[DX推進に不可欠な「デジタルリスクマネジメント」の要諦]

2021年11月19日(金)泉田 理絵（KPMGコンサルティング リスクコンサルティングサービス シニアマネジャー）

リスト

サードパーティリスクマネジメントが重視される理由

　今回取り上げる「サードパーティリスクマネジメント（Third-party Risk Management：TPRM）」とは、企業がベンダー、サプライヤー、ディストリビューター、リセラー、コントラクターなど、自社の経営・ビジネスに関わるサードパーティ（第三者事業者）によりもたらされるリスクを管理するための活動を指す。

　従来、企業は信頼できる評判の高いサードパーティとの取引を中心にサプライチェーンを構築し、長期的な信頼関係を礎として一丸となって競争力向上を図ってきた。ところが近年は、これまでのサードパーティとの関係性だけでは市場のダイナミズムにおいて競争力を発揮することが極めて困難となり、DX推進に向けた戦略に基づく新たなサードパーティとのネットワーク／関係構築が急務となっている。さらに、サードパーティの種類も、上記のほか、ブローカー、エージェント、受託製造業者など多様性を増している（図1）。

図1：複雑化するサプライチェーン／サードパーティネットワーク
拡大画像表示

　新たなサードパーティを、自社既存のネットワークに組み入れることにより、企業にとって好ましくないリスクが出現する可能性が高まる。とりわけコンプライアンス、セキュリティ、事業継続性、レピュテーションなど影響力の大きなリスクが顕在化すると、それがたった1つのサードパーティにおいて発生しただけであっても、サプライチェーン全体を毀損する事態となりうる。

　企業に影響を及ぼすそれぞれのリスクを適切に管理し、評価・対処する手段を持ち合わせていない企業は、もはや市場競争を勝ち抜くことはできない。よって、TPRMは経営者が最も重視しなければならないトピックの1つとなっている（図2）。

図2：TPRMのためのフレームワーク
拡大画像表示

TPRMが抱える現状の課題

　しかしながら、TPRMの実践は容易ではなく、課題も見えている。1つ目に、サードパーティリスクの把握が極めて困難であることだ。

　サードパーティネットワークはいわば1つの大きな組織体と見なすことができる。すなわち、対象リスクは、企業経営において管理すべき「すべて」である。さらに、サードパーティの多様性や複層的な構造、グローバル市場という規模の大きさが、全体を俯瞰することを困難にしている。また、企業が行う取引の種類に応じてリスク認識のポイントが異なるケースも存在する。

　例えば、直接材購買と間接材購買とでは、直接材購買のほうが戦略上の重要性が高いため、優位性の高い部品調達や調達ルート確保、コスト削減、与信管理など、さまざまな対策が取られている。しかしながら、コンプライアンスリスクやレピュテーションリスクなどの特定のリスクに関しては、優先度が低い間接材購買であっても、問題発生時の影響が甚大となるため無視することはできない。加えて、間接材購買は一般的に直接材購買に比して桁違いに対象サプライヤー数が多いこともリスクの把握を困難としている。

　2つ目に、サードパーティとの必要かつ十分なコミュニケーションが、事実上不可能となりつつある点である。リスク低減を図る手法として、例えばCSRアンケート調査の実施や誓約書を取得するなど、サードパーティと直接コミュニケーションをとることが考えられる。

　しかしながら、これらの手法はメールによるやり取りなど、人手に頼った非効率な作業を実施している企業が多く、十分なコミュニケーションが取れているとは言い難い。それゆえに、この方法だけではサードパーティネットワーク全体や対象リスクを網羅することは難しい。

　サードパーティネットワークそのものが複雑化し、多岐に渡る現代においては、人依存の手法ではリソースはいくらあっても足りない。仮にコミュニケーションを取ったとしても、その内容が放置され十分に吟味されなければ、取組み自体が形骸化してしまう。TPRMを本来の目的に照らして実現するには、人に依存せずに必要かつ十分なコミュニケーションがとれるよう、一層の効率化が求められている。

●Next：組織全体のDX推進と合わせて、TPRMのデジタル変革を