委託先管理からサードパーティ管理（TPRM：Third-party Risk Management）へ

1 規制当局の高まる関心

企業がサードパーティをいかに監視しているのかについて、各国の規制当局の関心は高まる一方です。特に規制当局の動きが活発なのが金融業界です。2019 年12 月、金融の安定化を図るための国際的な組織のFSB（金融安定理事会）と英国のPRA（健全性規制機構）は、クラウドサービスの利用に伴う潜在的なリスクの指摘や、サードパーティリスク管理に係る枠組み強化の方針などを相次いで発表しました。これに先駆けて、EBA（欧州銀行監督機構）はサードパーティへの業務集中に伴うリスクを指摘し、2019 年9 月から、外部委託に関するガイドラインの適用を始めています。米国の連邦金融機関検査協議会（FFIEC）も、2019年11月、業務継続管理に関する指針を改定し、サードパーティのサービスが提供不能となる想定シナリオの充実や、サードパーティを交えた訓練の実施を求めています。

また、アジアにおいても、2016年にシンガポール金融管理局（MAS）はアウトソーシングに関するガイドラインを公表し、金融機関にとっての重要な業務は、仮に外部委託していたとしても、最終的な責任は当該金融機関にあるとの考えを示しました。さらにMASは2019年2月、サードパーティの範囲を拡大する考えを示すコンサルテーションペーパーを公表しています。

その影響は金融業界にとどまりません。各国の現代奴隷法やEU一般データ保護規則（GDPR）などの近年の規制強化に見られるように、サードパーティ関連のインシデントは、自社のビジネスに多大な影響を及ぼしかねないリスクをはらんでいます。

2 サードパーティリスク管理（TPRM：Third-party Risk Management）の高度化

サードパーティの活用を通じて、自社のコア事業により注力し、生産性の向上やコスト削減を実現することが期待されます。その一方で、レピュテーションやコンプライアンス、それに情報セキュリティなど、サードパーティに関するさまざまなリスクを考慮し、適切に管理することが求められます。海外当局による定義を見ても、サードパーティはこれまでの委受託の契約関係にとどまらず、提携先や関連会社、さらには再委託先にまで広がっており、従来型の外部委託先管理ではどこにどのようなリスクが内在するのか、包括的に捉えることが難しくなってきていることから、新たな管理フレームワークの構築が求められています。

効率的なサードパーティリスク管理（TPRM：Third Party Risk Management）のフレームワークを構築するためには、サードパーティの契約前から契約後までのライフサイクルに沿ったガバナンスプロセスを整備することが必要です。PwC のフレームワークでは、考慮すべきリスク（図表2 右側の項目）のリスクアセスメントの結果に基づいて、サードパーティの業務がビジネスに与える影響を総合的に評価し、リスクのレベルごとにそれぞれのサードパーティに対し、どこまでの管理レベルとするのかを決めていきます。

データベースを活用した一元的な管理

手作業によるサードパーティ管理には限界があります。デジタル化されたサードパーティ管理ソリューション（TPRMソリューション）は、合理化されたワークフローや役割分担の明確化を以下のような機能を通じて可能とします（図表3）。

この中では、委託・連携先を一元管理するデータベースを活用し、委託先のライフサイクルを通じてEnd to Endで管理するプロセスを確立します。例えば、デューデリジェンスや契約手続からモニタリングや監査、契約終了までを一元的に管理します。

企業はサードパーティの一覧を整理する必要があり、この中では各サードパーティの提供するサービスや機能、保持するデータの機密性などが含まれます。特に海外展開する企業にとっては、グローバルでプリファードベンダーのリストを作成し、委託先の絞り込みを実施することも有効な手段となります。一定信用度を有する先に対する集中購買によって、リスク管理強化と購買コスト削減を同時に実現することにつながるからです。

また、特定の委託先への依存を避けるために必要な分散措置を検討することも必要になります。自社ビジネスにとって重要な業務に関しては、委託先を含めたBCP（事業継続計画）を策定することも今後は求められます。

体制と役割責任の明確化

サードパーティ管理にあたって重要なのは、社内各部門の役割や責任を明確化することです。委託プロセスに関しては、一元的な管理を実施する体制を調達部門で整えることが推奨されます。併せて、法務・コンプライアンス部門においては委託先が満たすべき基準を制定し、その審査体制を確立することが望ましいといえます。さらに、モニタリングを一義的にどの部署が責任を持って実施するかも定める必要があり、候補としては法務・コンプライアンス部門もしくは調達部門、さらには監査部署による監査も含んで全社横断的に検討することが重要です。

モニタリング

モニタリングを進めるにあたっては、自社の重要業務に係るサードパーティの外部委託先・連携先の集中度合いを把握することが重要です。そのためには、まず準備のプロセスとして、自社にとって重要な業務を特定する必要があります。加えて、サードパーティの集中度合いを定量的に測るにあたっては、外部委託先・連携先の名寄せをする作業が発生することにも留意が必要です。集中度合いを測るための指標として、件数や金額を集計できるようにします。また、サービスの統制を保証するSOC2報告書の取得状況なども留意する必要があります。

有事への備えとして、日本企業においてはBCPの整備は進んでいる企業が多いものの、今後はサードパーティも含めた取り組みが期待されます。自社のビジネスにとって重要なサードパーティに関しては、BCPの整備状況を確認するにとどまらず、共通のシナリオに基づいた訓練を実施することが求められます。

3 おわりに―企業価値向上に資するサードパーティ管理（TPRM）実現に向けて

有効に機能するサードパーティのリスク管理体制を構築するには、それぞれの企業が展開する国をグローバルに包括する統一的な枠組みを作り上げることはもちろん、自社ビジネスの特性や海外拠点の実情を踏まえた最適な管理手法を検討することも不可欠です。その上で、自社の根幹業務に対するサードパーティのリスクやそれに見合った管理強度を踏まえ、PDCAサイクルを適切に回していくことが必要となります。その上で、テクノロジーを活用したツールの導入は、有効な手段となります。

厳しさを増すグローバルの競争環境を勝ち抜くには、自社のリソースに加えてサードパーティを活用することが戦略上、不可欠となります。リスクベースのサードパーティ管理の取り組み強化は持続的な企業価値向上に向けて、今後ますます重要になっていくと考えられます。

執筆者