依存度が高まり各社が取り組みを進めるサードパーティリスク管理

サードパーティが抱えるリスクの多様化

ビジネスの複雑化、サードパーティとの関係の拡大、ステークホルダーの関心の高まりなどの要因から、サードパーティが抱えるリスクは広がりを見せています。

例えば、サプライチェーンのグローバル化に伴う地政学リスク、サードパーティにおけるレピュテーションの問題が自社に波及するリスク、サードパーティまで含め対応が求められるESGリスク、新たなビジネスとしてサードパーティの協力を得て取り組むAI／データ利活用に伴うAIリスク、データリスク、プライバシーリスクなどが考えられます。

TPRMの課題その１ ～統合性

冒頭で述べたように、昨今はサードパーティへの依存度が高まっていることから、オペレーショナル・レジリエンス、サイバーセキュリティ、経済安全保障等の様々な要請においてサードパーティまで含めたリスク管理が求められています。金融機関によってはそれらの各種要請への対応部署が異なり、個別にサードパーティリスク管理にかかる要請に対応していることから、管理がサイロ化し、組織全体におけるリスクを適切に把握することが困難になります。

また、近年はITシステムの実現においてクラウドサービスの利用が普及するにつれ、多くの部署が同一クラウドベンダーとの関係を締結するなど、特定のサードパーティに関係性が集中する傾向にあります。当該サードパーティがサービスを停止した場合には自社の複数のビジネスに同時に影響が生じることとなり、集中リスクを管理する重要性が増しています。多くの金融機関においては集中リスクを可視化するプロセスは存在しておらず、管理することができていません。

TPRMの課題その２ ～専門性

先述の通り、サードパーティとの関係性が多様化し、サードパーティに要求できるリスク管理や情報開示の程度が異なることから、関係性に応じたTPRMを設計する必要があります。TPRMの2線部署には、サードパーティとの関係が外部委託、サービス利用、協業の場合など、それぞれの関係性における責任分界点および相手方に求めることができる管理水準を検討したうえで、サードパーティを管理する1線部署に考え方を示すための知見が必要となります。

また、サードパーティが抱えるリスクが多様化していることに伴い、TPRMの2線部署は、拡大するリスク領域について、各リスクカテゴリの所管部署と協力しつつ、絶えず知識をアップデートし、リスクアセスメントの設計を統括する必要があります。

一方、TPRMの1線部署においては、多様な領域のリスクについて、2線部署が設計したアセスメントの項目および基準を踏まえ、自らが管理するサードパーティのアセスメントを行う必要があります。1線部署の担当者にとってはアセスメント作業が専担業務ではないなかで、多くの知識が必要となることから、必要な知識が不足する傾向にあります。

TPRMの課題その3 ～効率性

サードパーティの数が増え、かつ考慮すべきリスクが多様化するにつれ、TPRMの作業負荷は高まっています。多くの金融機関にとって、サードパーティ1社の管理に費やすことができる時間は限られており、効率化が喫緊の課題となっています。

非効率な作業の代表として、リスクアセスメント作業が挙げられます。サードパーティが担う役割に応じて固有リスクは異なるにも関わらず、全先一律のリスクアセスメント（コントロールベースのアセスメント）となっており、項目の絞り込みが十分になされていません。また、アセスメントツールとして旧来のEXCELから脱却できておらず、サードパーティとメールで受け渡しながら進めていることから、手間と時間を費やしています。

その他、リスクのモニタリングや経営宛レポート作成が手管理となっている点、契約交渉に時間がかかっている点も効率性の課題として挙げられます。

TPRMの課題その４ ～実効性

TPRMの実施事項を形式的には実施しているとしても、実効性を伴っていないケースが散見されます。

代表的な例として、リスクアセスメントの結果が挙げられます。アセスメントはサードパーティが回答する方式を採用していることが一般的ですが、サードパーティは契約締結に向けてネガティブな回答を避ける可能性があることから、契約元として懐疑心を持ち評価することが重要となります。サードパーティの回答に依拠し、契約元としてその妥当性を検証していない場合、仮にサードパーティが事実と異なる回答をした場合に是正できないことになります。また、リスクアセスメントの結果、契約元として受容できないリスクが識別されたとしても、契約の代替候補が見つからないケースがあります。この場合、契約元である1線部署では、当該サードパーティとの契約締結を進めるために意図的にリスクを識別しない、または形式的なリスク軽減策を許容することが考えられます。

その他、同一のサードパーティと複数部署が契約を締結している場合において、各契約部署が作成した事業継続計画を単体で検証する限りは当該サードパーティのサービスが中断した場合の業務代替策の実効性は確保されているものの、複数部署の事業継続計画を総合的に検証した場合には当該サードパーティの全てのサービスが中断した場合の業務代替策を実施することができず、事業継続計画の実効性が確保されていないことがあります。

課題への対応

TPRMの課題について、「統合性」「専門性」「効率性」「実効性」の側面から考察してきましたが、各金融機関においては多くの課題が該当するものと思われます。これらの課題に対しては、下図「課題への対応策」に示すような様々な対応策が必要となります。

これらの課題に対応するため、先ずは組織全体における管理の枠組みに影響する「統合性」の課題から取り組み、その後「専門性」「効率性」「実効性」の各課題に取り組むことが有効と考えられます。

「統合性」の課題を解決するためには、TPRMの統合管理を行う体制を整備するとともに、統合管理プロセスおよび統合管理環境（基盤）の整備を行うことが効果的です。統合管理基盤を構築することは、管理プロセスの一元化をサポートするとともに、集中リスクを含む組織全体のリスクを可視化することができます。

さいごに

本記事で述べたように、TPRMは考慮すべき事項が多く、関連部署が多岐に渡ることから、取り組みを進めることができる体制の組成が重要となります。全社的に対応するため、経営層の強力なリーダーシップの下で取り組むことが期待されます。