企業の長期的な価値の維持に向けたサードパーティリスク管理の高度化
本稿では、サードパーティリスク管理の高度化の必要性とその主な手法について解説します。
本稿では、サードパーティリスク管理の高度化の必要性とその主な手法について解説します。
デジタルトランスフォーメーションや国際情勢の変化など、刻々と変わる競争環境に対応するため、サプライチェーンの最適化や付加価値の創出を目的に、多くの企業で自社の商流の見直しや新たなビジネスパートナーとの提携・協業などの取組みが進められています。
新たな取引先、委託先・再委託先、提携・協業先の取引関係者(以下、「サードパーティ」という)は、新しい価値提供の可能性を高める一方で、企業のリスクプロファイルにもさまざまな影響を与えます。実際、サードパーティの起こしたトラブルによって想定外のリスク事象が発生し、直接的な損失や利益の逸失だけでなく、レピュテーションへの被害を受けた事案が発生しています。これらは多額の制裁金や罰金の支払いを伴うことがあるほか、親会社の株価の下落など企業グループ全体へ影響を及ぼすことが多くあります。
各国の規制当局が、サードパーティを含めたリスク管理を企業に求めつつあることもあり、サードパーティの適切な管理は、世界の企業の経営者にとって喫緊の経営課題となっています。長期的な視点で企業価値を高めるために、サードパーティリスク管理体制を構築し、継続的に高度化していくことが非常に重要となっています。
本稿では、サードパーティリスク管理の高度化の必要性とその主な手法について解説します。なお、本文中の意見に関する部分については、筆者の私見であることをあらかじめお断りいたします。
POINT1 企業価値維持のためのサードパーティリスク管理
現在の企業活動は、世界的な規模でサードパーティの関与が拡大しており、またサードパーティに関するリスクの種類も増えている。他の企業からの競争優位性を保つために、現代の企業はサードパーティに関するリスクを適切に実施する必要がある。
POINT2 サードパーティリスクの高度化によるメリットの拡大
外部データベースなどのツールの技術は、日進月歩で進歩している。最近では商流全体の取引過程の一連の流れをEnd to Endで管理できるなど、プロセスを効率的に管理することができるようなサードパーティリスク管理の高度化が進展している。
POINT3 長期的な視点での企業価値の向上に向けて
今後、企業が長期的な視点で新しい付加価値を創出し企業価値を高めるためには、商流の複雑化、各国の規制当局の規制強化などに伴い拡大するサードパーティリスクをリスクベースで効率的に管理する体制を構築し、継続的に高度化することが重要である。
Ⅰサードパーティリスク管理の重要性の高まり
1. サードパーティとは
本稿におけるサードパーティとは、商品・サービス提供に関与する自社および顧客以外の関係先のことを指します。具体的には、サプライヤー、物流業者、委託先などのほか、契約関係のない協業先やサービスプロバイダー、専門家などであり、それらの再委託先なども含まれます。
近年、事業活動のグローバル化が進展し、ビジネスパートナーとなるサードパーティが海外に所在するケースや、クラウド活用の拡大などの情報技術高度化に伴い、SaaSなどによってサードパーティからのサービス提供を受けるようなケースも増えています。
2. サードパーティに関するリスク
自社の商流に新たなサードパーティが加わることは、今まで入手できなかった新たなアイデアやノウハウを活用できる機会が増え、顧客に対して今まで以上の新たな価値を提供できる可能性が高まるということです。しかし、商流の拡大・複雑化に伴い、把握しきれないサードパーティが増加することにより、企業にとって好ましくないリスクが発生する可能性も高まります(図表1参照)。実際に、想定外のサードパーティに関するリスク事象が多々発生しています。
- 協力会社の外注先による品質問題や安全管理上の問題
- 起用した廃棄物処理業者の再委託先による廃棄物の不法投棄
- 協力会社の再下請先による人権問題
- 協力会社の再購買先・再外注先での被災やパンデミックによる供給の中断
- 起用した情報処理業者の協力会社による情報セキュリティ上の事故・情報漏洩
- 協力会社がサイバー攻撃を受けたことによる供給中断 等
図表1 サードパーティリスクの例
出所:KPMG作成
3. 長期的な企業価値の視点からの サードパーティリスク管理の重要性
KPMGが2022年に世界の6つのセクターと16の国・地域および管轄区域にまたがる主要なビジネスにおける1,263人のサードパーティリスク管理(以下、「TPRM」という)の上級管理者を対象に行った調
査1によると、73%の企業が過去3年以内に少なくとも1回はサードパーティによる重大なトラブルを経験していると回答、85%の企業がTPRMが戦略的優先事項であると回答しています。
また、世界各国の規制当局が、企業に対して厳格なサードパーティへのリスク管理を求める法規制(例:経済制裁・人権など)の施行もあり、TPRMは世界の企業の経営者にとって喫緊の経営課題となっています。
さらに、特定の地域に一定の資源・機能を集中させることで、グローバルでのコスト低減策が進められた結果、昨今では物流トラブルや原材料の供給困難・調達不足などの弱点が露呈しています。
企業が長期的な視点で企業価値を高めていくためには、世界的な社会・経済動向を踏まえて、複線化や代替先の確保などの地域や個社の集中リスクを抑えながらサードパーティとの取引を行う必要があります。そのためには、広がるリスク領域や対象先を効率的に管理するためのTPRMの取組みが必要です。
ⅡTPRMにおける課題
サードパーティを含む取引先管理は、すでに多くの企業でさまざまな文脈で実施されています。しかし、昨今のサードパーティの増加や関与の複雑化を踏まえると、以下のような課題が見えてきます。
1. サードパーティに関する一元的なリスク管理方針・基準の未確立に伴う課題
サードパーティの管理に係る基本方針・基準が確立されていないことによる最も重大な課題は、自社のバリューチェーン上の再委託先を含むサードパーティを把握しきれていないことです。また、取引開始時のサードパーティのリスク評価、リスクの大きさに応じた審査基準や継続的な再評価・審査の手続きが確立されていないという課題もあります。
上記の結果、サードパーティから生じるリスクを把握しきれないほか、新たなリスク領域となっている人権や経済制裁などに係る海外各国の規制強化の流れに十分に対応できないという重大な課題に直面している企業も少なくありません。しかも、複数部署がそれぞれ割り当てられたリスク領域のみを担当するため、サードパーティの管理体制の高度化を図ろうとしても、管理活動が分担されているなどの理由により、部署間や既存の管理体制との調整など、何かと業務負荷が増大する結果となることが多くあります。
2. リスクに対するモニタリング体制の不備に伴う課題
サードパーティの新たなリスクの兆候を適時に捉えるためのモニタリングが行われておらず、事前にリスクの回避や重大化を防ぐ管理体制が構築されていないという課題もあります。
膨大なサードパーティを効果的にモニタリングするには、リスクの大きさに見合った合理的なリソース配分によるリスクベースでの対応が求められます。しかしながら、上述したようにサードパーティに係るリスク評価などの欠如により、高リスクのサードパーティに対する適時・適切な継続的または定期的なモニタリングが制度化されていないケースが散見されます。こうしたモニタリング体制の不備がサードパーティに係るトラブル発覚の遅延や重大化を生む結果となっています。
ⅢTPRMの高度化に向けて
1. TPRMプロセスの確立
TPRMの確立には、再委託先を含むサードパーティを一元管理するデータベースを活用して、サードパーティの選定から取引関係の終了までの一連の流れ(ライフサイクル)をEnd to Endで管理するプロセスを構築することが重要となります(図表2参照)。
- 取引先の選定の検討とサードパーティの確認(プランニングと認証)
- サードパーティの審査(デューデリジェンス)とリスクの特定
- 契約締結・契約書の管理(契約管理)とサードパーティの登録(受入)
- 取引期間中のサードパーティの状況を含むリスク評価やモニタリング・監査(継続的なモニタリング)
- 取引の完了・契約終了(取引関係の終了)
図表2 TPRMにおけるライフサイクルとサードパーティリスク管理の基礎的要素
出所:KPMG作成
ⅣTPRMの高度化によって 得られるメリット
TPRMの確立と高度化のための取組みは、企業にとっては一時的に追加作業の負荷が悩みとなるかもしれませんが、他方で以下のようなメリットが得られると考えられます。
- サードパーティが自社の企業価値向上には不可欠で、バリューチェーンにおいて重要な要素であるという理解の醸成・向上
- 新たな価値を提供し得るビジネスパートナーであるサードパーティの「見える化」で、未把握だった新たな価値の創出・発見
- 一元管理や管理ツールの効果的な活用による、業務の効率化やコスト削減
- 事業継続能力・レジリエンスの高まり
- 自社に影響し得るリスクの兆候の早期発見と適時対応による想定外の損失の回避・低減
- コンプライアンス体制の強化による対外的な説明責任の確保と、摘発された際の制裁金等の企業活動への悪影響の防止 等
ⅤTPRMの導入ステップ
実際にTPRMを導入するにあたっては、図表3に示すとおり、まずサードパーティリスクの管理体制を先行的なプラクティスなどとの比較から成熟度評価し、あるべき姿とのギャップを把握したうえで進めなければなりません。この際、TPRMの当面の目標と中長期的な目標それぞれの青写真を描き、当該目標に到達するためのマスタープランを策定して、既存の業務と調整しながら取組みを進めていくことが重要です。
TPRMの取組みは、既存の複数のリスク管理活動に影響を及ぼすことから、現実的な目標を立てながら慎重に進めることも求められます。可能な限り、取引先管理に係る取組みの重複や重大なサードパーティ管理の空白地帯を生じさせないよう注意して、具体策を着実に実行していくべきでしょう。
具体策の実行では、TPRMのインフラ整備の抜本対策から着手するアプローチが基本と言えますが、リスク評価に基づき高リスク分野から優先的に個別施策をパイロット的に実行し、その結果を活用して他の分野に横展開していくアプローチも有効です。
(1) サードパーティリスク管理体制のインフラ整備から着手するアプローチ
サプライチェーン管理の強化を求める法規制が要請・参照するプログラムやガイダンス2を踏まえると、TPRMのインフラ整備の多くは前述のⅢ.2節で示したポイントと重なりますが、なかでも下記の点が重要となります。なお、TPRMのインフラ整備については、Center of Exellence (CoE)を立ち上げ、複数部署を巻き込みながらクロスファンクショナルな活動を全社的な取組みとして実行していくアプローチが理想的です。
- サードパーティリスク管理に関するグループ基本方針・トップによるコミットメントの文書化、および内外への公表
- さまざまな分野におけるサードパーティに係るリスク評価とリスク対策の優先順位付け
- サードパーティを含む取引先の審査項目、リスク度に応じた審査の実施頻度・内容を含む審査基準の確立、契約書の標準雛型の見直しを含む統制手続きの整備
- 取引先のグローバルベースでの一元管理、世界各国の新たなサプライチェーン管理を要求する法規制の把握、世界ベースでの審査データベースやコンプライアンスデータベース(例:グループ各社のサードパーティを含む取引先が経済制裁リストに該当していないかの確認のためのデータベース)の採用等のIT ・テクノロジー活用
- 社内におけるサードパーティに係る法規制、内部統制・コンプライアンス、情報システムに係るナレッジ強化、取引先を含む周知コミュニケーション・教育研修
- モニタリング・監査による継続的改善
- サードパーティリスク管理の主管部署と連携する推進部署を定義し、役割・責任の明確化、組織体制の再構築
(2) 個別施策を実行して他の分野に横展開していくアプローチ
リスク評価に基づき高リスク分野から優先的に個別施策をパイロット的に実行する場合、たとえば、経済制裁リスクへの対応策としては、コンプライアンスデータベースを活用したサードパーティの背景調査・属性調査による審査やリスク評価が必要となります。この場合、ゼロベースでまったく新たなデータベースを導入する前に、従前の取組みである輸出管理での該非判定にて利用してきたデータベース、またはマネー・ローンダリングや贈賄防止のための顧客やエージェントなどの審査や反社会的勢力の有無確認のための審査で利用していた調査ツールなどの現状を確認したうえで、サイバーリスク、ESGリスク、現代奴隷を含む人権リスク対応やさまざまな経済制裁リスク対応の分野でも活用できるデータベースを模索すべきでしょう。
図表3 TPRMの構築プロセス(イメージ)
出所:KPMG作成
Ⅵさいごに
今後の規制環境や多様化・複雑化するビジネスリスクの状況を踏まえると、グローバルベースのTPRMの確立・高度化は「待ったなし」の状況と言えます。厳しさを増すグローバル競争のビジネス環境を勝ち抜くには、自社のリソースに加えて、サードパーティを活用することが不可欠です。リスクアプローチによるメリハリの利いたサードパーティのリスク管理の取組みの強化は、持続的な企業価値の向上に今後ますます重要になっていくと考えられます。
1 サードパーティリスク管理の展望2022
2 Evaluation of Corporate Compliance Programs (Updated June 2020), U.S.Department of Justice, Criminal Division
