3つのディフェンスライン
今回は、3つのディフェンスラインのお話をしましょう。ディフェンスというと、サッカーやラグビーを想像させますが、スポーツの話ではありません。英語ではThe Three Lines of Defenseです。全部日本語にして「3つの防衛線」と呼ばれることもあります。防衛線というとキナ臭い感じもします。
1.3つのディフェンスラインの背景
これが言われだした経緯からお話しましょう。内部統制のグローバルスタンダードとなっているCOSOが、2013年に改訂され、そこで17の原則が提示されました。その中の原則3において、この3つのディフェンスラインが紹介 されました。
COSOの原則3は、次のとおりです。
原則3: 経営者は、取締役会の監督の下、内部統制の目的を達成するに当たり、組織構造、報告経路および適切な権限と責任を確立する。
この「組織構造と報告経路」の解説として、3つのディフェンスラインが次のように紹介されました。
「責任は、取締役会の監督の下、事業体の目的が達成できないことに対する3つのディフェンスラインにあると一般に考えることができる。」
「責任は」が主語になっているこの翻訳の意味がわかりにくいですが、「取締役会の監督の下で、事業体の目的が達成できないことに関する責任は、3つのディフェンスラインにあると一般に考えることができる。」という 意味です。組織構造と報告経路の説明に出てくるのですから、この3つの組織を作り、 それぞれの機能が発揮できたら、「事業体の目的が達成できないこと」に 対応できますよ。
「事業体の目的が達成できないこと」というのは、「事業体の目的の達成を阻害するリスク」と解釈できます。結果として、COSOは、「事業体の目的が達成されないというリスクに対応するための組織構造と報告経路としては、3つのディフェンスラインが一般的である」と言っているということが分かります。
COSOは原則主義ですので、上記の原則3に合致していれば、3つのディフェンスラインの設置が必ずしも必要ということではありません。3つのディフェンスラインは、ベストプラクティスとして紹介されている、という位置付けと考えられます。
なお、改訂版のCOSOは、2013年5月に公表されていますが、それに先立っ て2013年1月に内部監査協会からポジションペーパー(意見書)として 「有効なリスクマネジメントとコントロールにおける3つのディフェンス ライン」が公表されています。そこでは、3つのディフェンスラインが ベストプラクティスとして最近採用され始めていることが示されています。
2.3つのディフェンスラインとは
3つのディフェンスラインは、会社のリスクマネジメントにおける役割の異なる3つの部門のことです。3つの防衛線(ディフェンスライン)で企業リスクに対処しなさい、ということになります。すなわち、1つ目の防衛線が破られても、次で防ぐことができ、もし2つ目の防衛線が破られた場合には、3つ目で防ぐという三重の防衛体制です。
第一の防衛線は、現業部門の管理者による内部統制です。現業部門は、言うまでもなく製造部門、購買部門、営業部門、倉庫部門などです。これらの部門においては経営方針や経営計画に従って事業活動を行います。これらの部門では、事業目的が達成されないリスクを抱えています。リスクを抱える部門ですので、リスクオーナーと呼ばれます。
第二の防衛線は、間接部門による内部統制とされています。ここでの間接部門とは、リスク管理部門、コンプライアンス部門、環境管理部門などを指します。これらの部門は現業部門での内部統制の整備運用状況をモニタリングする役割を担っている部門です。
第三の防衛線は、 内部監査人による内部監査です。内部監査の特徴は、その監査対象となる部門から独立している点です。多くの会社の内部監査部門は、社長直轄になっていますが、これは監査対象の部門からの独立性を保つためです。(作成日:2017年5月24日)
■執筆者:株式会社ビズサプリ パートナー 久保 惠一