Skip to content Skip to footer
Search

Loading Results

3つのディフェンスライン

1.「3つのディフェンスライン」とは

「3つのディフェンスライン」に基づき組織体制を整備する例は多い。しかし、特に第1線,第2線とは結局のところどのようなものか、また第1線、第2線の境界をどのように捉えるべきかについては議論が多い。本コラムでは3つのディフェンスラインについて整理を試みたい。

3つのディフェンスラインの一般的な定義は以下のとおりである。各ディフェンスラインに関する解説は一見して明瞭であり、解釈の余地はないようにも見える。

(1)第3線の位置付け

内部監査部門が担う第3線は、取締役会や監査委員会に対して業務執行に係る合理的保証を与える役割を有しており、第1線、第2線との峻別は比較的容易である。第2線と第3線との連携(特にデータおよびITテクノロジーの活用・共有化)および役割分担の在り方については議論があるものの、両者の境界や果たすべき役割の相違が議論となることはあまりない。

なお第3線の役割に関する近年の傾向として、営業部店に対する検査(典型的には法令遵守や社内規則についての準拠性の監査)を第1線や第2線に移管する取り組みが見られる。これに伴い、第3線はより高度な観点から会社・組織全体の課題や戦略目標達成に係る重要なテーマについてフォワードルッキングな監査を志向する傾向が見られる。

(2)第1線、第2線の位置付けと論点

一方、業務執行を担う機関としてリスク管理・コンプライアンスに関与する第1線、第2線については、両者の役割および位置付けに関してやや考察を要する。

例えば市場・国際部門においては、リスク管理・コンプライアンスに関連する機能部署・人員をビジネス推進部署に近いところに配置する例が散見される。いわゆる「1.5線」とも呼ばれる機能部署である。これらは、第1線からも指示を受けリスク管理・コンプライアンスに関する報告を行っているが、この位置付けはどう解釈すべきか。

さらに、事務部門(人事・オペレーション部門など)のように収益目標を直接負っていない部門はどのように位置付けられるかといった論点も考えられる。

前掲図の役割・責任を参照すると、第1線はリスクオーナーでありリスクテイクに対する結果責任(説明責任)を負うとある。つまり、第1線がリスクテイク機能を有していることは自明であり、それと表裏一体であるリスクコントロール機能も有している。さらに、リスクテイク自体を目的とする組織・機能は想定しがたく、リスクテイクの目的である収益目標もしくはコスト削減目標を負っていると解釈するのが自然である。

一方、第2線は独立した立場でリスクに対する監視・助言を行い、またリスク管理フレームワークの設計およびその維持、改善を実施するとされている。第1線の機能と比較すると、第2線の主目的はあくまでリスク管理を行うことであり、リスクテイク機能およびリステクテイクに対する結果責任を有するものではない。

加えて実効性の観点からは、第2線が「独立した立場」にあるということは重要なポイントである。具体的には「独立した立場」はレポーティングラインにより担保される。例えば、最高リスク管理責任者やリスク委員会を主たるレポート先とすることにより、リスクテイク機能・責任を負う第1線からの影響を排除する必要があると考えられる。

【参考】第1線、第2線を定義づけるポイント

  • 第1線
    ⁃ リスクテイク機能とリスクコントロール機能を有する
    ⁃ リスクテイクについての結果責任(説明責任)を有する
    ⁃ 収益の獲得もしくはコスト削減を責務としている
  • 第2線
    ⁃ リスクテイクは行わない
    ⁃ 第1線からの影響が排除されている(最終的な人事評価、任免権を含め、第1線の監督下にない)

(3)「1.5線」と事務部門の位置付け

以上に基づき「1.5線」を整理すると、リスク管理機能を担いながらも、第1線の部門長の監督下に設置されている場合は、独立性の観点から第2線の要件を満たしていない可能性がある。「1.5線」の機能や位置付けは各社ごとに異なるため一概には言えないが、つまるところ第1線内での自律的統制としての機能を有するもの、と解釈することが適当ではないだろうか。ただし、外形的に第1線に近いところに配置しているのみで、完全に第2線の指揮命令下でリスク管理活動を行っている場合は、第2線として整理されるべきと考えられる。

また、人事・オペレーション部門のような事務部門は、能動的にリスクテイクを行っているという意識がなくとも、コスト削減を行う結果としてリスクテイクしている場合、第1線に整理されると考えられる。一方、人事部門が人的リスクの管理部署としてリスク管理フレームワークを設計・管理し、リスク顕在化の結果責任を負わないのであれば、人的リスクに関する第2線として整理可能である。また先述の「1.5線」と同様、レポーティングラインについての考察も必要となる。

2.総括

上記を前提とすると、第1線、第2線の整理は部署単位で検討するべきではない。テイクしているリスクの種類に応じて、有する機能、結果責任の所在、そしてレポーティングライン(人事評価や任免を含む)の観点で整理すると分かりやすいだろう。加えて、同一部署内にリスクごとの第1線機能と第2線機能が混在する状況は、可能な限り避けた方が全社的な透明性も高まる。また、部署内での活動方針に関する不整合が生じる可能性をも排除できると考える。

IIA(内部監査人協会)のポジションペーパーを改めて読み返すと、「3つのディフェンスライン」による整理とは、そもそも屋上屋を重ねるという観点(例えば、3つよりも5つの防御線を設定した方が安泰といったような)よりも、同一部署・人員が同時に担ってはいけない機能(相互牽制)を適切に分離・配分し、リスクおよび各機能の責任の所在を明確にすることにあると考える。

「3つのディフェンスライン」による整理は、そのための基本的な考え方を提示したものであり、社内外の人が理解するうえで複雑な説明を要するディフェンスラインの構築は避けるべきであろう。

辻田 弘志

パートナー, PwCあらた有限責任監査法人

Email