サードパーティリスク管理の展望2020

本稿では、KPMGが実施した、組織のTPRMに関する調査の結果に加え、効果的なTPRMのフレームワークおよびTPRMの高度化に向けて組織が講じるべき手段を紹介します。

本稿では、KPMGが実施した、組織のTPRMに関する調査の結果に加え、効果的なTPRMのフレームワークおよびTPRMの高度化に向けて組織が講じるべき手段を紹介します。

サードパーティリスク管理(TPRM)とは、組織がサードパーティの商品やサービスによりもたらされるリスクを評価・管理するために利用するプログラムのことです。サードパーティの業務遂行の失敗は、自組織の評判を傷つけ、コストに多大な影響も及ぼしかねないため、このような問題に対処するためには戦略的なリスク管理が必要です。

TPRMプログラムに適切なガバナンス構造と役割、サービスデリバリーモデルを確保するために、組織は何ができるでしょうか。サードパーティ全体のリスクを効果的に管理しながらも、組織内の関係担当者やその他の関係者がサードパーティに適時に関与できるようにバランスを取るには、どうすればよいでしょうか。さらには、TPRMプログラムがイノベーションと新たなテクノロジーを最大限に活用できるようにするにはどうすればよいでしょうか。このような問いに取り組むため、KPMGは世界14ヵ国および法域と6つの業界において、大規模組織でTPRMを担当する1,100人の上級幹部を対象に調査を実施しました。本レポートでは、TPRM の基本的性質には、産業および地理的領域全体にわたり広範な共通性が見られるという認識のもと、主な結果を提示しています。

ポイント

  • 組織がTPRMプログラムにおいて成功を収めるには、明確なプログラムガバナンスのリーダーシップのもと、サードパーティリスクの特定、監視、管理という明確なプロセスに従う必要がある。
  • 効果的なTPRMのために、多くの組織は自身のオペレーティングモデル全体、ガバナンスの包摂性、プロセス、インフラ、データにわたり改善の余地がある。
  • TPRMの高度化に向けて組織が講じるべき重要な手段は、ビジョンへの合意、モデルの構築、最適化、進化の4つである。

はじめに

TPRMプログラムに関する第1の成功要因は、もっともリスクの高いサードパーティのサービスに時間、労力、専門性を集中させることです。KPMGの調査では、組織にとって極めて重要と考えられるリスク領域と、TPRMプログラムで優先されるリスクとのミスマッチが発見されました。たとえばKPMGの調査では、全セクターおよび地理的領域にわたり、データガバナンスとデータプライバシー(サイバーリスクとともに)がサードパーティ活動の最重要ドライバーでした。(図1参照)しかし、組織がTPRMプログラムで対象とするリスクを調査したとき、データ/プライバシーを優先しているのは回答者のわずか54%にすぎませんでした。TPRMプログラムは、明確に規定されたリスクアペタイトに基づき、よく定義され考え抜かれた戦略を持たなければなりません。

図1 現在、貴組織におけるTPRM活動の最も重要なドライバーは何ですか

図1 現在、貴組織におけるTPRM活動の最も重要なドライバーは何ですか

主な調査結果

本調査の回答者の4分の3(77%)が、TPRMは自身の事業の戦略的優先事項であると述べ、回答者の10人中6人が、自組織にとって、もっとも深刻な評判リスクはサードパーティの業務遂行の失敗によるものだと述べています。これらの結果から、組織が重要な商品およびサービスをクライアントや顧客に届ける上で、サードパーティに大きく依存していることがわかります。

また、自組織の全サードパーティのリスク特性への見通しを組織が獲得する上で、受け入れのプロセスの最初から、また契約の全期間にわたり、全体的リスクを特定し評価する必要がありますが、多くの組織が準備不足です。回答者の4分の3(74%)が、より一貫性のある全組織的なTPRMを緊急に構築する必要があると認めています。

さらに、組織の半数は、直面するサードパーティリスクのすべてを管理するだけの十分な能力を組織内に持ってはいません。そのため、組織は自身に対してもっとも大きなリスクをもたらすサードパーティの商品およびサービスを評価し監視するという、リスクベースのアプローチを取ることで、効率性と有効性の両方を達成することが可能となります。

効果的なサードパーティリスク管理(TPRM)のフレームワーク

効果的なTPRMのためのオペレーティングモデルに関するKPMGのフレームワークは、ガバナンス、プロセス、インフラ、データという4つの柱を基盤とします。各柱は以下に示す特定の要件を持っています。 (完全版についてはPDFをご覧ください。)

ガバナンス
必要なことは何か

  • 組織の外部委託・サードパーティ戦略、および明確に規定されたリスクアペタイト
  • TPRMプログラム全体とTPRMの全ライフサイクルにわたる明確な役割、責任、説明責任

組織が行動を起こさなければならない理由

  • 回答者の74%が、自組織のTPRMプログラムについて、全組織にわたる一層の一貫性を持たせることが喫緊の課題であると答えている
  • 回答者の57%が、外部委託できるサービスとできないサービスの峻別について、全組織的な合意からはほど遠いと答えている

プロセス
必要なことは何か

  • スキルと専門性、処理能力を適切なバランスで備えた評価チーム
  • プロセスを明確化し一貫性を高める手順およびテンプレート

組織が行動を起こさなければならない理由

  • 回答者の52%が、組織のTPRMプログラムは過剰性能であり、事業遂行能力を阻害していると考えている
  • 回答者の67%は、自組織のサードパーティリスク評価は1人の担当者または1つの担当チームによってではなく、組織横断的な多くの人員によって遂行されていると回答

インフラ
必要なことは何か

  • 効率的なワークフロー、タスクの自動化、報告を支援するTPRMのテクノロジーアーキテクチャ
  • TPRM活動およびテクノロジーを既存の全組織的プロセス(調達、法務、財務など)に、そして、既存のリスク監視機能と活動に統合すること

組織が行動を起こさなければならない理由

  • TPRMの最終的責任の所在が組織によって顕著に異なっており、どのオペレーティングモデルを使用するかに関して、統一見解がない
  • TPRMプログラムにおけるルーチンタスクの実行を自動化によって効率性を高めていると答えた回答者は、わずか24%

データ
必要なことは何か

  • サードパーティの評価、研修、活動の監視を管理するTPRMプログラムの能力と、各サードパーティのサービスの具体的成果およびサードパーティが事業を行う統制環境を管理するTPRMプログラムの能力に関するリアルタイムのデータ収集
  • 問題や外部要因が発生したり、サードパーティの統制環境に変化が生じたりするなど、リスクスコアの変更が生じた場合に、サードパーティのリスク特性を可能な限りリアルタイムで更新するプロセス

組織が行動を起こさなければならない理由

  • サードパーティのデータを組織内で共有する際、互換性のないシステムなどの技術的障壁が主な障害となっていると述べた回答者は37%
  • サードパーティとの契約における自組織の在庫の電子記録、リスク監視、報告、サードパーティの在庫の管理に関して大いに自信があると答えたのは、回答者の半分未満

TPRMの高度化に向けて

ガバナンス、プロセス、インフラ、データの4つの柱にわたって確実な最適化を達成するために組織が講じるべき重要な手段は、ビジョンへの合意、モデルの構築、最適化、進化の4つです。

1.ビジョンへの合意
全組織的TPRMプログラムについて主な検討事項は、プログラムに担当責任者を指名し、組織内のどこにTPRMを任せるかを決めることです。KPMGの調査では、リスクおよびコンプライアンス(30%)か、あるいは財務、総務、オペレーション(29%)が責任を負う可能性がもっとも高くなっています。

プログラムのビジョンの確立とガードレールおよび責任者の設定の次は、テクノロジーを可能にする野心を抱くことです。TPRMの拡大とチームが大量のデータを処理し分析するのを支援する上で、TPRMプログラム全体の自動化が欠かせないことは、多くの組織が認識しています(図2参照)。しかし、テクノロジーは進歩のドライバーというよりは、進歩を可能にするものと見なすべきであり、脆弱なプロセスを自動化しても、これらのプロセスが劇的に強化されることはありません。

図2 次の中で、今後12ヵ月および今後3年において、 貴組織のチームが最も時間と労力を集中させる取組みはどれですか

図2 次の中で、今後12ヵ月および今後3年において、 貴組織のチームが最も時間と労力を集中させる取組みはどれですか

2.モデルの構築
組織は、リスク評価活動の遂行にどのモデルを使用するかを検討しなければなりません。事業部門ごとに固有のリスク評価活動を調整する分散モデル、あるいは一元管理チームがリスク評価活動を実施する一元管理型モデルがあります。また、2つのモデルの混合型も見られます。

3.プロセスの最適化
プロセスの最適化は、既定のリスク基準と重要性基準値を満たさないサードパーティが、TPRMプログラムによる評価へと進むことがないようにすることを目的とします。組織はリスク峻別プロセスを2つの方法で最適化することができます。1点目はサードパーティのサービス全体に規律あるリスクスコアリングメソッドを確立すること、つまりリスクのセグメント化であり、2点目はコスト削減と説明責任の徹底のためのサービスデリバリーモデルの強化です。

4.進化と革新
TPRMプログラムにおいて、情報収集とサードパーティの統制情報の評価に、もっとも多くの努力が費やされていることを考えると、これらはもっとも投資対象として関心が高まっている領域です。今後数年では、次の2つの広範なトピックにわたり大幅な進歩が予想されます。

  • デューデリジェンスの共有に業界全体で対応
  • サードパーティの統制環境をより継続的かつ一貫性ある仕方で評価するために、テクノロジーとスコアリングサービスを使用

調査回答者の過半数は、コスト削減のために共有の評価情報を活用しているか、あるいは今後活用したいと考えています。また、TPRMテクノロジーのイノベーションに関しては、組織は限られた予算を新たなツールに集中させていることがわかります。(図3参照)

図3 TPRMのどこに資金を投資していますか

図3 TPRMのどこに資金を投資していますか

結論

本調査では、あらゆるセクターと地理的領域にわたる組織が、TPRMを戦略的優先事項にするべく適切に検討していることが明らかとなりました。組織はTPRMに積極的アプローチを取り、テクノロジーの強化とイノベーションを通じて既存プロセスを洗練させ拡大する方法を探求しています。しかし、多くの組織にとってTPRMはまだ完成途上です。組織は、重要な顧客/クライアントに対するサービスデリバリーにおいてサードパーティが果たす役割を正確に理解し、それに応じて方針と統制を調整することで、重要な顧客/クライアントのサービス全体にわたり事業のレジリエンスを改善しなければなりません。

英語コンテンツ(原文)

金融機関に関する最新情報

お問合せ