コラム‐GRC/ARCA Viewpoint 英国における重要サードパーティに係る規制動向の紹介
日本の金融機関がオペレーショナルレジリエンスに係る態勢構築を検討する上で参考となる、英国のCritical Third Party規制について解説します。
1.「3つのディフェンスライン」とは
「3つのディフェンスライン」に基づき組織体制を整備する例は多い。しかし、特に第1線,第2線とは結局のところどのようなものか、また第1線、第2線の境界をどのように捉えるべきかについては議論が多い。本コラムでは3つのディフェンスラインについて整理を試みたい。
3つのディフェンスラインの一般的な定義は以下のとおりである。各ディフェンスラインに関する解説は一見して明瞭であり、解釈の余地はないようにも見える。
(1)第3線の位置付け
内部監査部門が担う第3線は、取締役会や監査委員会に対して業務執行に係る合理的保証を与える役割を有しており、第1線、第2線との峻別は比較的容易である。第2線と第3線との連携(特にデータおよびITテクノロジーの活用・共有化)および役割分担の在り方については議論があるものの、両者の境界や果たすべき役割の相違が議論となることはあまりない。
なお第3線の役割に関する近年の傾向として、営業部店に対する検査(典型的には法令遵守や社内規則についての準拠性の監査)を第1線や第2線に移管する取り組みが見られる。これに伴い、第3線はより高度な観点から会社・組織全体の課題や戦略目標達成に係る重要なテーマについてフォワードルッキングな監査を志向する傾向が見られる。
(2)第1線、第2線の位置付けと論点
一方、業務執行を担う機関としてリスク管理・コンプライアンスに関与する第1線、第2線については、両者の役割および位置付けに関してやや考察を要する。
例えば市場・国際部門においては、リスク管理・コンプライアンスに関連する機能部署・人員をビジネス推進部署に近いところに配置する例が散見される。いわゆる「1.5線」とも呼ばれる機能部署である。これらは、第1線からも指示を受けリスク管理・コンプライアンスに関する報告を行っているが、この位置付けはどう解釈すべきか。
さらに、事務部門(人事・オペレーション部門など)のように収益目標を直接負っていない部門はどのように位置付けられるかといった論点も考えられる。
前掲図の役割・責任を参照すると、第1線はリスクオーナーでありリスクテイクに対する結果責任(説明責任)を負うとある。つまり、第1線がリスクテイク機能を有していることは自明であり、それと表裏一体であるリスクコントロール機能も有している。さらに、リスクテイク自体を目的とする組織・機能は想定しがたく、リスクテイクの目的である収益目標もしくはコスト削減目標を負っていると解釈するのが自然である。
一方、第2線は独立した立場でリスクに対する監視・助言を行い、またリスク管理フレームワークの設計およびその維持、改善を実施するとされている。第1線の機能と比較すると、第2線の主目的はあくまでリスク管理を行うことであり、リスクテイク機能およびリステクテイクに対する結果責任を有するものではない。
加えて実効性の観点からは、第2線が「独立した立場」にあるということは重要なポイントである。具体的には「独立した立場」はレポーティングラインにより担保される。例えば、最高リスク管理責任者やリスク委員会を主たるレポート先とすることにより、リスクテイク機能・責任を負う第1線からの影響を排除する必要があると考えられる。
【参考】第1線、第2線を定義づけるポイント
- 第1線
⁃ リスクテイク機能とリスクコントロール機能を有する
⁃ リスクテイクについての結果責任(説明責任)を有する
⁃ 収益の獲得もしくはコスト削減を責務としている - 第2線
⁃ リスクテイクは行わない
⁃ 第1線からの影響が排除されている(最終的な人事評価、任免権を含め、第1線の監督下にない)
(3)「1.5線」と事務部門の位置付け
以上に基づき「1.5線」を整理すると、リスク管理機能を担いながらも、第1線の部門長の監督下に設置されている場合は、独立性の観点から第2線の要件を満たしていない可能性がある。「1.5線」の機能や位置付けは各社ごとに異なるため一概には言えないが、つまるところ第1線内での自律的統制としての機能を有するもの、と解釈することが適当ではないだろうか。ただし、外形的に第1線に近いところに配置しているのみで、完全に第2線の指揮命令下でリスク管理活動を行っている場合は、第2線として整理されるべきと考えられる。
また、人事・オペレーション部門のような事務部門は、能動的にリスクテイクを行っているという意識がなくとも、コスト削減を行う結果としてリスクテイクしている場合、第1線に整理されると考えられる。一方、人事部門が人的リスクの管理部署としてリスク管理フレームワークを設計・管理し、リスク顕在化の結果責任を負わないのであれば、人的リスクに関する第2線として整理可能である。また先述の「1.5線」と同様、レポーティングラインについての考察も必要となる。
2.総括
上記を前提とすると、第1線、第2線の整理は部署単位で検討するべきではない。テイクしているリスクの種類に応じて、有する機能、結果責任の所在、そしてレポーティングライン(人事評価や任免を含む)の観点で整理すると分かりやすいだろう。加えて、同一部署内にリスクごとの第1線機能と第2線機能が混在する状況は、可能な限り避けた方が全社的な透明性も高まる。また、部署内での活動方針に関する不整合が生じる可能性をも排除できると考える。
IIA(内部監査人協会)のポジションペーパーを改めて読み返すと、「3つのディフェンスライン」による整理とは、そもそも屋上屋を重ねるという観点(例えば、3つよりも5つの防御線を設定した方が安泰といったような)よりも、同一部署・人員が同時に担ってはいけない機能(相互牽制)を適切に分離・配分し、リスクおよび各機能の責任の所在を明確にすることにあると考える。
「3つのディフェンスライン」による整理は、そのための基本的な考え方を提示したものであり、社内外の人が理解するうえで複雑な説明を要するディフェンスラインの構築は避けるべきであろう。
最新のコラム-GRC/ARCA Viewpoint
Loading...
コラム‐GRC/ARCA Viewpoint オペレーショナルレジリエンスに関する欧米監督当局の期待事項の比較
オペレーショナルレジリエンスに関する米国・英国・バーゼル銀行監督委員会の視点を取りまとめています。
コラム‐GRC/ARCA Viewpoint コンダクトリスクに対する内部監査のアプローチ
金融庁が高い関心を寄せているコンダクトリスクの管理態勢について、管理に向けた内部監査の動向、アプローチ例、監査上の着眼点などの観点から解説します。
コラム‐GRC/ARCA Viewpoint インサイダースレットに企業はどう立ち向かうべきか―ゼロトラスト時代における内部不正の脅威と対策
組織内部者による組織への犯罪行為が多発しています。脅威の実態と、企業に求められる対策を紹介します。
Loading...
インサイト/ニュース
Loading...
グローバル投資家意識調査2024
世界各国の投資家345名に、今後の世界経済の見通しや投資先企業等に対する期待について詳しく調査しました。投資家は、世界経済の成長に楽観的なものの、リスクが複雑に絡み合う経営環境を乗り越えられる、レジリエンスに優れた企業への投資を優先しています。
【セミナー】人権・環境デューディリジェンスの法制化と日本企業が求められる対応
PwC Japanグループは12月6日(金)より、表題のセミナーをオンデマンド配信します。
PwC Japan、企業が不祥事に備えるための「フォレンジックコンシェルジュ」サービスを提供開始(2024年9月25日)
PwC Japanグループは、企業が購買不正や会計不正などの不祥事に備えるために、平時の研修・助言・法律相談と、有事のデータ保全など初動対応を実施する、「フォレンジックコンシェルジュ」サービスの提供を開始します。
【セミナー】コンプライアンスデューデリジェンスおよび国連の要求する企業の人権対策と2023年訪日調査の最終報告書について
PwC Japan有限責任監査法人は7月11日より、表題のセミナーをオンデマンド配信します。
Loading...
