サードパーティ リスク管理 (TPRM) には、ベンダー、サプライヤー、請負業者、またはパートナーへのアウトソーシングに関連するリスクの特定、評価、および管理が含まれます。これらのリスクは、運用パフォーマンス、財務安定性、規制遵守、および評判に影響を与える可能性があります。効果的な TPRM プログラムにより、サードパーティが組織の標準と要件を満たすことが保証され、潜在的な混乱や悪影響が最小限に抑えられます。 

TPRMの重要性は近年、現代のサプライチェーンの複雑性と相互接続性の高まりに牽引され、大幅に高まっています。KPMGインターナショナルが2022年に実施した調査では、世界6つのセクター、16の国、地域、管轄区域にわたる1,263人のTPRM上級専門家を対象に調査を実施しました。その結果によると、TPRMは85%の企業にとって戦略的優先事項であり、パンデミック発生前の77%から増加しています[1]。さらに、2022年9月にガートナーが100人の経営リスク委員会メンバーを対象に実施した調査では、回答者の84%がサードパーティのリスク「見逃し」が業務の混乱につながったと回答しており、堅牢なTPRMフレームワークの必要性が強調されています[2]。 

ESG (環境、社会、ガバナンス) 基準の観点では、サードパーティのリスク管理も同様に重要です。サードパーティが ESG 基準に準拠していることを確認することは、組織の業務の持続可能性と倫理的誠実性を維持するために不可欠です。規制の監視が強化され、責任あるビジネス慣行に対する消費者の需要が高まる中、TPRM を ESG イニシアチブに統合することで、企業はリスクをより効果的に管理し、環境と社会にプラスの影響を及ぼします。この連携は、組織の評判を保護するだけでなく、長期的な回復力と成功にも貢献します。 

ESGにおけるサードパーティリスクの理解  

まず、サードパーティ リスクについて見ていきましょう。サードパーティ リスクとは、組織がベンダー、サプライヤー、請負業者、ビジネス パートナーなどの外部組織にサービスや機能をアウトソーシングする際に発生する潜在的な脅威と脆弱性を指します。これらのリスクは、業務の中断、金銭的損失、法的責任、規制違反、評判の低下など、さまざまな形で現れる可能性があります。基本的に、サードパーティ リスクは、行動、管理、慣行が雇用組織の基準や期待に完全には一致しない可能性がある外部組織に依存することから発生します。企業がグローバル サプライ チェーンや相互接続されたネットワークにますます依存するようになるにつれて、堅牢なサードパーティ リスク管理システムの重要性が極めて高くなります。これらのシステムは、回復力、コンプライアンス、および持続的な運用の整合性を確保し、サードパーティへの依存に関連する無数のリスクから組織を保護します。 

環境、社会、ガバナンス (ESG) の要素は、サードパーティのリスク評価と管理において非常に重要です。70% を超える企業が業務の効率化のためにアウトソーシングに依存しているため、サードパーティのベンダーとサプライヤーは組織の ESG プロファイルとレポートに大きな影響を与えます。しかし、多くのサードパーティのリスク専門家は、サードパーティのデータを ESG の透明性とレポートの取り組みに統合するのに苦労しています。このトピックに関する実用的なガイダンスが不足していることを考えると、この課題は理解できます。TPRM チームは、ESG の考慮事項の必然的な統合に備える必要がありますが、どうすればこれを効果的に達成できるかという疑問が残ります。 

環境リスク 

環境リスクとは、組織の事業が自然環境に及ぼす潜在的な影響を指します。これには、汚染、資源の枯渇、炭素排出、廃棄物管理の問題などが含まれます。サードパーティのリスク管理に関しては、これらのリスクを特定して評価することが非常に重要です。なぜなら、これらのリスクは組織の環境持続可能性の目標に影響を与える可能性があるからです。 

• 汚染： 第三者は、製造、廃棄物処理、輸送などの活動を通じて環境汚染に加担する可能性があります。その結果、大気、水、土壌が汚染され、生態系や公衆衛生に害を及ぼす可能性があります。 
• 炭素排出量： サードパーティの業務は、温室効果ガスの排出に大きく寄与する可能性があります。二酸化炭素排出量の多い企業と提携すると、組織の全体的な環境への影響を削減する取り組みが損なわれる可能性があります。 
• 廃棄物管理の問題: 第三者による廃棄物管理が不十分だと、有害廃棄物や非有害廃棄物が不適切に処分される可能性があります。その結果、環境被害や規制遵守の問題が生じ、パートナー組織の評判が損なわれる可能性があります。 
• 環境規制への不遵守: 第三者が地域および国際的な環境規制を遵守しない場合、組織は法的責任、罰金、制裁を受ける可能性があります。また、このような不遵守は組織のイメージや利害関係者の信頼を損なう可能性もあります。 
• サプライチェーンのリスク: サプライチェーンの第三者は、持続不可能な農業、違法な伐採、採掘などの慣行を通じて環境リスクをもたらす可能性があります。これらの慣行は、地球環境の持続可能性に広範囲にわたる影響を及ぼす可能性があります。 
• 風評被害： 環境面での実績が悪い第三者と関わると、組織の評判が損なわれる可能性があります。顧客や投資家などの利害関係者は、組織が環境に有害な行為に加担しているとみなす可能性があります。 

第三者の行為による汚染の顕著な例としては、2010 年にメキシコ湾で発生した BP の原油流出事故が挙げられます。BP はトランスオーシャンやハリバートンなどの下請け業者に業務を委託していましたが、その失敗が最悪の環境災害の 1 つにつながりました。この流出事故は、広範囲にわたる水質汚染、海洋生物の壊滅、メキシコ湾の生態系への長期的なダメージにつながりました。もう 1 つの例は、フォルクスワーゲンの第三者サプライヤーが関与した排ガス不正です。フォルクスワーゲンは、第三者のソフトウェアを使用して排ガス試験を不正に通過させ、車両から制限値の 40 倍もの汚染物質を排出させました。この「ディーゼルゲート」スキャンダルは深刻な環境被害を引き起こし、フォルクスワーゲンに重大な法的および経済的影響をもたらしました。これらの事件は、環境目標と規制への準拠を保証するために、第三者の業務に対する厳格な調査とコンプライアンス チェックの必要性を浮き彫りにしています。 

社会的リスク 

社会的リスクは、社会リスクまたはコミュニティ リスクとも呼ばれ、組織の行動が社会や地域社会に与える影響を網羅します。これには、労働慣行、人権侵害、社会的弱者への影響などが含まれます。サードパーティのリスク管理チームは、法的、評判、および業務上の混乱から組織を保護するために、社会的リスクを評価する必要があります。 

• 労働慣行: 第三者は、コスト削減のために、強制労働や児童労働などの搾取的な労働慣行に従事する場合があります。これは、パートナー組織の倫理基準に悪影響を及ぼし、顧客や利害関係者との関係を危険にさらす可能性があります。 
• 人権侵害: サードパーティの業務は、差別、危険な労働条件、労働者の権利の否定などの人権侵害を引き起こしたり、人権侵害の一因となったりする可能性があります。これらの違反は法的責任を負い、組織の評判を傷つける可能性があります。 
• 労働法の不遵守: 労働法を遵守しない第三者と提携すると、組織は法的責任や罰則を負う可能性があります。また、責任ある雇用主としての組織の評判が損なわれる可能性もあります。 
• サプライチェーンのリスク: サードパーティのサプライヤーは、紛争地域から材料を調達したり、搾取的な労働条件を採用したりするなど、人権侵害に関与している可能性があります。これは、パートナー組織にとって重大な評判リスクを生み出す可能性があります。 
• 風評被害： 社会的リスクに関与する第三者と提携すると、組織の評判が損なわれ、責任ある慣行に向けた取り組みが損なわれる可能性があります。その結果、顧客、投資家、従業員などの利害関係者からの信頼を失う可能性があります。 

第三者による事業運営に関わる人権侵害の顕著な例としては、ネスレ製品用のカカオ生産における児童労働が挙げられます。2015 年、ネスレはサプライ チェーンで児童労働を使用しているとして訴訟に直面しました。この申し立てに迅速に対応しなかったため、同社は大きな評判の失墜と法的措置を余儀なくされました。もう 1 つの例は、バングラデシュの衣料品工場が倒壊し、1,100 人以上の労働者が死亡したラナ プラザの悲劇です。この工場はウォルマートやプライマークなどの企業向けに衣料品を生産しており、第三者サプライヤーの非倫理的な労働慣行が露呈しました。この事件により、組織にとって責任ある調達とサプライ チェーン管理の重要性が明らかになりました。 

ガバナンスリスク 

ガバナンス リスク (コーポレート ガバナンス リスクとも呼ばれる) には、組織がサード パーティとの関係を効果的に管理するために従わなければならない内部ポリシーと手順が含まれます。これらのリスクは、不適切な管理方法、不適切な監視、説明責任の欠如から発生する可能性があり、金銭的損失、評判の低下、規制上の罰則につながります。サード パーティ リスク管理チームは、潜在的なリスクを軽減し、組織の利益を保護するために、ガバナンス プラクティスが堅牢であることを保証する必要があります。 

• デューデリジェンスの欠如: 第三者に対する徹底したデューデリジェンスを実施しないと、組織の基準を満たしていない、または規制に準拠していない組織と提携することになり、金銭的損失や評判の低下につながる可能性があります。 
• 監督と監視の弱さ: サードパーティの活動に対する監視が不十分だと、契約条件、規制要件、倫理基準に違反する可能性があります。サードパーティが組織のガバナンス ポリシーに準拠していることを確認するには、継続的な監視が不可欠です。 
• 利益相反: 第三者とのパートナーシップは、意思決定プロセスに支障をきたし、利害関係者の信頼を損なう可能性のある利益相反を引き起こす可能性があります。このような利益相反を特定し、軽減するには、透明性のあるガバナンス慣行が必要です。 
• サイバーセキュリティとデータプライバシーに関する懸念: サードパーティとの関係は、データ侵害やサイバー攻撃に関連するリスクをもたらす可能性があります。機密情報を保護するには、厳格なサイバーセキュリティ対策とデータ プライバシー プロトコルを実装することが不可欠です。 
• 風評被害： サードパーティとの関係を管理する際のガバナンス慣行が不十分だと、評判が損なわれ、組織の信頼性と利害関係者の信頼に影響を及ぼす可能性があります。強力なガバナンス フレームワークを確保することが、良好な評判を維持する鍵となります。 

ガバナンス リスクの一例として、ウェルズ ファーゴの口座詐欺スキャンダルが挙げられます。このスキャンダルでは、不適切なガバナンス慣行により、従業員が売上目標を達成するために何百万もの不正口座を作成できました。このスキャンダルにより、多額の罰金、法的影響、ウェルズ ファーゴの評判の失墜が発生しました。もう 1 つの例として、エンロンの破綻が挙げられます。この破綻は、コーポレート ガバナンスの不備、透明性の欠如、第三者監査人の非倫理的な慣行が原因で発生しました。この破綻は、史上最大の企業倒産の 1 つにつながり、このような失敗を防ぐための強力なガバナンス構造の重要性を浮き彫りにしました。 

最終的な感想 

今日の相互接続されたビジネス環境では、サードパーティのリスクを管理することが、組織の法的地位、評判、および運用効率を保護するために不可欠です。社会的リスクとガバナンス リスクは、リスク管理チームが対処しなければならない 2 つの主要な懸念事項です。非倫理的な労働慣行や人権侵害から、脆弱なガバナンス フレームワークや不適切な監視まで、これらのリスクは適切に管理されなければ、重大な悪影響を及ぼす可能性があります。  

ネスレのサプライチェーンにおける児童労働の使用や、ウェルズ・ファーゴとエンロンのガバナンスの失敗など、注目を集めた事例は、デューデリジェンス、強力な監視、そして強力な倫理的慣行の必要性を強調しています。組織は積極的に取り組み、サードパーティとの関係が最大限の誠実さとコンプライアンスをもって管理されるようにする必要があります。 

今後、環境、社会、ガバナンス (ESG) 基準をサードパーティのリスク管理プログラムに実装することがますます重要になります。次のブログでは、ESG 原則を組織のリスク管理戦略に効果的に統合するために必要な手順について説明します。サードパーティのリスク管理フレームワークを強化するための実用的な洞察とベストプラクティスにご注目ください。 

 

情報源 

[1] https://assets.kpmg.com/content/dam/kpmg/xx/pdf/2022/01/third-party-risk-management-outlook-2022.pdf 

[2] https://www.gartner.com/en/newsroom/press-releases/2023-02-21-gartner-survey-shows-third-party-risk-management-misses-are-hurting-ororganizations