デロイト グローバルの調査によれば、サードパーティーへの依存が高まるなか、66%の企業が増大するリスクを認識するが、リスク対応には体制が不十分
[18/09/25]
提供元:PRTIMES
提供元:PRTIMES
サードパーティー(外部委託先等)への依存度が増すなか、企業は、「委託先等を含む拡張された企業リスクマネジメント(Extended Enterprise Risk Management; EERM)」の強化を改めて重視しています。一方で、今回で3回目となるデロイト グローバルの年次調査「今後の展開を見据えて(サードパーティーのガバナンスとリスクマネジメント)」では、EERMの成熟に向けた速度が予想を下回っていることが明らかになりました。
本ニュースリリースは2018年4月24日にニューヨークで配信された内容を翻訳・加筆したものです。
■委託先等を含む拡張された企業リスクマネジメント(Extended Enterprise Risk Management; EERM)とは
グローバル化が進むビジネス環境では、自社のリソースだけでビジネスが完結することはほとんどありません。自社のビジネスは、顧客、パートナー、代理店、系列会社、ベンダー、およびサービス提供会社を含む多くの企業で構成されています。これらの関係者、外部委託先等とビジネスを行うことで、自社のビジネスを急速に成長させることが可能です。サードパーティー(外部委託先等)依存に伴い増大するリスクへのマネジメント手法として、デロイト トーマツは「委託先等を含む拡張された企業リスクマネジメント(Extended Enterprise Risk Management; EERM)」を提唱しています。詳しくはこちら(https://www2.deloitte.com/jp/ja/pages/risk/articles/or/eerm-personal-data-risk-management.html)をご覧ください。
サードパーティー(外部委託先等)への依存度は前年度調査に引き続き上昇しています。依存度が「若干」または「大幅に」高まったとする回答者は53%に上りました。一方で、「事業上およびマクロ経済における不確実さに伴い、委託先等による固有リスクが増大した」と考える調査回答者は66%となりました。
サードパーティー(外部委託先等)への依存の高まりにもかかわらず、EERMのシステムやプロセスを合理化した企業は20パーセントにすぎません。回答者の53%は、サードパーティー(外部委託先等)リスクに十分対応できる体制を築くまでにさらに2〜3年、あるいはそれ以上の時間を要するとみています。
デロイト グローバル リスクアドバイザリーのEERM部門でEMEA担当リーダーを務めるクリスチャン・パークは、次のように述べています。「過去の調査における回答では、サードパーティー(外部委託先等)リスクに対応するための十分な体制を構築する期間として6か月から1年を見込むとの回答が多数を占めていました。今回の調査では、この期間が2~3年以上となり、大幅に延びました。これは今後想定される各種法規制対応等に対応するために企業が想定する時間軸が、過去の調査時より現実的なものとなったためと考えられます。」
企業がEERMを重視する主な要因としてはリスク軽減とコンプライアンスがあげられますが、一方で、企業の対応力や柔軟性の強化、イノベーション、ブランドの信頼性や収益増などのリスクのプラス面の追求もEERM推進の要因としてあがってきています。
「以前はリスクのマイナス面の管理以外にはほとんど関心がなかったわけですから、これは重大な転換です」とパークは続けます。「企業は現在、ビジネスチャンスの新規開拓と企業パフォーマンスの向上につながる水準へとサードパーティー(外部委託先等)への依存関係を高めることを想定しています」
ただ、調査を総合的に見ると、多くの企業にとってEERM機能の完全な統合または最適化を行うにあたって、なすべき作業がまだまだ残っていることがわかります。
この報告書では、「固有リスクと成熟度」、および「ビジネスケースと投資」の観点に加え、大半の企業が利益を期待できる以下の4つの主要分野についても検討しています。
・一元管理:リスク認識や効率を促進すべく、監督や管理を一元化する企業が増えています。一元化と分散化が同等または分散化されている企業は55%となりました(昨年度の62%より低下)。これは、企業全体の分散化の度合いが縮小し始めたことを反映しています。この55%のうち、EERM体制に関して一元化と分散化が同等、または分散化の度合いが高い企業は47%にすぎません。したがって、EERM計画について、一元化の度合いが高いと回答した企業が残りの53%と過半数を占めています。
・テクノロジープラットフォーム: EERM業務においては、監督の一元化と歩調を合わせ、技術的な判断でも一元化が優先され、標準ティアのテクノロジーアーキテクチャが出現しています。現在、EERMにおいて専用のシステムを使用する回答者は、昨年度の20%強から大幅に減少して10%未満になりました。標準化によってスピーディーなビジネス活動を可能にしているクラウド技術は、新しいテクノロジーのプラットフォームとして調査回答者が最も興味を示した対象でした。標準化したクラウド技術をEERMに活用する計画のある回答者は46%、企業全体のEERM業務にRPA(ロボティック・プロセス・オートメーション)の活用を検討している回答者は31%でした。
・下請業者リスク: 企業は、サードパーティー(外部委託先等)が契約している下請業者を適切に可視化できておらず、また、そうした一次/二次下請業者を頻繁に監視する規律や厳格性も欠如しています。調査回答者の57%は、サードパーティー(外部委託先等)が採用する下請業者について十分な知識もなく、適切に可視化しきれてもいないと感じています。さらに、企業のいずれかの担当者が可視化できているのか定かではないと感じている回答者は21%となりました。下請業者(一次/二次下請業者)を定期的に把握、モニタリングしている回答者はわずか2%であり、重要だと考えられる下請業者に限定して把握、モニタリングを行っているとした回答者は10%です。
・企業としての課題および説明責任: EERMに関する所有権と説明責任は経営陣内で完全に確立されていると見受けられ、CEO、CFO、CPO、CROまたは取締役が最終的な説明責任を負うとした企業が78%に上りました。ただ、取締役会メンバーとリスクドメインオーナーのEERM課題への関与には改善の余地があると調査回答者は考えています。回答者に最も懸念する事項を尋ねたところ、その筆頭はEERM関連業務に関与する人材のスキル、処理能力、適性(45%)で、役割と責任、およびEERMのプロセスの明確化(各々41%)が続きました。また、EERMに関するリスクドメインオーナー、事業部門のリーダー、職務責任者、法務チーム、内部監査チーム等の連携の強化が必要とした企業は、回答者の40%に上ります。
デロイト グローバルのEERM調査について
デロイト グローバルが2018年に行ったEERM調査「今後の展開を見据えて」は、アメリカス、ヨーロッパ・中東・アフリカ(EMEA)、アジア太平洋(APAC)の15か国の主要インダストリーにわたる975の様々な企業による回答に基づく調査です。これまでで最多となった今年度の回答企業数は、サードパーティー(外部委託先等)のリスク管理が組織における注目度と投資の高まりを反映するものです。
本ニュースリリースは2018年4月24日にニューヨークで配信された内容を翻訳・加筆したものです。
■委託先等を含む拡張された企業リスクマネジメント(Extended Enterprise Risk Management; EERM)とは
グローバル化が進むビジネス環境では、自社のリソースだけでビジネスが完結することはほとんどありません。自社のビジネスは、顧客、パートナー、代理店、系列会社、ベンダー、およびサービス提供会社を含む多くの企業で構成されています。これらの関係者、外部委託先等とビジネスを行うことで、自社のビジネスを急速に成長させることが可能です。サードパーティー(外部委託先等)依存に伴い増大するリスクへのマネジメント手法として、デロイト トーマツは「委託先等を含む拡張された企業リスクマネジメント(Extended Enterprise Risk Management; EERM)」を提唱しています。詳しくはこちら(https://www2.deloitte.com/jp/ja/pages/risk/articles/or/eerm-personal-data-risk-management.html)をご覧ください。
サードパーティー(外部委託先等)への依存度は前年度調査に引き続き上昇しています。依存度が「若干」または「大幅に」高まったとする回答者は53%に上りました。一方で、「事業上およびマクロ経済における不確実さに伴い、委託先等による固有リスクが増大した」と考える調査回答者は66%となりました。
サードパーティー(外部委託先等)への依存の高まりにもかかわらず、EERMのシステムやプロセスを合理化した企業は20パーセントにすぎません。回答者の53%は、サードパーティー(外部委託先等)リスクに十分対応できる体制を築くまでにさらに2〜3年、あるいはそれ以上の時間を要するとみています。
デロイト グローバル リスクアドバイザリーのEERM部門でEMEA担当リーダーを務めるクリスチャン・パークは、次のように述べています。「過去の調査における回答では、サードパーティー(外部委託先等)リスクに対応するための十分な体制を構築する期間として6か月から1年を見込むとの回答が多数を占めていました。今回の調査では、この期間が2~3年以上となり、大幅に延びました。これは今後想定される各種法規制対応等に対応するために企業が想定する時間軸が、過去の調査時より現実的なものとなったためと考えられます。」
企業がEERMを重視する主な要因としてはリスク軽減とコンプライアンスがあげられますが、一方で、企業の対応力や柔軟性の強化、イノベーション、ブランドの信頼性や収益増などのリスクのプラス面の追求もEERM推進の要因としてあがってきています。
「以前はリスクのマイナス面の管理以外にはほとんど関心がなかったわけですから、これは重大な転換です」とパークは続けます。「企業は現在、ビジネスチャンスの新規開拓と企業パフォーマンスの向上につながる水準へとサードパーティー(外部委託先等)への依存関係を高めることを想定しています」
ただ、調査を総合的に見ると、多くの企業にとってEERM機能の完全な統合または最適化を行うにあたって、なすべき作業がまだまだ残っていることがわかります。
この報告書では、「固有リスクと成熟度」、および「ビジネスケースと投資」の観点に加え、大半の企業が利益を期待できる以下の4つの主要分野についても検討しています。
・一元管理:リスク認識や効率を促進すべく、監督や管理を一元化する企業が増えています。一元化と分散化が同等または分散化されている企業は55%となりました(昨年度の62%より低下)。これは、企業全体の分散化の度合いが縮小し始めたことを反映しています。この55%のうち、EERM体制に関して一元化と分散化が同等、または分散化の度合いが高い企業は47%にすぎません。したがって、EERM計画について、一元化の度合いが高いと回答した企業が残りの53%と過半数を占めています。
・テクノロジープラットフォーム: EERM業務においては、監督の一元化と歩調を合わせ、技術的な判断でも一元化が優先され、標準ティアのテクノロジーアーキテクチャが出現しています。現在、EERMにおいて専用のシステムを使用する回答者は、昨年度の20%強から大幅に減少して10%未満になりました。標準化によってスピーディーなビジネス活動を可能にしているクラウド技術は、新しいテクノロジーのプラットフォームとして調査回答者が最も興味を示した対象でした。標準化したクラウド技術をEERMに活用する計画のある回答者は46%、企業全体のEERM業務にRPA(ロボティック・プロセス・オートメーション)の活用を検討している回答者は31%でした。
・下請業者リスク: 企業は、サードパーティー(外部委託先等)が契約している下請業者を適切に可視化できておらず、また、そうした一次/二次下請業者を頻繁に監視する規律や厳格性も欠如しています。調査回答者の57%は、サードパーティー(外部委託先等)が採用する下請業者について十分な知識もなく、適切に可視化しきれてもいないと感じています。さらに、企業のいずれかの担当者が可視化できているのか定かではないと感じている回答者は21%となりました。下請業者(一次/二次下請業者)を定期的に把握、モニタリングしている回答者はわずか2%であり、重要だと考えられる下請業者に限定して把握、モニタリングを行っているとした回答者は10%です。
・企業としての課題および説明責任: EERMに関する所有権と説明責任は経営陣内で完全に確立されていると見受けられ、CEO、CFO、CPO、CROまたは取締役が最終的な説明責任を負うとした企業が78%に上りました。ただ、取締役会メンバーとリスクドメインオーナーのEERM課題への関与には改善の余地があると調査回答者は考えています。回答者に最も懸念する事項を尋ねたところ、その筆頭はEERM関連業務に関与する人材のスキル、処理能力、適性(45%)で、役割と責任、およびEERMのプロセスの明確化(各々41%)が続きました。また、EERMに関するリスクドメインオーナー、事業部門のリーダー、職務責任者、法務チーム、内部監査チーム等の連携の強化が必要とした企業は、回答者の40%に上ります。
デロイト グローバルのEERM調査について
デロイト グローバルが2018年に行ったEERM調査「今後の展開を見据えて」は、アメリカス、ヨーロッパ・中東・アフリカ(EMEA)、アジア太平洋(APAC)の15か国の主要インダストリーにわたる975の様々な企業による回答に基づく調査です。これまでで最多となった今年度の回答企業数は、サードパーティー(外部委託先等)のリスク管理が組織における注目度と投資の高まりを反映するものです。