当コラムでは、「委託先管理」または「委託先リスク管理」というテーマで寄稿させていただいておりますが、3 回目となる今回は、そもそもこれらは誰の仕事なのか? というテーマをとりあげたいと思います。
企業における事業活動は、規模や程度の差こそあれ、役割分担で成り立っています。例えば営業、人事、経理、開発、製造などといった仕事は、多くの企業で担当部門が決まっているでしょう。しかし「委託先リスク管理」を担当する部門が明示的に決められている企業は少ないのではないでしょうか。
比較的大規模な企業であれば、「リスクマネジメント」(あるいは「リスク管理」)の担当部門が設けられている例も珍しくありません。しかしながらリスクマネジメント担当部門が委託先リスク管理に関する実務を直接担当しているとは限りません。本稿では、多くの企業で委託先リスク管理がどのように行われているのかを概観しつつ、それらを効果的に実施する体制について述べたいと思います。
委託業務の担当部門
委託先リスク管理は、委託先を選定する段階から既に始まっています。したがって外部に委託する業務自体を直接担当している部門は、委託先リスク管理において重要な役割を担っていると言えます。
例えばシステムの開発や運用を他社に委託する場合、委託先の技術レベルは十分か、セキュリティ上のルールを遵守できる体制ができているか、財務状況に問題がないか、などを考慮して適切な委託先を選定する必要があります。また日々の業務の実施状況をモニタリングし、問題の発生を防ぐとともに、もし問題が発生したら迅速に対応して悪影響を最小限に抑えるのも、普段から最も委託先と接している担当部門の役割となるでしょう。
開発・設計部門
製造業であれば、前述のような担当部門と同様の役割を開発・設計部門が担うと考えられます。
どのような材料や部品を外部から調達するか、それとも内製するかは、新製品の商品企画や開発・設計段階で概ね決まります。また、それらをどのサプライヤーから調達するかは、開発・設計部門や後述の購買部門が決めることになるでしょう。もし特定の企業からしか調達できない材料や部品を使用することを前提として商品開発が行われれば、供給リスクの高さを内在する商品を開発することになります。
特に材料や部品のサプライヤーと共同開発を行う場合、後からサプライヤーを変更するのは非常に困難になりますので、パートナー選びは慎重に行わなければなりません。
購買部門(調達部門)
選定されたサプライヤーとの取引においては、購買部門が窓口になることが多いでしょう。
具体的な役割の範囲は企業によって異なりますが、発注や支払いなどの事務だけでなく、納期管理や受入検査、さらには品質保証部門などと協力して、不良率の高いサプライヤーの把握や是正に向けての働きかけなど、さまざまな管理業務を担当していることがあります。
製造業では購買部門が中心となって、サプライヤーを対象としたリスクアセスメントや、定期的な状況調査、監査などを行なっている例もあります。
法務部門
サプライヤーや業務委託先との間の契約で、守秘義務や知的財産権の取り扱い、事前同意のない再委託の禁止、反社会勢力の排除など、リスクを減らすための条項を定めることも、委託先リスク管理に欠かせない仕事のひとつです。
多くの企業では契約締結前に法務部門が契約内容を確認するようになっているため、法務部門もまた委託先リスク管理において重要な役割を担っていると言えます。
情報セキュリティ担当部門
情報セキュリティの観点から委託先リスク管理に取り組んでいる企業も少なくありません。
情報セキュリティマネジメントシステム(ISMS)の国際規格である ISO/IEC 27001 には、委託先リスク管理に関する要求事項が含まれています(管理策 など)。このような企業では ISMS の事務局を担当している部門が委託先リスク管理の中心となっている可能性があります。
プロジェクトリーダー(マネジャー)
ソフトウェア開発や情報システムの運用管理を受託しているような企業で、多くの業務がプロジェクト単位で運営されている場合、実務上のさまざまな決定や実行がプロジェクトリーダーに任されている場合があります。
例えば開発業務の一部を外部委託する場合、委託先の選定や日々の業務における委託先の管理監督などがプロジェクトリーダーの責任において行われていることがあります。
前述の ISMS 事務局が委託先管理に関するルールや手続きなどを決めていても、それらが確実に実行されるかどうかはプロジェクトリーダー次第です。したがってプロジェクトリーダーも委託先リスク管理において重要な役割を担っています。
各部門の連携による合理的な委託先リスク管理
あくまでも一般論としての例示ではありますが、委託先リスク管理にさまざまな部門が関わっていることを、あらためて整理してみました。これらは「委託先リスク管理」という言葉を使わなくても、多くの企業で従来から行われているものばかりなのではないでしょうか。
つまり、事業活動が各部門間の役割分担で成り立っているなかで、委託先リスク管理に関する業務も複数の部門で分担されているのが実態だと思われます。 筆者自身の意見としては、委託先リスク管理全体を統括する担当部門を決めるべき、とまでは考えていませんが、本稿で例示したような仕事が、どこかの部門で確実かつ継続的に実施されていることを確認しておく必要はあると思います。リスクマネジメント担当部門がある企業であれば、そのような部門が確認するのが現実的でしょう。
より確実な方法としては、(上場企業や大企業に限定される方法ではありますが)委託先リスク管理に関する個々の業務を、職務分掌などの形で各部門の担当業務として明文化し、それらが確実に実施されていることを業務監査で定期的に確認することです。
いずれにしても、各社の個別事情に適した方法で、委託先リスク管理のために必要な業務を適切に分担し、それらを確実に実施し、また効果的に相互連携できるような仕組みが機能していることが重要です。あまり形式にとらわれず、組織全体として合理的な方法を工夫し、運用していただければと思います。
- 執筆者
- 田代 邦幸 合同会社OfficeSRC代表/リスクマネジメントコンサルタント
- プロフィール
- 自動車メーカー、半導体製造装置メーカー勤務を経て、2005 年より複数のコンサルティングファームにて、事業継続マネジメント(BCM)や災害対策などに関するコンサルティングに従事した後、独立して 2020 年に合同会社 Office SRC を設立。
- SNS
- X(Twitter):@ktashiro_src
LinkedIn:https://www.linkedin.com/in/ktashiroSRC
アトミテックでは、委託先リスク管理の手順をまとめた委託先リスク管理ガイドを公開しています。ぜひ自社の委託先管理の参考になさってください。
