第三者リスク管理とは?TPRMの基本を知ろう!
By Third Party Risk Association · 2023-01-31
第三者リスク管理協会の新しいシリーズ「第三者リスク管理101」へようこそ。このシリーズは、第三者リスク管理ガイドブックに基づいています。第三者リスク管理プログラムを確立したり、検証したり、強化したい人のための出発点として使用されることを意図しています。
第三者リスク管理プログラムの基礎
- 第三者リスク管理協会の新しいシリーズ「第三者リスク管理101」へようこそ。このシリーズは、第三者リスク管理ガイドブックに基づいています。これはすべての第三者リスク管理プロフェッショナルが利用できる包括的なガイドで、今後数か月で利用可能になります。
- このシリーズは、第三者リスク管理プログラムを確立したり、検証したり、強化したい人のための出発点として使用されることを意図しています。各ビデオは、強固な第三者リスク管理プログラムを作成するためのTPRMプログラムライフサイクルの6つのフェーズのうちの1つを取り上げます。
- しかし、ライフサイクルに飛び込む前に、第三者リスク管理の基礎を理解することが重要です。これには、基本的な定義、リスクの種類、リスクの計算と評価、最後には第三者によって作成されるリスク露出の基本が含まれます。
- TPRMプログラムの構築は、家を建てることに似ています。寒さや風をしのぐために品質の高い窓を持つことが重要ですが、最初のステップは常に、家がしっかりとした基盤の上に建てられていることであり、それによって今後訪れる必然的な嵐に耐えることができます。
- そのため、今日のビデオでは、第三者リスク管理とは何かという問いに答えます。この質問に答えることで、効果的かつ効率的な第三者リスク管理プログラムを作成するための材料を手に入れることができます。
第三者リスク管理プログラムの基礎
第三者リスク管理プログラムの重要性
- サードパーティーリスク管理(TPRM)は、組織がサードパーティーによって引き起こされるリスクを特定し対処するための方針、手順、コントロール、監視などからなる枠組みである。
- TPRMの重要性は、脅威の複雑さの増加、サードパーティーへの依存度の増加、デジタルトランスフォーメーションプロジェクトの増加、規制の強化、環境への影響などが挙げられる。
- 組織は、サードパーティーがデータやプロセスに関連するリスクを適切に監視し軽減するために、効果的なTPRMプログラムを導入する必要がある。
- サードパーティーとの取引に伴うリスクは、組織とサードパーティーの関係の性質やサードパーティーが実施するコントロールに依存する。
- 組織は、サードパーティーがデータを適切に保護していることを確認する責任があり、サードパーティーに頼ることで組織全体の脆弱性が露呈する可能性がある。
第三者リスク管理プログラムの重要性
第三者リスクとは何ですか?
- 組織が第三者との関係に伴うリスクを適切に測定し管理しないことは、規制当局による調査や罰金、顧客との信頼関係や財務リスクにつながる可能性があります。
- 第三者リスクの種類にはさまざまなものがあり、顧客との信頼関係、財務リスク、システムの運用リスクなどが含まれます。
- また、環境、社会的影響、労働慣行、組織のガバナンス慣行に関連する社会的影響も考慮されるべきです。
- 組織は第三者による取引リスク、サービス・製品の提供リスク、財務リスク、そして環境、社会、ガバナンスに関連するリスクなどを適切に評価し、制御することが不可欠です。
第三者リスクとは何ですか?
第三者リスクの評価
- 組織のリスク管理フレームワークに基づいて受け入れられるかどうかは組織のリスクアペタイトによって決定されます。
- 組織のリスクアペタイトとは、組織が受け入れるかどうかのリスクを指します。全ての組織はリスクアペタイトを持っており、それが公式に文書化されているかどうかに関わらず、第三者が受け入れるリスクや対処しないリスクは、事実上、会社のリスクアペタイトを定義します。
- 第三者が組織に対して持つリスクの評価は、その第三者との契約を結ぶかどうかの初期段階で重要です。また、関係の継続的なモニタリングも必要です。
- 組織は、第三者の提供するサービスの性質を理解する必要があります。これにより、第三者が組織に及ぼす影響を把握することができます。また、第三者が約束した製品やサービスを提供できない場合の組織への影響についても予め計画することができます。
- 第三者との取引に伴うリスクを効果的に活用するためには、組織はリスクの評価、測定、モニタリング、フォローアップを適切に行う必要があります。
- リスクには固有リスクと残留リスクの2つのタイプがあります。固有リスクは、一般的な情報が提供された後のリスクのレベルであり、場合によっては制御の評価が行われた後のリスクのレベルです。
- 残存リスクは、実施された制御が評価された後の固有リスクの残りのレベルであり、リスクのランドスケープのより正確なイメージを提供します。
第三者リスクの評価
リスクの受け入れ、是正、共有、移転、回避について
- 組織が第三者のリスクを計算した後、そのリスクを受け入れ、是正、共有、移転、または関連するリスクを回避することを選択する可能性があります。
- リスクの受け入れでは、組織はそのリスクからの潜在的な損失や影響を受け入れ可能な水準と認識し、または直ちに対処しないことを認めます。リスクの受け入れは、リスクが適切に軽減されるか、またはセカンダリコントロールが設けられるまでの一時的なものであるべきです。
- リスクの是正では、組織は第三者と協力して実現可能なアクションプランを策定および実施し、コントロールリスクを追加または強化します。リスクの是正によって、リスクが組織に与える影響を軽減することができます。
- リスクの共有によって、組織はリスクの責任を複数の組織や個人に分散させることができます。これはリスクの影響が一つの組織や個人に集中しないようにするためです。リスクは組織間でコントロールを実施することで共有することができます。または、リスクの責任を契約上で共有することによって、リスクの影響が実現した場合の対応をします。
- リスクの移転は、リスクの影響が高いがリスク が発生する可能性が低い場合に頻繁に発生します。その場合、組織はリスクを保険会社など、より適切に対処できる他の組織に移転することができます。
- 組織はリスクを回避することができます。つまり、リスクを負担せず、またはそのリスクを引き起こす行動を回避することができます。第三者のリスクの観点からは、通常、第三者との関係を解消したり、サービスを中止することが含まれます。
- 組織がリスクにどのように対処するにせよ、ますます重要になるのは、まずリスクを発見し評価するプロセスを持っていることです。これは、強力な第三者リスク管理プログラムを実装することで実現されます。
リスクの受け入れ、是正、共有、移転、回避について
Conclusion:
第三者リスク管理プログラムの構築にあたり、サードパーティーリスク管理(TPRM)の基本からしっかりと理解することが重要です。リスクの受け入れ、是正、共有、移転、回避についても適切に活用しながら、効果的なプログラムを実装しましょう。