サードパーティリスク管理(TPRM:Third-party Risk Management)支援

サードパーティリスク管理(TPRM:Third-party Risk Management)をめぐる経営課題

製造・販売先のグローバル規模への拡大やクラウド活用をはじめとするテクノロジーの高度化に伴い、企業活動においてはパートナー企業やベンダー、調達先、サービス提供会社など委託先(サードパーティ)が拡大しており、その適切な管理が喫緊の経営課題となっています。サードパーティに起因するリスクには、データ漏洩のような情報セキュリティリスク、財務的安定性の欠如、サプライチェーンの崩壊、環境および社会的責任の問題、規制・コンプライアンスの懸念、贈収賄・不正・汚職などがあります。これらに関わる昨今の事案や海外における当局の規制強化に鑑み、サードパーティリスクを適切に管理していくためには、以下のような課題に対処する必要があります。

  • 管理すべきサードパーティの範囲 :管理対象とすべきサードパーティの範囲をどこまで広げるか。業務委託先以外のアライアンス先やジョイントベンチャーなど、どこまで含むべきか。
  • 再委託先および再々委託先の管理 : サプライチェーンを構成するサードパーティについてどこまで(再委託先、再々委託先など)管理すべきか。またその管理手法はどのようにすべきか。特定の再委託先への集中リスクをどのように評価し、管理するか。
  • 管理対象リスク : コンプライアンスやサードパーティ側の業務継続性など、管理対象をどこまで含めるべきか。特に業務回復力を含むレジリエンスや、人権・ESG(環境、社会、ガバナンス)など、新しいリスク領域についてどこまで含めるか。
  • 管理の担い手 : サードパーティの種類や管理すべきリスクが多様化しているため、契約所管部署によるリスク管理には限界がある。社内のどの部署でサードパーティリスクを管理すべきか。また自社でサードパーティに関する全てのリスクを適時適格に捕捉し続けるのが難しい場合、管理の効率性を高めるためにどのように外部サービスを活用できるか。
  • 重要度に応じた管理手法 : サードパーティの重要度をどのような基準で判定し、メリハリをつけた管理手法を実現していくか。重要なサードパーティに対してどこまで踏み込んだリスク評価を行うべきか。
  • ガバナンス : サードパーティリスク管理のレポートラインをどう設計するか。またグループ全体、およびグローバルでの管理態勢をどのように設計し、本社にどこまでの情報を集約すべきか。

参考情報:コラム「委託先管理からサードパーティ管理へ

PwCのアプローチ

PwCは、上記の検討事項を考慮しながら、独自のサードパーティリスク管理(TPRM)フレームワークを活用し、1. 誰とビジネスをしているのか、2.どのようなリスクがあるのか、3. それらのリスクをどのように管理できるか、という3つの観点から、ガバナンス態勢の整備や管理プロセスの確立、規程類の整備、リスクカルチャー醸成、ツールやテクノロジーの導入、レポーティング指標の設定など、サードパーティに関わるリスクの特定、評価・監視・管理をトータルに支援します。

サードパーティリスク管理(TPRM)フレームワーク

サードパーティリスク管理 (TPRM)フレームワーク

また、サードパーティリスク管理の高度化に向けた現状の段階や対象範囲などのニーズに合わせ、以下のようなサービスを提供します。

プログラム評価・構想策定

  • プログラム診断
    現在のサードパーティリスク管理機能の評価を実行し、規制ガイドラインおよび主要なプラクティスに対するギャップを特定します。
  • 変革ロードマップ
    期待される労力とコストを含む、最終状態の青写真とロードマップを提供します。

プログラム設計

  • 機能のビルド/リビルド
    新規または強化されたサードパーティリスク管理プログラムを設計、実装および管理します。
  • テクノロジーの有効化
    プロセスを新規または既存のテクノロジープラットフォームと統合します。
  • サードパーティの層別化
    外部委託されたサービスとサードパーティのリスクを判断し、企業による適切な対応を促すためのリスクスコアを割り当てます。

実行・アウトソース/コソース

  • サードパーティの評価
    オンサイトまたはオフサイトで、サードパーティ個々の評価を実施します。
  • プログラム管理
    計画、実行、修復、監視、報告など、サードパーティリスク管理プログラムをアウトソースまたはコソースします。

主要メンバー

辻田 弘志

パートナー, PwC Japan有限責任監査法人

Email