この調査は、デロイトがアメリカ、ヨーロッパ・中東・アフリカ(EMEA)、アジア太平洋(APAC)の15か国の主要インダストリーにわたる975の様々な企業による回答に基づくもの。これまでで最多となった今年度の回答企業数は、サードパーティー(外部委託先等)のリスク管理が組織における注目度と投資の高まりを反映するものだという。
委託先等を含む拡張された企業リスクマネジメント( EERM)とは
グローバル化が進むビジネス環境では、自社のリソースだけでビジネスが完結することはほとんどない。自社のビジネスは、顧客、パートナー、代理店、系列会社、ベンダー、およびサービス提供会社を含む多くの企業で構成されている。
これらの関係者、外部委託先等とビジネスを行うことで、自社のビジネスを急速に成長させることが可能になる。サードパーティー(外部委託先等)依存に伴い増大するリスクへのマネジメント手法として、デロイトトーマツは「委託先等を含む拡張された企業リスクマネジメント(EERM)」を提唱している。
サードパーティー(外部委託先等)への依存度は前年度調査に引き続き上昇している。依存度が「若干」または「大幅に」高まったとする回答者は53%に上った。一方で、「事業上およびマクロ経済における不確実さに伴い、委託先等による固有リスクが増大した」と考える調査回答者は66%となった。
サードパーティー(外部委託先等)への依存の高まりにもかかわらず、EERMのシステムやプロセスを合理化した企業は20%にすぎない。回答者の53%は、サードパーティー(外部委託先等)リスクに十分対応できる体制を築くまでに、さらに2~3年、あるいはそれ以上の時間を要するとみている。
企業がEERMを重視する主な要因としてはリスク軽減とコンプライアンスがあげられるが、一方で、企業の対応力や柔軟性の強化、イノベーション、ブランドの信頼性や収益増などのリスクのプラス面の追求もEERM推進の要因としてあがってきている。
ただ、調査を総合的に見ると、多くの企業にとってEERM機能の完全な統合または最適化を行うにあたって、なすべき作業がまだまだ残っていることがわかる。
この報告書では、「固有リスクと成熟度」、および「ビジネスケースと投資」の観点に加え、大半の企業が利益を期待できる以下の4つの主要分野についても検討している。
企業が利益を期待できる4つの主要分野
・一元管理
リスク認識や効率を促進すべく、監督や管理を一元化する企業が増えている。一元化と分散化が同等または分散化されている企業は55%となった(昨年度の62%より低下)。これは、企業全体の分散化の度合いが縮小し始めたことを反映している。
この55%のうち、EERM体制に関して一元化と分散化が同等、または分散化の度合いが高い企業は47%にすぎない。したがって、EERM計画について、一元化の度合いが高いと回答した企業が残りの53%と過半数を占めている。
・テクノロジープラットフォーム
EERM業務においては、監督の一元化と歩調を合わせ、技術的な判断でも一元化が優先され、標準ティアのテクノロジーアーキテクチャが出現している。現在、EERMにおいて専用のシステムを使用する回答者は、昨年度の20%強から大幅に減少して10%未満になった。
標準化によってスピーディーなビジネス活動を可能にしているクラウド技術は、新しいテクノロジーのプラットフォームとして調査回答者が最も興味を示した対象だった。標準化したクラウド技術をEERMに活用する計画のある回答者は46%、企業全体のEERM業務にRPAの活用を検討している回答者は31%だった。
・下請業者リスク
企業は、サードパーティー(外部委託先等)が契約している下請業者を適切に可視化できておらず、また、そうした一次/二次下請業者を頻繁に監視する規律や厳格性も欠如している。調査回答者の57%は、サードパーティー(外部委託先等)が採用する下請業者について十分な知識もなく、適切に可視化しきれてもいないと感じている。
さらに、企業のいずれかの担当者が可視化できているのか定かではないと感じている回答者は21%となった。下請業者(一次/二次下請業者)を定期的に把握、モニタリングしている回答者はわずか2%であり、重要だと考えられる下請業者に限定して把握、モニタリングを行っているとした回答者は10%だった。
・企業としての課題および説明責任
EERMに関する所有権と説明責任は経営陣内で完全に確立されていると見受けられ、CEO、CFO、CPO、CROまたは取締役が最終的な説明責任を負うとした企業が78%に上った。ただ、取締役会メンバーとリスクドメインオーナーのEERM課題への関与には改善の余地があると調査回答者は考えている。
回答者に最も懸念する事項を尋ねたところ、その筆頭はEERM関連業務に関与する人材のスキル、処理能力、適性(45%)で、役割と責任、およびEERMのプロセスの明確化(各々41%)が続いた。
また、EERMに関するリスクドメインオーナー、事業部門のリーダー、職務責任者、法務チーム、内部監査チーム等の連携の強化が必要とした企業は、回答者の40%に上る。