今や上場企業の大部分がアジア諸国に子会社を持つが、その管理には頭を悩ませているところも多いのではないだろうか。親会社としては、問題を見過ごしたままこれが拡大し、不祥事等に発展するケースだけは避けたいところ。そのために重要なのが「内部監査」だ。

実際、最近実施された某上場企業のアジア子会社の内部監査で発見された事項（実例）を紹介しよう。

発見事項その１　「情報資産」のずさんな管理
固定資産の実査の実施状況について確認したところ、数年前から現物と台帳の数に差異があり、それが放置されていた。内容を確認したところ、かつて在職していた者が退職時にPCを持ち出しており、子会社もこれを固定資産実査上の差異として認識していたが、親会社への報告も含めて何の対応も取っていなかった。

実査 ： 監査を行う者が実際に現物にあたること。

子会社に詳細を確認すると、「会社のLANにアクセスされた痕跡はないため、重要な問題は生じていない」との回答だったが、「PC＝情報資産」という観点から、PC内の機密情報について尋ねたところ、一切ケアされていなかった。それどころか、PC内のハードディスクにどのような情報があるのかさえ把握されていなかったのである。

現在まで情報漏洩に関する問題は発生していないため、重大なデータ漏洩はなかったと考えられるが、もしかしたら表面化していないだけで、実際には何らかの形でPC内の情報が悪用されている可能性も否定できない。万が一顧客データや商品データが漏洩した場合、ベネッセやJTB等の例が示すように、その収束にかなりの費用と労力を要することになるだけに、子会社にはPCを「情報資産」として管理することの必要性を説いた。

ベネッセの事例 ： 2014年に、「進研ゼミ」等の学習事業を営むベネッセにおいて、外注先のエンジニアが3千万件を超える顧客情報を流出させた事例。
JTBの事例 ： JTBの子会社が、2016年6月に標的型のシステム攻撃を受け、数百万件の個人情報が流出した事例。

発見事項その２　不適切な資金運用
子会社は「副業」として不動産の賃貸も行っており、その際に顧客から保証金を預っているが、この保証金を「元本割れのリスクのある金融商品」で運用していた。金融商品への投資の可否は、親会社のCFOのみが意思決定権限を有するとの社内規程があるにもかかわらず、である。

内部監査の時点では運用益が出ており、損失を被っていなかったとはいえ、運用の事実は親会社にも報告されておらず、内部監査により初めて発覚した。

子会社には当該金融商品を可及的速やかに解約することを提言した。

発見事項その3　マネジメントレターの不提出
当該子会社は比較的規模が小さい。このため、親会社への報告は、決算後に「連結パッケージ」に数値データを入力し、メールで送るのみであり、財務諸表の写しや勘定明細等のみならず、会計監査をしている監査法人からの「マネジメントレター」さえも親会社に提出していなかった。

連結パッケージ ： 連結財務諸表の作成に備えて、親会社が連結子会社等に提供を求める一連の財務等の報告データの総称
マネジメントレター ： 長文式の監査実施報告書。会計監査にあたり検出した事項や要改善事項等がまとめられている。

内部監査後に当該子会社を管理している親会社の担当部門に確認したところ、当該子会社は親会社と同じ系列の現地監査法人により会計監査を受けていたが、現地監査法人側から何らコメントがなかったため、特に問題はないと考えていたとのことであった。

しかし、現地監査法人からコメントがなかったのは、当該子会社が現地監査法人のマネジメントレターを親会社に提出していなかったためであり、問題がないわけではなかったのである。実際、内部監査時にマネジメントレターを入手すると、そこで初めて把握した問題点が出てきた。

ちなみに、日本の監査法人も現地監査法人から当該マネジメントレターを受領していなかった。現地監査法人によると、「日本の監査法人からその旨のインストラクション（指示）を受けていなかったため、提出していなかった」とのことであったとのことだった。

本事象を招いた大きな原因は、日本の親会社の子会社管理部門における「（子会社の）管理不行き届き」がある。日本の親会社の管理も十分に行き届かなかったのは、当該子会社の規模が比較的小さかったということがあるが、他にも規模の小さい海外子会社は存在するため、これらの子会社でも類似の状況が発生している可能性がある。他の海外子会社の状況も早急に確認していく必要がある。

アジアに子会社を有している企業は、本件を「他山の石」とし、同様のことが起きていないかどうかチェックしておきたいところだ。