1.金融庁の「コンプライアンス・リスク管理に関する検査・監督の考え方と進め方(コンプライアンス・リスク管理基本方針)」平成 30 年 10 月で紹介
元になっているのは、COSOの内部統制フレームワークであり、内部監査人協会(IIA)が内部監査の位置づけなどにこれを引用してから、人口に膾炙した。下図は、その内部監査人協会(IIA)サイトの(3つのディフェンスライン全体でのCOSOの活用)より一部引用
(※https://global.theiia.org/translations/PublicDocuments/3LOD-IIA-Exposure-Document-Japanese.pdfも参照)
なお、IIAは2020年7月にこのモデルの改訂版を発表して、「Three Lines of Defense」から「Three Lines Model」となったので、今後は内容はほぼ同じであるが、企業の守だけでなく攻の意識も入れて、第1ラインと第2ラインがマネジメント前線そのものとして一括りにされて、ガバナンスの観点から構造をとらえることになる。下図は、「ⅠⅠAの3ラインモデル 3つのディフェンスラインの改訂」より一部引用
やはりここでのポイントは、第1線に属しておりながら、コンプライアンス・リスク管理を行っている担当部署若しくは担当者は、第2線には属していないながらもその機能を果たすので、中間的な名称である「1.5線」と呼ばれているが、その選択こそコンプライアンスの観点からも重要であろう。経営の王道である「現場主義」である。
2.金融庁の3つのディフェンスライン(防衛線)の説明
リスク管理に関する、事業部門、管理部門及び内部監査部門の機能を「三つの防衛線」という概念で整理することがある。「三つの防衛線」は、金融機関がどの機能をどの防衛線の部門・部署が担うかを意識的に整理することを通じて、最適な態勢の構築に役立てるための概念である。ただし、「三つの防衛線」の考え方は、リスク管理を行う上での一つの手段であって、明確に区分して態勢整備を行うこと自体が目的ではない。そのため、各防衛線の役割を定型的・形式的に考える必要はなく、各金融機関が組織の実情を十分に踏まえ、総合的にみて適切にリスク管理を行うことのできる態勢を自ら考えることが重要である。
【リスク管理の枠組みに関する着眼点】
(1) 事業部門による自律的管理
事業部門は、収益を生み出す事業活動に起因するリスクの発生源であり、一般的に、リスク管理の第一義的な責任を有すると考えられる。したがって、事業部門自身による現場での管理態勢については、事業部門の役職員自身が、コンプライアンス・リスク管理の責任を担うのはまさに自分自身であるという主体的・自律的な意識の下で、業務を実施していくことが重要となる。
⇒リスクテイクでありリスクオーナーである。利益獲得若しくはコスト削減主体である。
(2) 管理部門による牽制
コンプライアンス部門・リスク管理部門等の管理部門は、事業部門の自律的なリスク管理に対して、独立した立場から牽制すると同時に、それを支援する役割を担う。また、リスクを全社的にみて統合的に管理する役割も担う。そのため、管理部門は、事業部門の業務及びそこに潜在するリスクに関する理解と、リスク管理の専門的知見とを併せ持つことが求められる。
管理部門がこれらの重要な機能を十分に果たすためには、経営陣が主導して、管理部門の役職員に十分な権限や地位を付与するとともに、その独立性を担保することや、十分な人材を質及び量の両面において確保することが必要となる。
⇒リスクテイクはしない。第1線の人事面等での独立性がある。
(3) 内部監査部門による検証
内部監査部門は、事業部門や管理部門から独立した立場で、コンプライアンス・リスクに関する管理態勢について検証し、管理態勢の構築やその運用に不備があれば、経営陣に対し指摘して是正を求め、あるいは管理態勢の改善等について経営陣に助言・提言をすることが期待されている。従来、内部監査については、経営陣の理解や後押しの不足等の理由から、その役割が限定的に捉えられ、リスク・アセスメントが不十分であり、また、事務不備の検証や規程等への準拠性の検証にとどまる等の傾向がみられた。
内部監査の質を向上させるためには、ビジネスモデルに基づくリスク・アセスメントを実施して監査項目を選定することや、金融機関の経営陣への規律づけの観点から内部監査を実施することが必要となる。
また、コンプライアンス上の問題事象が生じ、内部監査部門による調査等が実施される場合、経営陣の主導により、問題事象が生じた背後にある構造的問題に遡り、実効的な再発防止策を策定することが重要となる。
例えば、経営陣の収益至上主義的な姿勢が問題発生の主な要素となっている場合に、その問題を避けて根本的な解決に至ることは望めない。また、取り扱う商品・サービスが急激に増加し、それに事務運営や内部管理態勢が追いつかず、コンプライアンス上の問題事象が生じた場合に、事務手続や内部管理のルールを強化するだけでは、かえって逆効果となりかねない。
このような根本的な原因の分析を行うためには、経営陣が中心となり、事業部門、管理部門及び内部監査部門等の幅広い役職員による対話・議論を通じて、問題事象に至った背景・原因を多角的に分析・把握する企業文化を醸成することが重要となる。
このように、内部監査が有効に機能するためには、経営陣に対して牽制機能を発揮できる態勢を構築するために十分な人材を質及び量の両面において確保するだけでなく、さらに、社外取締役、監査役(会)、監査等委員会、監査委員会、外部監査等との間で、制度的な特徴を活かしながら適切に連携し、実効的な監査を実施していくことも重要である。
3.中小企業等の限られた人材リソースの下では、1.5線(防衛線)の選択こそ実用的
第1線に属しておりながら、コンプライアンス・リスク管理を行っている担当部署若しくは担当者は、第2線には属していないながらもその機能を果たすので、中間的な名称である「1.5線」と呼ばれている。
この位置づけは大変難しいのだ。しかし、限られた人材リソースの中では、現実的な選択であろう。実際、中川総合法務オフィスで毎年担当している大規模地方公共団体では、この形をとっている。
この担当者は、監査部門などの同意を要することや、レポーティングラインが、上司の他に監査などへ直結している必要があろう。
ただ、何よりも強調しておきたいのは、コンプライアンス・リスク管理態勢と言ったり、内部統制と言ったりしても、現実問題として外国の制度をそのまま「ギクシャク」して、怪しげなコンサルタントや大学教授等から取り入れるよりは、この形からスタートすることの方が有効であろう。
以下の中川総合法務オフィスyoutube公式サイトの解説も聞いておいてほしい。