コングロマリットの大手企業は800社の子会社を抱えているそうですが、品質不正の発覚から、監査の強化を発表しました。
5つの事業部門で監査担当役員を任命して、事業部門に属する子会社と本社の監査部とで情報共有していくそうです。
800社超のグループ全体の監査強化、眩暈がしそうですね。
実際にどのような実務になるのか、まったく想像でしかありませんが、どんな手だてが考えられるでしょうか。
当職ならどう整理していくか考えてみました。
まず、すべての子会社に同様の監査体制を敷くことは現実的ではありません。
子会社の区分を検討します。考え方はJ-SOXの対象の検討と重点項目同様でいいでしょう。
子会社の業容で5つに分類されているとのことですから、その区分ごとに規模で細分していきます。
業容の重要度、売上規模、人員数など複合的に検討し、監査のレベルを決めていきます。
項目の深度と監査の頻度を決めてもいいかもしれません。
子会社に内部監査部門があるかないかも、条件付けの1つになりそうです。
区分した上で、本社から統一した監査項目を提示して報告を上げてもらうのを基本とします。
A社は小規模だからチェックリスト1種類、B社は3種類など、重要度の区分に対応していきます。
内部監査部門がなければ経理部や管理部など、担当部署を指定して自ラインからの自己点検として出してもらうわけです。
ある意味CSAの監査になりますね。(CSA=コントロール・セルフ・アセスメント)
加えて、本社の内部監査部門が往査します。
CSAと従前の内部監査結果が芳しくない子会社を優先的にするか、売上規模で上から順に棚卸するか、
これも本社内部監査部門のリソースとの兼ね合いになるでしょう。
ニュースが出た企業は、ESG報告会でグローバルな格付けを上げたい意図で、監査体制の強化を発表したようですから、
アウトソースしてでも全グループに内部監査を行うのかもしれません。
或いは初年度はアウトソースして全社、その結果を元に2年目からは優先度を付けるなどの対応も十分考えられます。
監査項目のリスト化などは当然既にあるでしょうが、グループのガバナンスを保持する内部監査のありようを、どんな視点で検討し、
また手数少なく展開していくか、大きな枠組みから検討していくのだと思います。
もちろん大手企業だけでなく、小規模会社であっても、グループ全体への内部監査を行うには、策定すべきフレームワークだと思料します。
みなさんの会社では、グループガバナンスを踏まえた内部監査を行っていらっしゃるでしょうか。