外部委託2.0～委託先管理の効率化と新たな外部委託形式

非財務リスクは外部委託にも

金融機関の外部委託には、「情報セキュリティリスク」と「業務品質リスク」の二つのリスクが認識されている。前者については、委託先における情報の不正持出や特権IDの悪用といった事故が顕在化したことから多くの金融機関でリスクが認識され（図表１）、システムリスク管理を中心に定期的に点検が行われている。

一方、後者は契約違反による品質低下や委託先の事務ミス・システム障害による業務停止などが挙げられるが、苦情や事故として顕在化するまで委託元で認識されないおそれがある。いわゆる「非財務リスク」の管理は外部委託においても大きな課題として再認識されている。

外部委託リスクの管理と限界

通常、外部委託された業務は社外で実施されるため、オンサイトでの管理が難しい。このため、多くの金融機関では書面による点検と立入検査を組み合わせた管理を行っている。「書面による点検」は、委託元で管理項目をチェックシート化し、委託先が書面で回答するものである。委託業務ごとに実施され、委託元部門や統括部門で評価される。また、「立入検査」は委託元が重要な委託先に出向き、実際に管理状況を確認し実効性を担保している。

留意すべきは立入検査先の選定基準である。固有リスクとして預託している情報の種類・件数・形態・取扱状況などを考慮することが多いが、委託業務に大きな変更がない限り、毎度同じ委託先が選定されてしまい、工数の限られた点検を行ううえでの課題となる。また、点検時には情報管理の確認に終始し、事業継続体制や品質管理状況を確認せず、結果としてリスク認識とアンマッチとなってしまうケースが散見される。

望ましいのは、書面による点検と立入検査の目的を明確にし、リスクの顕在化を未然に防ぐことである。そのためには、点検で情報管理と業務品質管理の枠組みを確認し、実地でリスクを明確にしたうえで、その枠組みが記載どおり行われていること、未認識のリスクがないことを点検者が確認すべきである。

また、点検結果を活用することが望ましい。委託元で管理状況を蓄積し、固有リスクと合わせ、点検結果を踏まえた残余リスクで委託先を評価し、実効性を評価することが理想的である。しかし、現状は委託先や委託元部署の点検結果を統括部門が個別に把握するにとどまることが多い。

フィンテック活用に潜む外部委託のリスク

フィンテックの活用により、スタートアップ企業と新たに協業を進める金融機関が増えている。内部管理が不十分なスタートアップ企業が新たに事業を始める場合、その事業における情報管理と業務品質の両面からリスクを適切に評価しなければならない。事業開始後、情報漏洩やシステム障害により外部委託リスクが顕在化すれば委託元のレピュテーションにも影響する。安全なIT基盤の提供や運用面でのバックアップ体制を整えるなど、リスク低減を検討することが必要だろう。

また、RPA（Robotic Process Automation）の導入も外部委託リスクに影響を与える。委託業務をRAPで内製化し、情報セキュリティリスクを低減することや、外部委託先にRPAを導入して業務品質リスクを集中化することは、導入メリットだけでなく、環境変化に伴うリスクの再評価も必要だろう。このようなリスク管理を行うためには、外部委託にかかわる委託先情報、契約情報、委託先点検結果を一元管理し、外部環境の変化や内部からの情報を必要な時に把握できるようにする必要がある（図表２）。

外部機関を活用したリスク点検

外部委託は今後も拡大し、そのリスク管理はますます複雑化するため、外部機関の活用も解決策の一つである。委託業務の第三者評価や実地点検に同行することは以前から行われているが、新サービスや新技術導入の専門的観点からのアドバイスや、海外の規制に対応するための情報提供を受けることは、今後必要性が高まると予想される。

外部委託においても、苦情など社外からもたらされるリスク情報をモニタリングし、組織への影響を早期に発見することが求められる。このため、委託情報を集約したデータベース化や、収集プロセスの効率化など、単純作業ではなくリスクの早期発見や未然防止に時間を使えるよう工夫が必要である。このような効率化に外部の知見を活用することも効果的であろう。分析結果を活用し、リスクのモニタリングとフォローアップに役立てるという管理のPDCAサイクルを再構築することが、これからの非財務リスクの管理に資すると考えられる。
（文中の意見にわたる部分は筆者の私見である）

*本記事では「非財務リスク」「ノンファイナンシャルリスク」「ノン・ファイナンシャル・リスク」「非ファイナンシャルリスク」等を、「非財務リスク」に表記を統一して使用しております。