サードパーティのESGリスクを評価する
マリオン・ジョーンズ[*]
環境、社会、ガバナンス(ESG)への関心は、評判や規制上のリスクから身を守りたい企業にとって、かつてないほど重要なものとなっている。しかし、多くの企業は、契約しているサードパーティベンダーが自社のESGプロフィールにどのような影響を与えるかを検討していない。基本的なESGデューデリジェンス評価をサードパーティのリスク評価に組み込むことで、企業はベンダーやその他のパートナーから未知のリスクを受け継ぐことから身を守ることができる。
ESG課題への高まる関心
ESG課題に対する世間の関心の高まりは、短期的な流行ではないと思われる。ブルームバーグ・インテリジェンス社のレポートによると、世界のESG関連資産は、2022年の推定35兆ドルから2025年には50兆ドルに拡大すると予測されている。さらに、2022年にオックスフォード大学とプロティビティ社が世界の企業経営者を対象に行った世論調査では、64%が、環境リスク管理に対する企業の支出は今後増加すると予想していることが明らかになった。
また、オックスフォードとプロティビティは、ESG報告が今後10年間に義務化されると考えている経営幹部が78パーセントいることを明らかにした。これにより、ESGは企業にとって長期的な関心事としてさらに強固なものとなり、環境汚染、職場ハラスメント、データプライバシー侵害などの問題でESG違反があった場合、高額な罰則が科される可能性がある。実際、規制活動はすでに手はずを整え始めている。例えば、2021年、米国証券取引委員会(SEC)は、ESG問題に焦点を当てた執行タスクフォースを設置し、気候関連リスクに特に注意を払うと発表した。また、昨年には、上場企業に対し、規制当局への提出書類の中に気候関連リスクに関するより広範な情報開示を含めることを義務付ける提案も発表した。
サードパーティESGリスクを評価し、最小化する
2020年のマスターカード社の調査によると、平均的なサードパーティリスクマネージャーは、すでに契約しているベンダーの管理に加え、毎年50社以上の新規ベンダーの査定を担当している。また、企業によっては5,000社以上のサードパーティベンダーを抱えることもある。このように大量のサードパーティとの関係があるため、サードパーティのリスク評価は、サードパーティが基本的なセキュリティ管理を確実に実施していることを確認するといった、直接的なセキュリティ上の懸念に限定され、ESG関連の問題には及ばないことを意味する。
組織は、サードパーティが自分たちと同じESG基準を保持していると考えることはできない。また、取引先であるサードパーティからESGリスクを受け継ぐことも忘れてはならない。例えば、ある組織のベンダーが労働法や環境法に違反していることが判明した場合、そのベンダーだけでなく、契約している組織の社会的イメージにも悪影響を及ぼす可能性がある。さらに、重要なベンダーを失うことは、組織の事業運営を深刻に悪化させる可能性がある。人身売買やウイグル人強制労働防止法違反のような状況下では、組織はベンダーの不正行為に対して少なくとも部分的に刑事的または民事的責任を負う可能性もある。
組織は、以下のステップを踏むことによって、サードパーティのESGリスクを評価し始めることができる。
- 自社に関連し、利害関係者にとって重要なESGリスクを特定する。
企業はまず、自社がどのようなESGリスクにさらされる可能性があり、どの課題が従業員、役員、顧客、その他の利害関係者にとって重要なのかを判断する必要がある。また、ESGに関連する規制がある場合には、それに従う必要があることを理解すべきである。資源が限られている組織では、どの分野が最もリスク遭遇可能性にさらされ、優先順位をつけなければならないかを理解する必要があり、この特定化ステップは特に重要である。
ESG課題は常に変化しているため、ESGの優先順位や義務を定期的に再評価することが必要不可欠である。例えば、2022年2月のロシアのウクライナ侵攻後、ロシア政府と関連する企業との取引は、多くの企業やその投資家にとって受け入れがたいものとなった。また、新たな法律や規制によって、企業はESGリスクの再評価を迫られる可能性がある。 - 社内外からベンダーに関するESGリスク情報を収集する。
企業がどのESG課題が最も重要かを特定したら、次のステップは、これらの課題に関連するリスクを評価するために、ベンダーに関するデータを収集することである。このデータ収集は、社内外の情報源を通じて実施されるべきである。例えば、企業は、セキュリティ上の懸念や管理体制を特定し、評価するために、ベンダーにアンケートを実施させることが多い。このようなアンケートにESG関連のトピックを含めることで、サードパーティがどのようにESGリスクを評価し、どのような低減措置を講じているのかを組織が理解するのに役立つ。
ESGレポートは、ベンダーのESGプロフィールを評価する際の良い出発点となりうるため、組織がESGレポートを発表することが増えている。ESGコンサルティングの「ガバナンス・アンド・アカウンタビリティ・インスティテュート」によると、S&P500インデックスを採用している企業の90%以上と、ラッセル1000インデックスを採用している企業の多くが、現在、サステナビリティ・レポートを発表している。
組織は、サードパーティのESGリスクと軽減努力の評価を支援するために、外部監査人を活用することもできる。近年、企業のESGリスク遭遇可能性とその軽減努力を定期的に評価し、採点する組織が多く出現している。外部評価と監査は、ESGリスクを真剣にとらえているという、組織の利害関係者に別のレベルの保証を提供することができる。 - ESGリスクを体系的に評価する。
企業は、サードパーティのESGリスクに関するデータを収集する体制を整えたら、標準化されたスコアリング方法を用いてデータを評価し、許容できるリスクレベルを決定すべきである。標準化されたスコアリング方法は、企業が第三者の固有リスク(第三者がいかなる管理も行わずにもたらすリスク)を評価するのに役立つ。また、統制やその他の軽減策が実施された後に、サードパーティに存在する残存リスク、またはリスクレベルを特定するのに役立つ。リスク評価と意思決定を改善するために、サードパーティのデータを統合し、評価する複数のツールが利用可能である。
サードパーティを評価するために標準的な採点メカニズムを使用することは、企業が、ベンダーがさらなる評価を必要とするほどのESGリスクをもたらすかどうかを判断し、軽減努力がどれほど効果的かを評価し、サードパーティがもたらすリスクが組織のリスク取得意欲を超えないことを確実にするのに役立つ。
ESGリスクを評価することは、すでに過労状態にあるリスクマネジメントチームにとって、困難な作業に思えるかもしれない。しかし、すでに確立されたデューデリジェンス手続きに体系的なESG関連評価を組み込むことで、組織はサードパーティからの未知のESGリスクにさらされないようにするために、もう一つの防御層を追加することができる。
トピックス
事業中断、気候変動、コンプライアンス、新興リスク、全社的リスクマネジメント、環境リスク、ESG、国際的、名声リスク、リスクマネジメント、サプライチェーン
注意事項:本翻訳は“本翻訳は“Assessing Third-Party ESG Risks ”, Risk Management, , March-April,2023, pp. 8-10 をRIMS日本支部が翻訳したものです。原文と和訳に相違があるときには、原文を優先します。本文中は敬称略です。
[*] マリオン・ジョーンズ(CISSP、CRIS)は、サードパーティのリスクマネジメントとサイバーセキュリティに焦点を当てた技術コンサルタントで、前職は米国連邦政府で、情報および法執行分野を担当