サードパーティ リスクと課題に対応する

Galvanize

これまで、サードパーティ リスクマネジメント(TPRM)は「調達」に重きを置き、契約の締結や会社関係の管理、四半期ごとのビジネスレビュー実施といったことをしていました。 ですが今日の組織は業者に頼ることでビジネスの主たる目標の達成や競争優位の構築を行っていることから、このようなアプローチではもはや意味を成しません。

サードパーティ起因のセキュリティ違反や法定の罰金、経済損失といった事案はますます増えています。 そうした事案は厳密には業者の責任なのですが、それでも利用する組織にも結局責任があるのです。 法的責任を「外注」して外部に責任を負ってもらうことはできませんから、TPRM プログラムはこうした高いリスクをも管理しなければなりません。

範疇が広がった TPRM プロセスを現状の調達機能に取り入れて、サードパーティのライフサイクル全体を監視し、プログラムの規模を大きくして新たな課題に対応できるようになるにはどうしたらいいでしょうか。実践的なアドバイスを以下にまとめてみました。

サードパーティ リスクを理解する

会社によっては、サプライヤーやメーカー、サービスプロバイダー、ビジネスパートナー、関係会社、仲介業者、販売業者、再販業者、代理店等を含め何千社という業者と契約を結んでいることもあります。 業者の登録やコンプライアンスの検証に実践しているプロセスがあっても、ふと出てくる不確定要素は数多く、時間が経つことで問題となり得る潜在的なリスクは見過ごしやすいのです。

サードパーティのリスクの種類は多岐にわたりますが、たとえば次のように分類できます。

  • コンプライアンス。データ保存といった規制要件がすべて、業者にも守られているか。
  • サイバーセキュリティ。業者のサイバーセキュリティプロトコルはどのくらい厳しいものか、また、違反に対して脆弱な状況に会社をさらすことはありそうか。
  • 評判。業者が法や規則に違反していないか、業者の過失により顧客データが紛失するようなことは起きていないか、物議を醸す声明等を出していないか。
  • 財政状況。業者が破産したり倒産したりする可能性はないか。

不明なリスクの例に、サイバーセキュリティを取り上げてみましょう。 会社が利用するサードパーティには IT 業者も含まれています。 ですがこの IT 分野だけをみても、 普通の会社でも会社のシステムに毎週アクセスする業者の数は平均して 182 社もあり、ある調査では、サードパーティ業者を利用したことが原因でセキュリティ違反に遭ったと考えている会社が 58% もいます。 会社組織は往々にして自社の IT リスクがよく見えていません。 およそ 57% の会社が、データ不正を防止する自社の保護対策が十分か分からないと答え、データにアクセスするサードパーティ業者をすべて一覧にまとめているという会社にいたっては 34% しかいません。

不要なリスクを防止するためには、統制を管理してリアルタイムでリスクレベルを評価するという体系的アプローチを会社で策定しなければならないのは明らかです。

最適なサードパーティ リスクマネジメントを整える

サードパーティのリスク監視と管理には次のベストプラクティスを参考にしてみてください。

  • 地域、技術、信用リスクといった要因も含めて、サードパーティのあらゆるリスクを一覧にまとめる。 サードパーティのリスク要因をまとめて分析したら、今度はリスクごとにオペレーション上で起こり得る可能性を基に優先度をつけていきましょう。 データへのアクセスに必要とする権限の種別などのリスクレベル別に業者を分類し、その分類に応じたリスク管理調整を行うのも有効です。
  • リスク軽減計画を策定する。 リスクをまとめたら、主要リスク指標(KRI)を策定し、これをリスク軽減対策を行動に移す条件の基準にします。 そして、リスク軽減計画の策定や、これが必要になったときに実践する担当者が誰か、組織全体で関係者を特定しましょう。
  • 業者の登録・契約終了に係るプロセスを標準化し、自動化する。 新しい業者の登録やサービス満了時の契約終了手続きには、一つ一つのプロセスで守らなければならない厳格な一連の統制を確立してください。 具体的には、業者の契約やサイバーセキュリティプロトコル、インシデント対応計画、事業継続性計画、与信情報の再審査や見直しがあります。 こうした統制もできる限り自動化が求められます。そうすれば、実際に問題が浮上したときに迅速に通知を受けられます。
  • リスクマネジメント チームのメンバーが皆、同じデータにアクセスできるようにする。 サードパーティのデータすべてにアクセスでき、組織全体のリスク分析をリアルタイムで表示できる、一元管理された統合リスクマネジメント プラットフォームを利用するようにしましょう。 共同で利用できるプラットフォームを構築することで、チームメンバー全員が全体像を把握でき、同じメトリクスに基づいてリスクを測定できる環境を整えられます。
  • 既成コンテンツを活用してワークフローを自動化する。 導入するソリューションには、業界の一般的なケースに対して使用できる事前構築済みコンテンツが実装されていて当然です。このコンテンツを活用すれば、統制の設定と管理を行うワークフローを自動化できます。
  • アナリティクスを利用してシナリオを検証し、リアルタイムでリスクレベルを評価する。 導入するソリューションには、最新のリスク評価に使用するリアルタイムのデータ情報の統合や様々なシナリオの評価に役立つ各種アナリティクス ダッシュボードがあって当然です。 こうしたダッシュボード機能には、より迅速で効果的な意思決定に役立ててもらうため経営陣と共有できる直感的なレポートの生成能力も求められます。

トップクラスの統合リスクマネジメント ソリューションでサードパーティ リスクマネジメントの厳格なプロトコルを策定し導入することで、業者の分類から注意深く監視が必要な業者の特定まで一層簡単に行えるようになります。 さらには、迅速な問題の特定に役立つリアルタイムデータや、 コンプライアンスの取り組みを自動化する効率化されたワークフローにもアクセスできるようになります。

多くの場合、サードパーティは最も弱い関係にありますが、あらゆるリスクを注意深く分析し、問題や動向を迅速に特定する可視性を高めることで、統制を強化し、端から端まで組織のセキュリティを向上させられるでしょう。

eBook:

サードパーティ リスクマネジメントの基本

本 eBook では次の点について検討します。

  • サードパーティ リスクマネジメントの基本。
  • TPRM と業者リスクマネジメントの違い。
  • 組織に最適なリスクマネジメント フレームワークを選定するプロセス。

eBook をダウンロード

関連記事

lang="en-US"
X

Galvanize は Diligent になりました。

製品提供、研究、GRCリソースに関する最新情報を確実に入手するには、またはGalvanize製品にログインするには、 www.diligent.com

Diligentを開く ログイン