VRM と TPRM の違い

Galvanize

Galvanize

Galvanize

VRM(vendor risk management:業者リスクマネジメント)と TPRM(third-party risk management:サード パーティ リスクマネジメント)は、互いに言い換え可能な場合もありますが、同じものではありません。

よくある組織の実態と同様であれば、サードパーティに責任をアウトソーシングすることで、顧客に優れたサービスを行い、収益を上げ、コストを削減しています。 しかし、サードパーティが入るということは、多数のリスクを伴う可能性があり、組織に深刻な損害をもたらすおそれもあります。

業者リスクマネジメントとは何か

業者リスクマネジメント (VRM) とは、サードパーティの製品・サービスが財務、評判、規制、オペレーション、戦略の面で悪い影響を引き起こさないようにするため、組織が活用するプロセスのことを指しています。

VRM は、パートナー、サプライヤー、業者を綿密に調査し、特定の条件を満たしていることを確認することです。 これらの条件と各業者に対する期待が業者の契約書に詳述され、情報セキュリティや規制コンプライアンス要件などが含まれます。 たとえば、業者の監査を実施する頻度や、データにアクセスする全員に対するパスワードの複雑さの要件を指定できます。

「サードパーティや業者が規制、法律、行動規範、その他組織内部のポリシーに違反すると、そのサードパーティを利用している会社組織が代償を払うことになります。」

サードパーティ リスクマネジメントとは何か

サードパーティ リスクマネジメント (TPRM) はもっと踏み込んで、すべての業者だけではなく、パートナー、政府機関、フランチャイズ、時間や資金を寄付する慈善事業など すべての個別のサードパーティが対象になります。 この場合、このような組織は、会社の機密データにアクセスしなければならい場合があります(例:政府の規制当局にコンプライアンスを実証するため)。ただし、多くの場合、誰がアクセスし、どのように使用しているのかを定義できず、監査ができない可能性も高くなります。

一般的に、TPRM は VRM から始まります。VRM は TPRM の基盤です。 まず VRM プログラムから始めます。組織が成長し、成熟するにつれ、サードパーティの数が増えたことで生じる特定の頻繁に異なるリスクに対処する必要性を特定することになります。

TPRM について詳しくは、当社 eBook サードパーティ リスクマネジメントの基本にまとめていますので是非ご覧ください。

業者が組織にもたらすリスク

業者の権限にまつわる業務には多大な労力がかかっています。だからこそ継続的かつ自動化された サードパーティ リスクマネジメントソリューションを導入することは得策なのです。 業者が、利用する組織にもたらす 3 つのリスクを事例と共に見てみましょう。

1. 規制リスク

サードパーティや業者が規制、法律、行動規範、その他組織内部のポリシーに違反すると、(それが偶然であれ意図的であれ)、そのサードパーティを利用している会社組織が代償を払うことになります。

  • 例: ある医療系の会社が、アプリ開発者を雇い、米国における医療保険の相互運用性と説明責任に関する法令 (HIPAA: The Health Insurance Portability and Accountability Act) が定義する保護対象保健情報 (PHI: Protected Health Information) を含むアプリを制作しています。 このアプリ開発者はアプリが HIPAA に準拠するよう対処しておらず、雇い入れた会社は罰金を科せられることになりました。

2. オペレーショナル リスク

これには、データ侵害といった、会社の運営を混乱させてしまうおそれのある、あらゆるサードパーティ リスクが含まれます。 データ侵害によって 組織に発生するコストの平均額はおよそ 392 万ドルだと言われています。

  • 例: あるデパートは、カスタマーサービス ベンダーを利用してオンラインチャットサポートを提供しています。 このカスタマーサービス ベンダーがマルウェアでハッキングされ、クレジットカード情報やその他の個人データが漏洩してしまいました。

3. 評判リスク

かの有名な Warren Buffet は、「20年かけて築き上げた評判も、たった5分で台無しになる」と言っています。 傷つけられた評判は、ニュースやソーシャルメディアでいとも簡単に広まってしまうことでしょう。

  • 例: ある電子機器メーカーが、児童労働の法律に違反する工場に製品製造をアウトソーシングしており、これは罰金や悪い評判につながります。

長期的な VRM と TPRM

サードパーティが規則に従い、必要な配慮をしているといっても、常にそうであるとは限りません。 Gartner の調査でも、71% の調査回答企業が、自社で利用するサードパーティの数は 3 年前よりも規模が大きくなったと報告しており、さらに同じ割合の企業が今後 3 年間でこの数がもっと増えていくだろうと予想しています。

VRM または TPRM のどちらに集中したとしても、プログラムの継続的監視は不可欠です。 増え続けるリスクを上手く管理し、顧客や組織をそうしたリスクから守れる唯一の手段です。

Galvanize のサードパーティ リスクマネジメント機能について詳しくは こちらをご覧ください。

eBook:

サードパーティ リスクマネジメントの基本

本 eBook では次の点について検討します。

  • サードパーティ リスクマネジメントの基本。
  • TPRM と業者リスクマネジメントの違い。
  • 組織に最適なリスクマネジメント フレームワークを選定するプロセス。

eBook をダウンロード

関連記事

lang="en-US"