サードパーティによるよくわからないリスク管理を利用するということの意味

Galvanize

サードパーティのリスク管理は、あらゆる方向からの脅威と課題に見舞われる大きな責任を伴います。 わかっているのは危険だけです。 ですが、知らないものに不安を抱くよりも、どこでどうしたらその内容を把握できるかを考え、学習しましょう。

現代の組織では、サードパーティへの外部委託はほぼ避けることができません。 しかし、この便利さとコスト削減には多大な責任が伴います。 財務的な損害や評判への悪影響を引き起こすリスクを回避するには、ビジネスで提携している企業について一層警戒する必要があります。

Ponemon Institute が 2018 年に実施したデータ リスク調査によると、59% の企業がサードパーティのサプライヤーやパートナーが原因のデータ違反を経験しています。 さらに、22% の企業が過去 12 か月にサードパーティによるデータ違反を認識していなかったことを認めました。 では、監視から漏れている認識されていないリスクは何なのでしょうか。

その質問に答えるために、リスクが隠れているいくつかの理由と、隠れたリスクをリスクマネジメント プログラムで浮き彫りにする方法について説明します。

「多くのデータソースには価値がありますが、通常は使用されていません。このようなデータソースはサードパーティの不正行為を明るみに出します。」

「未知の未知」の起源

元米国 国防長官であったドナルド・ラムズフェルド氏 の情報報告の制限に関する見解を覚えているでしょうか。2002 年の記者会見で、ラムズフェルド氏は次のように述べています。 「既知の既知がある。 知っていることを知っていることがある。 さらに、既知の未知があることも知っている。 つまり、知らないことがあるということを知っている。 しかし、未知の未知もある。知らないことにさえ気付いていないということだ。」

では、不確実性を理解するにはどのようにすればよいのでしょうか。 知らないことを認識して受け入れるのです。

ラムズフェルド氏の舌を噛みそうなアプローチは、人生のさまざまなことに応用でき、サードパーティのリスクマネジメントについても当てはまります。近年、サードパーティのリスクマネジメントは、ますます不明瞭になっています。その理由は次のとおりです。

  • グローバル化。組織は本拠地から遠く離れたサプライヤーから調達するようになりました。 多数の新しいリスクの考慮事項。これは贈収賄防止および腐敗防止法から、政治的混乱が原因のサプライチェーンの中断の可能性にまで及びます。
  • モノのインターネット(IoT)や機械学習などの新しい技術。ほとんどの組織がこのような技術を十分に理解していません(まだ十分な規制も適用されていません)。
  • フィッシングからランサムウェアまで、 サイバー攻撃の増加
  • GDPR などの常に変更される規制。これは 2018 年に発効し、EU 市民の個人データを処理する組織のデータ プライバシー義務を規定しています。
  • フォースパーティのリスク。これはサードパーティがサードパーティに外部委託するということです。 これにより、懸案となるリスクがさらに増えます。

本当に効果的な TPRM プログラムを作るには、その枠にとらわれずに考える必要もあります。 まず、「未知の未知」に飛び込みます。

知らないことを知ります。

サードパーティのリスクを特定および管理する際の主な課題の 1 つは、ほとんどの組織が最初に「既知の既知」を管理する傾向があるということです。 これらは次のような項目です。

  • 業者マスター ファイル
  • サードパーティのオンボーディング要求
  • 買掛金ファイル
  • GRC プログラムによる TPRM

これらは重要ですが、本当に効果的な TPRM プログラムを作るには、その枠にとらわれずに考える必要もあります。 次に、「未知の未知」に飛び込んで、どのようにそれをすればよいのかを説明します。

1. 関係者を特定します。

組織全体で重要な関係者を見つけ、プログラムの継続的な成功をサポートするようにリストに登録します。 ビジネスのすべてのレベルで意識を高め、全員が適正な TPRM 手順を日常のプロセスに統合し始める必要があります。 (関係者の同意には、経営陣レベルの関与も不可欠です。)

これを行っている間は、従来の関係者ではない人も何人か含めます。 期待を転換し、異なる専門分野に引き入れることで、より豊かなリスクマネジメント文化を醸成します。 プロセスではなく、企業の目標や目的について質問します。かつて自分が考えたこともなかった人を参加させます。

2. 委員会を管理します。

CISO やサプライチェーン リーダーだけがこの取り組みに力を入れたとしても、的が外れています。 プログラムを推進する十分な精神力があるか。 信頼している人はこの取り組みを進めるうえで組織に十分な影響力があるか。 コンプライアンス担当者、プライバシー担当者、監査チームなどをまとめる委員会は、「既知の既知」を越えることができるか。

委員会を設立したら、コミュニティを見つけます。 業界グループと調整することで、考えやアイデアを同じような考えの人と共有し、より堅牢な TPRM ソリューションの構築を続けることができます。

3. 全体像に集中します。

盲点があることを認めるときです。 たとえば、ほとんどの組織は業者を近くで観察しすぎているため、ブローカー、パートナー、金融機関のリスクがわかりません。

次のように考えます。サードパーティが組織に及ぼすリスク事象とシナリオ(例:データ違反)を洗い出すタスクを委員会に与えます。 次に、これらのリスクを、リスクにさらす可能性があるサードパーティのタイプにマッピングします(例:給与会社)。 ブレーンストーミングとして、検討する新しい種類のリスクを提示することができます(例:正しい終了手続きが行われていない業者が自動顧客データ更新をまだ受信し続けている)。

この演習によって、TPRM プログラムの範囲を明確に定義できます。 ThirdPartyBond などのツールと併用している場合は、サードパーティ リスクマネジメント ライフサイクル全体をさらに深く見通すことができます。

4. 目前にあることを見逃さないようにします。

多くのデータソースには価値がありますが、通常は使用されていません。このようなデータソースはサードパーティの不正行為を明るみに出します。 利用できるデータを所有している関係者がいる場合は、委員会に関係者を呼びます。

  • 脅威および脆弱性管理
  • データ損失防止
  • ID とアクセス管理
  • セキュリティ インシデントとイベント管理

組織にある活用されていない情報源はまだたくさんあります。 それを発掘し始めると、以前には見逃していたデータにある知見に驚くかもしれません。

「既知」と「未知」、実際のサードパーティのリスクに関する詳細については、サードパーティ リスクマネジメントで Office Hours episode をご覧ください。Galvanize の上級プロダクト マネージャーのクリス・マーフィーを特集しています。

理解を高めるためのフレームワーク

直接的に管理していないリスクを含め、すべてのリスクを理解することは、リスクマネジメント プログラムの成熟にとって重要です。 このフレームワークを使用すると、組織の未知を認識し始めることができます。 正しい人、プロセス、技術を組み合わせると、既に知っていることを越えて、サードパーティ リスクマネジメント プログラムを成長させる能力が身につきます。

eBook:

サードパーティ リスクマネジメントの基本

本 eBook では次の点について検討します。

  • サードパーティ リスクマネジメントの基本。
  • TPRM と業者リスクマネジメントの違い。
  • 組織に最適なリスクマネジメント フレームワークを選定するプロセス。

eBook をダウンロード

関連記事

lang="en-US"
X

Galvanize は Diligent になりました。

製品提供、研究、GRCリソースに関する最新情報を確実に入手するには、またはGalvanize製品にログインするには、 www.diligent.com

Diligentを開く ログイン