英現地時間5月20日、デロイト トーマツはサードパーティーリスクマネジメントに関するサーベイ(2021)の結果を発表した。
- 半数以上(51%)の組織が、COVID-19のパンデミックへの対応中に、サードパーティーによるリスクインシデントに直面。インシデントの13%は「影響が大きい」と考えられ、業績や収益性、顧客サービスに深刻な影響を与え、企業が法規制に違反するケースもあった
- パンデミック発生前にサードパーティーリスクマネジメント(TPRM)に十分な投資を行っていなかった企業の27%がこの期間中にサードパーティー関連インシデントで多大な影響を受けたのに対し、十分に投資を行っていた企業ではわずか2%だという
- パンデミックの発生から1年以上が経過しても、企業のほぼ半数(45%)がいまだにCOVID-19の影響への「対応」段階にあり、多くの企業が必要な評価を行わずにサードパーティーの失敗に晒されている
- 従業員も一斉にリモートワークに移行したため、71%の企業がデジタルリスクをTPRMの最優先事項とした。それにもかかわらず、42%の企業がサイバーセキュリティへの投資が不十分であるとの懸念を示し、新たなリスクにおけるリストでトップになった
- 一方で、企業はパンデミックから抜け出し回復に向かう中で、競争優位性を得るためにテクノロジーへの投資を加速。インテリジェンス情報を用いたリアルタイム評価の導入など、回答者のうちテクノロジーを利用してサードパーティーに関するデューデリジェンスとモニタリングプロセスを更新している企業はほぼ半数(49%)に上り、昨年の3分の1(35%)と比較しても増加している
同サードパーティーリスクマネジメント(TPRM)担当パートナー Kristian Park氏のコメント
企業がよりデジタルを活用した働き方に移行するにつれて、新たなテクノロジーおよび継続的な専門技術へのアクセスとコスト削減の双方に関するニーズが、サードパーティーの管理に関する新たなリスクを生み出しています。多くの企業がサードパーティーリスクマネジメントプログラムを長年にわたって確立させ実施している一方で、COVID-19のパンデミックは予期せぬギャップを浮き彫りにし、多くの企業がサードパーティーによる失敗に対して脆弱になっています。このような失敗は最終的には企業の責任となります。また、回答者の多くがいまだにパンデミックへの「対応」段階にあると回答していることから、多くの企業がパンデミックへの備えを過小評価していたことがうかがえます。
特に、ほとんどの企業が優先事項として挙げている分野の1つは、デジタルリスクでした。多くの従業員がリモートワークに移行しており、中には初めてリモートワークをする従業員もいるため、サイバー犯罪の被害に遭う可能性が高まっています。多くの企業では、リモートワークの従業員、ひいてはサードパーティーが必要とするセキュリティポリシーやガイドラインをこれまで考慮していませんでした。
とはいえ、危機によって適切なリスクマネジメントへの投資の必要性が高まる傾向にあることが判明しています。2007年から2008年にかけての金融危機の余波の際に見られたように、COVID-19も将来のリスク対応手順に同様の影響を与える可能性が高いと思われます。組織がパンデミックの影響から回復しようとしている中、多くの企業が既にリスクマネジメントに関する技術への大規模な投資を推進し、競争優位性を獲得しようとしています。たとえば、地図をベースとしたダッシュボードを使用して、企業が事業を展開している地域ごとに、サードパーティーのリスクをリアルタイムで視覚化するなどが挙げられます。これらの「ヒートマップ」は、たとえば、商品の移動、マーケティング活動、その他の重要なサービスなどに影響を与える可能性のある地域に関して企業に警告します。この情報を活用することで、企業は混乱を減らし、顧客の期待に応え、競争力を強化するための行動について、情報に基づいたより良い決定を下すことができます。
