IIAの「3つのラインモデル（Three Lines Model）」

原則3：マネジメントと第1線・第2線の役割

以前からマネジメントは自らバランスを取って事業推進とリスク管理を行うことが求められていますが、今回の資料ではその点をより明確にしています。従来の3つのディフェンスラインでは、第1・2線間のけん制関係が注目されがちで、第1線に対して第2線がいかにチャレンジするのか（Review & Challenge）に焦点が当たっていましたが、今回の資料ではいずれもレポートラインが一義的にはマネジメント（典型的にはCEO）であることから、マネジメントが役割を果たす上でこの2つの機能を連携させて機能させることを強調しています。

一方で、第2線は第1線の代替機能を果たすものではない点（リスク管理を第2線にだけ任せればよいというわけではなく、第2線によるReview & Challengeも重要）と、マネジメントのリスク管理についての責任について明示している点には留意する必要があります。

過去5～10年の間に、金融機関を中心に第1線による自律的統制の強化を目的として第1線内にリスク管理機能やその検証機能を具備する動き（いわゆる第1.5線）が見られますが、第1・2線の連携を強調した今回の資料は、この動きとも整合したものであると考えられます。

なお、財務部門や人事部門を第2線と位置づけている組織もあることを筆者は認識していますが、今回の資料ではこれらの部署の業務を推進業務（バックオフィス業務、コントロール機能を含む）とリスク管理業務に分けて第1・2線を整理する考え方が示されています（この点についての詳細は「3つのディフェンスライン」をご参照ください）。

原則4：第3線の役割
原則5：第3線の独立性

内部監査機能についての記載には、本質的には新たな視点はないものと思われます。今回の資料では特に独立性について強調されており、マネジメントの責任（より正確には権限と解したほうがよい）からの独立（Independence from the responsibilities of management）が必須であると述べられています。内部監査のレポートラインがCEOやCFOになっているケースは、金融機関では一部の業態を除き見られませんが、一般事業法人においては多いと思われます。今回の資料でも言及されている通り、コミュニケーションラインを持つことは否定されません（むしろ奨励されています）が、あくまで内部監査機能は一義的にはガバナンス機関に対するものであり、ガバナンス機関が内部監査の独立性（形式だけではなく実質的な地位を含む）を担保する点には留意する必要があります。ただし、「独立（Independence）」と「孤立（Silo）」は別の概念であり、孤立に関しては内部監査機能というよりもガバナンスの問題であると考えられます。

また、より踏み込んだ記載として、独立性が担保されていない領域がある場合には別途外部の監査人などを活用した独立検証が必要であるとされている点は注目すべきです。これは特に第2・3線を同一役員が所管しているケースをどのように整理するかについて再考を促すことになるかもしれません。

原則6：価値の創造と保護

冒頭で述べた通り、3つのラインモデルは価値の保護（典型的にはリスク事案・事故の未然防止や早期発見）だけではなく、価値創造の実現への寄与や幅広いステークホールダーの期待に応えることを目的とすべきとされています。これは、COSO ERMにおいてもERMの目的として組織目標の達成に焦点を当てていることから、現在の趨勢を表したものと考えられます。記載の内容はその点では特に目新しくはありませんが、内部監査機能におけるアシュアランスの範囲やアドバイザリー機能（特にガバナンス機関に対するもの）について今一度考えるきっかけを与えるものになると言えるでしょう。