最低限見なければいけないのは、①法規制が網羅的に把握されているか、②法規制は目まぐるしく変わるのでアップデートされているか、③アップデートに合わせて法令遵守を確認しているか。

監査とは法令遵守の状況を確認するのではなく、遵守を確認していることを確認することです。確認の方法はいろいろあります。通常、監査の種類を分けて第一者監査、第二者監査、第三者監査と呼びます。第一者監査は内部監査、つまりセルフチェックです。第二者監査はサプライヤーやお客様による監査。第三者監査は利害関係のない第三者がチェックする方法です。第一者と第三者監査にはそれぞれメリット、デメリットはあります。第一者は現場を熟知した自社の担当者がやるので、お金はあまりかからない。しかし、自分たちの力量の範囲を超えたところでは不可能だという限界がある。一方、第三者はその分野の専門家がやるので透明性は高い。ただし第三者に委託するので費用がかかる。ここで言いたかったのは第三者がいい、第一者がいい、ということではなくて、うまくミックスして使うことがコンプライアンスを合理的に論証していく方法だと考えています。

もう1つはあらゆる監査をするのではなく、範囲を明確にすることが大切です。例えば、人の安全に焦点をあててチェックする。または、サプライチェーンの監査を実施するなら課題の範囲を明確にするのが大事だろうと思います。それから海外の拠点は特に第三者の目を入れた方がいいと思います。なぜなら現地の法令に詳しい日本人は少ないでしょうし、アップデートされた情報は常に得られるという体制をつくるには難しいからです。

実際にどういった方法でやるのか、例を交えて説明します。監査のチェック項目はたくさんあります。範囲も各社各様です。従って、皆さんのチェックリストをつくらなければいけない。ですから、監査側と被監査側の共同作業になる。ただ、監査の設計を先にやります。焦点を合わせる法律の選択や対象領域などを決めます。そして、これを監査側にきちんと伝える。それから、まずセルフアセスメントを皆さんにやっていただく。エビデンスの有無やエビデンスがないけど守っているはずの項目や監査側で確認を求めるものなど絞り込みます。そして、監査を受けて是正をしていく。法令などに違反するものはクリティカルなものは即時是正。すべてクリアできればいいですけど、大半は残ります。それでも毎年、確実に課題を解決することでレベルアップします。

我々のチェックリストの例です。2段階スリーニングをやります。まず法令を使って対象を絞り込む。最終的に残ったもので2段階目のチェックリストをつくるやり方だと効率的です。最終的にはどんな視点や基準でやったのか、どんなツールを使ってやったのかを記録で残すことも重要です。報告書を作成し、翌年につなぐのです。

外資系の企業は我々のような第三者を使うのは慣れていますが日本の企業さんは、どちらかというと「自分たちでまずはやります」という方が多いです。それでもここ2 ~ 3年で相当増えています。国内はとりあえずいいから海外拠点を先にという話がかなり舞い込んできております。

 

(了)