ITシステムを開発するときや運用する時には、開発するシステムに適した言語スキルを持っているプログラマーや、製品に詳しい人にお願いすることもあるでしょう。ある特定のスキルを持っている人に仕事をお願いをする時、「あの人しか対応できない」ということは実は稀です。私もそうです。大抵似たようなスキルを持っている人やチームはあるものです。
そうなると依頼する方は、どの企業や個人に依頼すべきか迷います。最も単純な決定方法はコストです。同じサービスをしてもらえるなら安いに越したことはありません。ただ、セキュリティ専門家の視点では、依頼を受ける組織が十分な体制を持っており、依頼を達成することができるか、依頼の中で取り扱う情報を適切に管理できるかを意識しておく必要がありそうです。
そこで、ベンダー管理システムが登場します。どの企業を信頼するかは依頼を出す企業ごとに異なりますが、財務状況や十分な技術を持った人数がいるか、ISOといった業界標準の組織体制を維持しているかを見ていきます。ここで選ばれた企業はベンダー管理システムで登録されます。実際の取引が発生したときに、そのベンダーの中から選択し、業務を依頼します。
これが正常に機能していない場合には、依頼を達成できない組織、データを適切に管理できない組織や個人的な付き合いがあるところに依頼するケースが出てくるでしょう。もしも、データが漏洩したり、お金を横流ししていた場合に、説明責任を果たすことが難しくなっていきます。
ちなみに、このようなベンダー管理システムが利用されるケースというのは、継続案件における業務委託が多いでしょう。一からのソリューションの提案では、プリセールスの方が案件を取るように尽力するため、通常コンペ等で精査されます。
また、ベンダー管理システムはベンターをリストアップするだけではなく、発注・納品の業務プロセスも一緒に処理できるようになっていることが一般的です。選定したベンダーに対して、注文書から署名の依頼、納品の確認、一元的に管理できるようになっています。そして、契約が終了したら、そのベンダーに対するアンケートを取ります。各ベンダーの評価を積み上げることで、より自分の組織に合った、効率的なベンダーを優先するでしょう。勿論、あるベンダーだけを選定すると逆にそのベンダーに仕事を握られかねないので、実際には事前に定義された評価をある程度無視して、あえて他のベンダーも選ぶこともあるでしょう。ベンダーの冗長性ですね。