3つのディフェンスラインと内部監査人協会（IIA）の「3ラインモデル」

IIAによる従来の「3つのディフェンスライン」

　「3つのディフェンスライン」とは、リスクと内部統制手段の有効な管理のためには3つの別々のグループ（ディフェンスライン）による役割の分担が必要だとする考え方です。IIAは、図1の模式図を使ってこれを説明していました。

図1　従来の「3ラインディフェンス」の模式図

　その他、3つのディフェンスラインについての解説は、「三つの防衛線（3つのディフェンスライン）によるリスクマネジメント」の記事をご覧ください。

「3つのディフェンスライン」と比較した「3ラインモデル」の特徴

　3ラインモデルでは、図2の模式図が用いられています。

図2　IIAの3ラインモデル

　3ラインモデルは、3つのディフェンスラインと比較して、主に、以下のような特徴を持っているといえます。

「ディフェンスライン」から「ライン」へ

　まず、「ディフェンスライン」の用語を使用せず、「ライン」の用語を用いている点が注目されます。
　IIAは、3つのディフェンスラインのモデルを改訂する背景として、図1を含む従来のモデルには、シンプルで伝えやすく、わかりやすい等の利点がある反面、組織体の目的に対して防御的な側面にのみ焦点があたっているため、組織に硬直した構造を示唆して縦割りの運用を招く傾向があるなどの課題があったと説明しています。そこで、このような課題を解決しつつ、組織体の部門の役割を3つに分けて整理する3つのディフェンスラインの利点を残すため、「ディフェンスライン」を改め、単に「ライン」と表現することにしたと考えられます。

組織体のガバナンスについての見解

　3ラインモデルは、その原則1において、組織体のガバナンスには、①統治機関からステークホルダーへのアカウンタビリティ、②組織目標達成のための経営管理者による活動、③独立した内部監査によるアシュアランスと助言、の3つを実現する構造とプロセスが必要としたうえ、統治機関・経営管理者・内部監査の三者に分けてその役割と相互の関係性を説明しています。
　また、3つのディフェンスライン（図1）では、上向きの矢印についての解説、すなわち経営者に対するレポートラインの在り方についての解説はされていましたが、下向きの矢印（委任、指示、資源、監督）は存在しませんでした。3ラインモデル（図2）では、両方の向きの矢印を用いながら、三者相互の指示監督関係、アカウンタビリティなどを説明しています。

1線と2線の境界が曖昧になっている

　3ラインモデルは、経営管理者には、1線・2線の役割の両方について責任があり、かつ、統治機関への報告義務を負担すると説明します。
　また、第1ラインの役割には、「フロント」と「バックオフィス」の両方の業務が含まれており、従来は2線に分類されることが多かった人事・総務・設備などの「支援機能（support functions）」も1線に含まれるとする一方、第2ラインの役割は「リスク管理の支援（assistance with managing risk）」であると説明しています（3ラインモデル原文3頁）。
　この結果、3ラインモデルでは1線と2線の境界が曖昧にされており、かつ、同一の部署や人員においてその両方を担当する場合もあることが明確にされています。

3ラインモデルを踏まえた、これからの3つのディフェンスライン

3ラインモデルにおける2線の検証機能への期待は従来どおり

　3ラインモデルでは、1線と2線は経営管理者のもとで一体的に運用され、1線の責任において自律的なリスク管理が実行されるべきとの考えが強調されています。このことからすると、これまで重視されていた、1線に対する2線の検証機能（牽制機能）への期待が後退しているようにも見えるかもしれません。
　しかし、3ラインモデルが意図しているのは、1線と2線が組織の目標達成のために協働すべき価値観を共有することにより、両者の縦割りや分断を招く危険を回避することです。これは、一般的な企業人の理解に近い自然な意識だと評価できます。

　また、3ラインモデルが示す2線の役割には、1線のリスク管理への支援だけでなく、そのモニタリングや、必要に応じて1線の業務執行に「異議を唱える」役割、1線のリスク・マネジメントの妥当性と有効性に関する分析とレポートを提供する役割も含まれていることからすれば、2線による1線への検証機能に対する期待は従来どおりだといえます（3ラインモデル原文6頁）。
　そう考えると、2線がリスク管理において果たすべき役割という意味においては、3つのディフェンスラインにおける2線も、3ラインモデルにおける2線も、変わりはありません。

筆者の見解

　筆者は、有効なリスク管理体制を整えるためには、2線が1線からの不当な影響を受けることなく、独立した立場において、問題点の指摘や改善提案、リスク情報の収集と報告などを実施できる環境が重要だと考えています。この意味で、リスク管理の場面においては、2線の1線からの独立性を確保することが重要です。
　3ラインモデルが提示する図2を見ると、1線と2線とが一体的に捉えられているため、有効なリスク管理のための1線と2線の関係性について2線の独立性が軽視されているかのようなミスリードを招く危険があるかもしれません。

　また、有効なリスク管理との関係で重要となるのは、1線から独立した、2線の末端からトップまで一気通貫にリスク情報がエスカレーションされる2線独自のレポートラインを構築することです。この点、詳しくは、「三つの防衛線（3つのディフェンスライン）を活用したレポートラインの整備」の記事をご覧ください。

　3ラインモデルにおいては、2線が経営管理者から完全に独立することはないとされているものの、「第2ラインから統治機関への第一義的なアカウンタビリティと報告経路を確立することで、第2ラインの役割に対する指示と監督は、第1ラインから、さらには経営陣からも、ある程度の独立性を確保できるように設計することが可能である」（3ラインモデル原文6頁）と説明されていますので、上記のような独立したレポートラインの整備に支障はありません。この意味で、十分なリスク管理体制を整備するためには、従来までの「3ランディフェンス」のモデルも引き続き参考にすべきといえるでしょう。以下には、筆者が考えるリスク管理のための「3ラインディフェンス」モデルを示します。

図3　筆者が考える3ラインディフェンスモデル（監査役会設置会社の場合）

まとめ

　企業における管理部門の主たる役割は、事業部門の業務遂行を強力にサポートして共にビジネスの推進を目指すことにあります。この前提を忘れて、リスク管理にばかり目を向けて活動する管理部門は、企業の目標達成を阻害する存在になってしまうでしょう。

　しかし、ビジネスには常にリスクが内在しています。そのリスクを適切に管理することはビジネス推進そのものだという点にも注目が必要です。たとえば法務部門は、平時は新しい領域におけるビジネススキームを事業部門と共に考案するなどしてビジネス推進に貢献しますが、事業部門の業務執行に法的リスクが存在しないかを厳しく検証する役割も担っています。2線担当者には、その両方の役割を十分に発揮できるだけの環境を整えてあげなければならないでしょう。