2020年7月20日に最新の3線モデルを公表
内部監査協会(The Institute of Internal Auditors (IIA))は、7月20日に最新の3線モデル[1]を公表した。 従来は、3線防衛モデル(スリーラインズ・オブ・ディフェンス)と呼ばれ、リスク・マネジメントにおける態勢として広く知られている考え方であるが、今回IIAが公表した名称は、「防衛」を削除して、単に「3線モデル」となっている。
[1] https://global.theiia.org/about/about-internal-auditing/Public%20Documents/Three-Lines-Model-Updated.pdf
単なる「防衛」にとどまらない
IIAは、この名称変更について公表文の中で「リスク・マネジメントは、単なる「防衛」にとどまらない。組織体はその目標達成を可能にし、かつ強固なガバナンスとリスク・マネジメントを支援する効率的な組織とプロセスを必要としている」と説明している。3線による経営管理態勢は、リスクから組織を防衛するだけではなく、経営体の目標を達成するためのいわば「攻撃」においても活用すべきという方向性を示している。
4つの特徴
最新の3線モデルは、整理すると以下のような特徴を有している。
①従来の3線防衛モデルは、企業のリスク・マネジメント(ERM)の観点で設計されたものであるが、新しいモデルはリスク・マネジメントに限定せず、組織目標を達成するためのガバナンスの観点から各組織の役割を再構築したものである。
②従来の1線(リスクオーナー),2線(リスク管理)、3線(内部監査)は防衛ラインとして執行部門のもとで並列していたが、新しいモデルでは3線である内部監査部門は統治機関(一般的には取締役会ないし監査委員会)の指揮命令系統のもとで執行部門から完全に独立した組織となる。
③1線と2線については、従来、執行部門のもとで2線はリスク管理部署として、1線からの独立が原則であったが、新しい3線モデルでは、1線がリスク管理責任を負う主体とし、2線はコンプライアンスやリスク・マネジメントなど専門的見地や先進的な取り組みの導入など1線を支援する機能を担い、リスク管理では副次的な責任にとどまり、必ずしも1線からの独立を求めていない。
④3線である内部監査部門は、従来以上に独立性、客観性を確保して統治機関(一般的には取締役会)への説明責任を有する。内部監査部門は、執行部門と発見事項の報告や改善指示などを含め、経営目的達成のために協調関係を維持しなくてはならないが、執行部門からの指揮命令系統にはいらず、その独立性がより一層重視されている。
最新の3線モデルの一番のポイント
最新の3線モデルの一番のポイントは、内部監査部門が執行部門から完全に独立し、経営目標達成のために統治機関の「目となり、耳となる」ことと言い換えることもできる。 昨年6月金融庁が「金融機関の内部監査の高度化に向けた現状と課題」というレポートを発表し、金融当局が経営監査に向け高度化を促していることは周知のとおりである。内部監査部門が経営監査を実践すること、すなわち統治機関に経営課題を示し、その解決策を提示する重要な機能を全うするためには、執行部門の影響や制約をうけることなく独立した立場を獲得することが必要ということをこのモデルは示している。
日本企業への示唆
近年、多くの日本企業においても内部監査部門が、組織図上は監査(等)委員会に直属しているガバナンス構造をとっている会社が増えてきている。しかしながら、こうしたガバナンス構造をとりながらも、例えば執行部門をレポーティングとして残す、CAEの任命に執行部門が関与する、内部監査資源の確保にあたり執行部門に事前の了解をとるなど、内部監査部門が執行部門の影響を完全に排除できていない会社が、筆者の知る限り依然として多い。
また、IIAのモデルでは、CAEは執行部門から独立し取締役会と直接的な対話をし、執行部門のトップとほぼ対等な地位を描いているが、本邦ではCAEの地位が上がってきているとは言えまだその水準にまでは至っていない。
この3線モデルは、内部監査部門が経営監査を実践しさらに洞察提供者あるいは信頼されるアドバイザーとして成熟するためにクリアしなければならない大きな課題を提示してくれている。
