業者リスクマネジメント (VRM) は企業組織の全体的なリスクマネジメント環境において欠かせない重要な要素です。 多くの企業が、事業を行う中で何千何万という数多くのサプライヤーを利用しています。 ウォルマートが良い例ですが、利用しているサプライヤーの数はゆうに 10 万社を超えます。 こうしたサプライヤーが、ソフトウェア、製品サプライチェーン、基幹インフラストラクチャのニーズといったあらゆる面で、重要な役割を担っています。

企業のセキュリティや評判は、最も弱い関係で決まります。このため、利用しているサプライヤー皆が高い水準を保ち、コンプライアンスの遵守状況が定期的に監視されていることを保証する必要があります。

サードパーティ リスクのカテゴリ

サードパーティ ベンダーリスクには次の通りいくつかの種類があります。

• サイバーセキュリティ： 利用しているベンダーのサイバーセキュリティへの防衛態勢はどの程度堅牢であるのか。 データの漏洩は企業の秘密情報や顧客のデータを危険にさらすおそれがあります。そのため、業者各社が厳格なサイバーセキュリティ対策を講じ、漏洩発生の可能性を抑えるようにしなければなりません。 社内で独自に設けている基準に最低限従うよう、契約書に情報セキュリティの補遺条項を設けて、業者に対する要求を明確に規定する必要があります。
• コンプライアンス： 組織が遵守しなければならない規制要件を、業者も確実に遵守するように徹底する必要があります (データ保存規則や規制など、契約を締結している業者が事業で携わる部分において)。
• 評判リスク： 公表された業者関連の事件も、企業の評判に影響を及ぼす可能性があります。 こうした事件として含まれるその範囲は広く、法律・規制違反や、過失・データ漏洩による顧客データの喪失、CEO による問題発言などもその一例です。
• 財務リスク： 業者が破産したり倒産したりする可能性は高いか。 そうなると、予期せぬサービス提供の中断やサプライチェーンの寸断が引き起こされ、多大な損害が発生するおそれがあります。 つまり、顧客に対する契約義務を果たすことができなくなるということでもあり、その結果収益の喪失や評判の失墜といったことが起きてしまいます。
• オペレーショナル リスク： 業者が義務を履行できなく可能性はどのくらい高いか。 履行されない状況が実際に起きたとしたら、日常のオペレーションにどのくらい影響するのか。 こうした緊急事態に備えて、業者の事業継続計画を把握し、また自社の事業継続計画も策定してください。 (このテーマについて詳しくは、 新型コロナウイルス感染症 (COVID-19) がサードパーティ リスクに及ぼしている影響とは をご覧ください)
• 戦略リスク： 業者の決定が自社の戦略的目標と整合しているか。 場合によっては、技術の活用や倫理的問題なども範疇となることがあります。 業者の価値観や長期的計画を十分に理解し、自社の価値観や長期的計画とズレがないようにしてください。

業者リスク チェックリスト

VRM チェックリストには、次のような項目が含まれています。

• 各業者がアクセスする必要がある従業員や顧客データの種類を監査し、そのアクセス可能範囲を必要最小限に限定する
• 各業者の契約とポリシーをレビューして、自社で設ける標準ポリシーならびに業界における標準要件とコンプライアンス上の不整合がないかを確認し、必要に応じて調整を要求して整合させる
• 各業者のサイバーセキュリティ対策をレビューして業界における標準要件ならびに自社で設けるガイドラインに従っているかを判定する
• 業者による違反行為が発生した場合に、会社や顧客への影響の可能性とその程度を評価し、影響の緩和戦略が必要かを判断する
• 各業者で事件が起きた際の対応計画をレビューする
• 各業者の事業継続計画を評価する
• 各業者の信用リスクと破産申告を監視する

業者リスクの手動管理

多くの企業では、一般的に、コンプライアンス マネージャーが業者のコンプライアンス要件を 1 件 1 件詳細に確認しています。 加えて、各業者と面談を行い、業者が運用するポリシーと自社のポリシーにズレがないかを判断したり、現地監査を実施して職場環境を評価していることもあるかと思います。 しかし、このプロセスは非常に時間を要し、間違いの温床になりがちです。また、情報共有の不足が原因で別部署の従業員が類似の監査を実施する可能性があり、しばしば業務の重複となっていることもあります。

さらに、多くの場合、業者の申告内容は信頼できません。 RiskRecon の調べによると、サードパーティによるセキュリティ体制について監査対応で申告された内容と実態の一致を信頼しているリスクマネジメント担当実務者は全体の 14% もいませんでした。 それどころか、調査回答者の 31% が、違反行為が発生した場合に重大なリスクを懸念する業者がいると回答しています。

手作業のプロセスでは、多くのベンダー リスクマネジメントが導入段階にのみ行われるか、継続して行われるとしても次は四半期や年に 1 回など所定の間隔で行われているくらいです。 こうした場合のほか、業者の技術や財政状況、事業戦略に変更などがあっても蚊帳の外に置かれて知らされないままのこともあるでしょう。 手作業によるプロセスが採用されている場合、業者のコンプライアンスやその他のリスク要因に関するその時々の状況について可視性が失われ、会社をリスクにさらすことになります。

ベンダー リスクマネジメント プロセスの自動化にシフト

先進的な企業の多くは、AI を活用して自動化されたベンダー リスクマネジメント プロセスへとシフトさせています。 自動化されたベンダー リスマネジメント プロセスによって、チームの手作業にかかっていた時間は大幅に削減され、プロセスを継続的に監視する余裕が生まれます。その結果、リスクのトリガーを早期に特定できるようになるのです。 こうして、業者が会社に悪影響を及ぼす前に原因となる部分を改善することができます。

自動化されたベンダー リスマネジメント ソリューションに求められるのは次の機能です。

• 業者の事前審査
  優れたソリューションは、実際に業者と提携する前に、提携する可能性がある業者のセキュリティ パフォーマンスを確認するデータを統合する必要があります。そして、そのデータを基に、セキュリティ上の懸念が認められる業者を検討対象から除外できます。
• リスクレベルに応じた業者の分類
  会社の重要なデータへのアクセスを必要としたり、インフラストラクチャに関わる業者がごく一部だとしても、そうした業者を注意して監視する必要があります。 リスクマネジメントに使用するソリューションは、社内のチームに代わって、このような問題のある業者を特定する必要があります。
• 自己申告ツールによるコンプライアンスとリスク評価の自動化
  ソリューションは業者導入前ないし導入後に使用する各種様式やアンケート ツールを提供し、各業者がコンプライアンス要件において最新の状態にあることを確認できる必要があります。 加えて、自動化されたフォローアップ機能と、業者の回答でコンプライアンス上の問題が発生した場合のアラート通知も必須です。
• 継続的なリスク監視
  リスマネジメントに採用するソリューションは、リアルタイムでパフォーマンスを監視してサービス レベル契約 (SLA) を追跡し、リアルタイムで財務状況やその他のデータフィードを提供し、現地監査実施後の監査結果を追跡し、そしてセキュリティ評価サービスと連携して業者の分類と監査スケジュールの自動化を行える必要があります。
• サードパーティのリスク レポート
  ソリューションは、業者リスクのスコアカードでセキュリティ ギャップを示し、業者リスクの状況を一目で把握できるアナリティクス ダッシュボードを備えている必要があります。

コンプライアンスの追跡を手作業から 自動化されたベンダー リスクマネジメント ソリューションによる管理へとシフトすることで、これまでかけていた労力と重複する無駄を省くことができます。また、リアルタイムで更新されるデータにアクセスできるようになることで、業者のリスクレベルが上昇したことを容易に判定可能です。 自動化システムへと移行することで、ただのコンプライアンス確認の域を超えて、継続的なリスク監視が可能になり、新しいリスクの早期検出や迅速なリスク軽減に必要なデータ インテリジェンスまで手に入れられます。 AI を活用する、自動化されたベンダー リスマネジメント ソリューションを使用することで、リスクマネジメント プロセス全体を合理化し、品質を高められます。