東南アジアにおけるサードパーティーリスク管理・コンプライアンス強化の動向と地域統括における取組状況

ビジネス環境のグローバル化が進み、企業の事業展開・拡大にあたっては様々な取引先(サードパーティー)の活用が不可欠となっていますが、その活用に伴うリスク管理の重要性が高まっています。

サードパーティーリスクには様々なものが含まれますが、中でも、近年のサステナビリティへの注目度の高まりに伴い、特にコンプライアンスリスクを適切に管理する必要性が増してきました。

そこで、本ニュースレターでは、サードパーティーリスクのうちコンプライアンスリスクに重点を置き、近年の動向や東南アジア地域での課題をご説明した上で、解決に向けた取り組みの方策につきご紹介いたします。

1. 近年の動向－サードパーティーリスク管理の必要性の高まり

⑴ 管理対象の複雑化

昨今、企業の社会的責任として、自社のみならず取引先等のサードパーティー管理が要請されていますが、こうした外部環境は厳しさを増しています。

まず、グローバル化に伴い、企業活動に関与するサードパーティーは増加していく傾向にあります。その結果、サードパーティーから適切かつ精度の高い情報を取得・管理するための管理コストは増加し、オペレーション上の負荷も増えていくことが想定されます。

加えて、多様なサードパーティーが関与することにより、生じうるリスクは幅広いものになっています。贈収賄や競争法違反といったリスクのほか、人事・労務リスク(委託先における人権侵害、強制労働等)、品質不正リスク、知的財産リスク、情報セキュリティリスクなど、様々なリスクが管理対象となり、リスク把握はより困難になっています。　

⑵ ESG時代における要求水準の高まり

特に環境問題、人権問題などのESG関連事項については、ステークホルダーからの注目の高まりから、サードパーティーの実情についてのより正確な把握・管理が必要になっています。実際に、直接的な契約関係にない調達先であっても、そこで人権・環境・労務等のコンプライアンス関連の問題が起きた場合には、遡って発注元の責任が厳しく問われるようになっています。

ESG関連事項への関心の高まりは、次に述べる状況からも明らかです。例えば、2011年10月に公表されたGHGプロトコル (温室効果ガスプロトコル) のScope3は、事業者の活動に関連する他社による温室効果ガスの排出量を対象としていますが、近年、カーボンニュートラルに向けた取り組みの広がりにより、企業は、このGHGプロトコルのScope3までを把握・管理することが求められるようになってきました。

財務諸表のうちESG要素を含む非財務情報についても、ステークホルダーとの対話の観点から開示を強化する流れが世界的に広まっていますが、現に、米国では、SECが2022年3月、気候変動開示案を公表し、気候関連リスクに関する事項や先述のGHG排出量(Scope3)などの開示を要求することを発表しています。

更に、2021年には、サードパーティーの人権侵害リスクを理由に、機関投資家が投資撤退を示唆した事例もあります。

自社外の多数のサードパーティーが有する情報を収集・把握(場合によっては開示)することは企業にとって簡単ではありませんが、ESG時代においては、こうした要求水準に応えていく必要があります。

2. 想定される課題

⑴ 企業の内部環境

先述したようにリスク管理の対象範囲が拡大したことに伴い、管理コストも増大することが想定されます。企業内のリソースが限られている中で、多数のサードパーティーから情報を収集してのリスク評価・管理には限界があります。

また、サードパーティーリスクの管理にあたっては、各サードパーティーに内在するリスクを洗い出し、どのリスクへの対応を強化するのか方針を定めるところから始める必要がありますが、そもそも担当部門が明確ではなかったり、複数部門を跨いでおり合意形成にコストがかかるなどの事情により、初期の段階から二の足を踏んでしまうケースも考えられます。

さらに、取引開始時までのリスク管理は行われているものの、その後のモニタリングの仕組みまで手が回っていない例も多くみられます。取引開始後の活動がフォローアップされていなければ、リスクが顕在化するまで問題に気付くことができません。継続的なリスク管理のためには、取引開始後もサードパーティーを定期的に管理する仕組みが必要です。

⑵ 東南アジアのリスク

上記に加え、東南アジアでビジネスを展開するにあたっては、次のようなリスクがあります。

まず、東南アジアなどの海外拠点では、コンプライアンス活動へ回すリソースの余力がない場合が多く見られます。また、東南アジア各国で規制や法令、ビジネス慣習等が異なるため、本社・地域統括会社が東南アジア地域全体としての方針を打ち出しても、具体的な対応策は国ごとの事情を踏まえ、情報収集、対応計画立案し、導入を行わざるを得ません。東南アジアでは、朝令暮改ともいえる法令改正がなされる例もあり、執行状況も不透明なため、国ごとの情報収集も困難です。こうした状況では、特に、効果的・効率的なリスク管理が必要になってきます。

加えて、東南アジアは、ビジネスが活発な一方、コンプライアンスに関するリテラシーがまだ高くない国が大半です。TRANSPARENCY INTERNATIONALが公表した2021年のCorruption Perceptions Index(CPI、腐敗認識指数)では、東南アジア地域ではスコアが40を下回っている国がほとんどであり、贈収賄などの法令違反に対する認識が高くないことがうかがえます。こうした地域でビジネスを展開するにあたっては、リスク管理を徹底して行う必要があります。

3. 解決への取り組み

サードパーティーリスク管理にあたっては、取引先を特定し、生じうるリスクについてアセスメントを行い、リスク管理(契約後のモニタリング等のフォローアップも含む)を行うことになりますが、上記のとおり課題は多く、求められる範囲・水準で管理を行うことは簡単ではありません。こうした問題に対しては、現在、東南アジアの地域統括会社を中心に、データ・テクノロジーの活用によって効果的・効率的な管理を行うことが議論されています。

具体的には、データ収集基盤を構築し、そのデータの加工・分析環境の構築などを行うことで、取引先から得た情報を集約して一元管理することが可能になります。また、単体の情報のみでは異常性を検知できない場合でも、社内外のデータ全体の傾向に照らせば異常性を検知できる場合がありますが、こうした分析を限られた人材のリソースで行うことは困難です。しかし、テクノロジーを活用し、社内に蓄積されたデータと取引先から得た情報を組み合わせて予測モデルを構築すれば、全体傾向をつかんだ上でリスクが発生している可能性の高いエリアを特定することが可能になります。問題顕在化前のプロアクティブな対応を可能にするためにも、このようなテクノロジーを活用したリスクの予兆管理が重要になってくるものと考えられます。

4. 最後に

以上述べてきたように、東南アジアにおけるビジネス環境でコンプライアンスリスクを含むサードパーティーリスクを管理するためには、データ・テクノロジーの活用が重要になってくるものと考えられます。

デロイト トーマツ グループでは、このようなサードパーティーリスク管理について、取引開始前の事前調査から取引開始前後のモニタリング等のフォローアップまで、アドバイスを提供しています。サードパーティーリスク管理におけるコンプライアンス強化や効率化にご関心のある方は、お気軽にご連絡ください。