こんにちは。GRCプラットフォーム部の徳永です。
企業の外部委託先管理に関わるようになって8年ほど経ちました。
一見単純な業務に思えますが、とても奥が深い業務だと思っています。
外部委託先管理の肝
外部委託先に関わる情報漏洩やサイバー攻撃、人権問題などのニュースは後を絶ちませんが、事故が無くてもヒヤリハット、品質、遅延など、外部委託に関わる情報を集約し、そのガバナンスを行う事は大変重要かつ価値がある事と考えています。
一般的に外部委託先管理の業務内容でイメージするのは、委託先に大量のチェックシートを渡して回答してもらうことを手始めに、Webで該当企業の情報を確認する、クラウドサービスであればレピュテーション等を確認することに加え、昨今では企業やクラウドのスコアリング等を行うサービスも出てきています。
これ以外にも、まったく新規の委託先に対しては、評価会社の与信スコアや反社チェックなどを行うと思います。
これらの情報をもとに委託先企業として問題がないかチェックし、そして訪問して現地監査を行う・・・
本当にこれが委託先管理の業務のすべてなのでしょうか?
弊社としてはあくまでここは単なる「チェック・ポイント」であり、委託先管理ポリシーの作成と役割の明確化、その後の評価・判断・フォローアップまで、外部委託先管理のPDCAをきちんと回すという事が委託先管理の肝であると考えています。
委託先の「評価」
まず、「評価」については、単一基準のチェックだけでは到底ビジネスの現実には合致しないと思います。
以前から金融業界のガイドラインでは、外部委託先管理に対してリスクベースアプローチという概念が一般化されており、預託する情報や業務内容の重要性などとのバランスでどこまで深い管理をするかを考えることが推奨されています。
どういったレベルの情報を何件預託するのか、その業務が停止した場合の影響度、自社にとっての重要性に応じて、委託先の評価基準を変えていく事がスタンダードになってきました。
また、PCI DSSやISMSなど、高度なセキュリティ資格を取得している場合は、情報セキュリティに関する基本的な質問は送らない等、双方にとっての工数削減に繋がる効率化も重要かと思います。
同一の委託先であっても、委託内容が変わる場合には、新たに追加のサーベイを行う、訪問をするなど、業務(契約)単位で評価を行うのがあるべき姿でしょう。
業務委託の「判断」
次に「判断」が必要になる場合の例をあげます。
例えばチェックの結果に基づく評価が悪くても、他に同じことが出来る委託先がなく委託を出したい現場部門からどうしても契約したいという例外的な要望への対応も必要になってくると思います。
この場合は、委託先管理に留まらずさらに上位のERM(全社的リスク管理)の領域にもなってくると思いますが、ビジネス判断として「リスク受容」するのか、「リスク回避(契約しない)」 するのかを決断する、あるいは何か補助的な対策を行う事で「リスク低減」するのか、自社側でサイバー保険を加入するなど「リスク移転」するジャッジも時には必要でしょう。
誰がいつどういう条件でそれを「判断」するのかをポリシーとして決めておき、その履歴を残しておくのか、外部委託先管理のガバナンスとしてもっとも核心の部分になってくるでしょう。
そして、例えば条件付きでのOKを出して、その条件として当該委託先に対して改善を求めるのであれば、きちんとそれが改善されているか、「フォローアップ」をすることも肝要です。
低評価の委託先が1年たっても変わらず放置されているというのは、委託先管理の形骸化と言えるでしょう。
委託先管理の効率化とデータベース化
これらを実現するには、外部委託先管理の効率化とデータベース化が必須だと考えています。
弊社が開発・提供する Supplier Risk MT は、外部委託先に関連するあらゆるデータを一元管理し、様々な視点での分析・可視化を可能にします。
委託先企業の基本情報、委託業務内容、預託対象情報、再委託先情報、チェックリストの回答内容や評価、監査(実査)結果、第三者評価機関による評価結果などを登録することで、委託先管理におけるデータベースとして活用し、これらの情報を掛け合わせ多角的にリスク評価を実施し、対応実施に繋げていただけます。
委託先管理プロセスをシステム化することで属人化を防ぎ、組織として高度な委託先管理の実現を目指してみてはいかがでしょうか。
「Supplier Risk MT」 のご案内
外部委託先リスク管理クラウドサービス
サプライチェーンのセキュリティ対策
https://www.grcs.co.jp/products/srmt
徳永 拓
株式会社GRCS 執行役員 MTシリーズ開発責任者
大阪大学大学院工学研究科卒業後、日本ヒューレット・パッカード株式会社にて、国内開発セキュリティ製品のコンサルティング、製品企画、戦略策定に従事し、市場No.1のシェア獲得に貢献。その後、2016年にGRCSに参画し、全社リスク管理をはじめとするクラウドサービス等の開発およびマーケティング責任者に就任。