ガートナージャパンは8月22日、国内ユーザー企業が取引先ITベンダーの各種リスクにどう対応しているか、その対策状況に関する調査結果を発表した。
たとえば、取引先ITベンダー側のサステナビリティへの取り組みに問題があると、「自社のサプライチェーンへの対応が不十分と見なされ、結果的に企業価値の低下ならびに企業側のビジネス継続にも重大な支障を来す可能性がある」。そのため、そうした場合を想定した対策を講じているかを尋ねた調査である。
今年(2022年)4月に調査を実施し、ユーザー企業400社が回答した。
結果は以下のとおりで、取引先ITベンダーに内在するリスクへの対策は、いずれのリスクも30%程度、あるいはそれ未満にとどまることがわかった。
・サイバーセキュリティ・リスク 31%
ITベンダーのセキュリティ脆弱性により、インシデント (障害、事故) が発生するリスク
・法規制/コンプライアンス・リスク 31%
ITベンダーの法令や規制違反により、ユーザー企業も規制当局から罰せられるリスク
・オペレーショナル・リスク 30%
ITベンダーの稼働率低下や障害発生、事業継続計画 (BCP) の不備によりビジネスが止まるリスク
・財務・風評リスク 30%
ITベンダーの倒産や経営悪化により、ベンダーの提供サービスが停止・劣化するリスク
・戦略リスク 28%
ITベンダーのビジネス戦略により強制的にサービスが終了される、あるいはロックインされてしまいサービスを止められなくなるリスク
・地政学リスク 24%
ITベンダーがサービスを実施する国や地域の要因により、提供サービスが不安定化するリスク
・サステナビリティ・リスク 10%
ITベンダーのサステナビリティの低下により、ユーザー企業の企業価値の低下ならびにビジネス継続に支障をきたすリスク
上記のうち「サステナビリティ・リスク」が10%と群を抜いて低いが、ガートナージャパンの土屋隆一氏(アナリスト、シニア ディレクター)は「低迷している理由」として、以下の3点を挙げている。
・ステークホルダーを意識した経営への優先度が低く、サステナビリティへの対応そのものを実施していない
・経営レベルではサステナビリティの重要性を認識しているものの、取り組み対象となるステークホルダーにITベンダーが含まれていない
・サステナビリティ・リスクと他のリスク項目の管理内容に一部重複する部分があるため、他のリスクへの対策を取ることで充足させている
土屋氏は、「ソーシング/調達/ベンダー管理を担うリーダーは、まずは自社のサステナビリティ・ガイドラインの存在の有無についての確認、ならびにステークホルダーの一員としてITベンダーを全社活動の対象に含めるなどの必要な対策を確認すべき」と述べている。
[i Magazine・IS magazine]
