三つの防衛線(3つのディフェンスライン)によるリスクマネジメント
危機管理・内部統制 更新組織のリスクマネジメントにあたって考慮すべきとされている、「3つのディフェンスライン」(three lines of defense)とは、どのような意義をもっているのでしょうか。
「3つのディフェンスライン(three lines of defense)」とは、 COSO(Committee of Sponsoring Organizations of the Treadway Commission:トレッドウェイ委員会支援組織委員会)「内部統制の統合的フレームワーク」において示されている考え方であり、組織の部門を①現業部門、②管理部門、③内部監査部門に分類し、それぞれに対して、リスク管理における3つの役割(ディフェンスライン)を担わせることによって内部統制を実行していくというものです。
解説
2020年7月、3つのディフェンスライン(三つの防衛線)に関して、内部監査人協会(Institute of Internal Auditor;IIA)が「IIAの3ラインモデル」を発表し、従来の見解を改訂しました。詳細は「[3つのディフェンスラインと内部監査人協会(IIA)の「3ラインモデル](https://www.businesslawyers.jp/practices/1284){ target=_blank }」」をご覧ください。
「3つのディフェンスライン」の役割
近年、金融機関や上場企業等を中心として、COSO「内部統制の統合的フレームワーク」が示す「3つのディフェンスライン(three lines of defense)」(本稿では「3線ディフェンス」といいます)の概念を意識したガバナンス・リスクマネジメント体制の整備が進められています。
COSO「内部統制の統合的フレームワーク」の3線ディフェンスは、組織内の内部統制運用にあたって必要となる役割と責任を示し、これをどのように分担すべきかの考え方を提示するものですが、内部統制に留まらず、広く組織のリスクマネジメント全般に有効な枠組みと考えられています。
具体的に、それぞれの役割は以下のとおりとされています。
- 第1のディフェンスライン(1線)
第1のディフェンスラインは、現業部門の経営者および当該部門の構成員です。
現業部門は、事業執行の担当者として、ビジネス推進に伴って発生するリスクの発生源となり、管理者ともなります。そのため、自らがリスクの所有者(リスクオーナー)であることを明確に意識しながら、これをコントロールする(重大なリスクを識別・評価する、低減させる、内部統制のプロセスを維持するなど)ことに対する直接的な責任があります。 - 第2のディフェンスライン(2線)
第2のディフェンスラインは、リスクマネジメント、財務、法務およびコンプライアンス等を含む間接管理部門です。
2線は、1線が導入したコントロールの手段やリスクマネジメントのプロセスが適切に設計されているか、また、確実な運用がなされているかを1線とともに並行的にモニタリングして、必要な支援・助言・監督を行う責任があります。 - 第3のディフェンスライン(3線)
第3のディフェンスラインは、内部監査部門です。
内部監査部門は、1線および2線の行った業務を評価し、その適切性を保証するほか、必要な助言を提供します。3線は1線、2線とは切り離されていることが必要であり、自ら業務執行を行うことはできません。自らの業務執行について自ら監査をするようになってしまうと、その監査業務に対する信頼性を損ねることになるからです。内部監査部門は、その組織上、高度な独立性を有し、職務の客観性を保持しなければならないとされています。
なお、取締役・執行役員などの上級経営者や取締役会は、いずれのラインの一部でもないと考えられていますが、事業執行者または内部統制のオーナーとしての立場から、1線、2線の活動に最終的な責任を負っていますので、積極的な関与をもって、両者の活動を指揮・監督することが求められることになります。
以上をまとめると以下の図のようになります。
実務に取り入れられている3線ディフェンスの考え方
このような3線ディフェンスの考え方は、経営管理のあり方として、すでに実務に取り入れられています。
たとえば、金融庁が2018年2月6日に策定した「マネー・ローンダリング及びテロ資金供与対策に関するガイドライン」では、有効なマネロン・テロ資金供与リスクの管理体制を構築するために、組織内の各部門の役割・責任を3線ディフェンスの概念のもとで整理することが提唱されています(なお、金融庁は、3線ディフェンスを「三つの防衛線」と呼んでいます)。
また、金融庁は、2018年10月に、金融機関への検査・監督基本方針に関するディスカッションペーパーとして「コンプライアンス・リスク管理に関する 検査・監督の考え方と進め方 (コンプライアンス・リスク管理基本方針)」を発表していますが、同ディスカッションペーパーでも、3線ディフェンスの考え方を前提とした議論がされています。
具体的に、「リスク管理の枠組みに関する着眼点」として、以下のような指摘がされています。
- 事業部門による自律的管理
事業部門は、自らが、収益を生み出す事業活動に起因するリスクの発生源であり、リスク管理に第一義的な責任を負担していることを認識し、コンプライアンス・リスク管理の責任を負うのはまさに自分自身であるという主体的・自律的な意識のもとで業務を実施していくことが重要である。 - 管理部門による牽制
管理部門は、事業部門の自律的なリスク管理に対して、独立した立場から牽制すると同時に、それを支援する役割を担う。 - 内部監査部門による検証
内部監査部門は、事業部門や管理部門から独立した立場で、コンプライアンス・リスクに関する管理態勢について検証し、経営陣に対し不備を指摘して是正を求め、あるいは管理態勢の改善等について経営陣に助言・提言をすることが期待されている。
ただし、同ディスカッションペーパーでは、「『三つの防衛線』の考え方は、リスク管理を行う上での一つの手段であって、明確に区分して態勢整備を行うこと自体が目的ではない。そのため、各防衛線の役割を定型的・形式的に考える必要はなく、各金融機関が組織の実情を十分に踏まえ、総合的にみて適切にリスク管理を行うことのできる態勢を自ら考えることが重要である。」との指摘もされていることに留意が必要です。
組織の実情に合わせて最適な体制を構築する
3線ディフェンスの概念は、リスクマネジメントに必要になる役割と責任を指摘し、それを組織内の各部門にどのように分担させれば、最適な効果を発揮することができるかという考え方の指針を示すものです。
コンプライアンス・リスク管理体制の強化を考えている企業においては、まずは、上記のような3線ディフェンスの概念を参考とした機能分化と牽制の仕組みの構築を目指したいところです。
もっとも、組織のあり方は多様なものであり、適切な役割と責任の分担もまた、組織の実情によって多様なものであるべきです。各組織・企業おいては、3線ディフェンスの概念を形式的に捉えて硬直的な組織構築をするのではなく、3線それぞれの役割・責任分担の意味を正しく理解したうえで、自らの規模・人材・風土など組織の実情に合わせた最適な体制を構築できるよう取り組むことが必要になります。
プロアクト法律事務所
- コーポレート・M&A
- 人事労務
- 知的財産権・エンタメ
- 危機管理・内部統制
- 訴訟・争訟