グループ企業における三つの防衛線(3つのディフェンスライン)の活用について

危機管理・内部統制

 グループ企業全体の内部統制を向上させるため、三つの防衛線(3つのディフェンスライン)をどのように活用できるでしょうか。

 経済産業省のグループガイドラインは、実効的な内部統制の構築・運用にあたって3つのディフェンスラインの活用を促しています。そのためには、グループ全体を通じて以下のような体制を構築することをキーポイントと考えるべきです。

  1. 2線、3線の独立性を保つ
  2. 親会社は子会社の2線・3線との緊密な連携と業務支援を行う
  3. グループ全体の2線、3線にタテ串を通して一気通貫のレポートラインを整備する
  4. グループ共通の内部通報窓口を整備し、親会社の担当者は事案の調査に関与する

解説

目次

  1. はじめに
  2. 経産省グループガイドラインの指摘
  3. 子会社における不祥事と3つのディフェンスライン
  4. まとめ(必要な対策について)

はじめに

 3つのディフェンスラインは、企業単体の内部統制だけではなく、複数の企業から構成されるグループ企業全体の内部統制にも通用するものです。このため、グループ全体に対する内部統制構築義務(会社法362条4項6号等)を負担する親会社の取締役としては、その義務を全うするため3つのディフェンスラインを積極活用すべきです。

 企業のリスクマネジメントにおける3つのディフェンスラインの重要性については、「三つの防衛線(3つのディフェンスライン)によるリスクマネジメント」をご参照ください。

 3つのディフェンスラインは、2019年6月28日に経済産業省が発表した「グループ・ガバナンス・システムに関する実務指針(グループガイドライン)」(以下「経産省グループガイドライン」といいます)でも紹介されています1。  

経産省グループガイドラインの指摘

 経産省グループガイドラインは、3つのディフェンスラインを「グローバルスタンダードとしても確立された、内部統制システムの構築・運用のための実効的な手段と考えられる」と評し、グループ企業において「『3線ディフェンス』2の導入と適切な運用の在り方が検討されるべきである」として積極的な採用を促しています。

 また、「過去の子会社不祥事事案の要因分析を踏まえると、特に第2 線における第1線に対する牽制機能(第1線のリスクテイクに対するリスク管理機能)の確保と第3線の客観性を担保するための実質的な独立性確保が重要であることが示唆される」とも指摘しており、子会社における不祥事予防の観点からも3つのディフェンスラインの活用を促しています。

 そのほか、経産省グループガイドラインには、3つのディフェンスラインの活用に関する示唆に富む記載が充実していますので、是非、原文をご確認ください。  

子会社における不祥事と3つのディフェンスライン

 経産省グループガイドラインが指摘するように、子会社における不祥事の予防・早期発見に失敗した要因の1つとして、3つのディフェンスラインの機能不全があげられる事例は多いといえます。

 たとえば、2015年に発覚した東芝の会計不正事案では、発生原因の1つとしてCFOの人事権限が社長に集中しており2線の独立性が確保できていなかったこと、1線、2線、3線に求められる機能が相互に混在したことにより、それぞれが必要な役割を全うすることができなかった点などが、東芝が発表した「内部管理体制の改善報告」において指摘されています。

 本稿では、子会社の不祥事と3つのディフェンスラインとの関係に重要な示唆を与える事例として、2017年に発覚した富士ゼロックス海外子会社における会計不正事案を紹介します。紙幅の関係で事案の詳細は割愛しますが、第三者委員会の調査報告書を前提にすれば、3つのディフェンスラインとの関係で主に以下の4つの問題点が抽出できます。

  1. 問題が発生したニュージーランド子会社を統括するシンガポール会社の内部監査部門は不正を発見して経理部に報告していたが、経理部は指摘事項を受け入れずに抵抗し、約束した改善策も実行しないまま放置した(2線の機能不全)
  2. ※なお、その後、内部告発メールが富士ゼロックス(FX)の副社長および米国会社の幹部に送られることにより、本件についての調査が開始されました。

  3. 告発メールを契機としてシンガポール会社の内部監査部門に調査を指示したところ、告発メールのとおりの実態を把握したが、FX副社長らはその報告を受け入れず、逆に隠ぺい行為を指示した(経営陣が不正の隠ぺいを指示)
  4. シンガポール会社の経営陣は、内部監査部門に圧力を加えて無力化した(3線の無効化)
  5. シンガポール会社の内部監査部門からFXや富士フイルムホールディングスの内部監査部門、経営陣らに対するレポートラインが整備されておらず、発見した事象を適格にエスカレーションできなかった(3つのディフェンスラインを活かしたレポートラインの不備)

富士ゼロックス海外子会社における会計不正事案

 本事例は、①~④のいずれの局面においても、3つのディフェンスラインが十分に機能していれば、早期に問題点を把握して是正を図ることが可能だったといえます。特に、親会社3線の責任者や経営陣が早期に問題点を把握していれば、不正の拡大防止に効果が期待できたといえるため、④のレポートラインの整備がキーポイントだったといえるでしょう3

 3つのディフェンスラインを活用したレポートラインの整備については、『三つの防衛線(3つのディフェンスライン)を活用したレポートラインの整備』をご参照ください。  

まとめ(必要な対策について)

 グループ全体に実効的な内部統制を構築・運用し、上記のような残念な事例を防ぐためには、グループ全体に、以下のように3つのディフェンスラインを意識した体制を構築することが求められます。  

  1. グループ全社(取締役・監査役から一般の従業員まで)に3つのディフェンスラインの重要性とそれぞれの役割について注意喚起するとともに、2線、3線の独立性を保ち、地位を強化する
  2. 子会社の2線、3線にはリソースが不足していることが多いため、親会社は子会社の2線、3線と緊密な連携を取り、適切な業務支援を行う
  3. 親会社-子会社において、2線、3線にタテ串をとおして一気通貫のレポートラインを整備する。特に3線から親会社のCEO、取締役会、監査役会(監査委員会)に対するトリプルレポートライン [^4] は重要
  4. 内部通報窓口は、子会社の従業員が親会社の窓口を直接利用できるように整備し、重大な事案の調査には親会社の担当者が関与し、子会社に任せきりとしない

 上記を整理すると下記の図のようになります。参考にしてください。

グループ全体における3つのディフェンスラインを意識した体制


  1. これまで、金融庁「マネー・ローンダリング及びテロ資金供与対策に関するガイドライン」 (平成30年2月)、「コンプライアンス・リスク管理に関する検査・監督の考え方と進め方(コンプライアンス・リスク管理基本方針)」(平成30年10月)などで紹介されたことはありますが、経済産業省の示すガイドラインにおいても積極的に紹介されたことは、3つのディフェンスラインの考え方が広く浸透してきている実情を表していると考えられます。] ↩︎

  2. 経済産業省は「3線ディフェンス」と呼称しており、金融庁は、「三つの防衛線」と呼称しています。本稿では、原則として3つのディフェンスラインと呼称しています。 ↩︎

  3. 本件では、シンガポール会社からFXの3線(経営管理部)へのレポートについても1線、2線にコントロールされており、不十分な内容でした。 ↩︎

この実務Q&Aを見ている人はこちらも見ています

無料会員登録で
リサーチ業務を効率化

1分で登録完了

無料で会員登録する