株式会社Bizsuppliのメルマガバックナンバー

会計を中心とした実力派プロフェッショナル集団であるビズサプリのメンバーが、旬のネタや色々な物事への洞察を記載したメルマガのバックナンバーです。

3つのディフェンスライン

━━━━━━━━━━━━━━━━━━━━━━━━ vol.053━2017.5.24 ━
【ビズサプリ通信】

▼ 3つのディフェンスライン

━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
ビズサプリの久保です。

桜が散り、藤棚が紫に染まっていたかと思ったら、バラの季節になりました。
我が家のバラはほぼ満開です。沖縄では梅雨入りとのこと。季節の移り変わり
は早いです。
今回は、3つのディフェンスラインのお話をしましょう。ディフェンスという
と、サッカーやラグビーを想像させますが、スポーツの話ではありません。
英語ではThe Three Lines of Defenseです。全部日本語にして「3つの防衛
線」と呼ばれることもあります。防衛線というとキナ臭い感じもします。

━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

■ 1.3つのディフェンスラインの背景

---------------------------------------------------------------------

これが言われだした経緯からお話しましょう。内部統制のグローバルスタン
ダードとなっているCOSOが、2013年に改訂され、そこで17の原則が提示さ
れました。その中の原則3において、この3つのディフェンスラインが紹介
されました。

COSOの原則3は、次のとおりです。
原則3: 経営者は、取締役会の監督の下、内部統制の目的を達成するに当た
り、組織構造、報告経路および適切な権限と責任を確立する。

この「組織構造と報告経路」の解説として、3つのディフェンスラインが次の
ように紹介されました。

「責任は、取締役会の監督の下、事業体の目的が達成できないことに対する
3つのディフェンスラインにあると一般に考えることができる。」

「責任は」が主語になっているこの翻訳の意味がわかりにくいですが、「取
締役会の監督の下で、事業体の目的が達成できないことに関する責任は、3
つのディフェンスラインにあると一般に考えることができる。」という
意味です。

組織構造と報告経路の説明に出てくるのですから、この3つの組織を作り、
それぞれの機能が発揮できたら、「事業体の目的が達成できないこと」に
対応できますよ。

「事業体の目的が達成できないこと」というのは、「事業体の目的の達成を
阻害するリスク」と解釈できます。結果として、COSOは、「事業体の目的が
達成されないというリスクに対応するための組織構造と報告経路としては、
3つのディフェンスラインが一般的である」と言っているということが分か
ります。

COSOは原則主義ですので、上記の原則3に合致していれば、3つのディフェ
ンスラインの設置が必ずしも必要ということではありません。3つのディ
フェンスラインは、ベストプラクティスとして紹介されている、という位置
付けと考えられます。

なお、改訂版のCOSOは、2013年5月に公表されていますが、それに先立っ
て2013年1月に内部監査協会からポジションペーパー(意見書)として
「有効なリスクマネジメントとコントロールにおける3つのディフェンス
ライン」が公表されています。そこでは、3つのディフェンスラインが
ベストプラクティスとして最近採用され始めていることが示されています。

━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

■ 2.3つのディフェンスラインとは

---------------------------------------------------------------------

3つのディフェンスラインは、会社のリスクマネジメントにおける役割の異な
る3つの部門のことです。3つの防衛線(ディフェンスライン)で企業リスク
に対処しなさい、ということになります。すなわち、1つ目の防衛線が破られ
ても、次で防ぐことができ、もし2つ目の防衛線が破られた場合には、3つ目
で防ぐという三重の防衛体制です。

第一の防衛線は、現業部門の管理者による内部統制です。現業部門は、言うま
でもなく製造部門、購買部門、営業部門、倉庫部門などです。これらの部門に
おいては経営方針や経営計画に従って事業活動を行います。これらの部門で
は、事業目的が達成されないリスクを抱えています。リスクを抱える部門です
ので、リスクオーナーと呼ばれます。

第二の防衛線は、間接部門による内部統制とされています。ここでの間接部門
とは、リスク管理部門、コンプライアンス部門、環境管理部門などを指しま
す。これらの部門は現業部門での内部統制の整備運用状況をモニタリングする
役割を担っている部門です。

第三の防衛線は、 内部監査人による内部監査です。内部監査の特徴は、その
監査対象となる部門から独立している点です。多くの会社の内部監査部門は、
社長直轄になっていますが、これは監査対象の部門からの独立性を保つためです。

3つのディフェンスラインは、最近使われ始めている用語です。覚えておいて
損はないと思います。

本日もビズサプリのメルマガをお読みいただきありがとうございました。
お元気にお過ごしください。
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━