1.はじめに
内部監査人協会は、2015年7月に「3つのディフェンスライン全体でのCOSOの活用」を公表しました
COSOの「内部統制の統合的フレームワーク」(以下、フレームワーク)は、組織が内部統制の運用を通じてリスクを有効に管理するために必要な構成要素、原則、要素を概説しています。
しかし、フレームワークは、概説している具体的な職務の責任をだれが負うかについてはほとんど述べていません。
「3つのディフェンスラインモデル」(以下、モデル)は、組織の規模や複雑性を問わず、リスクとコントロールに関する具体的な職務を組織内で割当て連携する方法を検討しています。
①取締役と経営者は、職務の役割と責任の決定的な違いを理解すべきである
②組織目的の達成可能性を高めるために役割と責任を最適に割り当てる方法を理解すべきである
2.3つのディフェンスラインモデル
(1)基本的前提
リスクとコントロールの有効な管理のためには上級経営者と取締役会の監督と指揮のもとで3つの別々のグループが必要だという考え方です。
①事業部門の責任者
②経営者が整備するリスク、コントロール、コンプライアンス機能
③内部監査
(2)3つのディフェンスラインの概要
①第1のディフェンスライン
事業部門は、組織の目的を促進または抑制しうるリスクを生み出したり管理したりします。
第1のディフェンスラインはリスクを所有し、それらのリスクに対応するために管理するための組織を設計し遂行します。
②第2のディフェンスライン
コントロールが有効に管理されていることを確実にするために、経営者を支援するために整備されます。
第2のディフェンスラインの機能は第1のディフェンスラインから分離されていますが、上級経営者の監督・指揮下にあります。
基本的には、リスク管理の多くの側面を担う経営や監督の機能です。
③第3のディフェンスライン
上級経営者と取締役会に対して、第1と第2のディフェンスラインが行った業務に関するアシュアランスを提供するものです。
自らの客観性と組織上の独立性を守るために、経営機能を担うことは許されていません。
3.3つのディフェンスラインモデルにおける上級経営者と取締役会の役割
上級経営者と取締役会は、3つのディフェンスラインの一部ではありませんが、両者は、組織目的の設定、それらの目的達成のためのハイレベルな戦略の決定、リスクを最善に管理するためのガバナンス体制の構築に共同で責任を負っています。
「図3」で示されているように、上級経営者と取締役会は組織のトップの気風を確立する5つの原則によって支えられる組織の統制環境に一義的な責任を負っています。
(1)第1のディフェンスライン
リスクとコントロールを日常的に所有し管理する現業部門と間接部門の管理者が主として担当します。
(2)第2のディフェンスライン
第2のディフェンスラインは経営機能であり、通常、コントロールとリスクの継続的モニタリングの責任を負っています。
代表的な、第2のディフェンスラインの機能として、
情報セキュリティ、財務管理、品質、衛生・安全、検査、コンプライアンス、法務、環境などが挙げられます。
(3)第3のディフェンスライン
第3のディフェンスラインは内部監査です。
内部監査の役割は、特に、ガバナンス、リスクマネジメント、内部統制の有効性と効率性のアシュアランスを提供することにあります。
内部監査の他の2つのディフェンスラインとの違いは、高度の組織上の独立性と客観性になります。
4.3つのディフェンスラインの構築と連携
3つのディフェンスラインモデルは、意図的に柔軟に設計されています。各組織は、自らの業界、規模、業務体制、リスクマネジメントの対するアプローチに合った方法でこのモデルを整備することが求められています。
3つのディフェンスラインは、リスクを有効に管理して組織の目的達成を支援するという目的を持っています。
3つのディフェンスラインの目的は共通でも各ディフェンスラインは固有の役割と責任を負っています。
しかし、3つのディフェンスラインは縦割りで業務を行うべきではなく、リスク、コントロール、ガバナンスについて情報を共有し業務の連携を行うべきです。
情報の旧友と業務の連携は業務の全般的有効性に役立つものであり、各ディフェンスラインの主要機能を損なうものではありません。
(注)図は、「3つのディフェンスライン全体でのCOSOの活用」からの引用です。