともプロジェクトで特定された例外なのか、こうした判断を下すために、 ThirdPartyBond では、改善管理プロセスに 4 つのステップがあります。

  • 問題を記録する。できれば、ソフトウェアで自動的に作成する
  • アクション項目を記録して、フォローアップ対策を特定する
  • 対応を必要とする担当者にアクションの定期的なリマインダーを送信する
  • 問題を改善し、再テストする

改善活動は、手間や時間のかかるものである必要はないのです。 アクション項目がすべて完了するまで問題がクローズにならないようルールベースの自動化を用いることで、さらに容易にすることさえ可能です。

5. 契約を定期的に見直す

問題を解決したら、今後は契約に対する取引業者のパフォーマンスについて考えるとよいでしょう。 TPRM は一度設定したら後は放っておいてよいものではありません。定期的に契約を見直して、取引業者のパフォーマンスを監視し、契約更改や期間満了の時期が来る前に必要な対応をする必要があります。 管理の行き届いていない契約は、(前述のデータ侵害などのように) 高いリスクや収益損失の原因です。これでは手作業による契約管理方法と変わりません。

TPRM プログラムが、パフォーマンスの管理が重要度を占める成熟したレベルにあれば、業績評価指標 (KPI) の効果的なデータ収集、測定、監視について考えた方がよいでしょう。 適切なテクノロジーを導入していれば、不履行のリスクを監視し、積極的に評価できるようになります。 リアルタイムのデータを使ってベンダー リスクを評価する方法について詳しくまとめている当社のブログ記事をご覧ください。 ブログ記事はこちら

6. 継続的な取引業者の監視を義務付ける

定期的な確認を必要とするのは契約だけではありません。 1 年前に調査した (そしてそれ以降確認していない) サプライヤーのためにコンプライアンス違反の危険にさらされることがあれば、今日のサプライチェーンに混乱を生じさせることもあるのです。 継続的監視はさまざまな方法で達成できますが、一般的ないくつかの方法は次のとおりです。

  • 業者のリスク レベルに基づいて、フォローアップ評価のスケジューリングを自動化する。 リスクが低い業者は、3 年ごとに再評価を行うように計画します。重要な業者は四半期単位のレビューが必要になる場合もあります。
  • しきい値を飛び出るか、または関連イベントが検出された (関連するフォースパーティとの重大な事案が発覚したなど) 場合に、ルールベースの自動化を用いて評価を始める。
  • 業者のリスク評価 (例:信用評価、IT セキュリティ リスク評価) が大きく変化した、悪いニュースの報道があった、政府監視リストへの登録があった、取引業者に関する公の記録の提出があった場合に、継続的な監視アラートを提供できるサードパーティ インテリジェンス フィードを統合する。

7. 取引業者の登録プロセスを定義する

様々な理由により、取引業者との取引関係を終了することもあるかもしれませんが、ただ注文を止めるようといった簡単な話ではありません。 支払いを済ませたり、業者がデータにアクセスできないようにしたりといった、登録解除についても戦略を立てる必要があります。 登録プロセスと同様に、見逃す項目がないよう、登録解除プロセスもソフトウェアを通じて管理し、一部は (もしくはほぼすべて) 自動化することもできます。

サードパーティのリスクマネジメントの概要

規制要件、関係者の期待、組織の目標、リスクは時間とともに変化し続けます。 TPRM ライフサイクルに従い、変化に即座に適応できるソフトウェア ソリューションを導入することで、TPRM プロセス全体を誰にでも簡単なものにすることができます。

eBook:

サードパーティ リスクマネジメントの基本

本 eBook では次の点について検討します。

  • サードパーティ リスクマネジメントの基本。
  • TPRM と業者リスクマネジメントの違い。
  • 組織に最適なリスクマネジメント フレームワークを選定するプロセス。

eBook をダウンロード

関連記事

lang="en-US"