EYとは、アーンスト・アンド・ヤング・グローバル・リミテッドのグローバルネットワークであり、単体、もしくは複数のメンバーファームを指し、各メンバーファームは法的に独立した組織です。アーンスト・アンド・ヤング・グローバル・リミテッドは、英国の保証有限責任会社であり、顧客サービスは提供していません。
2025年EYグローバル・サードパーティー・リスク管理(以下、TPRM)に係るサーベイは、今日のより不安定になりつつある環境下でサードパーティーに起因するリスクを管理するために用いられる新しいアプローチを示しています。
要点
- リスク部門リーダーは、AIと集中化を利用し、将来に向けてサードパーティーのリスク管理機能の抜本的な改革に取り組んでいる。
- サードパーティーとの関係の数と複雑さが増大する一方で、オペレーショナル・リスクとサイバーセキュリティ・リスクは増大している。
- ビジネスの不確実性とコスト圧力により、サードパーティーのリスク管理の効率性への要請がより高まっている。
近年、世界的なサプライチェーンは、パンデミック、地政学的紛争、気候変動によって引き起こされた度重なるショックに悩まされ、サプライヤーのレジリエンスおよび潜在的なサードパーティーの影響に対する関心がますます高まっています。また、増加するサイバー攻撃により、サードパーティーとの関係を通じたサイバーリスクの可能性が高まっています。IMFの推計では、サイバー攻撃による損失はパンデミック(世界的大流行)以降で2倍以上、2017年以降で4倍以上に増加しています。そのため規制当局の監視の強化や利害関係者の圧力の高まりにより、データプライバシーから環境基準に至るまで、多くのコンプライアンスリスクに関連するサードパーティーの慣行にますます注目が集まっています。これらの進展は、リスクがパンデミック以前よりも相互に関連しながら複雑化し、かつ不安定となってきているという新しい環境を象徴しています。
しかしながら、残念なことに、外部環境の変化が加速する中において、緩やかなスピードで行われ断続的なプロセスに依存しがちな既存のTPRMは、パンデミック以前よりも相互に関連し、複雑化し不安定となりつつある現在のリスク環境とは、根本的に整合性が取れず対応が遅れてきています。
長年にわたり、TPRMプログラムの集中化アプローチの採用は、少なくともこれらの不整合のいくつかに対処するための道筋を提供してきました。しかしながら、組織の制約により、より広範な導入が妨げられることが多く、企業はその可能性を最大限に発揮できていない状況となっています。そのような状況では、AIは、集中化を加速させる方法を提供する選択肢となります。しかし、AIは、それ以上にTPRMを根本的に作り変え、よりレジリエントなものとし、新しいリスク環境に合致する様に調整するというより大きな可能性を秘めています。
2025年EYグローバルTPRMに係るサーベイは、この困難な分野のかじ取りを行うリーダーに貴重な洞察を提供し、企業がTPRMをどのように扱っているかを、ベストプラクティス、課題、今後の見通しを含めて理解することを目的としています。
1
第1章
より多くのサードパーティーとの複雑な関係により生じる新たな課題
今回の調査では、リスク環境がより不安定となり、ビジネスの課題が効率性への圧力を増大させるに従い、リーダーのリスク優先順位が変化していくということが明らかになっています。
2025年の調査では、回答者の57%がオペレーショナル・リスクに対し下請け業者をモニタリングする際に考慮すべき要因として挙げており、2023年の調査の40%から大幅に増加しています。 同様の変化は、重要なサードパーティー(サービスの中断または失敗が組織の運営能力に重大な影響を及ぼす可能性のある事業体)の特定に使用される基準にも見られます。最も使用されている基準は、依然として「財務的影響」(43%)ですが、これに続き「ビジネスプロセス/機能の重要性」(39%)が挙げられます。 一方、「事業の継続性とレジリエンス」の重要性は最も急激に増加しており、2023年の14%から23%に急増しています。
また、サードパーティーエコシステムは、戦略的パートナーシップ、再販業者、ブローカーディーラー、法務関連サービス提供ベンダーなど、従来とは異なるサードパーティーへの依存度が高まっていることによって、さらに複雑になっています。
この課題は、確立されたTPRMプログラム(リスクに基づく優先順位付けの採用により少数のサードパーティーを積極的に管理する)よりも、TPRMの構築から間もない未成熟なTPRMプログラムにおいて特に顕著となっています。 3年未満のTPRMプログラムは、平均275のサードパーティーを管理している一方、10年以上のTPRMプログラムは、平均80のサードパーティーを管理しています。 回答者は、従来とは異なるサードパーティーのモニタリングに関連する負担が増加していると報告しています。 そして、モニタリングされた従来とは異なるサードパーティーの数は、昨年と比較して平均20%増加したことが示されています。企業はまたその先のさらなる委託先であるn番目のパーティーのリスクをモニタリングするためのリソースを費やしており、回答者のほぼ3分の2(64%)が、「サードパーティーの精査には、TPRMプログラムの検証と、サードパーティーの母集団とその下請け業者のリスク/統制評価が含まれる」と述べています。
2
第2章
AIはTPRMプログラムを作り変える前例のない機会を創出する
AIとTPRM管理の集中化の進展は、企業がTPRMの複雑な道のりをナビゲートするのに役立っています。
2025年の調査は、より多くの組織が、集中化された企業規模のTPRMプログラムを使用している傾向を示しています(2023年の54%から2025年には57%に増加)。集中化の利点は、調査データから明らかとなっています。集中化されたTPRM構造を持つ組織の92%は、プログラムの機能、有効性の改善と最適化に直接投資を行っています。その結果として報告された主な利点には、より良いユーザーエクスペリエンス(56%)、意思決定プロセス中のリスクの理解の向上(52%)、データの完全性と正確性(51%)、標準化(51%)が含まれています。
また、AIの出現は、管理の集中化を加速させ、TPRMを変革する機会を提供しています。AIは既存のTPRMプログラムを破壊し、効率性の向上だけでなく、サードパーティーのリスクを特定、監視、管理するための根本的に異なるアプローチへ作り変える大きな可能性を秘めています。しかしながら、TPRMにおけるAIの採用率は依然として低く、TPRMプログラム内でテクノロジーと自動化を最適化している(または「レベル5」の成熟度を達成している)企業はわずか13%にとどまります。
幸いなことに、TPRM部門はAIとデータ分析に投資したいという願望を持っています。 TPRMへの今後の投資の最大の要因は、「デューデリジェンスと契約履行/モニタリング強化のためのAI/ML能力」(31%)であり、2番目は「サードパーティ・モニタリングのためのデータ主導型アプローチ」(28%)、3番目は「効率性とリスク管理目的向上のためのデューデリジェンスの自動化」(27%)となっています。
集中化とAIの間の共生関係は、これらの障壁のいくつかを克服し、AI採用を加速するのに役立ちます。 例えば、集中化されたTPRMの重要な柱は、組織の垂直方向にわたったデータの調和、集中化になりますが、これはAIにとっても重要な前提条件であるため、データ準備の障壁を克服し、AIの採用を加速するのに役立ちます。 同様に、AIは、TPRM管理者に企業およびサードパーティーのエコシステム全体のリアルタイムデータを監視する機能を提供することによって、集中化を促進することができます。
3
第3章
リスク部門リーダーのための3つのアクション
リスク部門リーダーは、TPRMの変革を加速し、集中化とAIの採用による価値の可能性を最大限に引き出すために、次の3つのアクションを実行することが可能です。
1. 企業全体へのフォーカス
TPRMにおいて、AIと集中化の可能性を最大限に引き出すには、企業レベルでの義務(規制、取締役会の義務、投資家の義務など)を理解するとともに、これらがサードパーティーのリスクにどのように変換され、各ビジネスユニットの指標にどのように関連しているかを理解する必要があります。 サードパーティーのエコシステムがビジネス全体にどのような影響を与えるかではなく、特定のリスクのみを検討している場合は、視野を狭めて、最適でない意思決定を行う可能性があります。TPRMは企業全体を横断する取り組みであるため、リスク管理統括責任者を配置し、組織のサイロ全体にわたってリスク管理要件の優先順位を設定し、能動的にリスク管理を推進していくアプローチは非常に有益なオプションとなり得ます。
2. AIへの投資
調査の回答は、TPRMにおけるAIの採用率は低いが、今後数年間で採用を拡大するという意欲を持っていることを示しています。その目的達成には、AIの準備に投資する必要があります。これには、既存のTPRMプロセス、ツール、およびデータ管理手法を徹底的に評価し、AI統合に備えて改善すべきギャップと領域を特定すること、また、データ品質を向上させるためのデータ準備への投資、データ形式の標準化、およびデータガバナンスの実装、そしてスキルのギャップを埋め、トレーニングとスキルアップに投資することによる要員の準備が含まれます。
重要な点は、TPRMの新たなベストプラクティスに歩調を合わせるとともに、AIの次の波に備えるために、トレンドを監視することになります。
3. 仮定に疑問を持ち、転換点を早める
ChatGPTの開始が、GenAIの能力とその真価が発揮されるまでの想定期間に関する仮定をどのように覆したかに示される様に、当初の仮定に基づいて導入が進まなかったテクノロジーが、あるきっかけにより経済合理性が逆転する転換点に達し、一般社会による採用が進むことがあります。私たちは今、TPRMにおけるAI採用の転換点に近づいているかもしれません。近年、サードパーティーとの関係の数と複雑さが増大するにつれて、サードパーティーのリスク評価を手動で行うことのコストは増大しています。しかし、これはAI導入の経済性も変えつつあります。より大きなスケール(数百ではなく数千)で評価を行う場合、AI投資への経済的インセンティブが高まり、投資の回収率向上につながります。
また、この技術の進歩には、さらに大きな転換点が迫っている可能性があります。エージェントAI、マルチモーダルAI、推論AI、自己改善AIなどの新世代のAIモデルは、画期的な機能をもたらしており、それらの組み合わせがTPRMのゲームチェンジャーになる可能性があります。
企業は、この転換点を予測することで、それに備えることができます。それにより、転換におけるシフトを加速させ、将来に投資し、組織構造を再調整することを可能にします。
TPRMは、企業が外部の混乱に適切に対応するために存在しますが、今後は、これまで以上に、その焦点を自身に向ける必要があるのかもしれません。
【執筆協力者】
宮崎 恵一
EYストラテジー・アンド・コンサルティング株式会社 コンサルティング事業部 金融サービス ディレクター
※所属・役職は記事公開当時のものです。
サマリー
2025年EYグローバル・サードパーティー・リスク管理(以下、TPRM)に係るサーベイでは、リスク部門リーダーがどのようにAIと集中化を用い、急速に進化するリスク状況に合わせてTPRM機能を変換しつつあるのかを調査しています。また、彼らは、ビジネスの期待に応えるべく、TPRMの機能をより効率的かつ効果的なものに変換しつつあることを示しています。
関連記事
今日、ありとあらゆる企業が戦略を見直して地政学的リスクに対応しようとしています。本記事では、競合他社に先んじるには、いかに戦略的かつ効率的に投資配分すべきか、企業が取るべき行動について解説します。
EYと国際金融協会(IIF)が実施した銀行のリスク管理に関する調査は、多様化するリスクに対し、より俊敏に対応する必要性が高まっていることを明らかにしています。詳細を表示
通信事業者が対処しなければならないさまざまな脅威は増大する一方です。2025年に通信事業者が直面するリスクのトップ10について、詳しく解説していきます。詳細はこちらをご覧ください。
取締役会が確信を持ってAIのもたらす未来のかじ取りをするには
AIで成長戦略とリスク軽減のバランスを取ることで、取締役会はAIに対する信頼を醸成し、価値創造をし、ヒューマンポテンシャルを高めることができます。
地政学の重要性が増しています。混乱の中にあっても自信を持って未来を形作るために、経営者は地政学戦略を必要としています。
オペレーショナル・レジリエンス活動の価値向上に役立つ3つのポイント
オペレーショナル・レジリエンス確保に向けた活動に本格的に取り組む金融機関が増えつつある中、改めて本活動の意義・目的を踏まえつつ、有効な取り組みとなるよう実現できる価値について考察します。