見出し画像

IIAの3ラインモデルとは

西村武 公認会計士・CIA・CISA

IIA3ラインモデルの概要

IIA3ラインモデルは、組織のガバナンスとリスクマネジメントの枠組みを示したものです。このモデルは、組織の目標達成を支援し、ガバナンスとリスクマネジメントを強化するための構造とプロセスを特定するのに役立ちます。

モデルは以下の3つの主要な役割で構成されています:

  1. 第1ライン(経営管理者):顧客に対する製品やサービスの提供と、リスクの管理を担当します。第1ラインは日々の業務運営におけるリスクの特定、評価、コントロール、軽減を行う責任を負います。

  2. 第2ライン(経営管理者):リスクに関連する事項について、専門知識、支援、モニタリングの提供と異議申し立てを担います。リスクマネジメントの方針・手続の策定、リスクアセスメントの支援、第1ラインに対する助言・ガイダンス・モニタリング、リスクマネジメントの有効性の評価と改善提案などが主な役割です。第1ラインと第2ラインはふたつとも経営管理者のもとで活動しますが、第2ラインは第1ラインに対して限定的な独立性を有します。

  3. 第3ライン(内部監査):目標の達成に関連するすべての事項について、独立した客観的なアシュアランスと助言を提供する役割を担います。組織のガバナンス、リスクマネジメント、内部統制の有効性について、客観的な評価を行い、改善につながる提言を行います。組織の最高経営層と監査機関(監査役会、監査委員会等)に直接報告を行う独立した立場にあり、第1ライン、第2ラインとは独立した視点からアシュアランスを提供することで、組織の価値向上に寄与します。

これらの役割は相互に連携しながら、組織のガバナンスとリスクマネジメントの有効性を高めることを目的としています。各ラインが担う役割と責任を明確にし、それぞれの強みを活かしつつ、情報共有と協働を進めることが重要となります。


3ラインモデルのイメージ

6つの原則

3ラインモデルは以下の6つの原則に基づいています:

1. ガバナンス

組織体のガバナンスには、以下を可能にする適切な構造とプロセスが必要である。
・ インテグリティ、リーダーシップ、および透明性によって組織体を監督することに関する、ステークホルダーに対する統治機関によるアカウンタビリティ。
・ リスク・ベースの意思決定と資源の適用によって組織体の目標を達成するための、経営管理者による(リスクの管理を含む)活動。
・ 明確さと信頼をもたらし、また、綿密な調査と洞察に満ちたコミュニケーションによって継続的な改善を奨励して促進するための、独立した内部監査機能によるアシュアランスと助言。

2. 統治機関の役割

統治機関は、以下を確実にする。
・ 有効なガバナンスのための、適切な構造とプロセスを整備すること。
・ 組織体の目標と活動が、ステークホルダーが優先する利益と整合すること。
統治機関は、
・ 経営管理者に責任を委ね資源を提供して、法規制上および倫理的な期待を確実に満たしながら、組織体の目標を達成する。
・ 独立した客観的で有能な内部監査機能を確立し監督して、目標の達成に向けた進捗状況について、明確にし確信を提供する。

3. 経営管理者(第1・第2ライン)の役割

組織体の目標を達成するための経営管理者の責任は、第1ラインと第2ラインの両方の役割で構成される。第1ラインの役割は、組織体の顧客への製品やサービスの提供と最も直接的に繋がっており、これには支援機能も含まれる。第2ラインの役割は、リスクの管理を支援することである。

第1ラインと第2ラインの役割は、組み合わせたり分けたりする場合がある。第2ラインの役割の中には専門家に割り当てられるものがあり、第1ラインの担者に対して、補完的な専門知識、支援、モニタリングを提供し、また、異議を唱える。第2ラインの役割は、法規制や許容可能な倫理的行為の遵守、インターナル・コントロール、ITセキュリティ、持続可能性、および品質保証のような、リスク・マネジメントの特定の目標に焦点を当てる場合がある。あるいはまた、第2ラインの役割が、全社的リスク・マネジメント(ERM)のように、リスク・マネジメントに対するより広範な責任に及ぶ場合もある。ただし、リスクを管理する責任は、第1ラインの役割の一部であり、経営管理者の範囲内に存続する。

4. 第3ライン(内部監査)の役割

内部監査は、ガバナンスとリスク・マネジメントの妥当性と有効性に関する独立にして客観的 なアシュアランスと助言を提供する。内部監査は、体系的で規律あるプロセス、専門知識、およ び洞察を十分に適用することで、これを実現する。内部監査は、発見事項を経営管理者と統治機 関に報告して、継続的な改善を奨励し促進する。その際に内部監査は、組織体内外の内部監査以 外の提供者3 によるアシュアランスを検討する場合がある。

5. 第3ラインの独立性

内部監査が経営管理者の責任から独立していることは、内部監査の客観性、権限、および信頼 性のために不可欠である。内部監査の独立性は、統治機関に対するアカウンタビリティ、内部監 査業務の遂行上必要な人員、資源およびデータへの自由なアクセス、ならびに監査業務を計画し 実施する上で偏見や干渉がないことによって確立される。

6. 価値の創造と保全

すべての役割が互いに協調するとともに、ステークホルダーが優先する利益と整合している場合、すべての役割が全体として共に働くことは、価値の創造と保全に貢献する。業務の調整は、 コミュニケーション、協力、および協働によって達成される。これにより、リスク・ベースの意 思決定に必要な情報の信頼性、一貫性、および透明性が確かなものになる。

以上の6原則は、3ラインモデルを支える基本的な考え方を示すものです。組織がこれらの原則に則って3ラインモデルを運用することで、単なるリスク防御の枠組みを超えて、組織目標の達成と価値創造に資するガバナンスとリスクマネジメントのあり方を追求することができます。

原則1と2は、全社的なガバナンスの枠組み構築に関する原則、原則3と4は、マネジメントと内部監査の役割分担に関する原則、原則5は内部監査の独立性確保に関する原則、原則6は3ラインの連携を通じた組織価値向上に関する原則と捉えることができます。

組織は6つの原則を踏まえ、自らの組織特性や環境変化を踏まえて3ラインモデルを不断に見直し、進化させていくことが求められます。ステークホルダーからの期待に応え、社会からの信頼に応えるためにも、形式的な対応ではなく、組織の隅々にまで3ラインモデルの精神を浸透させ、ガバナンスとリスクマネジメントのレベルを高める不断の努力が欠かせません。

主要な変更点と注意事項

従来の「3つのディフェンスライン」から「3ラインモデル」への名称変更は、単なる表現の修正ではなく、従来の枠組みからの重要な発展を象徴するものだと言えます。

第一に、「ディフェンス(防御)」から「ライン(線)」への変更は、リスクマネジメントの役割を単なる守りとしてではなく、組織の目標達成と価値創造にも積極的に寄与するものと位置づけるシフトを意味しています。リスクを予防・軽減するだけでなく、リスクをチャンスととらえ、新たな価値を生み出す原動力ともなり得ることを、モデルの名称に込めたと言えます。なお、「ライン」の言葉から、第1ライン→第2ライン→第3ラインという業務順序や優先序列と捉えがちですが、この「ライン」は業務の区分に過ぎず、相互に関連して並行して実施されます。

第二に、第1ラインと第2ラインの区別をより明確化したことで、それぞれの役割と責任の違いが浮き彫りになりました。第1ラインが顧客への価値提供と直結する役割を担うのに対し、第2ラインはリスクマネジメントの専門的な支援を行うことで、第1ラインの活動を下支えする関係にあることが分かります。両者は相互補完的な関係にあり、密接な連携を通じて、より効果的なリスクマネジメントを実現することが期待されます。よくある誤解は、第1ライン=フロント部門、第2ライン=バックオフィス部門と捉えることです。IIAの3ラインモデルでは、第1ラインの役割には「フロント」と「バックオフィス」の両方の業務が含まれると捉えており、第2ラインの役割は、リスク関連の問題に焦点を当てた補完的な業務で構成されるものとしています。

第三に、内部監査の独立性をこれまで以上に重視している点が特筆されます。内部監査が、経営陣から独立した立場で、客観的な評価と提言を行うことの重要性が、改めて明記されました。ガバナンス機関への直接のレポートラインを確保し、監査の独立性・客観性を阻害する事態が生じた場合には速やかに報告するなど、独立性を担保する仕組みを一層強化することが求められています。

第四に、3つのライン間の関係性について、より踏み込んだ記述がなされています。各ラインが組織横断的なコミュニケーションと協働を進めることの重要性が説かれています。3ラインモデルが、単なる役割分担の枠組みを超えて、組織の一体的なリスクガバナンスを実現するための基盤として機能することを期待させる内容となっています。

最後に、3ラインモデルがあくまで原則を示すものであり、各組織が自らの状況に応じて柔軟に適用すべきというスタンスを明確にしている点も重要です。モデルを金科玉条のごとく捉えるのではなく、組織の成熟度や環境変化を踏まえて、継続的に見直し・改善していくことが大切だと示唆しています。このような原則アプローチはどのような組織にも柔軟に活用できる一方で、業務実施者は原則を踏まえた判断が要請されるため、内部監査人の職業人としての質が重要になるのではないでしょうか。

以上のように、2020年版の3ラインモデルは、リスクマネジメントとガバナンスを巡る組織の役割と責任について、従来のモデルの限界を克服し、より現代的な要請に適合したかたちで提示したものだと評価できます。

このモデルを実効的なものとするためには、トップのコミットメントを起点に、全階層での地道な浸透活動が不可欠です。とくにトップが適切な態度で誠実性と倫理観に対するコミットメントを示すことは「トップの気風(Tone at the Top)」と呼ばれ、内部統制においては非常に重要視されます。「魚は頭から腐る」の金言の通り、いかに適切な体制整備が行われようがトップのコミットメントが不適切であれば有効に機能しません。トップのコミットメントを起点に第1線、第2線、第3線のすべての担い手が、3ラインモデルの本質的な意義を腹落ちし、その精神に則って日々の活動に当たることが重要だと言えます。

この記事が気に入ったらサポートをしてみませんか?