コンプライアンスの外部委託を再考する時がきているのか

新型コロナウイルスの流行とその余波の中で、金融機関はコンプライアンス機能の一部をアウトソーシングすることを検討する方が賢明でしょうか?

トムソン・ロイター規制インテリジェンスの2019年のコンプライアンスコストレポートによると、約28の金融会社がコンプライアンス機能の一部または全部を外部委託しています。

アウトソーシンググラフのドライバー

規制当局は、COVID-19 の影響を緩和するために、金融機関に対して実質的な猶予と規制上の救済を行ってきました。猶予は、将来のコンプライアンス違反を見て見ぬふりをすることを意味することではありません。

一言で言えば、私たちは広範囲に渡って重大なリスク管理の欠陥を発見しました。もっと大まかに言えば、アウトソーシングの取り決めに関しては、ガバナンスとリスク管理の基準は明らかに必要なところにはないという結論に達しました。

Derville Rowland, director general of the Central Bank of Ireland

アウトソーシングを成功させるための基本的なルールは、活動を別のグループ、会社、または第三者に移すことはできても、その活動を管理するスキルは社内に保持しておくことです。実際、金融機関は、緊急の課題として、すべてのアウトソーシングに関連する戦略的な実行可能性とリスクの移転の見直しを検討することをお勧めします。戦略的な見直しのために考慮すべき要素は以下の通りです。

  • すべてのアウトソーシング契約は、(グループ会社であっても)アウトソーサーに対する事前のデューデリジェンスと、アウトソーサー契約のすべての側面を明記した詳細な合意書を持っていなければなりません。とりわけ、詳細な契約書には、アウトソーシ ングからの脱却に関わる実際的な措置が記載されていなければなりません。
  • アウトソーシング会社の継続的なリカバリーも考慮されるべきです。ほとんどの企業は、アウトソーサーとの関係の開始時に包括的なデューデリジェンスを実施しますが、アウトソーサーが効果的であることを確認するために継続的なチェックを実施することはあまり一般的ではありません。すべての企業は、包括的でテストされたコンティンジェンシープランを持ち、アウトソーサーのリカバリーを追跡するだけでなく、アウトソーサーの失敗に対処するための計画を文書化しておくべきです。
  • 現在の状況では、企業がオフサイトのアウトソース先に物理的にアクセスする能力があるとは思えません。通常であれば、情報の流れのレベル、適時性、質を評価するために、少なくとも年に一度、すべての 主要なアウトソーサーまたは材料のアウトソーサーを訪問するためのあらゆる努力がなされているはずです。企業は、物理的アクセスの欠如に対するすべての可能な緩和策が考慮され、行動され、文書化されて いることを確認する必要があります。発生した過度のリスクは、継続的な戦略的実行可能性の全体的な評価の一部として考慮されるべきです。
  • 多くの企業は、多くの場所で、多くの管轄区域でデータを処理しています。当然のことながら、企業は、どのようなデータがどこで、どのような根拠に基づいて保持されているのかを正確に把握するための記録を持つ必要があります。これは、データ保護要件を遵守しているかどうかだけでなく、アクセス性や必要に応じて検索できるかどうかの問題でもあります。データの迅速かつ包括的な本国送還が必要な場合には、どこで、どのような条件で、どのようなデータが保有されているかを正確に把握することが、企業にとっての必須条件となります。繰り返しになりますが、企業はすべてのデータ処理及びその他の取り決めを見直し、文書化し、それらが継続して実行可能であり、許容可能なリスク許容範囲内にあるかどうかを判断しなければなりません。
  • 企業にとっての重要な検討事項は、企業のデータや活動がアウトソーサーからアウトソースされる前に、(アウトソース契約書に記載されているように)通知される権利を保持していることを確認することです。あまりにも多くの企業が、自社のデータが元のアウトソーサーから他の多数の事業体へと引き継がれ、それによって損失、風評、集中リスクが増大していることがわかっています。
  • 不確実性と予期せぬことが起こる可能性の高まりを利用しようとする者が出てくることは避けられません。企業は、すでにサイバーリスクが増加していることを認識しておくべきです。アウトソーシングの取り決めを見直す際には、アウトソース先のサイバー耐性を考慮する必要があります。企業は、リスク評価を行い、アウトソーサーが定期的かつ安全に企業機密、機密性の高いクライアントやその他の重要なファイルを、接続されていない遠隔地のバックアップまたはストレージ施設にバックアップすることを確保することで、サイバー攻撃の一般的な予防を強化することを検討してもよいでしょう。
  • 新型コロナへの対応の一環として、多くの企業はすでに事業継続計画と災害復旧計画を見直していることでしょう。その見直しの一環として、すべての外部委託の取り決めの検討は重要です。事業継続や災害復旧のために外部委託の手配に頼ることに内在する不測の事態とリスクは、外部委託のための全体的な戦略的実行可能性評価に含まれるべきです。
  • 約半数の企業が、社内のコンプライアンススキルの不足をアウトソーシングの推進要因として報告しているため、企業は、特に相当数の従業員が体調不良やその他の理由で働けない可能性がある場合には、アウトソーシングされた活動を監督する能力を見直す必要があります。必要に応じてスキルのある社内リソースを再配置し、スキルの不足を可能な限り早期に補うための緊急時対応計画を文書化しておくべきです。

アウトソーシングの継続的な戦略的実行可能性を決定する要因は数多くあり、企業はその評価を詳細に文書化しなければなりません。判断は常に必要ですが、企業は、現在の状況下で、すべてのアウトソーシング契約を監督し続けることができるかどうかを慎重に検討する必要があります。

企業によっては、リスクを考慮して、活動を社内に戻し、(多くの場合、海外の)アウトソーシングの手配を管理するために必要な管理インフラを短縮し、簡素化することができるかもしれません。


Thomson Reuters Regulatory Intelligence

Susannah Hammond is a senior regulatory intelligence expert and joined our regulatory intelligence team from GE Capital Bank where she was head of compliance. Susannah has over 25 years’ wide-ranging experience in international and UK financial services.

A qualified chartered accountant, Susannah’s compliance career includes SG Warburg, Caspian Securities and PricewaterhouseCoopers. She was head of international regulatory risk for the Halifax Group and became head of retail regulatory risk for HBOS plc upon Halifax’s merger with Bank of Scotland.

ビジネスインサイトを購読

業界最新トレンド情報をアップデート