本ニュースリリースは2019年5月31日にグローバルで配信された内容を翻訳・加筆したものです。なお、この翻訳文と原文に相違がある場合には、原文の記載事項が優先します。
デロイトは、サードパーティー(外部委託先等)のガバナンスとリスクマネジメントに関する年次調査を2016年から実施しており、今回4回目となる調査の結果を発表します。2019年の調査では、世界で10社中8社以上(83%)の企業が、過去3年間に情報漏えいやデータ紛失を始めとする、委託先や仕入先といったサードパーティー関連のインシデントを経験していることが明らかになりました。 これらのインシデントの半数近く(46%)が、企業のカスタマーサービスをはじめ財務、レピュテーション、規制コンプライアンスの面において、なんらかの悪影響*1をもたらしています。
■リスクの把握が不十分
当調査によると、企業の大半は、サプライチェーンおよびこれらのネットワーク内で直面する潜在的なリスクについての把握が不十分です。特に、サードパーティーの委託する下請業者(2次請け・3次請け、または4次・5次請け)を継続的に把握している企業は、10社中1社(10%)のみでした。
この10%のうち、すべての下請業者を特定し、モニタリングしている企業はわずか2%であり、基幹インフラストラクチャーやITなど、最も重要な関係にある下請業者に対して実行している企業も8%となっています。残る90%の企業は、2次請け・3次請けにおけるリスク把握とモニタリングは不十分であると考えています。
デロイトで「委託先等を含む拡張された企業リスクマネジメント(EERM: Extended Enterprise Risk Management)*2」を担当するパートナーのKristian Parkは、次のように述べています。「オフィス文具などの手軽に入手できる消耗品から、極めて重要な特注製品やサービスまで、あらゆるモノやサービスを提供するために、世界中の企業は、増えていくサードパーティー、さらにはサードパーティーの委託する下請け業者(2次請け3次請け)への依存度を高めています。一方で、企業の多くは基本的なリスク把握やモニタリングを適切に実行できていないため、説明責任を負うことになり得る潜在的リスクにさらされた状態になっています。」
■施策の投資に偏り
半数の企業(50%)は現在、サードパーティーリスクを管理するために、年間1億円超を投資しています。さらに、調査対象の約11%を占める企業(最大規模かつ最も複雑な組織を持つグローバル企業に相当)は、それぞれ年間で10億円 超を投資し、その実行のために100人を超える常勤スタッフを雇用しています。
全体として、EERMの施策への投資は、情報セキュリティ(68%)およびデータプライバシー(62%)の保護に偏っています。一方で、労働者の権利(18%)や地政学的リスク(12%)等重要領域が依然として投資不足であり、対応が不十分なままとなっています。
Kristian Parkは、次のように分析しています。「サイバー攻撃の件数の増加や、一般データ保護規則(GDPR)を始めとする法律の制定・施行により、企業が情報セキュリティやデータプライバシーなどを重点領域として投資するのは当然のことでしょう。しかし、親会社のサプライチェーン内の労働者の権利などの領域におけるリスクの把握は、(とりわけ、オーストラリアで施行されたように、世界中で現代の奴隷制度に対抗するための規制が増加していることを考えると)非常に遅れています。同じことは、貿易戦争における緊張が続くことによる地政学リスクや安全衛生リスク、財務リスク、さらには過度の依存の結果としてのシステム全体の不具合が起こり得る集中リスクなどの領域にも当てはまります。」
*1 2015年にデロイトが発表した試算によると、サードパーティー関連の問題によって企業が直接課せられた罰金だけでも約1.7億円~45億円規模にわたり、グローバルに展開している企業に対して総額約843億円に達しており、平均株価は2.55%下落しています。
*2サードパーティー(外部委託先等)依存に伴い増大するリスクへのマネジメント手法として、デロイト トーマツ グループは「委託先等を含む拡張された企業リスクマネジメント(Extended Enterprise Risk Management; EERM)」を提唱しています。詳しくはこちらをご覧ください。
■2019年の調査について
デロイトの「委託先等を含む拡張された企業リスクマネジメント(EERM: Extended Enterprise Risk Management)」グローバル調査は、世界19カ国にわたる1,000社の企業から集めたデータを集計し、分析しています。当調査は、2018年11月から2019年1月にかけて実施したものです。2019年完全版レポートはこちらをご覧ください。
https://www2.deloitte.com/jp/ja/pages/risk/articles/or/third-party-risk-2019.html
配信元企業:デロイト トーマツ グループ
コメント