「減速する中国経済が引き金となる“台湾有事勃発の可能性”」そのとき習近平政権は世界に好戦的になるのか、好意的になるのか <2023年9月29日開催>
2023年10月18日「自然言語処理研究から見た生成AIの可能性と限界」研究事例を通じて考える経済安全保障への応用 <2023年11月27日開催>
2023年12月12日グローバル化による取引地域の拡大、専門領域の細分化などの影響により、今や多くの企業がパートナー企業や委託先などのサードパーティ(第三者事業者)と協業しながら業務を進めています。ここで問題になるのは、サードパーティとの協業には情報漏洩、コンプライアンス、ESGとの関連など、多様なリスクを伴うということ。これらに対応するため、近年は広範囲にわたるサードパーティ・リスク管理(TPRM:Third Party Risk Management)とレジリエンス体制(組織的適応力)の構築が求められるようになってきました。今回の勉強会にお迎えしたのは、独自のソリューションでサードパーティのデュー・デリジェンス(適正評価)サービスを提供しているムーディーズ・アナリティックスの亀山佳世子氏と草羽宏和氏。人権侵害、贈収賄、経済制裁への対応をはじめとするTPRMやレジリエンス体制の構築と高度化について、最近話題の実例を踏まえつつ詳しく解説していただきました。また、FRONTEO取締役の山本麻理からは、KIBIT Seizu Analysis(キビット セイズ アナリシス)の紛争鉱物デュー・デリジェンス支援機能を活用した「サプライチェーン解析事例」をご紹介しました。
ムーディーズ・アナリティックス・ジャパン株式会社
Japan Financial Crime Practice Lead
亀山 佳世子
特に金融犯罪に係るコンプライアンスの専門家としてコンプライアンス・ソリューションについて、法令等遵守態勢の観点から、実務に基づく助言、提案を行う。 米国留学より帰国後、外資系銀行・証券会社等において15年以上にわたり勤務。主に金融犯罪対策およびレギュラトリー・コンプライアンスやリスク管理および研修業務に従事。
ムーディーズ・アナリティックス・ジャパン株式会社
Director セールスマネージャー
草羽 宏和
15年以上にわたり金融機関・事業会社・商社などへのデータソリューションを提供。 グローバルベースでのKYC・AML/CFT・顧客オンボーディングやデューデリジェンスなどのコンプライアンスチェック管理や海外取引先管理など、海外ビジネスを展開していくにあたって対応が必要となる課題をデータ提供の側面から支援。
株式会社FRONTEO 取締役/AIソリューション事業統轄 兼 社長室長
山本 麻理
広告代理店に入社後、リスクマネジメント会社に在籍。メンタルヘルスケア事業を立上げ、事業計画、商品開発、マーケティング、営業戦略を実行し業界トップシェアへと導く。2014年に同社取締役に就任し、2017年に東証一部上場を実現。2018年12月より株式会社FRONTEOに参画、2020年取締役に就任しAIソリューション事業全域を管掌・指揮。
♦サードパーティ・リスク管理とオペレーショナル・レジリエンス
TPRMについて考察する前に、サードパーティの位置付けと現況を把握しておきましょう。属性としてはサプライヤー、製造業者、販売業者、ビジネスパートナーなどですが、顧客や二次・三次のサプライヤーも含まれます。また、近年はビジネスの国際化に伴って海外の企業や顧客が増えつつあり、地理的変化も目立っています。
亀山氏(以下敬称略):サードパーティの多様化に加え、企業は地政学的な不安定性、サイバー攻撃のリスク、ESGに対する取り組みなど、厳しい事業環境下に置かれています。これらが要因となり、サードパーティに係わる複数のリスク要因が顕在化しているのです。サードパーティに関連して留意すべき具体的な内容は……
「企業のプロファイル(サプライヤーから提供された企業情報は認証・拡充可能か?)」
「財務・事業パフォーマンス(短期的な業績はどうなると予想されるか?)」
「レジリエンス(品質・コスト・納期などが悪化しそうなサプライヤーはあるか?)」
「規制・コンプライアンス(コンプライアンス関連のリスク懸念はあるか?)」
「サイバーセキュリティ(主要サプライヤーが情報漏洩する可能性はあるか?)」
「ESG・サステナビリティ(重要サプライヤーのESG評価は?)」
「風評リスク(サプライヤーの不正行為で自社にどのような影響が生じるか?)」など。こうしたリスクが単独または同時に発生し、関連会社へと伝播して自社まで負の影響が及ぶわけです。企業はリスクを軽減する努力、発生しないように抑制する努力をしなければなりません。
TPRMの概要は理解できました。こうしたリスク要因、かつては個別に対処できていましたが、問題が国際化した今は新たな対応が求められています。キーワードは「デュー・デリジェンス」。法律分野では「相当な注意義務」、経済分野では「企業買収前のリスク監査」を指す用語です。
亀山:TPRMは個別リスク管理から全犯罪プログラムへ、さらにはオール犯罪型のリスク管理へと移行しつつあります。その全てに含まれているのがデュー・デリジェンス。この点では海外が先行しており、約50年前の麻薬犯罪から規範としてデュー・デリジェンスが求められようになりました。以降はマネーロンダリングやテロ資金供与、経済制裁逃れ、企業贈収賄及び腐敗・不正、強制労働や人権侵害などへの対応策として、包括的なデュー・デリジェンスに対する期待が高まっています。日本の場合も組織犯罪への対応に始まり、金融機関本人確認法、犯罪収益移転防止法、昨年経産省から発表された「人権尊重のためのガイドライン」へと進んできました。企業に対し、国がデュー・デリジェンスに沿った体制を整えてくださいと指針を出しているのです。
企業が全犯罪に目を向けるのは簡単なことではありません。それを実現するためには何が必要なのでしょうか?
亀山:今回のテーマでもあるレジリエンス、つまり業務の強靱性や復旧力です。金融庁はレジリエンスについて「システム障害、サイバー攻撃、自然災害等が発生しても、自社の重要な業務を最低限維持すべき水準において、提供し続ける能力」と定義しています。これは一般企業にもそのまま当てはまること。企業は利用者目線に基づき、業務中断が起こり得ることを前提にレジリエンス体制(オペレーショナル・レジリエンス)を構築しなければなりません。具体的には回復の迅速化、影響範囲の軽減(被害の最小化)がポイントになります。しかしながら、企業がレジリエンス体制を一から構築するのは大変です。そこでおすすめしたいのが、既存のインシデント管理やガバナンス体制に横串を通して発展させること。例えばTPRMで要求される組織横断的な理解の浸透や経営陣のトップダウンによるコミットメントなどは、そのままオペレーショナル・レジリエンスに当てはまります。問題が起こらないようにする方策がTPRM、起こってからのリスクを最小限に留める方策がオペレーショナル・レジリエンスと考えてもいいでしょう。
♦レジリエンスを想定したサードパーティ・リスク管理の枠組み
ここで、企業が取るべきTPRMの形を考えてみましょう。難しそうなのは部門を超えた横串の通し方です。
草場氏(以下敬称略):各企業で想定されるリスクは様々ですし、社内においてはそれらを管理する部門も分かれています。リスク管理、与信管理、コンプライアンスなどの各部門を全社的に管理するのは簡単ではありません。また、各部門から報告を受ける経営陣の間にも横串を通す必要があります。さらに言うと、包括的なTPRM体制を整備するにあたっては、現場から発生する多くの課題をクリアしなければなりません。当社の調査では、急速に広がるリスク管理の要望に応えるため「手作業が増えて作業の効率が悪くなった」「リソースが不足している」という声が多数上がっています。こうした課題に対しては、作業工程のDX化や外部ツールの活用が有効となるでしょう。ほかにも「リスク感度の欠如」「受け身の対応」「組織の分断や不完全性」など多くの課題がありますから、リスク管理の担当者は適宜最適なソリューションを導入して解決を図る必要があります。
次に、先に述べたデュー・デリジェンスを含めたTPRMの枠組みを考えてみましょう。必要とされるプロセスは4段階あります。
草場:第1段階は「リスクの把握」。具体的にどのようなリスクがあるのか、どの程度の影響があるのか、実質的な株主や支配者は誰か、といった点を把握します。第2段階は「リスク対応と改善措置」。許容範囲を見極めながらリスク低減の方法を考え、効果的な改善措置を取ります。続く第3段階は「継続的管理」。取引先のリスクに変化がないか、また低減措置に実効性が伴っているかなどをモニタリングします。最後の第4段階は、ガバナンスにあたる「全社的対応」。リスク管理に対する経営陣の理解を確認します。
♦デュー・デリジェンスのケーススタディから見えてくるTPRM
海外との取引が多い企業の場合、レジリエンス体制の構築を踏まえたTPRMは必要不可欠です。今回は理解を深めるためのケーススタディとして、社会問題になったある芸能事務所の人権侵害問題を取り上げました。
亀山:亡くなった代表が数十年に渡り、所属する未成年タレントに性的虐待のリスク事象を起こしていた事例です。全貌が明らかになっていないので想定部分も含まれますが、6つの対応ポイントに沿って説明しましょう。第1のポイントは「リスク事象の検知」。企業がモニタリングしている場合はネットサーチや検索時のフラグなどで気付く場合がほとんどですが、この事例は所属タレントの実名告発がきっかけでした。第2のポイントは、評価の準備段階にあたる「リスク事象の確認・分析」です。まずは発生時期、当事者、ニュースソース、進行具合などを確認。続いて社会への影響、自社への影響、経済的な損失などを分析し、再発防止策とガバナンス体制を想定します。この事例の場合はつい最近の出来事で、当該企業が人権侵害事案を認識しており、未成年の被害者が多数存在していました。社会的な影響が大きく、事務所のブランドは大きく毀損。国連人権理事会が調査に入ったことから、企業活動が海外の規制に抵触する可能性もあります。定性的に見て明らかに高リスクと判断できる事例です。
ここまでが、数値で判断できない定性的な評価。以降は定量的な評価となります。
亀山:第3のポイントはデュー・デリジェンス(DD)の実施として行う「リスクの(再)評価」です。問題が小さければ簡素なDDで済みますが、この事例のように大きな場合はより厳格なエンハンスド・デュー・デリジェンス(EDD)を実施することになります。その後はリスクプロファイルの見直し、リスク格付けの割り当てと続きます。第4のポイントは「リスク低減措置の策定・見直し」。現在進行中の契約や結ぼうとしている契約が妥当かどうかを判断するため、担当部署の意見を伺い、対象者のリスクプロファイルを登録・更新します。その後はリスクレポートを作成し、リスク委員会へ報告します。第5のポイントは「リスク対応の報告・協議」。報告するのはリスク管理の担当者、協議するのはリスク委員会に参加する関連業務担当者や責任者です。必ず出席しなければならないのは経営陣。ここで横串を差す形になるわけです。経営陣は最後となる第6のポイント「リスク対応の最終判断」において、ビジネス側の判断とリスク管理側の判断に齟齬があった場合にどうするか、という重要な判断を下します。つまり、ガバナンスまで行ってはじめてデュー・デリジェンスが終わったことになるのです。また、サードパーティのリスク要因には常に風評リスクが付いて回ります。ガバナンスの際はこの点に気を付けてください。こうした体制の整備が、オペレーショナル・レジリエンスの強化につながるのです。
今回の要点は以下のとおりです。
1.今は包括的リスク管理が求められている
2.取引相手や関係者を理解し、リスク防止を図る必要がある
3.リスク管理体制を高度化するには、立ちはだかる課題を解決しなければならない
4.サードパーティ・リスク管理からオペレーショナル・レジリエンスへ、全社を挙げて立ち向かうことが重要である
適切なリスク管理を行えば、企業はレジリエンスを高めることができます。経営者やリスクマネジメントに携わる方々は、今回の内容をぜひ参考にしていただきたいと思います。
♦ホワイトとグレーでどう違う? 2つの紛争鉱物解析事例
FRONTEO山本からは、「紛争鉱物を巡るサプライチェーン」をテーマに、当社が開発した経済安全保障対策ネットワーク解析システム「KIBIT Seizu Analysis」の活用例を紹介しました。
山本:タンタル、錫、タングステンなどの紛争鉱物を取引する企業には、“責任ある鉱物調達”の調査が求められています。今回は民間企業団体「責任ある鉱物イニシアチブ(RMI)」がホワイトとして認定した精錬所と、認識はしているがホワイト認定していないグレーな精錬所を1社ずつピックアップし、日本企業へのサプライチェーンを明らかにしてみました。起点として取り上げたのは、カナダのGlencore Canada CorpとコンゴのTenke Fungurume Miningです。
山本:ホワイト認定されたGlencore社の流れを見ると、直下に日本企業が現れ、最後は日本の大手電子部品会社に辿り着きました。同社のチョークポイントスコアは10点中の5点ですから、依存度は高いと言えるでしょう。
山本:グレーとされているTenke社の流れは複雑です。1階層と2階層に現れた2社は、欧米の鉱物系グルーバルサプライヤー。その下に某企業があり、右ルートでは日本企業2社を経由する形で、左ルートではアメリカの企業を経由する形で日本の大手電子部品会社に辿り着きました。意外だったのは、Tenke社に近い位置に欧米の有名企業が位置していたことです。
山本:グレーだから取引してはいけないというわけではありませんが、右ルートの日本企業2社は欧米の大手企業が介在している事実を知った上で、サプライチェーンの再構築を検討すべきでしょう。紛争鉱物を取引されている企業においては、今一度自社のサプライチェーンを確認していただきたいと思います。