金融機関におけるTPRM（サードパーティリスク管理）事例

TPRM業務のアドバイザリー・DXに関するサービス・事例

背景

• BCBS（バーゼル銀行監督委員会）などのグローバルなガイドラインや金融庁のサイバーガイドラインなど規制当局による要求が高まっている。また、サードパーティに起因するインシデントも増加しており、TPRMの強化は必須となっている。
• 海外金融機関は先行してTPRM強化を取り込んでおり、法規制・ガイドラインも数多く示されている。それらに対応するために仕組み・ツールの観点で見直しを行っている。

一般的な金融機関の課題

• 多くの金融機関ではグループ会社を含めてガバナンス強化を志向しているが、現状の仕組みにおいてはグループ会社展開を前提としておらず、グループ会社個社の要件を柔軟に対応できない形となっている。
• 従来利用しているシステムでは、外部環境の変化に迅速に対応できず、リスクベースでの管理が十分になされていない。

解決策

リスク管理プロセス・評価の見直しおよびシステムの導入

• リスクドメイン・サードパーティの範囲などの委託先管理にとどまらないリスク管理対象のスコープ拡大
• 固有リスク評価の導入
• サードパーティ評価項目（TPQ）の見直し
• ServiceNowを用いた上記の仕組みの標準化・清流化、データの一元管理の実現
• TPRMデスクの導入とリスク管理における1線業務の支援
• ガバナンス：リスクの高いサードパーティ取引の承認には上位者の承認が必須（システム的に担保）

効果

• オンボードリスクアセスメント・定期点検の効率化
• リスクベースの評価プロセス導入による、重要度に応じたリスク管理の高度化
• 社内承認フローのシステム化による、ガバナンス強化と統制の向上
• グループ会社全体でのサードパーティリスクの一元管理（グループ全体の集中リスク把握など）

上記の課題に対応するために三井住友フィナンシャルグループ（SMFG）はTPRMシステムの導入を決定し、第一弾として三井住友銀行（SMBC）への導入が完了しました。本案件は国内金融機関における先進的な事例となります。