「財務報告に係る内部統制の評価及び監査の基準並びに財務報告に係る内部統制の評価及び監査に関する実施基準の改訂について(意見書)」が2023年4月7日に公表されました。
この改訂では、「Ⅰ.内部統制の基本的枠組み」において、新たに「5.内部統制とガバナンス及び全組織的なリスク管理」が新設されています。
改正実施基準ではさらに、内部統制、ガバナンス及び全組織的なリスク管理に係る考え方の例示として、「3線モデル」が挙げられました。
この記事では、主に「3線モデル」について簡単にまとめました。
※内部統制基準=「財務報告に係る内部統制の評価及び監査の基準」
※実施基準=「財務報告に係る内部統制の評価及び監査に関する実施基準」
新設された「内部統制とガバナンス及び全組織的なリスク管理」
改正内部統制基準では、「Ⅰ.内部統制の基本的枠組み」において、新たに以下の「5.内部統制とガバナンス及び全組織的なリスク管理」の項目が追加されました。
内部統制は、組織の持続的な成長のために必要不可欠なものであり、ガバナンスや全組織的なリスク管理と一体的に整備及び運用されることが重要である。
さらにガバナンスについては、
組織が、顧客・従業員・地域社会等の立場を踏まえた上で、透明・公正かつ迅速・果断な意思決定を行うための仕組み
と説明され、全組織的なリスク管理については、以下のように記述されています。
適切なリスクとリターンのバランスの下、全組織のリスクを経営戦略と一体で統合的に管理すること
3線モデル
改正実施基準では、内部統制、ガバナンス及び全組織的なリスク管理に係る体制整備の考え方の例示として「3線モデル」を挙げています。
「3線モデル」という用語は、かつては「3つのディフェンスライン」として知られていたモデルが改正され、内部監査人協会(IIA)が2020年に公表したディスカッションペーパー「IIAの3ラインモデル」から来ています。
また、改正実施基準では3線モデルについて以下のように記しています。
第1線を業務部門内での日常的モニタリングを通じたリスク管理、第2線をリスク管理部門などによる部門横断的なリスク管理、そして第3線を内部監査部門による独立的評価価として、組織内の権限と責任を明確化しつつ、これらの機能を取締役会又は監査役等による監督・監視と適切に連携
リスクマネジメントの観点から、第1線、第2線、第3線と、組織の職務権限と説明責任が適切に分離され、それら全体を取締役会または監査役等が統轄することが示されています。
6つの原則
IIAのディスカッションペーパー「IIAの3ラインモデル」では、フレームワークの核として以下のように「6つの原則」が掲げられています。
原則1:ガバナンス
組織体のガバナンスには、以下を可能にする適切な構造とプロセスが必要である。
- インテグリティ、リーダーシップ、および透明性によって組織体を監督することに関する、ステークホルダーに対する統治機関によるアカウンタビリティ。
- リスク・ベースの意思決定と資源の適用によって組織体の目標を達成するための、経営管理者による(リスクの管理を含む)活動。
- 明確さと信頼をもたらし、また、綿密な調査と洞察に満ちたコミュニケーションによって継続的な改善を奨励して促進するための、独立した内部監査機能によるアシュアランスと助言。
原則2:統治機関の役割
統治機関は、以下を確実にする。
- 有効なガバナンスのための、適切な構造とプロセスを整備すること。
- 組織体の目標と活動が、ステークホルダーが優先する利益と整合すること。
統治機関は、
- 経営管理者に責任を委ね資源を提供して、法規制上および倫理的な期待を確実に満たしながら、組織体の目標を達成する。
- 独立した客観的で有能な内部監査機能を確立し監督して、目標の達成に向けた進捗状況について、明確にし確信を提供する。
原則3:経営管理者と第1・第2ラインの役割
組織体の目標を達成するための経営管理者の責任は、第1ラインと第2ラインの両方の役割で構成される。第1ラインの役割は、組織体の顧客への製品やサービスの提供と最も直接的に繋がっており、これには支援機能も含まれる。第2ラインの役割は、リスクの管理を支援することである。
第1ラインと第2ラインの役割は、組み合わせたり分けたりする場合がある。第2ラインの役割の中には専門家に割り当てられるものがあり、第1ラインの担当者に対して、補完的な専門知識、支援、モニタリングを提供し、また、異議を唱える。第2ラインの役割は、法規制や許容可能な倫理的行為の遵守、インターナル・コントロール、ITセキュリティ、持続可能性、および品質保証のような、リスク・マネジメントの特定の目標に焦点を当てる場合がある。あるいはまた、第2ラインの役割が、全社的リスク・マネジメント(ERM)のように、リスク・マネジメントに対するより広範な責任に及ぶ場合もある。ただし、リスクを管理する責任は、第1ラインの役割の一部であり、経営管理者の範囲内に存続する。
原則4:第3ラインの役割
内部監査は、ガバナンスとリスク・マネジメントの妥当性と有効性に関する独立にして客観的なアシュアランスと助言を提供する。内部監査は、体系的で規律あるプロセス、専門知識、および洞察を十分に適用することで、これを実現する。内部監査は、発見事項を経営管理者と統治機関に報告して、継続的な改善を奨励し促進する。その際に内部監査は、組織体内外の内部監査以外の提供者によるアシュアランスを検討する場合がある。
原則5:第3ラインの独立性
内部監査が経営管理者の責任から独立していることは、内部監査の客観性、権限、および信頼性のために不可欠である。内部監査の独立性は、統治機関に対するアカウンタビリティ、内部監査業務の遂行上必要な人員、資源およびデータへの自由なアクセス、ならびに監査業務を計画し実施する上で偏見や干渉がないことによって確立される。
原則6:価値の創造と保全
すべての役割が互いに協調するとともに、ステークホルダーが優先する利益と整合している場合、すべての役割が全体として共に働くことは、価値の創造と保全に貢献する。業務の調整は、コミュニケーション、協力、および協働によって達成される。これにより、リスク・ベースの意思決定に必要な情報の信頼性、一貫性、および透明性が確かなものになる。
各機関の主な役割
組織体に適した業務権限や説明責任の職務分掌は、企業によってそれぞれ異なります。その設計の手がかりとして、「IIAの3ラインモデル」では、以下のように統治機関、経営管理者、内部監査の主な役割について明らかにしています。
統治機関
- 組織体の監督について、ステークホルダーに対するアカウンタビリティを負う。
- ステークホルダーと向き合って関心事を把握し、目標の達成状況について透明性のあるコミュニケーションを行う。
- 倫理的な行動とアカウンタビリティを奨励する文化を育む。
- 必要に応じた補助的な委員会も含む、ガバナンスのための構造とプロセスを確立する。
- 組織体の目標を達成するために、経営管理者に責任を委ねて資源を提供する。
- 組織体のリスク選好を決定して、(インターナル・コントロールを含む)リスク・マネジメントを監督する。
- 法規制上のおよび倫理的な期待事項への遵守を監督し続ける。
- 独立した客観的で有能な内部監査機能を確立して監督する。
経営管理者
第1ラインの役割
- (リスクの管理を含む)活動と資源の活用を主導し指示して、組織体の目標を達成する。
- 統治機関と継続的に対話して、組織体の目標に関連する、計画された、実際の、および期待された成果、ならびにリスクについて報告する。
- 業務と(インターナル・コントロールを含む)リスクを管理するために、適切な構造とプロセスを確立して維持する。
- 法規制上のおよび倫理的な期待事項への遵守を確実にする。
第2ラインの役割
■以下のような、リスクの管理に関連する補完的な専門知識、支援、モニタリングを提供し、また、異議を唱える。
- プロセス、システム、および全社レベルでの(インターナル・コントロールを含む)リスク・マネジメント実務の策定、導入、および継続的な改善。
- 法規制および許容される倫理的行動の遵守、インターナル・コントロール、ITセキュリティ、持続可能性、および品質保証のような、リスク・マネジメント目標の達成
■(インターナル・コントロールを含む)リスク・マネジメントの妥当性と有効性に関する分析とレポートを提供する。
内部監査
- 統治機関に対する一義的なアカウンタビリティ、および経営管理者の責任からの独立性を維持する。
- ガバナンスと(インターナル・コントロールを含む)リスク・マネジメントの妥当性と有効性について、経営管理者と統治機関に独立にして客観的なアシュアランスと助言を伝達することにより、組織体の目標達成を支援し、継続的な改善を奨励して促進する。
- 独立性と客観性の侵害を統治機関に報告し、必要に応じてセーフガードを実行する。
外部のアシュアランス提供者
■以下のために、追加のアシュアランスを提供する。
- ステークホルダーの利益を保全するのに役立つ法規制上の期待を満たす。
- 経営管理者と統治機関の要求を満たし、組織体内部の資源によるアシュアランスを補完する。
3つのディフェンスライン
3線モデルは、かつて「3つのディフェンスライン」として知られていたモデルが改正されたものです。
「3つのディフェンスライン」は、20年以上前に登場した、リスクマネジメントと内部統制に係る責任と権限の委譲についての代表的なフレームワークでした。
組織目標達成のためには、取締役会等の経営陣の策定した方針のもと、事業に関するリスクとそれに対応する内部統制についての職務分掌をいかに適切に設定するかが重要になります。
ただし、小規模企業の場合は、ラインが統合されることも考えられます。
①第1のディフェンスライン:
主に事業部門において業務プロセスに係るリスクに日々直接関わって内部統制を実行し、事業部責任者(プロセスオーナー)がリスク管理に関する最終的な責任を担います。
②第2のディフェンスライン:
事業部門サイドを支援したり、リスクを低減する内部統制を事業部門から独立して監視する機能があり、財務管理、セキュリティ、リスクマネジメント、品質、検査、コンプライアンス等、一般的にリスクをコントロールするコーポレート部門が担うイメージを持たれることが多いようです。
③第3のディフェンスライン:
第1および第2のディフェンスラインを独立的にモニタリングや評価し、事業目標を達成するリスク管理状況を保証する役割であり、内部監査部門が担うことが想定されます。
著者:ダグラス J. アンダーソン、ジーナ・ユーバンクス 訳者:堺咲子
3線モデルと3つのディフェンスラインの違い
①「ディフェンスライン」から「ライン」へ
3線モデルは「3ラインモデル」とも呼ばれています。
「ディフェンスライン」が、モデル改正を経て「ライン」となったのは、内部統制のフレームワークを公表しているCOSOが策定したリスクマネジメントのフレームワークにおいて、「リスク」の定義が負のリスクだけでなく正のリスクも含まれるようになったためと思われます。
改正実施基準には、全組織的なリスク管理について以下の記述か追加されています。
損失の低減のみならず、適切な資本・資源配分や収益最大化を含むリスク選好の考え方を取り入れることも考えられる。なお、リスク選好とは、組織のビジネスモデルの個別性を踏まえた上で、事業計画達成のために進んで受け入れるリスクの種類と総量をいう。
負のリスクだけでなく正のリスクをコントロールできる組織構造を設計することが、経営管理者として組織目標を達成するための役割と捉えられていると考えられます。
②第1線と第2線の関係性
3つのディフェンスラインでは、第1線と第2線が分離され、第2線が第1戦をリスク管理の点において牽制し、さらに「上級経営者」への報告ラインが双方ともに存在し、その監督下にあります。
一方、「IIAの3ラインモデル」でも第1線と第2線は分離されていますが、経営管理者の責任の下で第1線と第2線が連携してリスク管理の機能を果たすことが表されています。
「IIAの3ラインモデル」ではリスク管理の主役はあくまで第1線であり、第2線はリスク管理部門やコンプライアンス部門など、第1線のリスク管理を補完的に支援する役割を担います。
なお「原則3:経営管理者と第1・第2ラインの役割」で、第1線の役割において”これには支援機能も含まれる”と記載されていることから、製品やサービスの提供を支援するバックオフィスは基本的にはこの第1線に含まれると考えられます。
③一方向から双方向へ
3つのディフェンスラインでは、第1線、第2線、第3線から経営管理者への報告、また第3線から統治機関等への報告ラインが存在しますが、図ではこれが一方向で表されています。
しかし、「IIAの3ラインモデル」では、第1線、第2線は経営管理者の管理監督下にあり、経営管理者および第3線の内部監査と統治機関との間には報告と指示命令系統という双方向の矢印が存在します。
また、3つのディフェンスラインにはなかった経営管理者と内部監査との間の双方向の矢印があり、第1線、第2線、第3線が連携すべき関係であることを示しています。
これにより、組織全体においてより複線的な情報共有の必要性が表されています。
※ガバナンスやリスクマネジメントについては、以下の記事をご参照ください。
