あなたの会社では、適切なベンダー・リスク管理を実現できているだろうか? コロナ禍は、企業が事業継続計画の見直しを行う契機となっており、ベンダーに対するリスク・マネジメント(TPRM:Third-party Risk Management)もその一環として注目されつつある。しかしながら、TPRMをどのように始めたらよいか、そもそもベンダーに存在するリスクは何か、明確になっていない企業は多い。

ガートナー シニアディレクター アナリスト 土屋隆一氏は、10月6日~8日に開催されたオンラインカンファレンス「ガートナー セキュリティ&リスク・マネジメント サミット 2021」で、TPRMを有効な形で始めるための方法について解説した。

土屋隆一氏

ガートナー シニアディレクター アナリスト 土屋隆一氏

なぜ今、TPRMが求められているのか?

土屋氏によると、中小から大企業まで規模を問わずTPRMに興味をもつ持つ企業は増えてきているという。これは、業務のデジタル化が進んだことで、SIerとの取引だけでなく、SaaSやIaaSなどのクラウドサービスや特化型ベンダーの採用拡大が進み、取引先が多様化していることが背景にある。また、コーポレートガバナンス・コードの改訂により、投資家が経営にサステナビリティを求めるようになったこと、消費者が不祥事やサービス品質の低下に敏感になっていることなど、経営に影響を及ぼす周囲の環境の目まぐるしい変化も影響している。

一方で、TPRMに取り組むにあたって、何から始めたらよいかわからないという企業は多い。土屋氏は、「日本企業は”カイゼン”の文化が根づいているため、過去のインシデントトラブルからアプローチを試みるが、それでは対処療法的なリスク管理にしかなり得えず、未知のリスクを見つけることができない。『健全な経営を阻害するリスク要因は何か』というトップダウン的な視点で始めたほうがよい」と前置きした上うえで、TPRMの出発点としてまず、「話す」「知る」「診る」という3つのアクションを取るべきだとした。

以下では、この3つのアクションについて詳しく見ていきたい。

ステークホルダーからの理解・協力を得るために「話す」

まずは「話す」ことで、社内ステークホルダーからTPRMの重要性に対する理解と協力を得ることが重要だ。土屋氏によると、ここで頓挫してしまう企業も多いという。特に多いのはセキュリティ・コンプライアンス部門と歩み寄れないケースだ。その原因の1つは、お互いに異なる目標を持って動いていると思い込んでしまっていることにある。

「特にセキュリティ・コンプライアンス部門と歩み寄れない場合が多い。これは、お互いに異なる目標をもって動いていると思いこんでしまっていることが理由の1つにある。ベンダーを採用する現場部門はいち早く契約したいのに、セキュリティ・コンプライアンス部門が待ったをかけ、現場が思い通りに動けないケースがありまする。一方で、セキュリティ・コンプライアンス部門からするとむしろ現場がルールを守ってくれないと感じ、お互いがお互いの足を引っ張っているような状態に陥りがちです。違う世界のことだと思わずに、企業の持続的な成長という同じゴールを目指していることをお互いに認知すべきです」(土屋氏)

TPRMの重要性を理解してもらうためには、「守り」だけでなく「攻め」にも活用できることを各方面に訴えかけていくほうがよい。たと例えば、社外向けには、サステナブルな調達ポリシーをアピールできるというメリットがある。製造業ではすでに実施している企業が多いため、イメージしやすいだろう。内部向けには、経営戦略の成功率を向上させる方法として、TPRMを適切に行うことで実効性の高いリスク・シナリオの作成および対応策の策定が可能になるという説明ができる。このようにして、ビジネス部門にとってもTPRMが有益であることを認知していく活動が重要となる。

具体的なリスクを「知る」

ステークホルダーや経営陣からの理解・協力が得られたら、次に重要となるのが、具体的なリスクを「知る」ことである。

ガートナーでは、さまざまな観点からベンダーのリスクを評価する感知指標を提供している。 -財務・風評リスク:倒産、不祥事発生といった財務状況の健全性に影響する -オペレーションリスク:大規模障害や品質低下といったパフォーマンスの安定性に影響する -コンプライアンス・リスク:情報漏えいや法令違反につながる -戦略リスク:市場撤退やベンダー・ロックインをもたらす -地政学リスク:海外からサービスを調達する際、現地法制度の改訂やローカル事変が問題発生につながる

またこれらに加え、今後は、取引先に対してもサステナビリティ経営が求められるようになることから、6つ目 の指標として調達先が社会的責任へ対応していないことで企業の信頼性低下を招くという「CSRリスク」も加えて考えていく必要があるという。

こうしたリスクを評価するためのデータ入手元の例が下記以下の表にまとまっているので確認してみてほしい。財務・風評リスクを評価するSNSのモニタリングサービスなどは比較的新しいツールだろう。

ベンダー・リスクのデータ入手元

ベンダー・リスクのデータ入手元/出典:ガートナー(2021年10月)