IIA(The Institute of Internal Auditors:内部監査人協会)は2020年7月20日、組織のリスク管理・統制活動のモデルである3つのディフェンスラインについてのディスカッションペーパーのアップデート(The IIA’s Three Lines Model※1)を公表しました。本稿ではその概要について解説します。
なお、本稿は執筆者の見解に基づくものであり、IIAの見解や解釈を表しているものではありません。
3つのディフェンスラインについては2019年6月にディスカッションペーパーが発行されており※2、今回さらにアップデートがなされました。すでに3つのライン間の連携や協働について述べていましたが、今回のアップデートではこれらをガバナンスの観点から整理し直しています。
なお、従来「Three Lines of Defense」と呼ばれていたものが、今回のアップデートでは「Three Lines Model」となりDefenseの文字が削除されています。これはERM(Enterprise Risk Management:全社的リスクマネジメント)の趨勢にも表れているように、価値の保護(value protection)だけではなく、企業目的の達成(achievement of goals/objectives)、価値創造(value creation)への貢献をより意識したものと考えられます。
従来の資料は議論のきっかけを与えるのに大きな役割を果たしてきたと考えられますが、その後の実務的な議論を十分に反映していませんでした。今回のアップデートはこれを明確に整理していますが、新たな視点を提供するものではないと考えられます。
今回の「3つのラインモデル」では6つの原則が提示されています。以下に各原則の概要について説明します。
原則1:ガバナンス
原則2:ガバナンス機関の役割
原則3:マネジメントと第1線・第2線の役割
原則4:第3線の役割
原則5:第3線の独立性
原則6:価値の創造と保護
ガバナンスの観点から以下の3つの役割と機関に分化して整理しています。これは従来の3つのディフェンスラインの基本的な考え方と同じですが、3つの役割・機関で整理することで関係性をわかりやすく示しています。
IIAの資料であるため内部監査機能に注目しがちですが、ポイントとなるのはむしろガバナンス機関(端的には取締役会を意味する)とマネジメント(端的にはCEOを意味する)の関係にあると考えます。従来は3つのラインが持つ機能に着目しがちでしたが、今回のアップデートでは後述するように第1・2 線を司っているマネジメントに焦点を当てています。マネジメントが自身の役割・責任を果たすために第1・2線の両方を管理監督すると位置づけることで、3つのラインモデルにおいて「監督」「執行」とそれに対する「アシュアランス(内部監査機能)」という3つの役割によって整理しています。
以前からマネジメントは自らバランスを取って事業推進とリスク管理を行うことが求められていますが、今回のアップデートではその点をより明確にしています。従来の3つのディフェンスラインでは、第1・2 線の間の牽制関係が注目されがちで、第1線に対して第2線がいかにチャレンジするのか(Review & Challenge)に焦点が当たっていました。しかし今回のアップデートでは、いずれもレポートラインが一義的にはマネジメント(典型的にはCEO)であることから、マネジメントが役割を果たす上でこの2つの機能を連携させて機能させることを強調しています。
一方で、第2線は第1線の代替機能を果たすものではない点(リスク管理を第2線にだけ任せればよいというわけではなく、第2線によるReview & Challengeも重要)と、マネジメントのリスク管理についての責任について明示している点には留意する必要があります。
過去5~10年の間に、金融機関を中心に第1線による自律的統制の強化を目的として第1線内にリスク管理機能やその検証機能を具備する動き(いわゆる第1.5線)が見られますが、今回のアップデートは第1 線と第2 線の連携を強調しており、この動きとも整合したものであると考えられます。
なお、財務部門や人事部門を第2線と位置づけている組織もあることを筆者は認識していますが、「3つのラインモデル」ではこれらの部署の業務を推進業務(バックオフィス業務、コントロール機能を含む)とリスク管理業務に分けて第1・2線を整理する考え方が示されています。この点についての詳細は、拙稿「3つのディフェンスライン」※3のページを参照してください。
内部監査機能についての記載には、本質的には新たな視点はないものと思われます。今回のアップデートでは、特に独立性について強調されており、マネジメントの責任(より正確には権限と解したほうがよい)からの独立(independence from the responsibilities of management)が必須である
と述べられています。内部監査のレポートラインがCEOやCFOになっているケースは、金融機関では一部の業態を除き見られませんが、一般事業法人においては多いと思われます。今回のアップデートでも言及されているとおり、コミュニケーションラインを持つことは否定されていません(むしろ奨励されています)が、あくまで内部監査機能は一義的にはガバナンス機関に対するものであり、ガバナンス機関が内部監査の独立性(形式だけではなく実質的な地位を含む)を担保する点には留意する必要があります。ただし、「独立(independence)」と「孤立(silo)」は別の概念であり、孤立に関しては内部監査機能というよりもガバナンスの問題であると考えられます。
また、より踏み込んだ記載として、独立性が担保されていない領域がある場合には別途外部の監査人などを活用した独立検証が必要であるとされている点は注目すべきです。これは特に第2・3 線を同一役員が所管しているケースをどのように整理するかについて改めて整理、再点検を促すことになるかもしれません。
冒頭で述べたとおり、3つのラインモデルは価値の保護(典型的にはリスク事案・事故の未然防止や早期発見)だけではなく、価値創造の実現への寄与や幅広いステークホールダーの期待に応えることを目的とすべきとされています。これは、COSO ERMにおいてもERMの目的として組織目標の達成に焦点を当てていることから、現在の趨勢に沿ったものと考えられます。記載の内容はその点では特に目新しくはありませんが、内部監査機能におけるアシュアランスの範囲やアドバイザリー機能(特にガバナンス機関に対するもの)について今一度考えるきっかけを与えるものになると思われます。
*2 ディスカッションペーパーの詳細については、以下の「『3つのディフェンスライン』モデルの進化に向けて」のページを参照。https://www.pwc.com/jp/ja/knowledge/column/viewpoint/grc-column017.html
*3 https://www.pwc.com/jp/ja/knowledge/column/viewpoint/grc-column001.html
PwCあらた有限責任監査法人
ガバナンス・リスク・コンプライアンス・アドバイザリー部
パートナー 辻田 弘志
多くの金融機関で、平時のリスク管理と危機時のリスク(非財務リスク)管理を一体的に捉える必要性が高まっています。PwCは、非財務リスク管理を広くステークホルダーの期待に応えるためのリスク管理として捉え、管理体制の構築と運用を支援します。
ガバナンス・リスク管理・コンプライアンスの構築、金融庁等の監督当局による規制対応など多様なサービスを提供しています。
サステナビリティの知見とサステナビリティに関する各国法規制や国際ガイドラインを熟知したメンバーが企業の情報開示を支援します。