【ケーススタディ】委託先管理の困難さ-長崎市の事例から-
委託先管理の困難さ
人件費の削減や業務効率化の一環として、様々な業務のアウトソーシングは一般的な手段になっています。
外部に業務を委託するにあたっては、取引先として適切な相手か、委託業務を適切に行える能力・要件を充足しているか等の委託元として適切な管理・監督をしているかが問われます。
しかし、リスクの多様化に伴い委託先に対して必要な選定時の調査や委託以降の管理も多岐に渡るようになり、複雑さを増しています。
事例紹介:長崎市職員の不適切な事務処理
テレビ長崎より公文書偽造などの不適切な事務処理などで長崎市職員6人が処分された事案が報道されていました。(2020年4月5日現在はリンク切れです。)
https://headlines.yahoo.co.jp/hl?a=20200212-00000004-ktn-l42
リンク先から記事を一部引用します。
『このうち長崎市平和推進課の女性職員(29)は、永井隆記念館の機械警備などを委託するための関係書類について、今年度監査事務局から書類の提出を求められましたが作成していませんでした。』
『書類の作成を行っていなかったことを取り繕うために必要となる書類をさかのぼって作成し、上長もこの不適切な事務処理を了承して押印し、監査事務局に提出しました。』
本来作成すべき書類を作成しておらず、後付けで偽造したという中々大胆な事案です。上長も積極的に関与していたので悪質な事案といえるでしょう。では具体的にどのような書類を作成していなかったのでしょうか。
記事には『機械警備などを委託するための関係書類 』としかありません。内容からすると、上で述べた委託先管理に掛かる資料のいずれか又は複数を作成していなかった可能性があります。
この種のチェックは規程上明記されていても、①担当者が該当規程をよく知らない、②納期やスケジュールを優先して対応が後手になる、などの理由から管理態勢が十分でない部門では、つい疎かになることがあります。
事業会社での委託業務例
事業会社で業務を外注しているケースは多岐に渡りますが、リスク管理の観点から特に留意すべき委託業務例を記載します。業種としてはインターネットサービス事業を行う会社を想定しています。
■セキュリティリスク上留意すべき委託業務
・コールセンター、カスタマーサポート業務(顧客個人情報の漏洩リスク)
・電子機器・端末・紙文書の廃棄サービス(重要情報の廃棄漏れ、不正取得リスク)
・景品配送等の業務(顧客個人情報の漏洩リスク)
・個人情報の入力代行業務(顧客個人情報の漏洩リスク)
・情報の匿名加工化業務(顧客個人情報の漏洩リスク)
・システム運用・保守業務(本番環境データベースからの情報漏洩・システム停止リスク)
■内部統制リスク上留意すべき委託業務
・給与計算・記帳代行等の経理業務(財務諸表データの誤謬等のリスク)
・債権回収業務(未回収リスク、レピュテーションリスク)
委託先管理ルールの適切な実施を阻害する課題
委託先管理が難しいのは、委託する業務内容や相手先によって適用されるルールが多岐にわたること、及びそのルール管理部門がバラバラのことが多いせいではないでしようか。
委託先管理の際、作成を求められる資料とその根拠規定、それを所管する部門について例示します。
■コンプライアンス資料[法務部等]
・「取引先チェックの資料」:反社会的勢力でないか等、相手先が取引自体をしてよいか(レピュテーションリスクを生じないか)のチェックを求められることがあります。
・根拠規定例:「取引先管理規程」等
■財務系資料[経営企画部等]
・「委託先財務・業務品質のチェック資料」:与信観点からの財務状況、及び実績・技能・認証など委託業務を適切に遂行する能力を持つかのチェックとその記録 を求められることがあります。
・根拠規定例:「外注管理規程」
■購買部門系資料[購買部等]
・「委託先比較資料」:コスト削減のため、複数の委託先候補から比較検討し、その記録が確認できる資料の作成が規定されることがあります。
・根拠規定例 :「購買管理規程」
■セキュリティ系資料[セキュリティ部・総務部等]
・「個人情報の取り扱いに関するチェック資料」:個人情報を取り扱う業務を外部に委託する場合は、個人情報保護法及び関連ガイドラインで委託元として必要かつ適切な監督として、安全管理措置に関する状況をチェックすることが求められます。
・根拠規定例:「個人情報保護規程」
業務委託1つで、上記のような複数のチェックが必要になることは珍しくありません。
こうしたルールが一体的な発注フローのように統合化されていればよいですが、所管部門ごとに個別に存在する場合は、チェックや作成の抜け・漏れがあってもなんら不思議はありません。
また理解していても対応工数がかかるので、チェックを省略したり後付けで行うインセンティブが働く場合もあります。
最後に
発注が先行して後付けでこの種のチェックを行った結果重大な問題が発覚した場合、取引の中止や追加契約の締結など多大な影響が考えられます。
自分の身を守るためルールを正しく理解し余裕あるスケジュールで発注をすることが大切ではないでしょうか。
投稿者プロフィール
- J-SOXバブル時に内部統制コンサルに。以来通算13年間内部監査・内部統制・リスクマネジメント・セキュリティ業務に従事しています。
自身の学びも兼ねて、縁があって内部監査を始めよう/既にしている方達に少しでも役に立つ、現場の情報をお伝えしたいと思います。
【保有資格】
・公認内部監査人(CIA)
・公認情報システム監査人(CISA)
・内部統制評価指導士(CCSA)
・公認情報セキュリティマネージャー(CISM)
・Certified Data Privacy Solutions Engineer(CDPSE)
【所属】
・日本内部監査協会会員
・ISACA東京支部会員