(本記事は、こちらのServiceNow Blog に投稿された記事の翻訳です)
DNB は、時価総額でノルウェー最大、スカンジナビアでも最大級のフィナンシャルサービスグループです。リテールおよび企業顧客向けに、貸付、預金、アドバイザリーサービス、保険、年金などの商品を提供しています。また、海運業向けでは、同社は世界でも有数の銀行であり、エネルギー産業、漁業、水産業でも強力なポジションを確立しています。
フィナンシャルサービスでは評判がすべてです。そして、ベンダーの大規模なネットワークを含むパートナーシップがその評判に不可欠な土台であることを DNB は理解しています。そして同社は、GDPR をきっかけに、ベンダー管理と第三者との関係が同社の高い水準に達していないことにも気付きました。
DNB が成長を遂げ、他の組織とパートナーシップを結び、業務の一部をアウトソーシングするにつれ、厳格なリスク管理プロセスの適用がますます困難になってきました。他の大型フィナンシャルサービス組織と同様に、DNB は規制当局の厳しい調査に直面しています。第三者パートナーシップは、エージェント、ディストリビューター、ベンダー、パートナー、コンサルタントに広がり、その数は数千に達しています。DNB の課題は、天文学的な額のコストをかけずに、パートナー関連リスクをコントロールすることでした。同社は、データ連携や自動化を簡単に行える柔軟なツールを中心に構築された合理的なプロセスを必要としていました。
DNB が選択したツールは、ServiceNow Vendor Risk Management でした。
第三者リスクの影響力の理解
同社のベンダー関連リスクは、大規模なパートナーネットワークを有する大企業と変わりません。重要なサービスを提供し、顧客のビジネスに関する深い知識を持つ第三者は通常、データ処理またはホスティングの手配を通じて企業の機密データを保有していたり、データにアクセスしたりできます。企業の敷地内への物理アクセスも可能です。第三者組織は、契約および市場の評判の関係で、パートナー企業と緊密な提携関係を結んでいる傾向があります。
重要なサービスや機能をアウトソーシングすることは簡単でも、最も重要な責任を顧客に委譲したり、規制当局だけを当てにしたりすることはできないことを DNB は認識しています。バリューチェーンのどこかでミスや瑕疵があれば、DNB 本体の責任になります。
包括的戦略
したがって、DNB にとって、第三者リスク管理に対する全体的なアプローチは、特定のリスクトリガーを監視するより理に適っていました。同社は全体的なアプローチで次のような領域をカバーしたいと考えていました。
- 企業の社会的な責任:倫理が緩い (児童労働の許容など) 第三者パートナーは、企業の市場における評判や顧客ロイヤルティに対する脅威になり得ます。
- サプライチェーンインテグリティ:サプライチェーンのどこかで違反があると、パートナーネットワーク全体にセキュリティ上の重大な結果を招くことがあります。
- 財政安定性:財政が低迷しているパートナー企業はリスクや近道を選びがちで、提携企業にしわ寄せが来ることがあります。
- 継続性:主要システムの拙劣なバックアップ業務や冗長性の欠如は、パートナーの業務に対する潜在的な脅威です。
- コンプライアンス:税法、競争法、プライバシー標準および規制、国際制裁、その他の法的義務の厳守は、すべての第三者に対する交渉の余地のない基準であるべきです。
ServiceNow Vendor Risk Management および Contract Management と接続するベンダー登録ポータルを作成するため、DNB はSopra Steriaに協力を求めました。
このポータルにより、DNB は、そのベンダーの業務上の重要性を評価し、特定のリスク領域を識別できます。たとえば、DNB ロゴの付いたシャツを製造するベンダーの場合、ベンダーのセキュリティプロセスは大きな懸念にはならないかもしれませんが、児童労働に関する社会的責任の方策とポリシーは懸念になり得ます。
IT 企業の場合は、セキュリティが絶えず付きまといます。DNB では、関連するリスクカテゴリーを入念に調査し、ベンダーに対するアンケートや、Dun & Bradstreet などの公共データベースでの検索を含む外部評価を実施します。
最初に実施された規制は GDPR で、実施まで四半期もかかりませんでした。それ以来、DNB は実装を拡張してきました。
ServiceNow のおかげで、DNB は単一のツールで、セキュリティから企業の社会的な責任まで、多数の分野にわたる共通のリスクモデルを実施するプロセス全体を実行できます。しかし、DNB のベンダーオンボーディングプロセスの目的は、リスクの高いパートナーの除外ではなく、各パートナーに関連するリスクを理解することであるため、ベンダー依存の業務で過度な負担をかけずに、スマートな決定を下せます。
DNB では手始めに以下のステップを推奨しています。
- リスクベースのアプローチの採用
- 基本的なリスク分析の問いを立てる:「当社がリスクに晒されているのはどこか?第三者の問題は当社にどのような影響があるか?」
- 上記に基づいて、どの第三者の管理が最も重要かを評価します。
- ServiceNow® Vendor Risk をデフォルトのまま実装し、最も重要な第三者 10 社の分析と管理から開始します。
最終的に、DNB は、世界中のどこかのパートナー 1 社の無分別な行動が同社のリスクエクスポージャを増大させることを理解しました。そして、ServiceNow により、そのリスクを最小化し、成長に不可欠なパートナーシップの構築を続けるための可視性とコントロールを手にしました。
DNB のベンダープログラムについては、ServiceNow Knowledge 2020 セッション「When they fail, you fail(彼らが失敗したとき、あなたも失敗する)」をご覧ください。
Vendor Risk Management の詳細については、www.servicenow.com/vrmをご覧ください。
© 2021 ServiceNow, Inc. All rights reserved. ServiceNow, ServiceNow のロゴ、Now、その他の ServiceNow マークは米国および/またはその他の国における ServiceNow, Inc.の商標または登録商標です。その他の会社名と製品名は、関連する各会社の商標である可能性があります。
