取引において考慮すべきリスク

テクノロジーの高度化やグローバル化の進展によって、企業活動における外部委託先をはじめとする第三者／サードパーティ（以下「取引先」という）との取引が急拡大しています。

一方で、反社会的勢力との関係性にはじまり、マネーロンダリング、制裁、贈収賄、人権問題に至るまで、取引先に対して、より多面的にリスクの精査を行うことが求められるようになっています。こうした背景から、国内外の規制当局による取引先のリスクの監視はますます厳格化しています。いまや取引先によってもたらされるリスクの適切な管理は重大な経営課題であり、企業が背負うべき社会的責任と言えるでしょう。

取引先によってもたらされるリスクには、以下のようなリスクがあります。

こうした取引先に起因するリスクを低減し、回避するため、第三者（取引先）管理において、取引先に対するリスクの精査が行われます。

リスク特定・低減のためのデューデリジェンス

取引先（第三者）管理においては、一般的に「サードパーティリスクマネジメント（TPRM）」と呼ばれるフレームワークを使ってリスク管理が行われます。TPRMには、取引先の分類や取引先リスクの特定、取引開始時や契約更新時のデューデリジェンス、定期的なリスクの監視などが含まれています。

取引先に対するデューデリジェンスでは、これから取引を行おうとしている、もしくは取引関係にある取引先による規制違反や、取引先やその関係者が、コンプライアンス上、問題となるような事象に関与していないかどうかを確認します。

とりわけ、デューデリジェンスは、TPRMにおいても中核に位置する重要なプロセスです。一般的にデューデリジェンスと言うと、M&Aなどきっかけとなるイベントが発生した際にスポットで行われる、手間や時間のかかる膨大な調査という印象が強いですが、取引先に対するデューデリジェンスは、契約時や契約更新時など定常的に行われるもので、対象先のリスクの多寡に応じて、デューデリジェンスの深度が変わるのがポイントです。

取引先の概要や契約内容、公知情報によって、リスクが低いと判断された場合、それ以上の追加調査を行わないような場合もあります。具体的には、下図のような一連のプロセスにて、取引先リスクの特定・評価・低減・監視が行われます。

取引先をリスクレベルに応じて分類し、リスクの多寡に応じて対応するアプローチは、「リスクベース・アプローチ」と呼ばれており、世界各国の規制当局がリスクベース・アプローチによる管理を推奨しています。

従来型の一元的なリスク管理では、デューデリジェンスのリソースをリスクレベルに合わせて最適化することができず、高リスクと判断されるものに対しても、表面的な対応になってしまいがちでした。一方、リスクベース・アプローチは、取引先のリスクを特定・評価し、リスクに見合った措置を講じる方法として、実効性のあるデューデリジェンスを行うことができます。

リスクが低い取引先には簡略的なデューデリジェンスが認められており、社内情報や公知情報のように手軽に入手できる情報を使って取引の判断ができます。その分、デューデリジェンスのリソースを、よりリスクの高い取引先に集中することが可能となります。一般的に、高リスクと判断された先に対しては、質問票の送付や現地訪問、近隣住民へのヒアリングなど、公知情報では得られない情報を入手した上で、取引を判断します。

デューデリジェンスの精度を高めるために

取引先に対するデューデリジェンスのプロセスにおいては、社内関係部署から情報収集を行ったり、取引先への質問票の送付を行うなど、いくつかのアプローチがありますが、膨大な数の取引先を管理する中で、デューデリジェンスの実効性を高めるためには、公知情報の活用が重要となります。

公的情報の活用

公知情報は、公的機関が発行する規制リストをはじめ、メディア情報、規制当局のホームページや企業ホームページ、インターネット上の風評情報など多岐に渡りますが、より信頼性の高い情報を活用する方が、入手した情報の正確性を確認する手間が省けるため、効率的と言えます。

デューデリジェンスプロセスにおいては、各法規制の観点から、取引対象となる取引先に懸念がないかを調査します。

贈収賄規制においては、直接的・間接的問わず、外国公務員への賄賂支払いが禁じられています。仮に、取引先による賄賂支払いであったとしても、自社の責任が問われる可能性があります。

そのため、多くの企業では、公知情報を活用して取引先の経歴を確認し、取引先による外国公務員との密接な交際関係や、不正支払いの事実がないかどうかを確認します。起用するコンサルタントやエージェント、通関業者などの取引先について、賄賂など不正支払いの事実が確認された場合、契約を控えたり、契約条件によってリスクを低減することを検討します。

最近では、人権コンプライアンスも、TPRMにおいて大きな課題となっています。例えば、公知情報にて、サプライヤーによる強制労働や児童労働といった人権侵害に関する情報が確認された場合、取引の見直しが検討されます。

現地の公的情報を活用

米国制裁法の観点では、取引先自体が制裁対象となっていないかどうかだけでなく、制裁対象者によって実効支配されていないかどうかも確認します。これは「OFAC50％ルール」と呼ばれている規則で、制裁対象者によって、合計して50％以上所有される企業は米国制裁法上の対象となります。

直接的な制裁対象者であれば、制裁リストに対するスクリーニングによって調査可能ですが、OFAC50％ルールの対象企業は、当局からの公表がないため、一般的には、公知情報を使って調査を行うことになります。

ただ、こうした対象企業を調査する場合、現地語での調査が必要であったり、OFACの規制要件を正確に理解した上で、複雑な出資構造を読み解く必要もあるため、自社での調査が非常に難しいのが現実です。そのため、公知情報を使って調査された外部データベースの活用も有効な手段と言えます。

効率的なアプローチが重要

上記の例以外にも、環境規制やプライバシー規制など、自社だけでなく、取引先も含めた対応が求められる法規制が増えています。そのため、取引先に対して、より多面的にデューデリジェンスを行う必要がありますが、自社のビジネスに関係するすべての取引先に対して、重点的にデューデリジェンスを行うことは現実的とは言えません。

公知情報や外部データベースを上手く活用しながら、取引先のリスクを判断し、リスクの高い先に対して、重点的にデューデリジェンスを行うような効率的なアプローチが、今後ますます重要になってくると言えます。

関連コンテンツ

【セミナーアーカイブ】
企業不正・不祥事対策セミナー2023