三つの防衛線（3つのディフェンスライン）を活用したレポートラインの整備

はじめに

　3つのディフェンスラインの考え方は、会社内の各部署が担う役割を①現業部門、②管理部門、③内部監査部門の3つに分類し、それぞれの部署にリスク管理における3つの役割（ディフェンスライン）を分担させることによって、内部統制を強化・推進していくという考え方です。最近では、2018年10月に発表された金融庁の「コンプライアンス・リスク管理に関する 検査・監督の考え方と進め方 （コンプライアンス・リスク管理基本方針）」において、3つのディフェンスラインの考え方に沿ったリスク・コンプライアンス管理が紹介されているなど、金融機関を中心として3つのディフェンスラインの考え方に従ったコンプライアンス体制の構築が拡がってきている様子が見て取れます。

　3つのディフェンスラインについて、詳しくは「三つの防衛線（3つのディフェンスライン）によるリスクマネジメント」をご参照ください。

　このような3つのディフェンスラインに沿った体制構築は、金融機関に留まらず、リスク管理・コンプライアンス強化を考えるすべての企業にとって有益ですので、以下では、3つのディフェンスラインの考え方に沿った社内体制構築のために留意すべきポイントを解説します。

各部署の役割を3つのディフェンスラインに当てはめ、指揮系統を整理する

　まず、社内の各部署の役割を3つのディフェンスラインの考え方に沿って分類し、整理してみます。
　第1線は「現業部門」です。売上、利益に責任を負う営業部門や、生産高・製造コスト・納期に責任を負う生産部門などが該当します。その責任者は営業部長や製造部長等の事業部門の責任者ということになります。
　第2線は、「管理部門」です。経理、財務、法務、コンプライアンス、人事、総務、情報システムなどの様々な間接部門が該当します。その責任者は、CFOや法務部長などの各部門長ということになります。
　第3線は、「内部監査部門」です。その責任者を誰が務めるべきについては後述します。

　すべての事業分野において、第1線、第2線の担当者がどの部署になるかを整理し、必要な組織・人員が揃っているかを確認するように心がけてください。
　それぞれのラインごとに整理され、責任者から末端の担当者まで、一貫した指揮系統とレポートラインを持っていることが重要です（図1参照）。

図1　3つのディフェンスラインそれぞれのレポートライン

第2線のレポートラインを分断させない

　数多くの支店や工場を持つ企業においては、現場に配置された第2線の担当者の上司が支店長や工場長（第1線の部門長）となっていて、本社にいる第2線の部門長とのレポートラインが分断されてしまっているパターンが見受けられます（図2参照）。

図2　レポートラインが分断されている例

　図2の例では、現場の経理部員や経理課長が問題事例に気が付いたとしても、上司である支店長や営業部門のその他の管理職に気兼ねしてしまい、必要なレポートを本社の経理部長に上げることができなくなってしまいます。

　現場の経理部員が支店長の指揮下に入ることは、支店での通常業務の円滑化を図るために必要な場合が多いでしょう。しかし、その場合であっても、本社にいる経理部長は、現場の経理部員が自分の部下であるという意識を持っていなければなりませんし、現場経理部員の側でも、日常の業務においては支店長の指揮を受けることがあったとしても、第2線の「砦」としての意識をもって、必要なレポートを本社の経理部長に速やかに上げるという意識を持ち続けなければなりません。

　このため、支店の日常業務との関係では、経理担当者が支店長の指揮下に入っていることは認めつつも、一方では、本社と支店との情報共有・連携を密に保っておき、現場の経理部員→経理課長→経理部長→CFOまで一気通貫で情報がエスカレーションされる体制を整える必要があります（図3参照）。

　また、その体制を有効に機能させるためには、万が一の時には本社の責任者が現場の盾となって、担当者らを守り抜く役割を果たさなければなりません。

図3　2線の責任者までスムーズなレポートラインを確保した例

内部監査部門の独立性とのバランスを図る

　第3線（内部監査部門）は、高度な独立性が必要であるとされています。3つのディフェンスラインは米国発祥の概念であり、米国式のガバナンスモデル（委員会方式）を前提にして成り立っているため、内部監査部門の独立性を貫きやすくなっています。これに対し、指名委員会等設置会社や監査等委員会設置会社ではない国内企業においては、3つのディフェンスラインの考え方と内部監査の独立性を重視した場合に、内部監査部門の管掌者を誰にするべきなのでしょうか。

　国内では、一般に、内部監査部門を社長直下の組織として整理している企業が多いでしょう（図4参照）。これは、ややもすると「日陰者」として扱われがちだった内部監査部門に光をあて、社長の旗の下で強力な権限により業務遂行することにより、内部統制の有効性を高めようというねらいもあるかもしれません。

図4　よく見られる内部監査部門の位置づけ

　それ自体は正しい考え方だと言えますが、内部監査部門は、社長が管轄する業務そのものを監査対象とします。時には、社長の責任問題に発展し得る問題事象を指摘しなければならないこともありますが、社長の指揮下にあれば「忖度」などによりこれが阻害される危険もありえます。このため、内部監査部門が適切な行動を選択できるように、社長の業務執行から独立した立場を確保することが本来の姿です。

　また、内部監査部門を社長直下と扱うことにより、監査役会と内部監査部門との連携が不十分となってしまいがちなことも問題です。

　もっとも、取締役会のほかに監査役会を設置する伝統的な組織形態の企業においては、内部監査部門の独立性を厳格に保つことについての理解は得られにくい部分があり、また、内部監査部門を社長の直下から外しても、なお十分な権限と業務の実効性が保てるかどうか未知数かもしれません。このため、総合的に見れば、内部監査部門に十分な地位と権限を保持させておくためには、社長直下として扱っておく方が好ましい企業が多数であるのが、現実でしょう。

　そこで、本稿では日本式の組織形態と内部監査の独立性の確保という要請のバランスをとることを考えた場合、内部監査部門を以下の①～⑤の条件に合致するように設計することを提案します（図5参照）。

　上記の①～⑤のすべてを実行することができれば、内部監査部門の独立性はかなり高いレベルで確保されると思われますが、そのすべてをいきなり実行することも難しいでしょう。まずは、比較的容易に実現できそうな、①および②から試行し、徐々に段階を上げていくことがふさわしいかもしれません。できることならば、③の段階までを実現できれば、独立性もかなり高まると考えられます。
　また、監査役会の機能が強い会社であれば、内部監査部門を監査役会の直轄の組織として独立性を確保する方法もあり得るでしょう。
　上記のような考え方をベースにしつつ、会社の実情に合わせて組織設計を行うことが内部監査の実効性を高めるために有効と言えます。

図5　上記①～③までを実現させた場合の組織形態の例