グローバル金融機関向け サード・パーティー・ リ...
TRANSCRIPT
グローバル金融機関向けサード・パーティー・ リスク管理サーベイ
サード・パーティー・リスクに対する 考え方を今こそ転換すべきか2018年4月
目次サード・パーティー・リスク管理の成熟度を高める深い洞察力 ..................................4
エグゼクティブ・サマリー .................................................................................6
委託先数:依然として続く減少傾向 ......................................................................8
テクノロジー:統合という大きな課題 .................................................................14
オペレーティングモデル:増加傾向にあるTPRM一元管理 .....................................18
監視・ガバナンス・イシュー管理:品質保証への注力はTPRM成熟化の表れ .............22
再委託先管理:隠れたリスクの存在 ....................................................................30
サイバーセキュリティとデータ漏えい:GDPR遵守のプレッシャー ..........................34
インダストリー・アライアンス: TPRMに対する考え方を根本的に変えてしまう可能性 ...........................................38
評価フレームワークと規制:進む標準化 ..............................................................40
業界の見通し:主要な投資分野 ..........................................................................50
お問合せ先 ....................................................................................................52
サード・パーティー・リスク管理の 成熟度を高める深い洞察力過去10年の間に、規制当局による監視強化、顧客による安全性への期待の高まり、かつてない速さで進化し続けるテクノロジーを背景として、リスク管理は金融機関の事業運営モデルの中でこれまでにない重要性を持つようになりました。その中でも、委託先に関するリスクの管理は課題も多く、委託先企業がどのようにデータを利用・保護しているか、特に重要なサービスを提供し続けるための事業体制をどのように確保しているかなど、委託先企業に関わる説明責任が金融機関に対して問われています。
このような事業環境下で金融機関にとって重要となるのは、サード・パーティー・リスク管理(TPRM:Third Party Risk Management)の法的要件にとらわれるのではなく、この機能が組織にとって大きな成功要因になり得るという視点を持つことです。効果的なTPRMとは、単に規制当局の求める要件を満たすということではなく、現在そして将来を見越したリスクを管理しつつ企業価値向上を図るということです。TPRMを効率的かつ戦略的に実行することで、オペレーティング・コストの削減に加え、顧客とより密接な信頼関係を構築する土台ができ、それにより長期的な競争力を高めることができるのです。
「効果的なTPRMによって、オペレーティング・コストの削減に加え、顧客とより密接な信頼関係を構築する土台ができます」
Matt Moog プリンシパル アーンスト・アンド・ヤングLLP 金融サービスアドバイザリー
4 | グローバル金融機関向け サード・パーティー・リスク管理サーベイ
EYの金融機関向けサード・パーティー・リスク管理サーベイは、TPRM機能の管理、モニタリング、強化に関する洞察を提供することを目的として実施しています。業界の動向や先進的なTPRM戦略を把握することにより、企業はTPRM機能の成熟度を高めることが可能となり、金融業界におけるリスク対応の発展にも資すると考えています。
今回で6回目となる本調査では、以下の分野に焦点を当てました。
• 委託先数
• テクノロジー
• オペレーティングモデル
• 監視・ガバナンス・イシュー管理
• 再委託先管理
• サイバーセキュリティとデータ漏えい
• インダストリー・アライアンス
• 評価フレームワークと規制
• 業界見通し
今回の調査結果によると、テクノロジーの統合や取締役会への報告など、改善すべき分野はあるものの、企業や業界内のTPRMの成熟度は着実に高まっています。特に、ガバナンスと監視において大きな進歩がみられ、以前より多くの企業がTPRMについて経営幹部に報告する、あるいは報告プロセス自体の改善といった課題に取り組んでいます。「計測できるものは管理できる」と言われるように、TPRMの状況を把握し問題点を特定しようとする企業は、解決すべき問題に積極的に取り組むことができると考えられます。
本調査の結果が、貴社のTPRM戦略に磨きをかける一助となれば幸いです。調査結果について貴社と話し合い、またTPRM機能が今後どのように成熟化していくのかEYとしての見解を共有させて頂く機会を楽しみにしています。
Matt Moog プリンシパルアーンスト・アンド・ヤングLLP 金融サービスアドバイザリー
5グローバル金融機関向け サード・パーティー・リスク管理サーベイ |
サーベイ結果のハイライト委託先数• 3分の2超(68%)の企業が、委託先のうちTPRMプログラムの対象となる企業の割合は全体の4分の1未満と回答し、3年前の47%から大幅に増加しました。これは企業が以前よりも、リスクを精査・評価し優先順位をつけられるようになったことを示しています。
テクノロジー• ほぼすべての企業(96%)が、テクノロジーの統合という点において望まれる水準に達していません。実際、81%の企業が、自社のテクノロジーの統合度や報告が必要なリスク情報を捕捉・収集する力について、中立的または否定的な見解を示しています。
オペレーティングモデル• TPRM機能の一元化が進んでおり、一元管理をしていると回答した企業は、2016年度の45%から、今回57%に増加しています。分散管理をしている組織はわずか7%で、2016年度の14%に比べ減少しています。
監視・ガバナンス・イシュー管理• 委託先のデータ漏えいやセキュリティ事故について取締役会に報告している企業は全体の4分の1未満となりました。一方、60%超の企業で、これら事象を経営幹部へ報告しています。
再委託先管理• 再委託先の有無を確認している企業の半数以上(60%)は、モニタリングとガバナンスを目的とした継続的な再委託先の情報管理を行っていませんでした。
エグゼクティブ・サマリー
EYによる最新の金融機関向けサード・パーティー・リスク管理サーベイとなる本調査では、回答企業の大多数において、TPRMという重要な機能のガバナンスと監視に対して大幅な改善と機能強化が見られました。その一方で、引き続き課題として残っている分野もあり、例えば、業務委託の開始から終了までのプロセスを通じて統合的に活用できるテクノロジーがないこと、委託先に関する情報を正確かつ迅速に報告できる仕組みがないことなどが挙げられます。
全体としては、委託先管理の成熟度は高まっていることが分かりました。これは主に、米通貨監督庁(OCC)による2017年の規制強化に加え、回答企業のうち銀行業に属する企業による取組みの成果が反映された結果です。引き続き多くの企業が、全体的なリスク管理プログラムの体制と適用範囲の見直しを進めており、管理機能の一元化、委託先数の合理化(委託先全体の数、リスク管理の対象となる委託先数の両面において)や、品質保証(QA)と品質管理(QC)の両機能の規模を最適化するといった取組みに注力する傾向が見られました。銀行業は、規制当局による監視が厳しいこともあり、保険業や資産運用業の企業に比べ、堅固かつ成熟したTPRMプログラムが確立されている傾向が伺えました。
6 | グローバル金融機関向け サード・パーティー・リスク管理サーベイ
今後の見通し業務委託の開始から終了までのプロセスを通じて統合的に活用できるテクノロジーに対して、これまで以上に投資していくと回答した企業が多かったのは、業界内でこの分野への課題意識が強いことを表しています。また94%の企業が、ガバナンスと報告の改善を目的として、委託先リスクに関するテクノロジーに対し、2018年もこれまでと同額あるいはそれ以上の予算を投じる予定でいます。さらに、大部分の企業は、TPRMプログラムのデューデリジェンスや継続的モニタリング要件への対応を改善するため、アライアンスや業界共通の仕組みを活用して委託先の評価や情報共有をすることを検討しています。
「日常業務におけるツールとして、報告の仕組みとして、また委託先との関係におけるリスク管理を強化する手段として、テクノロジーを有効活用するということに主に注力している」
金融機関の経営幹部
サイバーセキュリティとデータ漏えい• すべての回答企業が、一般データ保護規則(GDPR)要件を満たすには、最低でもある程度の努力が必要と答えました。
インダストリー・アライアンス• 回答企業の半数近く(44%)が、共通の評価フレームワークの活用、評価サービスプロバイダの共同活用、共通の評価担当者の活用といった形で、効率性を高めるべくアライアンスまたはコンソーシアムの活用を検討しています。
評価フレームワークと規制• 回答企業のうち、ほぼ4社に3社(72%)が、業界の標準的な調査票を使用、あるいはそれに対して自らが改定を加えた調査票を利用して委託先を評価しており、その割合は2016年の44%から増加しました。一方、その企業独自の調査票を利用している企業は少数でした(今回28%で、2016年の46%から減少)。
「今回の調査では、過去最多の企業より回答を頂きました。調査結果によると、リスクモデル、評価方法やガバナンスなどの分野においては、各企業とも一定の対応が完了しつつあります。一方、テクノロジーや、一般データ保護規則(GDPR)などの規制分野については、やはり引き続き対応に難しさを感じているようです」
Chris Ritterbush エグゼクティブ・ディレクター アーンスト・アンド・ヤングLLP
7グローバル金融機関向け サード・パーティー・リスク管理サーベイ |
注目ポイント• 3分の2超(68%)の企業が、委託先のうちTPRMプログラムの対象となる企業の割合は全体の4分の1未満と回答し、3年前の47%から大幅に増加しました。また、すべての委託先をプログラムの対象としている企業はわずか6%となり、3年前の19%から減少となりました。これは、「すべての」委託先を対象にすべきという規制当局の厳しい考え方が和らいだことを示しています。
• 上位2階層のリスク区分に分類される委託先数は減少が続いており、最も高いリスクを有する委託先へのデューデリジェンスを重視する傾向が見られます。今回、75%近くの企業が、最高リスク区分に該当する委託先は全体の10%未満であると回答しており、その割合は2016年の50%に比べ増加しています。
• 回答企業の多くは、事業活動へ重大な影響を及ぼす可能性と、取り扱うデータの機密性を、重要な委託先を判断する際の基準としており、これは米国消費者金融保護局(CFPB)による定義とも整合しています。
プログラム対象範囲を縮小し、 高リスクの委託先へ集中過去4年間にわたり、企業の委託先数は着実に減少しています。委託先数が10,000未満の企業は、3年前の58%から現在では80%に増加しています。
企業は委託先の数を引き続き減らしていますが、今回の調査では回答企業の平均従業員数がわずかながら以前より減っているということも注目するべき点です。これが委託先数の減少の一要因となっている可能性はありますが、同時に、業界内で比較的規模が小さい企業についても以前よりTPRMへ取り組む傾向にあることをも示しています。今回の調査では、従業員数が25,000名未満の企業6社が新たに加わった一方、従業員数25,000名を超える企業の数は、基本的に前回と変わりありませんでした。
リスク管理の対象となる委託先の範囲設定、委託先の評価、および優先順位付けの方法について、企業は引き続き改善を続けています。リスク管理の対象となる委託先の範囲を大きく減らしたことによって、企業はより高いリスクを有する委託先に資源や労力を投入し、付加価値の低い作業にかかるコストを削減することができます。
8
委託先数:依然として続く減少傾向
8 | グローバル金融機関向け サード・パーティー・リスク管理サーベイ
9
80%
58%
21%
21%
6%
9%
73%
15%
5%
0%
0%
12%
50,000社~69,999社
30,000社~49,999社
10,000社~29,999社
10,000社未満
Approximate number of third-parties
2016 2018
2014
Proportion of third parties in scope
28%
40%
13%
13%
22%
6%
6%
6%
16%
31%
0%
0%
0%
19%すべての委託先に何らかの
リスク評価が必要
81%から99%
61%から80%
41%から60%
26%から40%
10%から25%
10%未満
2014 2018
委託先数貴社の委託先は約何社ありますか。
リスク管理対象となる委託先の割合貴社のリスク管理プログラムの対象となる委託先の割合は どれくらいありますか。
委託先数(概数) リスク管理プログラムの対象となる委託先の割合
9グローバル金融機関向け サード・パーティー・リスク管理サーベイ |
最高リスク階層に区分される委託先数は減少上位2階層のリスク区分に分類される委託先数は減少が続いており、最も高いリスクを有する委託先へのデューデリジェンスを重視する傾向が見られます。今回、75%近くの企業が、最高リスク区分に該当する委託先は全体の10%未満であると回答しており、その割合は2016年の50%に比べ増加しています。また、62%の企業が、2番目に高いリスク区分に分類される委託先の割合は20%未満であると回答しました。3番目に高いリスク区分に分類される委託先の割合が最も多く、79%の企業が、モニタリングと評価の対象となる委託先の割合は15%以上であると回答しました。
この結果に加え、リスク評価の対象となる委託先の割合が全体の4分の1未満である企業が大多数であることを合わせて考えると、企業が従来よりも委託先にかかるリスクを選別できている傾向が見て取れます。これによって企業は、よりリスクが高い委託先の管理を強化でき、またリスクに対してより良い判断ができるようになります。
最高リスク区分に該当する委託先は全体の10%未満であると回答した企業が大半を占めるようになったということは、ようやく市場が住宅ローン危機の影響を吸収し、高リスクの委託先の割合も危機以前の妥当なレベルに戻ったことを示しています。
最高リスク区分に分類される 委託先の割合
2番目に高いリスク区分に分類される 委託先の割合
3番目に高いリスク区分に分類される 委託先の割合
19%
48%
28%
24%
16%
12%
12%
33%
33%8%
22%
31%
5%
8%
0%
17%
18%
17%
10%
6%
0%
32%
19%
48%33%
11%
21%
14%
19%
34%
8%
13%
29%
35%
15%
6)2018 2016 2014 2018
1%未満 10%未満 10%未満
1%から5% 10%から15% 10%から15%
6%から10% 16%から20% 16%から30%
11%から15% 21%から25% 31%から50%
15%超 25%超 50%超
10 | グローバル金融機関向け サード・パーティー・リスク管理サーベイ
重要な委託先を特定する企業が増加回答企業の多くは、事業活動へ重大な影響を及ぼす可能性と、取り扱うデータの機密性を、重要な委託先を判断する際の基準としています。
95%を超える企業が、重要な委託先のリストを管理しており、その割合は2016年の90%から増加しました。その内の約50%の企業は重要な委託先の数が40社以下であり、また75%の企業は重要な委託先の数が80社以下と回答しました。
その一方で、重要な委託先の数が100社超と回答した企業は、2年前の13%から今回20%に増加しました。
19%
22%24%
9%
9%13%
6%
10%
4%
4%
10%
0%0%
20%13%
16%
7%
42%
16%33%
30%
重要な委託先を指定していない
100社以上
81社~100社
61社~80社
41社~60社
21社~40社
20社以下
Number of Critical Third Parties
2016 2018
2014
重要な委託先をリスト化することにより、取締役会は重大な問題点に集中し、評価や報告、監視のレベルを引き上げるように要請することができるようになります。また多くの場合、重要な委託先に変更があればその国の規制当局に直接報告する必要があります。加えて、重要な委託先を他のリスク区分より高いレベルで監視することを主旨とした、当局による要注意事項の喚起(MRAs:Matters Requiring Attention)が銀行業界において多数見られます。規制当局によって最近提案された指針にみられるように、業界およびセクターにとって重要な委託先という考え方を当局が強めるにつれて、重要な委託先への監視を求める傾向はさらに強まっていくものと思われます。
重要な委託先の数貴社の重要な委託先は何社ありますか。
11グローバル金融機関向け サード・パーティー・リスク管理サーベイ |
重要な委託先の定義については見解が一致大部分の企業は、引き続き、以下の基準に基づいて重要な委託先を指定しています。
• 事業活動へ重大な影響を及ぼす可能性(81%)
• サービス提供の際に取り扱うデータの機密性(63%)
なお、重要な委託先を指定するための主要な基準は、すべての委託先にかかるリスクを評価する際の重要な基準にもなる、ということに注意が必要です。
81%
80%
63%
74%
サービス提供の際に取り扱うデータの機密性
事業活動へ重大な影響を及ぼす可能性
Most important criteria to define criticalthird party
2016 (46)2018 (54)
重要な委託先を指定する基準
12 | グローバル金融機関向け サード・パーティー・リスク管理サーベイ
委託先情報の更新が自動化されている企業は 限定的半数を超える企業において、調達部門が委託先に関する主要データ(golden source)を所管しています。
業務効率の改善のためにテクノロジー・プラットフォームの活用が進んでいるものの、回答企業の89%が、新たなサービスの追加により委託先のリストを更新する際に手動でのデータ更新を必要としています。
委託先に関する主要データの更新を自動で行っている企業は3社に1社の割合でしかなく、しかもその内3社に2社は更新の完了や正確性を人の目で確認する必要があります。
テクノロジー:統合という大きな課題
Technology integrationTotal (53)
4321-全く統合されていない
5-全面的に統合されている19%38%
15%24%
4%
「当社では完全に異なるシステムが混在しており、これらシステムを統合していかねばならない。リスクに関する情報は世の中に溢れており、おそらくリスク管理にかかる事業運営の効果を高めるための情報も溢れているだろう。情報自体は沢山あって、その情報の収集こそが、まさにテクノロジーの支援が必要な部分だと考えている」
資産運用会社の経営幹部
報告に必要となる全リスクの情報を、前述のツールがどの程度統合的に捕捉・収集できているか、5段階で評価ください(1「全く統合されていない」から5「全面的に統合されている」)
テクノロジー統合
注目ポイント• かなりの割合(43%)の企業が、自社のTPRMツールの統合度や報告が必要なリスク情報を捕捉・収集する力について、否定的な見解を示しました。なお、中立的と回答した企業は38%でした。また、40%を超える企業が、TPRMツールの統合について改善の余地が大きいと感じています。自社のTPRMツールが統合され、報告が必要なリスク情報を捕捉・収集する力が十分にあると感じている企業は20%未満でした。
• 過去数年間にわたる継続的なテクノロジーへの投資にもかかわらず、新たなサービスの追加により委託先のリストを更新する際、89%の企業が手動でのデータ更新が必要だと回答しました。
統合が不十分な場合に生じるリスク報告漏れの可能性TPRMテクノロジー・プラットフォームに対する投資が増加し続けている一方、他ツールとの統合は進んでいません。
テクノロジー環境が、全面的あるいは大幅に統合されていると回答した企業は20%未満でした。実際、40%を超える企業が、さらに統合する余地が大きいと感じています。このような結果から、全リスクの報告に必要となるテクノロジーの統合が、引き続き進んでいないことが分かります。回答企業の中で、自社のテクノロジーが全面的に統合されていると答えた企業は、20社中1社にも及びませんでした。
14 | グローバル金融機関向け サード・パーティー・リスク管理サーベイ
委託先に関する主要データはどの部門が所管していますか。新たなサービス追加に伴う委託先に関する主要データをどのように更新していますか。
委託先に関する主要データの所管部署 委託先情報の更新方法
委託先情報の更新方法
11%
23%
66%
15%0%
17%
24%17%
33%61%
83%
50%
58%
23%
上流のアプリケーションから データが自動的に取り込まれ、
更新情報が直接システムに記録される
データは自動取り込みだが 人の目によるレビューが必要
手動での更新
10%
0%
6%
4%
上流のアプリケーションからデータが自動的に取り込まれ、更新情報が直接システムに記録されるデータは自動取り込みだが人の目によるレビューが必要手動での更新
銀行・証券保険
調達
サード・パーティー・リスク管理
ビジネスユニットごとに保管
その他
オペレーショナルリスク
情報セキュリティ
15グローバル金融機関向け サード・パーティー・リスク管理サーベイ |
GRCツールの活用が引き続き増加2016年以降、TPRMを行うにあたりガバナンス・リスク・コンプライアンス(GRC)ツールを活用する企業が増加しています。現在、70%を上回る回答企業が固有リスクの評価、統制評価、およびイシュー管理にGRCツールを利用しており、また回答企業の50%が委託先情報の保存管理に同システム利用しています。
2016年時点では、業界全体で特定のテクノロジー・ツールへの共通した関心はみられなかったものの、33%の回答企業が、代表的なGRCツールであるArcherを利用していました。2018年においてもその傾向は続いており、固有リスク評価、イシュー管理、統制評価支援ツールとして、Archerを活用する企業は2016年に比べ約10%増加しています。
Archer2016 2018
情報収集(ソーシング活動) 7% 9%
固有リスク評価 26% 34%
契約情報の保管 4% 4%
重要な委託先情報の管理 26% 24%
統制評価支援ツール 30% 41%
イシュー管理ツール 26% 34%
16 | グローバル金融機関向け サード・パーティー・リスク管理サーベイ
オペレーティングモデル: 増加傾向にある TPRM一元管理
注目ポイント • 3分の1を超える(37%)企業は、TPRMの主管部署は調達部門と回答しており、2016年の35%からわずかな増加となりました。なお、本来どの部門が主管となるべきかについては、明白な統一見解がないというのが現状です。業界を通じて、情報セキュリティ(6%)、オペレーショナルリスク(17%)、全社的リスク(13%)、ビジネスライン(19%)の部署が、TPRMプログラムを所管すると回答した企業が一定程度ありました。
• TPRM機能の一元化が進み、2016年度の45%から、今回57%に増加しています。分散管理をしている組織はわずか7%で、2016年度の14%に比べ減少しています。
• TPRMの各機能について責任と所管に大きなばらつきがあることから、回答企業は自社の組織体制や文化に応じた独自の所管体制とオペレーティングモデルを展開していることが分かります。
18 | グローバル金融機関向け サード・パーティー・リスク管理サーベイ
TPRMの主な所管部署は調達部門が一般的3分の1を超える(37%)企業は、TPRMの主管部署は調達部門と回答しており、2016年の35%からわずかな増加となりました。なお、本来どの部門が主管となるべきかについては、明白な統一見解がないというのが現状です。業界を通じて、情報セキュリティ、オペレーショナルリスク、全社的リスク、ビジネスラインの部署が、TPRMプログラムを所管すると回答した企業が一定程度ありました。
TPRM機能の一元化が進み、2016年度の45%から、今回57%に増加しています。分散管理をしている組織はわずか7%で、2016年度の14%に比べ減少しています。また、TPRMの機能ごとの所管部署にはあまり一貫性がなく、今後さらに管理機能の一元化を進める必要性が高まると予想されます。このような注目すべき傾向が示していることは、企業が、TPRMの主要な活動を行う機能を各ビジネス部門に分散して委ねるアプローチから、特定の部署がTPRMについて全社的な基準を定める責任を負う一元管理のアプローチへと、今後も移行していくということを意味しています。
TPRM機能の主管部署と体制貴社のTPRMはどの部署が主に担当していますか。貴社のTPRMプログラムはどのような体制で実施されていますか。
TPRMプログラムの主管部署 TPRMの体制
37%
6%
17%
13%
19%
35%
12%
16%
16%
9%
0%
14%
57%
45%
35%
41%
7%
14%
2018 20182016 2016
調達
情報セキュリティ
オペレーショナルリスク
全社的リスク
ビジネスライン
その他
一元管理: 本社のTPRMオフィスが 全社的な基準を定めている
ハイブリッド管理: TPRMオフィスが本社と
各事業部門それぞれに存在し、 各事業部門の管理オフィスが 全社的な基準をニーズに応じて
変更して適用している
分散管理: TPRMオフィスが 各事業部門にあり、
それぞれが独自の基準を 設定している
19グローバル金融機関向け サード・パーティー・リスク管理サーベイ |
TPRM活動は様々な事業部門で行なわれている現在、TPRMの各機能について責任と所管に大きなばらつきがあることから、回答企業は自社の組織体制や文化に応じた独自の所管体制とオペレーティングモデルを展開していることが分かります。しかしながら、TPRMプログラムの目標、体制、戦略や方向性を定める責任を一元的にひとつの部署へ集中させる傾向は着実に進んでいます。
TPRMの一元管理を行う部署を置く企業が増えている一方で、TPRMの各機能を実際に実行する部署については、まだ企業間で大きな違いが残っています。企業によって、一元化ができている機能と、できていない機能があります。例えば、パフォーマンス・モニタリング(87%)と出口戦略(74%)については、ビジネスラインが実施にあたり主要な責任を負うことになっています。また、期限切れ契約書の特定や期限切れ間近の契約の通知(66%)と契約終了(57%)については、通常、調達部門が実施に主な責任を負っています。
企業によって所管部署が全く異なる機能もあります。例えば、受託業務に係る内部統制の保証報告書(SOCR)のレビュー、事業継続性評価、カントリーリスク評価が該当します。
「当行は、引き続きTPRMプログラムの強化に取り組んでいる。その中でもTPRM機能の一元化を進めることと、複数の他銀行と協力して合弁会社を立ち上げることでデータ収集や評価に役立てること、この2つに特に力を注いでいる」
グローバルな銀行の経営幹部
20 | グローバル金融機関向け サード・パーティー・リスク管理サーベイ
TPRMプログラム機能の主管部署貴社では、以下に示すTPRMプログラムの各機能の実施にあたり、どの部署が主な責任を負っていますか。
サード・パーティー・リスク管理の責任範囲
調達 情報 セキュリティ
TPRM 法務 オペレーショナル リスク
コンプライアンス
ビジネス ライン
その他 未実施
固有リスクの評価設計と管理 26% 2% 43% 0% 20% 0% 4% 6% 0%
固有リスクの評価の実施 13% 2% 17% 0% 6% 0% 59% 4% 0%
企業の評判と資格に関するレビュー 35% 0% 19% 0% 9% 4% 28% 4% 2%
腐敗防止と贈賄防止に関するレビュー 9% 0% 9% 4% 7% 44% 4% 13% 9%
アンチマネーロンダリング(AML)/ 経済制裁レビュー 13% 0% 9% 4% 9% 45% 4% 13% 2%
パフォーマンス・モニタリング 6% 0% 4% 2% 0% 0% 87% 2% 0%
出口戦略 7% 0% 7% 6% 0% 0% 74% 2% 4%
財務健全性評価 40% 0% 15% 2% 6% 0% 15% 23% 0%
カントリーリスク評価 13% 4% 19% 2% 9% 2% 15% 11% 25%
情報セキュリティ評価 2% 85% 9% 0% 2% 0% 0% 2% 0%
業務継続性評価 2% 24% 9% 0% 15% 2% 22% 24% 2%
受託業務に係る内部統制の保証(SOC) 報告書レビュー 4% 26% 15% 2% 6% 0% 33% 7% 7%
規制遵守状況評価 2% 2% 7% 2% 9% 50% 17% 4% 7%
取引に関する規制遵守レビュー 0% 0% 6% 2% 6% 41% 26% 4% 17%
イシュー管理 / リスク対応 4% 8% 15% 0% 13% 4% 51% 4% 2%
継続モニタリングの一環として 契約条件レビューと更新 37% 2% 0% 22% 2% 0% 30% 4% 4%
契約条件更新時に特定されたイシューの レビュー 24% 4% 4% 11% 6% 0% 43% 4% 6%
期限切れ契約書の特定 66% 2% 4% 9% 2% 4% 11% 2% 0%
期限切れ間近の契約書の通知 66% 4% 6% 11% 0% 2% 9% 2% 0%
契約終了 57% 2% 2% 11% 0% 0% 24% 4% 0%
21グローバル金融機関向け サード・パーティー・リスク管理サーベイ |
監視・ガバナンス・イシュー管理: 品質保証への注力はTPRM成熟化の表れ
規制当局の監視は報告を重視規制当局が、委託先の監視とガバナンスに引き続き重点を置いているため、企業も同様に、TPRMの実施にあたりこれらを重視しています。回答企業の大多数(91%)が、監視とガバナンスの一環として経営幹部への報告を重要な活動と位置付けている一方で、本調査では、TPRMの主要6領域のうち4領域以上について容易に報告が可能と回答した企業は半数未満に留まりました。
また経営上層部への報告は、TPRMプログラムの健全性を組織に伝える一助となりますが、実際のところ、取締役会へ報告している企業は27%未満でした。報告機能自体に改善は見られるものの、その適時性や効率性については、業界を通じて依然として大きな課題となっています。
注目ポイント• 大部分の企業(81%)が、重要な委託先に関する報告は容易に実施、また必要になった際に対応できるとしています。TPRMプログラムに関するその他の領域についても全体的に報告可能であるとしているものの、一週間あるいはそれ以上の時間が必要であるだろうと答えています。
• 経営幹部は引き続きTPRMへ深く関与する傾向が見られました。60%以上の企業が、委託先のデータ漏えいやセキュリティ事故、最高レベルの固有リスク、重大イシュー、及びコンプライアンス違反を経営幹部に報告しています。一方、これらの事象を取締役会に報告している企業は4分の1以下に収まる傾向が見られました。特に注目すべきなのが、重要な委託先の情報を取締役会に報告している企業は41%、データ漏えいやセキュリティ事故を取締役会へ報告している企業は26%しかないということです。
• ほとんどの企業(83%)が、2018年時点で品質保証を行う機能を有しており、その割合は前年の72%から増加しました。TPRMプログラムの成熟度が増すにつれて品質保証に注力する傾向が高まり、成熟度が中程度となった頃にピークを迎え、その後TPRMプログラムがさらに成熟すると品質保証への注力度は下がります。
• 大部分の企業(69%以上)は、イシュー対応計画、固有リスクの評価、統制評価と関連根拠の確認を、品質保証機能の業務範囲に含めています。これらは、品質保証機能の主な構成要素ですので、2016年以降のTPRM機能への注力と成熟度の高まりを表しているといえます。
• 今回の調査では、全社的なイシュー管理ツールを活用していると回答した企業が、初めて過半数を超えました。これはイシューをスプレッドシートで管理することが主流であった過年度に比べ、大きな変化といえます。テクノロジーの活用が進んでいるとはいえ、40%近い企業が引き続きイシュー管理にあたり主にスプレッドシートを使用しています。
22 | グローバル金融機関向け サード・パーティー・リスク管理サーベイ
TPRM機能の主要報告先と体制貴社では、TPRMに係る監視とガバナンスについて、どのような活動を行っていますか。
Organizational oversight activitiesTotal (54)
報告先の特定
役割に応じた研修資料の作成
プログラムが定める要件に対する内部遵守状況の確認
品質保証機能
取締役へ報告
品質管理機能
オペレーショナルリスク管理報告と統合
プログラムの実施方針や手順の策定
経営幹部へ報告 91%
85%
65%
63%
61%
59%
57%
54%
50%
組織的な監視と報告について
23グローバル金融機関向け サード・パーティー・リスク管理サーベイ |
顧客/消費者対応の委託先
一定の基準に該当する委託先数(事業領域、所在地、サービスなど)
今後期限を迎える是正措置計画と期限日
契約満了の見通し
統制評価の見通し(翌四半期実施分)
重要な委託先の数
Timeliness of reportingTotal (53)
6%
34%
4%
4%
9%
11%
81%
28%
42%
47%
17%44%
13%
15% 6%32%
51%
20% 6%
11%
28%46%
必要になった際に容易に報告できる 一週間程度 一週間超必要 報告不可能
43% 2%
オンデマンド型の報告が一般化TPRMについて効果的に報告することにより、透明性や説明責任の面で改善の効果が見込まれ、経営幹部との有益な対話にもつながります。5社に4社(81%)の企業が、重要な委託先に関する報告は容易に実施でき、また必要になった際に対応できるとしていますが、その一方で、TPRMプログラムに関するその他の領域については、全体的に報告可能ではあるものの、一週間あるいはそれ以上の時間が必要であると答えています。
貴社では、以下のリスク管理領域に関する報告にどれくらいの期間を要しますか。
「現在、TPRM関連のリスクは、取締役会へのリスク報告に含まれる形で、間接的に報告がなされている。今後は、ニューヨーク州金融サービス局(DFS:Department of Financial Services)が課す規制やその他の様々な要件によって、取締役会のTPRMプログラムに対する認知度と関心は高まっていくだろう」
保険会社の幹部
報告に要する期間
24 | グローバル金融機関向け サード・パーティー・リスク管理サーベイ
重大リスクが取締役会へ報告されていない経営幹部は引き続きTPRMへ深く関与する傾向が見られました。60%以上の企業が、委託先のデータ漏えいやセキュリティ事故、最高レベルの固有リスク、重大イシュー、およびコンプライアンス違反を経営幹部に報告しています。一方、これらの事象を取締役会に報告している企業は4分の1以下に収まる傾向が見られました。特に注目すべき点は、重要な委託先の情報を取締役会に報告している企業は41%、データ漏えいやセキュリティ事故を取締役会へ報告している企業は26%しかないということです。
TPRM報告の報告レベルTPRMに関する各種の内容について、社内のどのレベルまで報告していますか。
TPRM報告の報告レベル
取締役会 経営幹部 事業幹部委託先の
リレーションシップ・ マネージャー
報告しない
委託先のデータ漏えい・セキュリティ事故 26% 70% 59% 54% 0%
プログラムのオペレーション指標 19% 52% 63% 56% 2%
重要な委託先 41% 56% 54% 52% 2%
最高レベルの固有リスクを有する委託先 22% 61% 65% 52% 4%
委託先の重大イシュー 19% 70% 72% 52% 0%
委託先の対応期限切れの統制イシュー 2% 59% 67% 50% 6%
最高レベルの残留リスクを有する委託先 22% 48% 57% 39% 13%
委託先のコンプライアンス違反 13% 63% 74% 48% 6%
エマージングリスクを伴う委託先 2% 44% 54% 41% 22%
契約終了間近の委託先 0% 20% 70% 50% 13%
全委託先 4% 20% 59% 50% 13%
新しい委託先 4% 24% 65% 50% 17%
重要な委託先の情報を取締役会へ報告している企業41%の内訳は、銀行が53%とトップで、保険会社は25%、資産運用会社は17%に留まりました。それとは対照的に、委託先のデータ漏えいやセキュリティ事故を取締役会へ報告している銀行は21%である一方、資産運用会社では50%、保険会社では33%となっています。
25グローバル金融機関向け サード・パーティー・リスク管理サーベイ |
Components in scope for quality assurance of third parties Total (54)
By maturityTotal (54)
その他
品質保証機能を有していない
プログラムに関する規制違反
委託先記録情報
委託先選定と競争力のデューデリジェンス
統制評価と関連根拠の確認
固有リスクの評価
イシュー対応計画77%
100%50%
73%75%
56%70%75%
63%57%
63%44%
50%75%
44%53%
63%38%
13%0%
31%
3%
Other
The organization does not have a quality assurance function
Known areas of program noncompliance
Third-party record information
Third-party selection and competitive due diligence
Control assessments and related evidence
Inherent risk assessments
Issues and action plans
69%
72%
69%
54%
52%
50%
17%
2%
5年以上3年以上5年未満3年未満
品質保証機能にみる成熟度の高まりほとんどの企業(83%)が、2018年時点で品質保証を行う機能を有しており、その割合は前年の72%から増加しました。また大部分の企業(69%以上)は、イシュー対応計画、固有リスクの評価、統制評価と関連根拠の確認を、品質保証機能の業務範囲に含めています。これらは、品質保証機能の主な構成要素ですので、2016年以降のTPRM機能への注力と成熟度の高まりを表しているといえます。
TPRMプログラムの成熟度が増すにつれて品質保証に注力する傾向が高まり、成熟度が中程度となった頃にピークを迎え、その後TPRMプログラムがさらに成熟すると品質保証への注力度は下がります。イシュー対応計画を品質保証機能の業務範囲に含める企業は、成熟度が3年未満の企業で50%、成熟度が3年から5年の企業で100%、成熟度が5年以上企業で77%となっています。
TPRMプログラムのうち、品質保証機能の業務に含まれるものはどれでしょうか。
委託先の品質保証機能に含まれる業務 TPRMプログラムの成熟度別
69%
72%
69%
54%
52%
50%
17%
2%
イシュー対応計画
固有リスクの評価
統制評価と関連根拠の確認
委託先選定と競争力の デューデリジェンス
委託先記録情報
プログラムに関する規制違反
品質保証機能を有していない
その他
26 | グローバル金融機関向け サード・パーティー・リスク管理サーベイ
Room to improve the skill sets of individuals’ performing third-party risk management activitiesTotal (54)
サイバーセキュリティリスク評価
統制評価の実施
ガバナンスと監視
委託先リレーションシップ管理
組織に代わってリスク受容の判断を行うこと
品質保証 41%
33%
37%
24%
22%
17%
多くの企業が、TPRM担当者のスキルに改善余地があると回答しており、その内スキルが不足していると考える企業の割合が最も多かったのが品質保証機能でした。
貴社では、下記の活動を効果的に行うためのスキルセットを十分に備えていますか。
TPRM活動を実施する各担当者のスキルセット改善の余地
27グローバル金融機関向け サード・パーティー・リスク管理サーベイ |
スプレッドシートから、全社レベルのツールを 活用したイシュー管理へ今回の調査では、全社的なイシュー管理ツールを活用していると回答した企業が、初めて過半数を超えました。これはイシューをスプレッドシートで管理することが主流であった過年度に比べ、大きな変化といえます。テクノロジーの活用が進んでいるとはいえ、40%近い企業が引き続きイシュー管理にあたり主にスプレッドシートを使用しています。
39%41%
52%37%
41%
39%
37%47%
28%
18%15%
26%31%
15%
22%27%
35%
52%
Storing issues
ビジネスラインまたはビジネスユニットごとに
異なる方法
評価報告書に含めている
評価の実行部門ごとに異なる方法
スプレッドシート
一元化されたTPRMプログラム
専用ツール
全社レベルのイシュー管理システム(全イシューが対象)
2015 (49)2017 (54)
2014 (34)
貴社では、イシューや例外をどのように記録し継続管理していますか。
イシューの記録管理方法
201820162014
28 | グローバル金融機関向け サード・パーティー・リスク管理サーベイ
是正措置計画への期限設定によるリスク回避回答企業の60%が、高リスクなイシューに対する是正措置計画が策定された場合であっても、その実施に厳密な期限を設けていません。期限を設けている場合には、大抵、短い期限(3か月以下)となっています。判明し
た委託先の脆弱性を長い間そのままにすることで組織を様々なリスクにさらすことのないよう、期限を設けて確認していくという点で、企業が改善する余地のある領域といえます。
Requirement for enforcing closure of remediation planTotal (53)
社内では実施期限を設けていない
9カ月超
7~9カ月
4~6カ月
0~3カ月 26%
11%
4%
0%
59%
是正措置計画の実施期限
貴社では、高リスクのイシューが特定された場合、その是正措置計画の 実施期限を社内でどのように定めていますか。
「企業は、オペレーションの有効性向上とコスト削減を目的として、アライアンスやコンソーシアム、マネージドサービスの活用を積極的に検討しています。これはテクノロジーの活用と並び、2018年における重要な取組みになるでしょう」
Christ Ritterbush エグゼクティブ・ディレクター アーンスト・アンド・ヤングLLP
29グローバル金融機関向け サード・パーティー・リスク管理サーベイ |
再委託先管理:隠れたリスクの存在
課題が残る再委託先のモニタリング83%の回答企業が再委託先の有無を確認しているものの、そのうち60%は、モニタリングとガバナンスを目的とした継続的な再委託先の情報管理を行っていませんでした。また、74%の企業が、再委託先に生じうる集中リスクの報告は極めて困難、あるいは全く報告できないと回答しています。
通常、企業は再委託先の情報を、契約前の段階で収集、または契約書に記載を設ける形で収集しています。しかしながら、再委託先を継続的にモニタリングするために、これらの情報をまとめて管理維持している企業は40%に過ぎませんでした。
企業にとって、再委託先に関連するリスクの全体像を把握することは依然として困難な状況となっており、再委託先のモニタリングについては委託先に大きく依拠しています。再委託先の監視を怠る、あるいは委託先へ過度に依存することによって、企業は、再委託先への集中リスクや、再委託先における重大な過失、再委託先外へのデータ漏えいなどのリスクを抱えることになります。
「リスク報告の中で様々な集中リスクをどのように示していくのか、というのが当行にとっての課題の一つであると思う。集中リスクへのアプローチ方法はいくつかあるが、一つ重要となるのは、再委託先の状況について把握することだと考える。具体的には、委託先における再委託先の有無や、同じ再委託先が複数の委託先で使われていないか、その場合にどのような影響があるか、を知ることに注力すべきだろう」
銀行の経営幹部
注目ポイント• 再委託先の有無を確認している企業の半数以上(60%)は、モニタリングとガバナンスを目的とした継続的な再委託先の情報管理を行っていませんでした。4分の3近い(74%)企業が、再委託先に生じうる集中リスクの報告は極めて困難、あるいは全く報告できないと回答しています。
• 再委託先を特定あるいは継続管理している企業のほとんどは、間接的な方法によりデューデリジェンスを実施しています。80%近い割合の企業が、再委託先のモニタリングや評価について、委託先に依拠しています。
30 | グローバル金融機関向け サード・パーティー・リスク管理サーベイ
貴社ではどのように再委託先の有無を確認し、その情報を管理していますか。
再委託先への集中リスクを報告する能力
再委託先の確認/モニタリング
6%
11%
83%
80%
71%
71%
67%
56%
51%
40%
7% 19% 37% 37%
再委託先の有無を確認していない、かつ継続管理していない
再委委託先の利用を契約で制限している
再委託先の有無を確認している、あるいは継続管理している
契約締結前に再委託先情報を入手 (社名、所在地、サービス内容)
委託先との契約書に再委託先 情報を記載
再委託先情報を貴社に伝え、 承認を得ることを委託先に
義務付けている
固有リスクの評価に含まれている
規定の統制評価で再委託先情報を入手 (社名、所在地、サービス内容)
委託先のパフォーマンス管理や リレーションシップ管理の際に
再委託先情報を入手
再委託先情報を継続管理している
再委託先への集中リスク
5-全面的に報告できる 4 3 2 1-全く報告できない
31グローバル金融機関向け サード・パーティー・リスク管理サーベイ |
デューデリジェンスは委託先に依拠再委託先を特定あるいは継続管理している企業のほとんどは、間接的な方法によりデューデリジェンスを実施しています。80%近い割合の企業が、再委託先のモニタリングや評価について、委託先に依拠しています。再委託先の評価には、主に次の2つのアプローチが採用されています。一つは、委託先との契約条件に依拠するアプローチ、もう一つは、再委託先のモニタリングを委託先の統制に依拠するアプローチです。企業独自で再委託先の評価を実施しているケースはわずか15%で、一方、28%の企業は再委託先の評価やモニタリングを一切行っていません。
貴社では、どのように再委託先を評価/モニタリングしていますか。
再委託先の評価/モニタリング方法Method of assessing/monitoring fourth partiesTotal (54)
再委託先の有無は確認しているが評価もモニタリングも実施していない
委託先にとって重要な再委託先を積極的にモニタリング
リレーションシップマネジャーのプログラムに依拠
貴社独自で再委託先の評価を実施
委託先と再委託先との間で締結されている契約条件に依拠
再委託先のモニタリングを委託先の統制に依拠
委託先との契約条件に依拠 78%
78%
52%
15%
9%
9%
28%
32 | グローバル金融機関向け サード・パーティー・リスク管理サーベイ
提携先リスクの管理に注力する傾向、 とりわけ銀行で顕著提携先の管理に力を入れる企業が増えています。半数近い回答企業が、TPRMプログラムの対象となる提携先企業を有しています。これらTPRMプログラムの対象となる提携先を有している企業のうち、70%は銀行であり、規制当局による提携先リスクに対する関心が高い業界であることが背景となっています。
企業は、提携先企業のモニタリングに様々な手法を使っています。回答企業の多くは、サービス水準合意契約を活用したモニタリング、あるいは定期的な統制評価を行っています。
Use of intercompany affiliates for US operating unitTotal (53)
No
Yes
53%47%
Ongoing monitoring requirements for intercompany affiliatesTotal (26)
その他
四半期ごとのビジネスレビュー
規制当局への報告のレビュー
経営幹部による報告のレビュー
スコアカード
損失事象などの事業運営に関する報告のレビュー
内部監査報告書のレビュー
定期的に統制評価を実施(毎年、半年ごとなど)
サービス水準合意契約に基づくモニタリング 58%
58%
42%
35%
27%
23%
19%
19%
15%
貴社の米国事業所に物品/サービスを提供している提携先企業は、 TPRMの対象となりますか。
貴社に物品/サービスを提供している提携先企業に対して適用される モニタリング要件をすべて選択してください。
53%47%
対象
対象外
33グローバル金融機関向け サード・パーティー・リスク管理サーベイ |
全世界に影響を与える新EU規制 一般データ保護規則(GDPR)が定める「個人データの利用先、また当該データに係る業務が外部委託される場合にはその目的について、EU市民の依頼に応じて情報開示すること」については、すべての回答企業が、実行には最低でもある程度の努力が必要と回答しました。そのうち3分の2の企業は、この要件の実行は非常に困難だと感じています。その他の主なGDPR要件についても同様に、多くの企業が実行は困難だと予想しています。
このような対応の難しさに加え、規制が影響を与える範囲の大きさや対応完了まで2年という短い期間を考慮すると、企業は今後1年間で規制対応に多大な労力とエネルギーを割く必要があります。
EU市民の依頼があった場合、関連する個人データの消去を委託先に対して
義務付けること(忘れられる権利)
委託先で発生した個人データ漏えいが発覚してから72時間以内に EU市民へ通知すること
委託先が EU市民から直接個人情報を取得する場合、GDPRが定める本人同意を
得ていることについて実証すること
個人データの利用先、また当該データに係る業務が外部委託される場合にはその目的について、
EU市民の依頼に応じて情報開示すること
General Data Protection Regulation (GDPR)
36%64%
38% 14%48%
29% 24%48%
41% 9%50%
実行するのは困難である
実行するにはある程度の努力を要する
多少の調整が必要/特に努力せずとも実行可能である
EU一般データ保護規則(GDPR)について:貴社の委託先に関して、GDPRのガイダンス要件を実行することが どの程度難しいのか、5段階で評価してください。
サイバーセキュリティとデータ漏えい: GDPR遵守のプレッシャー
一般データ保護規則
注目ポイント• 一般データ保護規則(GDPR)が定める「個人データの利用先、また当該データに係る業務が外部委託される場合にはその目的について、EU市民の依頼に応じて情報開示すること」については、すべての回答企業が、実行には最低でもある程度の努力が必要と回答しました。そのうち3分の2の企業は、この要件の実行は非常に困難だと感じています。
34 | グローバル金融機関向け サード・パーティー・リスク管理サーベイ
サイバーリスクへの深い理解が求められるANPR対応2016年10月、米連邦預金保険公社(FDIC)、通貨監督庁(OCC)、および連邦準備制度理事会(FRB)(以下、合わせて「米規制当局」という)は、金融機関のサイバーリスク管理に関する基準強化を目的とした、規則案制定に係る事前通知(ANPR)を連名で発表しました。本ANPRは、サイバーセキュリティリスクの管理と、リスクが顕在化した状態からの回復に関する基準を定めており、米規制当局の監督の下、大手の金融機関および当金融機関とつながりのある企業に適用されます。
本規制案は、規制対象となる金融機関に対してサービスを提供している企業、特に業界にとって重要な仕組みを支える委託先に適用されます。規制案が導入されれば、規制の影響を直に受ける金融機関に対してサービス提供を続けたいと考える委託先には、かなり高いセキュリティ基準が課されることとなります。
0%ANPR要件に従い、明確な外部委託先管理戦略を自社のサイバーリスク管理計画へ統合
委託先が委託元に対してサービスを提供するために入手、あるいは保有する情報システムおよび非公開情報のセキュリティを確保すべく設計された方針と手順を、
DFSの定めるすべての要件を満たしつつ実行
ANPR要件に従い、外部委託先などに関するデータベースの維持管理
ANPR要件に従い、自社のサイバーリスク管理戦略をサポートする外部委託先などのモニタリング
Advanced Notice of Proposed Rulemaking (ANPR)
61% 13%26%
50% 27%23%
50% 27%23%
55% 27%18%
17%
大変困難である ある程度の努力を要する 若干の調整が必要 /調整せずに実行可
本ANPRでは、以下の2段階で従来より厳しい基準が定められています。
• すべての対象企業と委託先のサービスに対して適用される基準
• 金融業界にとって重要な仕組みやそれを支えるサービスに対しては、より厳格な基準を適用
このような規制が導入されれば、企業は、金融システムにおける自らの役割、システム全体を通じて自社がどのようなサイバーリスクに晒されているのか、社内外のつながりに依拠している重要な機能について、従来よりも遥かに深く包括的に理解する必要があります。
ANPRが求める主要4要件の実行は非常に困難と回答した企業は4分の1以下となっており、GDPRに比べANPRが求める要件のほうが多少実行しやすいと考える企業が、概して多いように見受けられました。それでも、およそ75%の企業が、適切な統制を実行するには最低でもある程度の努力が必要と回答しました。
規則案制定に係る事前通知
35グローバル金融機関向け サード・パーティー・リスク管理サーベイ |
内部監査を規制当局の目線に合わせていく 契機に規制当局または内部監査によるTPRMプログラムへのレビューを最近受けた回答企業によると、最も焦点があてられた分野は、監視とガバナンス、およびサイバーセキュリティでした。内部監査と規制当局のレビューの間では、焦点があてられた分野に、概して大きな差異がありました。規制当局が監視とガバナンスに焦点をあてた企業が42%なのに対して、内部監査がこれらに焦点をあてた企業は70%に上りました。また、内部監査が全社的にみて重要な委託先に焦点をあてた企業がわずか15%なのに対して、30%の企業で規制当局がこれらに焦点をあてました。
概して、内部監査レビューの重点を規制当局が注目する分野に合わせるべく、改善していく余地は大きいと予想されます。
最も焦点があてられた分野規制当局 内部監査
固有リスクの評価 15% 21%
新規入社者への施策 8% 13%
全社的にみて重要な委託先 29% 15%
監視とガバナンス 42% 70%
再委託先の監視 12% 6%
オペレーティングモデル 8% 15%
海外の委託先 2% 2%
イシュー管理やリスク受容 10% 9%
サイバーセキュリティ 42% 30%
残余リスクのモデル 0% 2%
委託先データの管理 10% 26%
消費者保護 8% 2%
プライバシー/守秘義務 9% 11%
非伝統的な委託先(例:ブローカー、 エージェント、金融仲介業者) 4% 2%
規制当局のレビューを受けたことがない 17% 4%
規制当局による直近のレビューにおいて、最も焦点があてられた分野を 2~3項目選択してください。
「規制当局はトップダウンの監視をかなり重視していた。最も影響の大きい重要な委託先はどこか、そこに対して十分な監視ができているかについて、彼らは非常に強い関心を持っていた」
金融機関の経営幹部
36 | グローバル金融機関向け サード・パーティー・リスク管理サーベイ
委託先のサイバーセキュリティ侵害は珍しくない約半数の企業が、委託先を原因とするデータ漏えいまたは機能不全に陥る事象を経験しています。サイバーセキュリティ侵害や機能不全は、回答企業が経験することの比較的多いリスクであり、またそういった事象が発生したことのある企業では繰り返し同様の事象が発生する傾向があります。
実際、データ侵害または機能不全を経験した回答企業のうち4分の3(あるいは、それ以上)が、委託先を原因とする同様の事象を複数回経験しています。
貴社では、過去2年間で委託先を原因とするデータ漏えいや機能不全は何件ありましたか。
委託先を原因とするデータ漏えい 委託先を原因とする機能不全
発生件数 発生件数
56%44%
65%
35%
>5
5
4
3
2
1 13%
17%
21%
0%
21%
29%>5
5
4
3
2
1 26%
11%
5%
0%
21%
37%
経験有り
経験無し
経験有り
経験無し
37グローバル金融機関向け サード・パーティー・リスク管理サーベイ |
インダストリー・アライアンス: TPRMに対する考え方を根本的に変えてしまう可能性
「前述のとおり、アライアンスの活用は当行にとって重要な戦略となっている。その主な目的は、リスク管理活動を支える(共通の)テクノロジーの活用だろう」
グローバルな銀行の経営幹部
このようなインダストリー・アライアンスへの強い関心は、市場において新しいトレンドが生じていることを表しています。過去にはアライアンスは失敗に終わる傾向がありましたが、現在は、業界において最も成熟した金融機関やサービスプロバイダより支援を受けて、それぞれに異なる組織体制や存在意義を持つ様々なアライアンスが積極的に活動しています。このようなアライアンスは、業界における委託先リスク管理の考え方に根本的な変化をもたらす可能性があります。
もしアライアンスが成功すれば、企業は共通のフレームワークを活用することでコストやリスク・エクスポージャーを減らすと共に、従来は各企業が独自に同じような取り組みをして得られていた成果を、アライアンス内で共有することも可能になります。また事務的な作業が減ることによって、委託先の支援や教育、委託先リスクの監視やガバナンス強化、イシュー管理といった活動を、より少人数の体制で実施することができるようになります。
アライアンスの仕組みは、委託先にとっても負担の軽減につながります。今後アライアンスを活用する金融機関が増えるにつれて、委託元の企業ごとに異なる評価を実施することが減っていくためです。その結果、委託先の業務が効率化しコストが削減され、その浮いたコストの一部を委託元へ還元するということも可能となります。
注目ポイント• 回答企業の44%が、一定の分野で業務効率性を高めるためアライアンスやコンソーシアムの活用を検討しています。この44%の企業のうち、75%が共通の評価フレームワークの活用を目的としたアライアンスを、58%が評価サービスプロバイダの共同活用を、そして半数の企業が共通の評価担当者を活用することを検討しています。
企業はアライアンスによる効率化を期待ほぼ半数の企業が、TPRMの多くの面で効率化を図るためにアライアンスの活用を検討しています。アライアンスの目的で最も一般的なのは、共通の評価フレームワークを活用することです。また、回答企業の6割が評価サービスプロバイダの共同活用を検討しており、5割の企業がアライアンスで採用した評価担当者を活用したいと考えています。
38 | グローバル金融機関向け サード・パーティー・リスク管理サーベイ
貴社では、TPRMの実施効率を高めるためにアライアンスまたはコンソーシアムを組んでいますか。
Involved in an alliance or consortium to obtain efficiencies in certain areas Total (54)
Areas currently being consideredTotal (24)
Not currently consideredCurrently considered
44%
56%
アライアンス/コンソーシアムで採用した評価担当者の活用
共通のテクノロジー・プラットフォームの活用
評価サービスプロバイダの共同活用
共通の評価フレームワークの活用
75%
58%
46%
50%
TPRMの実施効率を高めるためのアライアンス またはコンソーシアム
検討中の領域
44%
56%
検討中である検討していない
39グローバル金融機関向け サード・パーティー・リスク管理サーベイ |
標準的な調査票の活用が一般的回答企業のうち、ほぼ4社に3社(72%)が、業界の標準的な調査票を使用、あるいはそれに対して自らが改定を加えた調査票を利用して委託先を評価しており、その割合は2016年の44%から増加しました。一方、その企業独自の調査票を利用している企業はわずか28%で、2016年の46%から減少しました。
これまで金融業界が業界標準を策定することは困難であったように、実際、過去には多くの労力をかけながらも長期的な成功に至ったものは限られています。業界標準の導入には、各業界の上位10社が足並みをそろえる必要があり、それができれば業界標準は他企業にも広がっていくと予想されます。インダストリー・アライアンスへの強い関心は、市場において新しいトレンドが生じていることを表しています。過去にはアライアンスは失敗に終わる傾向がありましたが、現在は、業界において最も成熟した金融機関やサービスプロバイダより支援を受けて、それぞれに異なる組織体制や存在意義を持つ様々なアライアンスが積極的に活動しています。このようなアライアンスは、業界における委託先リスク管理の考え方に根本的な変化をもたらす可能性があります。
評価フレームワークと規制:進む標準化
「当社は、シェアードアセスメントのような、業界標準を採用する方向で考えている。現在検討している商品やツールは、シェアードアセスメントが提供するStandardized Information Gathering(SIG)やSIG Lightだ。その理由をいくつか挙げるなら、まずはレビューの速さと一貫性だ。加えて、このような標準化された質問票は業界内で十分に吟味されたものと言え、それを使わないと、回答者が質問の意図と異なる解釈をしてしまう事態になりかねない。つまり、回答者が質問の意図を理解しようとあれこれ考えつつ回答するため、結局は正確な評価ができなくなってしまうということだ」
大手保険会社の経営幹部
注目ポイント• 回答企業のうち、ほぼ4社に3社(72%)が、業界の標準的な調査票を使用、あるいはそれに対して自らが改定を加えた調査票を利用して委託先を評価しており、その割合は2016年の44%から増加しました。一方、その企業独自の調査票を利用している企業は少数でした(今回28%で、2016年の46%から減少)。
• ほとんど(83%)の企業が、規制リスクをもたらす可能性がある委託先に対し、契約締結前にコンプライアンス状況の評価を行っており、その割合は2016年の71%から増加しました。さらに、46%の企業が、契約締結後に委託先の個別取引を評価し消費者コンプライアンスの状況を確認しています。
40 | グローバル金融機関向け サード・パーティー・リスク管理サーベイ
貴社が委託先の自己評価に使用する調査票は、 主に何を基準にしていますか。
貴社は、リスクのレベルに応じて委託先の統制評価をどのような頻度で 行なっていますか。
委託先のリスクが低ければ低いほど、企業による統制評価の頻度も少なくなります。最高リスクの委託先の場合、通常、統制評価は毎年実施されています。中程度リスクの委託先の多くは、2年に1度の頻度で評価が実施されており、また、低リスクの委託先のほとんどは、2年に1度よりも少ない頻度で実施、あるいは全く評価を実施していません。これらの傾向は、過去10年で大きく変わっていません。28%
46%
41%
28%
7%
0%
15%
28%
24%
11%
9%
21%
11%
0%0%
Primary guidance for self-assessmentquestionnaire Total (54)
ISO
COBIT
シェアードアセスメント・プログラム(SIG調査票)
米国立標準技術研究所(NIST)
独自で作成したもの
2015 (90)2017 (93)
2014 (86)
リスクレベル別統制評価の実施頻度半年ごと 毎年 2年ごと 2年超ごと
最高リスク 7% 82% 7% 4%
中程度リスク 2% 21% 56% 21%
最小リスク 0% 8% 11% 81%
自己評価調査票の主要基準
201820162014
41グローバル金融機関向け サード・パーティー・リスク管理サーベイ |
第三者によるレビューの活用が進んでいるどの企業も、業界のフレームワークは委託先レビューにかかる負担を減らす有用な手段であると考えています。企業が独自に委託先のリスクを評価する必要性を軽減する上で最も有用とされているのは、受託業務に係る内部統制の保証(SOC)報告書の活用、あるいはSOC報告書と他フレームワークとの組み合わせであり、企業が以前よりSOCを活用する傾向が見られます。実際、セキュリティなどに関連する内部統制を対象とした保証報告書(SOC2)が有用であると回答した企業は、2016年の調査時に71%であったのに対し今回の調査では86%まで増加しました。その他のフレームワークへの依拠や活用については、大きな変化は見られませんでした。
42 | グローバル金融機関向け サード・パーティー・リスク管理サーベイ
統制評価実施の必要性を検討するにあたり、委託先のレビューの必要性を軽減または不要にするために有用な報告書は下記のうちどれか、5段階で評価 ください。(1「全く有用ではない」から5「非常に有用」)
ISO認定
シェアードアセスメント合意された手続(AUP)
シェアードアセスメント(SIG)
PCI認定
米国立標準技術研究所(NIST)
SOC1または国際保証業務基準(ISAE)
SOC2
SOC2と追加フレームワークの組み合わせ
Usefulness of Industry-Standard Compliance Reports
5/4 ̶ 有用である 3 ̶ 多少は有用 2/1 ̶ 有用ではない
23% 19%58%
37% 14%49%
39% 33%27%
43% 34%23%
33% 44%23%
33% 46%21%
23% 60%17%
38% 48%14%
業界標準のコンプライアンス報告書の有用性
43グローバル金融機関向け サード・パーティー・リスク管理サーベイ |
立入調査は効率化の流れ回答企業の8割は、情報セキュリティ、事業継続性、コンプライアンス、オペレーショナルリスクという4つの主要リスクドメインの評価をする際には、立入調査を各ドメインあたり1日以内で終えていると回答しました。
これら複数のリスクドメインを組み合わせた立入調査の場合、6割の企業が通常1日以内で終えると回答した一方、残り4割は2日以上必要であると回答しました。2016年の調査時と比べると2日以上を必要とする企業の割合は少し減少しましたが、企業は引き続き、複数のリスクドメインが関係する評価に取り組んでいます。複数のリスクドメインの評価を同時に実施しようという試みは、企業が評価機能に関する業務運営をより効率化しようとしていることを示しています。
44 | グローバル金融機関向け サード・パーティー・リスク管理サーベイ
委託先に立入調査を実施する場合、以下の各レビュー項目に費やす期間は通常どのくらいですか。(移動時間は含みません)
Conducting on-site reviews
Informationsecurity review
Duration of on-site reviews
半日以内1日終日2日3日3日超
28%
15%
53%
6%
41%
0%
35%
55%
3%
45%
0%
0%0%
0%
20%
52%
44%
4%
0%
0%
15%
44%
11%
11%
19%上記を組み合わせたレビュー
オペレーショナルリスクのレビュー
規制遵守のレビュー
事業継続性のレビュー
情報セキュリティのレビュー
7%
93%
Businesscontinuity review
13%
87%
Regulatorycompliancereview
31%
69%
Operationalrisk review
26%
74%
Combinedreview
24%
76%
Not currently consideredCurrently considered
立入調査の実施項目 立入調査期間
7%
93%
13%
87%
31%
69%
26%
74%
24%
76%
事業継続性の レビュー
規制遵守の レビュー
オペレーショナル リスクのレビュー
上記を組み合わせたレビュー
情報セキュリティのレビュー
実施している実施していない
45グローバル金融機関向け サード・パーティー・リスク管理サーベイ |
設問数の増加はリスクの統合を反映している50%近い企業が、250問以上の設問からなる調査票を使用しています。調査票の内容が充実する一方、標準的な評価に要する期間に大きな変化はないことから、以下いずれかの結論が導かれます。評価の範囲は広がっているものの以前ほど深く検証していない、あるいは他リスクドメインの評価も一度に実施しようとしていることで設問数が増えている、のどちらかです。私たちは後者の可能性が高いと考えています。
委託先の統制の自己評価に使用する貴社の調査票には設問が 何問ありますか。
8%
22%
27%
21%
8%
16%
33%
39%
31%
27%
14%
16%
10%
17%
11%
Full-length control self-assessment questionnaire
500問超
251~500問
101~250問
51~100問
50問未満
201720152014
「適切な水準のデューデリジェンスを実施するために必要不可欠な情報を確保することと、委託先と契約するためにどのようなリスクを軽減する必要があるかを明らかにすること、これらと事務負担量のバランスが重要だと思う」
グローバルな金融機関の経営幹部
46 | グローバル金融機関向け サード・パーティー・リスク管理サーベイ
デューデリジェンスの規模にみる成熟度回答企業の4分の3が、契約締結前のデューデリジェンス評価と契約締結後の統制評価を同じレベルの深度で実施しています。一方、リスク管理プログラムの成熟度が高い企業ほど、デューデリジェンスを契約締結後の統制評価ほど緻密に行なわなくてもよいと判断しています。成熟度を指標として考えると、成熟度が中から低程度の企業にとってデューデリジェンスの規模の適正化は注力すべき課題となります。
貴社では、契約締結前の統制評価に関するデューデリジェンスについて、実施の必要性をどのような基準で判断していますか。
デューデリジェンスの規模の適正化は、契約の締結に要する期間の大幅な短縮となり、多くの企業にとってサイクルタイムの短縮によるコスト削減の機会となる可能性があります。また、これは市場の仕組みが貢献できる分野でもあり、こういった仕組みを通じて企業がデータに素早くアクセスできるようになれば、比較的低リスクの委託先との契約に向けた意思決定の効率を大幅に改善することができます。
ほぼすべて(90%)の企業が、固有リスクの高い委託先に対して契約締結前にデューデリジェンスを実施しており、比較的高いリスクを伴うサービスや委託先に対しては契約前の評価を重視する傾向が強いことを示しています。
Primary driver of pre-contract due diligence control assessments Total (54)
Lighter touch than post-contract control assessmentsSame level of depth as post-contract control assessments
Control assessment only performed during due diligence
その他
契約締結前に統制評価を実施していない
ビジネスラインあるいは委託先との契約に係る他関係者から
リクエストを受けた場合のみ
委託先の固有リスク、および特定の基準に該当する場合
委託先の固有リスク、および契約締結後の評価の必要性を
判断する際と同様の方法67%
22%
4%
4%
4%
Primary driver of pre-contract due diligence control assessmentsTotal (54)
契約締結後の統制評価と同程度契約締結後の統制評価ほど緻密に実施していない統制評価はデューデリジェンスにおいてのみ実施
75%
2%
23%
貴社では、契約締結前の統制評価に関するデューデリジェンスを 実施する際、どのような深度で実施していますか。
契約締結前の統制評価に関するデューデリジェンスの主な判断基準 契約締結前の統制評価に関するデューデリジェンスの深度
47グローバル金融機関向け サード・パーティー・リスク管理サーベイ |
コンプライアンス評価は契約締結後も 実施される傾向ほとんどの(88%)企業が、規制リスクをもたらす委託先は全体の25%未満であると回答しました。大部分(83%)の企業は、このような委託先に対し契約締結前に対応策を適切に講じることで、規制リスクを抑えることができます。回答企業の多く(67%)は、契約締結後にも引き続き規制リスク評価を実施しています。約半数(46%)の企業は、規制遵守を徹底するため個別取引評価をより周到に実施しており、その割合は2年前とほぼ同様となっています。
リスクのモニタリング対象となる委託先のうち、規制リスク、特に消費者コンプライアンスに関するリスクをもたらす委託先の割合はどれくらいですか。
規制遵守に関するレビューをいつ実施していますか。当てはまるものをすべて選択してください。
Percentage of third parties in-scope that expose organization to regulatory riskTotal (49)
5%以下6%~10%11%~25%26%~40%40%超
27%
35%
26%
10%2%
規制遵守に関する評価の実施時期コンプライアンス統制評価 個別取引評価
契約締結前 83% 13%
契約締結後 67% 46%
評価は実施していない 7% 15%
該当しない 2% 11%
48 | グローバル金融機関向け サード・パーティー・リスク管理サーベイ
業界の見通し:主要な投資分野
貴社では、以下の活動予算についてどのように計画していますか (今年度より拡大、縮小、または現状維持)
TPRMコンサルタントの活用
委託先の遠隔評価
TPRMの監査または規制に基づく是正要件
TPRMの内部担当者の配置
委託先への立入調査
TPRMに関する監視およびガバナンス
委託先との関係管理の内部担当者の配置
TPRM手法の更新
調達プロセス
TPRMに関するテクノロジー
Spending in the futureQ54. Compared to the current year, does your organization plan to spend more, less or the same amount for the following activities?
37%
43%
50%
6%
15%
12%
12%
6%
13%
9%
12%
10%
22%
58%
28%
56%
61%
53%
35%
34%
29%
25%
42%
38%
58%
54%
57%
51%37%
37%
予算拡大 現状維持 予算縮小
32%
今後の投資分野
TPRMへの投資は拡大しているTPRMプログラムの成熟度が業界全体で高まり続ける中、約6割の企業が2018年度のTPRMに関するテクノロジーへの投資予算枠を、前年より拡大する予定と回答しました。これは2016年調査時の5割に比べ増加しています。
TPRMプログラムの成熟が進むにつれて、TPRMに関する監視およびガバナンス、TPRMの監査または規制に基づく是正要件、TPRM手法の更新に割り当てられる予算はいずれも増加傾向にあり、10社中9社はこれらの分野に2016年と同等かそれ以上の投資をすると回答しています。
注目ポイント• 本調査結果が示すガバナンスと報告に関する課題に対応するため、
94%の企業が、2018年度のTPRMに関するテクノロジーへの投資予算枠を、前年と同様あるいは拡大する予定と回答しました。
50 | グローバル金融機関向け サード・パーティー・リスク管理サーベイ
回答企業の分布本調査はグローバルな金融機関54社を対象に、2017年の10月から12月にかけて実施されました。調査対象企業は、主に銀行・証券、保険、資産運用業界に属しており、それぞれに異なる成熟度と規模の委託先リスク管理機能を有しています。本調査の目的は、金融業界における委託先リスク管理の実態を明らかにすることです。
今回の調査対象企業のうち、従業員数が25,000人未満の企業の割合は63%、従業員数50,000人超の企業の割合は26%となり、これは半数以上の参加企業が50,000人超であった前回の調査から大きく変わりました。本調査の参加企業のうち、過半数の企業がTPRMプログラム導入から5年超、15%が3年から5年、30%弱が3年未満となりました。
回答企業分布
合計 54社
業種別 回答企業数 %
銀行・証券 34 63%
保険 12 22%
資産運用 6 11%
その他 2 4%
TPRMプログラム導入からの経過年数
3年未満 16 29%
3年以上5年未満 8 15%
5年以上 30 56%
組織の規模別
25,000人未満 34 63%
25,001人から50,000人 6 11%
50,001人から100,000人 8 15%
100,000人超 6 11%
本調査の参加企業数は54社となり、前回2016年調査の49社から増加しました。参加企業のうち36社は、主に米国外で事業運営を行っているか、または米国内外にビジネスを展開しています。それ以外の回答企業は、米国内でのみ事業を展開しています。本調査に参加した金融機関の地理的な内訳は、オーストラリア2社、アジア・パシフィック3社、日本1社、北米36社、ヨーロッパ12社となっています。本調査は、2017年10月から12月にかけて実施されました。
51グローバル金融機関向け サード・パーティー・リスク管理サーベイ |
EY | Assurance | Tax | Transactions | Advisory
EYについて
EYは、アシュアランス、税務、トランザクションおよびアドバイザリーなどの分野における世界的なリーダーです。私たちの深い洞察と高品質なサービスは、世界中の資本市場や経済活動に信頼をもたらします。私たちはさまざまなステークホルダーの期待に応えるチームを率いるリーダーを生み出していきます。そうすることで、構成員、クライアント、そして地域社会のために、より良い社会の構築に貢献します。
EYとは、アーンスト・アンド・ヤング・グローバル・リミテッドのグローバル・ネットワークであり、単体、もしくは複数のメンバーファームを指し、各メンバーファームは法的に独立した組織です。アーンスト・アンド・ヤング・グローバル・リミテッドは、英国の保証有限責任会社であり、顧客サービスは提供していません。詳しくは、ey.comをご覧ください。
EY Japanについて
EY Japanは、EYの日本におけるメンバーファームの総称です。新日本有限責任監査法人、EY税理士法人、EYトランザクション・アドバイザリー・サービス株式会社、EYアドバイザリー・アンド・コンサルティング株式会社などから構成されています。なお、各メンバーファームは法的に独立した法人です。詳しくはwww.eyjapan.jpをご覧ください。
EYアドバイザリー・アンド・コンサルティング株式会社について
EYアドバイザリー・アンド・コンサルティング株式会社はEYの日本におけるメンバーファームです。さまざまな分野の専門性を有するプロフェッショナルがグローバルに連携し、企業が抱える経営課題に対し、最先端かつグローバルな視点と実行力で最適なアドバイザリーサービスを総合的に提供いたします。詳しくはwww.eyjapan.jp/advisoryをご覧ください。
© 2018 EY Advisory & Consulting Co., Ltd. All Rights Reserved.
本書は SCORE EYG no: 02702-184GBL を翻訳したものです。 ED None
本書は一般的な参考情報の提供のみを目的に作成されており、会計、税務およびその他の専門的なアドバイスを行うものではありません。EYアドバイザリー・アンド・コンサルティング株式会社および他のEYメンバーファームは、皆様が本書を利用したことにより被ったいかなる損害についても、一切の責任を負いません。具体的なアドバイスが必要な場合は、個別に専門家にご相談ください。
www.eyjapan.jp/advisory/
お問合せ先
和合谷 與志雄EYアドバイザリー・アンド・コンサルティング株式会社パートナー [email protected]
Harald deRoppEYアドバイザリー・アンド・コンサルティング株式会社アソシエート パートナー [email protected]
緒方 兼太郎EYアドバイザリー・アンド・コンサルティング株式会社シニアマネージャー [email protected]