本ウェブサイトでは、Cookieを利用しています。本ウェブサイトを継続してご利用いただく際には、当社のCookieの利用方針に同意いただいたものとみなします。
本ウェブサイトでは、Cookieを利用しています。本ウェブサイトを継続してご利用いただく際には、当社のCookieの利用方針に同意いただいたものとみなします。
3ラインディフェンスとは、組織の内部統制とリスク管理を3つのラインに分けて整理するモデルです。各ラインが異なる役割を果たし、全体で効果的なリスク管理を行う考え方です。
一方で、役割が異なることから、組織の縦割りの運用を招くなどの課題がありました
3ラインモデルは、従来の3ラインディフェンスの考え方を発展させたモデルで、3つのラインの連携を重視した内容となっています。
本記事では、3ラインディフェンスと3ラインモデルの内容および違いについて解説します。
目次
3ラインディフェンスとは
新たに発表された3ラインモデル
3ラインディフェンスと3ラインモデルの違い
内部監査の強化には資格取得も有効
3ラインディフェンスから3ラインモデルへの転換が求められている
3ラインディフェンスとは、リスクと内部統制を有効的に管理するための仕組みの1つで、組織の全般的なガバナンス体制の向上を目的とした手法です。「3つのディフェンスライン」と呼ばれることもあります。
第1線(業務執行部門・経営者)、第2線(リスク管理部門・コンプライアンス部門)、第3線(内部監査部門)の3部門がそれぞれの役割を担い、リスク管理や問題点の防止・発見・改善を実施します。
まずは「3ラインディフェンス」の各ラインの詳細を見ていきましょう。
関連記事:アビタス CIA「リスク管理とは?リスク管理のフレームワークや3ラインモデルを解説」
3ラインディフェンスにおける第1線は、業務執行部門と部門の経営者(担当役員等)によるコントロールです。リスクオーナーとして、リスクの特定および統制を行います。
経営者は、組織の目標達成の責任を負うと共に、リスクに対応するためのコントロールの設計・実施の責任も負う立場です。
業務執行部門には、業務プロセスの設計、実行、モニタリング、改善などを通じて、リスクを適切にコントロールすることが求められます。
業務執行部門の担当者は日々の業務に精通しており、リスクの早期発見と迅速な対応が可能です。また、業務の効率性と有効性を高めるための改善提案も期待されています。
業務部門の経営者が適切なリスク管理を行うことで、組織全体のガバナンス体制の向上に貢献できます。
3ラインディフェンスにおける第2線とは、リスク管理部門やコンプライアンス部門などを指します。第1線である業務執行部門からは独立して、リスクの管理態勢や運用状況をモニタリングし、必要な支援や助言を行う立場です。
業務活動やリスク、コントロール、コンプライアンスを監視・監督する役割を担います。
具体的には、内部統制システムの評価と改善、コンプライアンスの確保、経営者への助言と提言などを実施します。
第2線は、組織全体のリスク管理とコンプライアンスの要として、第1線、第3線との連携を図りながら、内部統制強化に寄与する重要な役割を果たしています。
3ラインディフェンスにおける第3線は、内部監査部門を指します。
組織内の利害から独立した立場で、取締役会や経営者に対して、リスクマネジメントとコントロールの有効性に関するアシュアランス(保証)を提供する役割を担います。監査対象は、第1線と第2線の活動を含む、組織のあらゆる領域です。
内部監査部門は、リスクアプローチを採用し、組織の重要なリスクに焦点を当てた監査を実施することで、リスク管理の実効性と効率性を確保します。
内部監査部門は他の部門から独立して設置され、客観的な視点で監査を実施する部門です。多くの場合、監査の専門知識を持つスタッフで構成されます。
監査結果は監査委員会や取締役会に報告され、経営者によるリスク管理やガバナンスの意思決定に貢献します。
3ラインディフェンスはリスク管理と内部統制に必要な3つのラインを示す一方で、組織の縦割り運用を招くなどの課題がありました。
この課題を踏まえ、2020年7月にIIA(内部監査人協会)が新たなモデルとして「3ラインモデル」を提唱しました。
これは、従来の3ラインディフェンスの概念を進化させ、組織のガバナンスとの関係性をより明確に示したものです。
3つのラインは相互に報告・指示・監督を実施する関係性にあります。ガバナンス(統治機関)および3つのラインの概要は次の通りです。
役割 | ライン | 概要 |
---|---|---|
統治機関 | 組織全体の監督、ステークホルダーに対するアカウンタビリティ | |
経営管理者 | 第1のライン | 顧客への製品やサービスを提供 |
第2のライン | リスク管理支援 | |
内部監査 | 第3のライン | 内部監査でアシュアランスと助言を提供 |
3ラインモデルへの移行により、組織はより効果的なリスク管理とガバナンスを実現できると期待されています。
次にそれぞれの役割について解説していきます。
統治機関は、組織のガバナンスおよびリスクマネジメントが効果的に機能するように体制を構築し監督します。
企業目標と活動について、ステークホルダーが優先する利益と整合するよう監督し、ステークホルダーに対するアカウンタビリティ(説明責任)を負います。
また、内部監査機能について独立性の確保も行います。
経営管理者は、業務執行の管理およびリスク管理を担い、第1ラインと第2ラインの両方が含まれます。
第1ラインとは業務部門であり、製造部門や営業部門等を指します。定められた手続きに従い業務を実施するとともに、自らリスクを認識し管理する必要があります。
第2ラインとは、リスク管理部門やコンプライアンス部門等を指します。第1ラインのモニタリングや支援および組織におけるリスク管理体制の構築を行います。
内部監査は、組織のガバナンス、リスク管理、内部統制の有効性を独立的に評価し、改善を提言します。内部監査は、他の部門から独立し客観的な視点で実施しなければなりません。
アシュアランスとアドバイザリーの両方の役割を担い、経営者に監査結果を報告します。また、発見事項についての継続的な改善を奨励、促進する役割を担います。
外部のアシュアランス提供者とは、外部監査人などを指します。組織の外部から、客観的にガバナンスやリスク管理の実効性を評価する立場です。
外部からのアシュアランスを受けることで、法律規制上の期待を満たすとともに、ステークホルダーへの信頼性を確保できます。
従来の3ラインディフェンスはシンプルで分かりやすいという利点がある一方、縦割り運用を招く傾向があるなどの課題を抱えていました。それを解消するのが3ラインモデルです。
大きな違いとしては、以下の3点が挙げられます。
詳しく見ていきましょう。
3ラインディフェンスでは、組織の目的に対する各ラインの防御的な側面に焦点があたっていました。
3ラインモデルでは、各ラインは組織の目的達成や価値創造にも貢献することが示されており、防衛機能以外にも焦点があたる内容とされました。
内部監査には、リスクの発生を防止するだけでなく、先を見越して助言を与える、相談を受けるといった役割も必要です。各ラインには防衛的な役割に加え、組織の目的達成に向けた積極的な貢献が求められています。
そのため、3ラインモデルでは従来の「ディフェンスライン」という表現を「ライン」に変更しています。
3ラインディフェンスでは、第1線と第2線に、別々の役割を設けていたため、縦割り運用を招く傾向にありました。
3ラインモデルでは、経営管理者に第1ラインと第2ラインが含まれており、従来の第1線と第2線の牽制に比べ、第1ラインと第2ラインの機能を連携することが強調されています。
また、縦割り運用の解消により両者のコミュニケーションが改善されるため、認識の誤認がなくなり、リスク管理や内部統制強化が円滑に進められます。
参照:内部監査人協会(IIA)国際本部「3つのディフェンスライン全体でのCOSOの活用」
3ラインディフェンスで使われる「ライン」という言葉は、縦割りの印象をもたらし、第1線から第2線、第3線へと順番に業務が行われることを示唆していました。
一方、3ラインモデルの場合は、3ラインディフェンスの第1線と第2線が経営管理者の管理監督下に集約されています。さらに、「統治機関」「経営管理者」「内部監査」の3つはそれぞれ、双方向のラインでつながっているのが特徴です。
それぞれが双方向のラインでつながることで、情報共有や課題解決のための協力体制が確立され、リスク管理やガバナンスの強化といった全社的な取り組みが可能になります。
第3ラインに設けられている内部監査の強化として、資格取得や資格取得者を確保することも有効です。
特にCIA(公認内部監査人)は、内部監査の専門性を示す国際的な資格として広く認識されています。
CIA資格を取得すると、内部監査の知識を体系立てて身につけることができます。CIA資格を持つ内部監査人を配置すると、内部監査の品質と信頼性が向上し、組織のガバナンス、リスク管理、内部統制の強化につながります。
関連ページ:アビタス CIA「公認内部監査人(CIA)とは?取得するメリット、他資格比較」
3ラインモデルは、内部統制を強化しリスクを有効的に管理するための仕組みの1つです。
従来の3ラインディフェンスと比較すると、縦割り運用の解消や防衛だけにとどまらず、攻めの内部統制やリスクマネジメントを行うためにも有効な手法といえます。
3ラインモデルの考え方はリスク管理を行う上で重要です。改めて3つのラインの役割と責任を明確にし、組織内の体制を構築し運用することが期待されています。
また、3ラインモデルの運用に関連して、内部監査をさらに強化をしていくのであれば、CIA(公認内部監査人)の資格取得を検討してみましょう。資格取得により体系的な学習が得られ、内部統制の強化も期待できます。
アビタスでは2005年にCIAプログラムを開講して以来、圧倒的な合格実績を挙げ続けています。合格率を上げるために、オリジナル教材と講師の質の良さにこだわっています。
講師は対法人向けの内部監査の実務研修も行っており、専門分野の知識だけでなく、ティーチングスキルにも優れているのが魅力です。
また通学・通信を併用できるコースや、スキマ時間で学習できるコンテンツなども揃えており、忙しい社会人でも効率よく学習できる環境が整っています。
CIAをはじめとする内部監査に関する資格取得を目指している方は、ぜひアビタスの利用を検討してみてください。
最近のエントリー