エンタープライズ全体のサードパーティリスク管理へのシフト

本稿はAravoのスポンサー提供であり、Emerjのスポンサーコンテンツガイドラインに従って執筆、編集、公開されています。詳細については、Emerj Media Servicesページをご覧ください。

金融サービス、医療、製造、テクノロジー業界において、規制当局はサードパーティ活動に対する企業の責任を明確にしています。米国の銀行規制当局は、組織は内部で実行された活動と同様にサードパーティ活動に対して完全な責任を負い、取締役会と上級経営陣が監督、管理、成果に責任を持つと述べています。FDICは、審査官が監督審査中にサードパーティ関係を直接評価し、ベンダーリスクを企業自身の運用およびコンプライアンス態勢の延長として扱うと述べています。

リスク環境は明確にサプライチェーンに向かってシフトしています。Identity Theft Resource Centerによると、サプライチェーン攻撃は急増しており、現在データ漏洩の原因として最も急速に成長しているものの一つであり、単一のベンダー侵害が複数の下流組織に影響を与えることがよくあります。米国サイバーセキュリティ・インフラストラクチャセキュリティ庁は、ソフトウェアサプライチェーン攻撃が影響を受けるソフトウェアのすべての下流ユーザーに同時に危険を及ぼし、孤立した障害ではなく体系的な障害を引き起こす可能性があると警告しています。

現代のサードパーティエコシステムの規模は課題をさらに深刻化しています。セントジョンズ大学のERM優秀センターによる調査では、企業リスクリーダーの90%以上がサードパーティリスクが増加していると報告し、60%以上がそれを他の企業リスクよりも重要と評価しています。同じ調査では、一部の組織がサードパーティの最大半数をミッションクリティカルと分類し、集中リスクと依存リスクを大幅に高めていることが判明しました。

サードパーティリスクが顕在化した場合、財務的影響は即時的かつ重大であることがよくあります。米国サイバーセキュリティ・インフラストラクチャセキュリティ庁によると、大規模なサイバーインシデントは通常、1件あたり数百万ドルの損失を生み出し、これはフォレンジック対応、法的リスク、システム復旧、事業中断によるものであり、単一の侵害ベンダーが複数の下流組織に影響を与えるとコストはさらに拡大します。

上級リーダーや取締役会にとって、結果はもはや理論上のものではありません。サードパーティの障害はますます直接的なビジネス影響を及ぼしており、以下が含まれます：サプライチェーンまたはサービス中断による収益損失、ベンダーの不正行為やデータ漏洩による風評被害、罰金、調査、運営制限による規制リスク、重要なサービスが外部プロバイダーによって提供される場合の運用脆弱性。

サードパーティリスクはもはや組織の周辺で管理されるコンプライアンス問題ではありません。それは戦略的なエンタープライズリスクであり、組織内部の運用と同じ厳格さ、可視性、ガバナンスが求められます。

Emerjは最近、AravoのチーフプロダクトオフィサーDean Alms氏、最高技術責任者Eric Hensley氏、そして元Blue Cross Blue Shield of MinnesotaのCIO兼最高技術革新責任者であり、XcelerateHealthの社長兼CIOであるCarey Smith氏とのエグゼクティブ対談を実施しました。これらの対談では、なぜサードパーティリスクが取締役会レベルの問題になったのか、従来のコンプライアンス駆動モデルが規模化に伴いどのように機能不全に陥るのか、複雑なサプライヤーエコシステムで回復力を運用化するために何が必要かを検討しました。

このポッドキャストシリーズでは、企業リーダーがAIを活用してサードパーティリスク管理を大規模に近代化する方法を探り、以下の重点分野に焦点を当てています：サードパーティリスクをエンタープライズデータ問題として扱うこと、継続的かつリスクベースの大規模監視、説明可能なAIをコアワークフローに組み込むこと、自動化された是正措置による回復力の構築。

完全なエピソードは以下をご覧ください。

第1回：10,000社のサプライヤーを持つ場合のサードパーティリスク管理 ゲスト：Dean Alms、Aravo チーフプロダクトオフィサー 略歴：Dean AlmsはAravoのチーフプロダクトオフィサーであり、エンタープライズリスクおよび回復力ソリューションの製品戦略を統括しています。以前はSocrates.aiのCPOを務め、Veeva SystemsやRimini Streetで上級製品リーダーシップの役割を担い、ライフサイエンス、コンプライアンス、グローバルITサービスにわたるエンタープライズSaaSプラットフォームを形成しました。Deanはボストン大学でビジネス管理と経営情報システムの学士号を取得しています。

第2回：リスク・コンプライアンスリーダーのための信頼できるAIアーキテクチャ ゲスト：Dean AlmsとEric Hensley 略歴：Eric HensleyはAravoの最高技術責任者であり、世界最大の組織が使用するエンタープライズSaaSプラットフォームのアーキテクチャ、エンジニアリング、運用拡大を統括しています。彼はAravoで10年以上にわたり上級技術および製品開発の役割を務め、以前はInstill CorporationやShipServでリーダーシップポジションを歴任しました。Ericはカリフォルニア大学バークレー校で天体物理学の学士号を取得し、コンピュータサイエンスを副専攻しました。

第3回：調査に溺れずに大規模サードパーティリスク管理を実現 ゲスト：Carey Smith、元Blue Cross Blue Shield of MinnesotaのCIO兼最高技術革新責任者、XcelerateHealthの社長兼CIO 略歴：Carey SmithはXcelerateHealthの社長兼CIOであり、Blue Cross Blue Shield of MinnesotaのCIOとして、エンタープライズテクノロジー、AI、デジタルトランスフォーメーションの取り組みを統括し、医療成果と業務パフォーマンスの向上に焦点を当てています。彼女は以前、健康保険、インシュアテック、プライベートエクイティ支援組織でCOO、CIO、CTOなどの上級執行役員を務め、専門医療ケースレビューのためのデジタルプラットフォームMedplaceを共同設立しました。Careyはモンタナ州立大学ビリングス校で情報技術と心理学の二重専攻で学士号を取得し、リーダーシップと戦略に関するエグゼクティブ教育プログラムを修了しています。

サードパーティリスクをエンタープライズデータ問題として捉える

サードパーティリスクはもはや単一の機能にきれいに収まりません。Dean Almsは、それがエンタープライズ全体の関心事になりつつあり、拡大する規制要件、ますます複雑化するサプライヤーエコシステム、そしてコンプライアンスチームだけでなくリーダーシップが組織の外側にあるものについて説明できるという期待の高まりによって形成されていると主張します。

Almsが説明するように、圧力は一方向からではなく、複数の方向から同時に来ています。「リスクエクスポージャーとコンプライアンス義務の数は増え続けており、業界や地域によって非常に異なる方法で成長しています。場合によっては、国ごとではなく州ごとに異なり、プライバシーやデータ取り扱いに関する期待も異なります。同時に、消費者圧力やソーシャルメディアでの露出により、企業はサプライヤーの行動に対して責任を問われるようになっており、たとえその失敗が中核事業から数層離れたところで発生したとしてもです。」

この進化を特に困難にしているのは、リスクデータが組織全体でどのように扱われるかです。所有権は調達、コンプライアンス、IT、セキュリティ、法務チームに分散しており、それぞれが独自のツール、プロセス、視点を持っています。結果として、取締役会が統合された回答を求めているまさにその時に、部分的な可視性しか得られません。

Carey Smithは、従来のアプローチが真の規模で機能不全に陥り始めるポイントを特定することで、この点をさらに深めています。サプライヤーネットワークが数万に達すると、可視性は低下するだけでなく崩壊します。リスク集中を特定するのが難しくなり、下位層サプライヤーへの依存関係は、混乱によって強制的に明らかにされるまでほとんど見えません。

両方の視点から、いくつかの問題点が一貫して浮かび上がります：リスクデータが機能間で断片化され、統一されたサプライヤー中心のリスクビューを妨げていること；調査駆動の一時点評価は急速に陳腐化し、コントロールの錯覚を生み出すこと；下位層および未知のサプライヤーが隠れたリスクをもたらし、それは混乱後になって初めて表面化することが多いこと；責任は最終的に企業にあり、障害の発生源に関わらないこと。

したがって、進行中のシフトは構造的なものです。サードパーティリスク管理は、機能的に孤立したコンプライアンス活動から、データ駆動のガバナンス分野へと移行しており、サプライヤーエコシステムがより複雑で相互接続されるにつれて、経営陣の意思決定を支援し、取締役会の精査に耐えることが期待されています。

継続的かつリスクベースの大規模監視

サプライヤーネットワークが拡大し、外部環境がより急速に変化するにつれて、定期的な評価は現実と乖離し始めます。EricとDeanは、リスクが伝統的に評価される方法と、リスクが実際に進化する方法との間の拡大するギャップについて説明します。

継続的監視への移行は明白な答えのように思えます。しかしEricは、この移行がしばしば過小評価されることをすぐに指摘します。継続的監視は可視性の問題を直接解決する代わりに、新たな課題をもたらします：量です。「継続的監視に移行すると、課題は完全に変わります。情報不足ではなく、突然多くの異なるソースから常にデータの洪水が流入します。本当の問題は、何が実際に重要か、何が変化したか、なぜ変化したか、行動するほど重要かを判断することになります。シグナルをノイズから分離できなければ、継続的監視はより良い結果ではなく、より多くの混乱を生み出すだけです。」

Carey Smithは、頻度から関連性へと焦点を移し、姿勢の観点から問題に取り組みます：「継続的かつリスクベースの監視とは、より多くの書類に記入するのではなく、リアルタイムでリスク姿勢を理解することです。一時点の調査は、完了した瞬間から古くなり始めるスナップショットを提供します。リーダーが代わりに必要とするのは、リスクがどこに集中しているか、どのように変化しているかについての継続的なビューです。それがなければ、複雑性が増すにつれて可視性は低下します。」

Deanは、より成熟したプログラムと初期導入者を区別する運用上のニュアンスを追加します。継続的監視は単により頻繁にベンダーを再評価することではありません。それはますます、定期的なレビューと、地政学的混乱、サイバーインシデント、不利なメディア、財務的苦境などのイベント駆動型インテリジェンスを組み合わせており、これらは次の正式なチェックポイントのずっと前にサプライヤーのリスクプロファイルを変える可能性があります。

ここから浮かび上がるのは異なる運用モデルです：継続的監視は問題をデータ不足から情報過多へとシフトさせます；リスクベースの優先順位付けにより、リソースが最も重要な問題に集中します；イベント駆動型トリガーにより、監視が実際のリスク変化と一致します；自動化されたワークフローと説明可能なAIが迅速で防御可能な意思決定をサポートします。

説明可能なAIをコアワークフローに組み込む

データ量と複雑性が増すにつれて、人工知能はサードパーティリスク管理の強力なツールとなります。しかし、規制環境では、信頼とトレーサビリティが不可欠です。EricとDeanは、AIは説明可能でなければならない、つまりその出力は人間が理解でき、特定の証拠に遡れるものでなければならないと強調します。

「私たちがAIについて話すとき、それは決定論的で理解可能なAIを意味します。ブラックボックスではなく、その推論を説明できるシステムです。サードパーティリスク管理では、答えだけでなく、なぜ特定のリスクがフラグされたのか、どのデータポイントが引用されたのかを理解する必要があります。規制当局はこれらの判断を疑問視します。」とDeanは説明します。

Aravoのアプローチは、ドキュメント取り込み、調査検証、ルーチンリスク分析などのタスクにAIを適用し、同時に透明性と規制上の信頼を維持することです。例えば、AIは契約条項を自動的に抽出し、リスク言語を特定し、ベンダーが提出したデータの一貫性を検証できますが、すべての出力には説明とソース引用が付随します。

Carey Smithはエンドユーザーの視点から補足します：「リーダーはシステムが提供するリスクシグナルを信頼する必要があります。AIが何かをフラグした場合、その根拠を知る必要があります。説明可能性が信頼を構築し、信頼がリスクチームが行動を起こす基盤となります。」

自動化された是正措置による回復力の構築

リスク特定を超えて、AIは自動化された是正ワークフローもサポートします。Deanは、成熟したプログラムはリスクの特定で止まらず、AI駆動のプレイブックと是正措置を通じて積極的にリスクを低減すると述べています。

「目標は受動的な対応から積極的なリスク低減へと移行することです。異常が検出されると、システムは自動的にワークフローをトリガーできます：適切なチームへの通知、タスクの割り当て、進捗の追跡、さらには事前定義されたルールに基づく緩和アクションの提案。これにより応答時間が大幅に短縮され、重要なベンダーが優先的に注目されます。」

Careyは医療分野での経験を共有し、是正ワークフローの重要性を強調します：「医療業界では、ベンダーの中断が直接患者ケアに影響を与える可能性があります。AI駆動の自動化ワークフローを持つことで、問題が患者に影響を与える前にリスクを特定し解決できます。これはコンプライアンスだけでなく、回復力に関わるものです。」

最終的に、サードパーティリスク管理は孤立したコンプライアンスコストセンターから、事業継続性と競争優位性を直接サポートする戦略的エンタープライズ機能へと変貌しています。AI駆動の継続的監視、説明可能な分析、自動化された是正措置を採用する組織は、増大するリスクと規制圧力にうまく対応し、運用回復力を維持できるでしょう。