ニュースリリース

サードパーティーのガバナンスとリスクマネジメントに関する調査(2019)結果発表

世界で10社に8社が、過去3年間にサードパーティー関連のインシデントを経験

本ニュースリリースは2019年5月31日にグローバルで配信された内容を翻訳・加筆したものです。なお、この翻訳文と原文に相違がある場合には、原文の記載事項が優先します。

2019年9月17日

デロイトは、サードパーティー(外部委託先等)のガバナンスとリスクマネジメントに関する年次調査を2016年から実施しており、今回4回目となる調査の結果を発表します。2019年の調査では、世界で10社中8社以上(83%)の企業が、過去3年間に情報漏えいやデータ紛失を始めとする、委託先や仕入先といったサードパーティー関連のインシデントを経験していることが明らかになりました。 これらのインシデントの半数近く(46%)が、企業のカスタマーサービスをはじめ財務、レピュテーション、規制コンプライアンスの面において、なんらかの悪影響*1をもたらしています。

 

■リスクの把握が不十分

当調査によると、企業の大半は、サプライチェーンおよびこれらのネットワーク内で直面する潜在的なリスクについての把握が不十分です。特に、サードパーティーの委託する下請業者(2次請け・3次請け、または4次・5次請け)を継続的に把握している企業は、10社中1社(10%)のみでした。

この10%のうち、すべての下請業者を特定し、モニタリングしている企業はわずか2%であり、基幹インフラストラクチャーやITなど、最も重要な関係にある下請業者に対して実行している企業も8%となっています。残る90%の企業は、2次請け・3次請けにおけるリスク把握とモニタリングは不十分であると考えています。

デロイトで「委託先等を含む拡張された企業リスクマネジメント(EERM: Extended Enterprise Risk Management)*2」を担当するパートナーのKristian Parkは、次のように述べています。「オフィス文具などの手軽に入手できる消耗品から、極めて重要な特注製品やサービスまで、あらゆるモノやサービスを提供するために、世界中の企業は、増えていくサードパーティー、さらにはサードパーティーの委託する下請け業者(2次請け3次請け)への依存度を高めています。一方で、企業の多くは基本的なリスク把握やモニタリングを適切に実行できていないため、説明責任を負うことになり得る潜在的リスクにさらされた状態になっています。」 

 

■施策の投資に偏り

半数の企業(50%)は現在、サードパーティーリスクを管理するために、年間1億円超を投資しています。さらに、調査対象の約11%を占める企業(最大規模かつ最も複雑な組織を持つグローバル企業に相当)は、それぞれ年間で10億円超を投資し、その実行のために100人を超える常勤スタッフを雇用しています。

全体として、EERMの施策への投資は、情報セキュリティ(68%)およびデータプライバシー(62%)の保護に偏っています。一方で、労働者の権利(18%)や地政学的リスク(12%)等重要領域が依然として投資不足であり、対応が不十分なままとなっています。

Kristian Parkは、次のように分析しています。「サイバー攻撃の件数の増加や、一般データ保護規則(GDPR)を始めとする法律の制定・施行により、企業が情報セキュリティやデータプライバシーなどを重点領域として投資するのは当然のことでしょう。しかし、親会社のサプライチェーン内の労働者の権利などの領域におけるリスクの把握は、(とりわけ、オーストラリアで施行されたように、世界中で現代の奴隷制度に対抗するための規制が増加していることを考えると)非常に遅れています。同じことは、貿易戦争における緊張が続くことによる地政学リスクや安全衛生リスク、財務リスク、さらには過度の依存の結果としてのシステム全体の不具合が起こり得る集中リスクなどの領域にも当てはまります。」

*1 2015年にデロイトが発表した試算によると、サードパーティー関連の問題によって企業が直接課せられた罰金だけでも約1.7億円~45億円規模にわたり、グローバルに展開している企業に対して総額約843億円に達しており、平均株価は2.55%下落しています。

*2サードパーティー(外部委託先等)依存に伴い増大するリスクへのマネジメント手法として、デロイト トーマツ グループは「委託先等を含む拡張された企業リスクマネジメント(Extended Enterprise Risk Management; EERM)」を提唱しています。詳しくはこちらをご覧ください。

 

■2019年の調査について
デロイトの「委託先等を含む拡張された企業リスクマネジメント(EERM: Extended Enterprise Risk Management)」グローバル調査は、世界19カ国にわたる1,000社の企業から集めたデータを集計し、分析しています。当調査は、2018年11月から2019年1月にかけて実施したものです。2019年完全版レポートはこちらをご覧ください。
https://www2.deloitte.com/jp/ja/pages/risk/articles/or/third-party-risk-2019.html

報道機関の方からの問い合わせ先

有限責任監査法人トーマツ 広報担当 張
(デロイト トーマツ コーポレート ソリューション合同会社)
Tel: 03-6213-2050
Email: audit-pr@tohmatsu.co.jp

デロイト トーマツ グループは、日本におけるデロイト アジア パシフィック リミテッドおよびデロイトネットワークのメンバーであるデロイト トーマツ合同会社ならびにそのグループ法人(有限責任監査法人トーマツ、デロイト トーマツ コンサルティング合同会社、デロイト トーマツ ファイナンシャルアドバイザリー合同会社、デロイト トーマツ税理士法人、DT弁護士法人およびデロイト トーマツ コーポレート ソリューション合同会社を含む)の総称です。デロイト トーマツ グループは、日本で最大級のビジネスプロフェッショナルグループのひとつであり、各法人がそれぞれの適用法令に従い、監査・保証業務、リスクアドバイザリー、コンサルティング、ファイナンシャルアドバイザリー、税務、法務等を提供しています。また、国内約40都市に1万名以上の専門家を擁し、多国籍企業や主要な日本企業をクライアントとしています。詳細はデロイト トーマツ グループWebサイト(www.deloitte.com/jp)をご覧ください。

Deloitte(デロイト)とは、デロイト トウシュ トーマツ リミテッド(“DTTL”)ならびにそのグローバルネットワーク組織を構成するメンバーファームおよびそれらの関係法人のひとつまたは複数を指します。DTTL(または“Deloitte Global”)および各メンバーファームならびにそれらの関係法人はそれぞれ法的に独立した別個の組織体です。DTTLはクライアントへのサービス提供を行いません。詳細は www.deloitte.com/jp/about をご覧ください。
デロイト アジア パシフィック リミテッドはDTTLのメンバーファームであり、保証有限責任会社です。デロイト アジア パシフィック リミテッドのメンバーおよびそれらの関係法人は、オーストラリア、ブルネイ、カンボジア、東ティモール、ミクロネシア連邦、グアム、インドネシア、日本、ラオス、マレーシア、モンゴル、ミャンマー、ニュージーランド、パラオ、パプアニューギニア、シンガポール、タイ、マーシャル諸島、北マリアナ諸島、中国(香港およびマカオを含む)、フィリピンおよびベトナムでサービスを提供しており、これらの各国および地域における運営はそれぞれ法的に独立した別個の組織体により行われています。

Deloitte(デロイト)は、監査・保証業務、コンサルティング、ファイナンシャルアドバイザリー、リスクアドバイザリー、税務およびこれらに関連する第一級のサービスを全世界で行っています。150を超える国・地域のメンバーファームのネットワークを通じFortune Global 500®の8割の企業に対してサービス提供をしています。“Making an impact that matters”を自らの使命とするデロイトの約286,000名の専門家については、(www.deloitte.com)をご覧ください。