2020年7月にIIA内部監査人協会が「3ラインモデル」を公表しました。企業のリスク管理と統制活動を、大きく3つの役割に分けてモデル化したものです。その7年前、2013年にIIAが「3つのディフェンスライン」モデルを公表しています。3ラインモデルでは、モデル名からディフェンスを外し、従来のモデルには見られなかった企業の目的達成及び価値創造への貢献を前面に押し出しています。
では、ディフェンス、すなわち守りの機能の重要性が下がってしまったのでしょうか。そうではないはずです。日本は、三様監査と呼ばれる監査制度を採用しディフェンスについて役割を分担しています。
3ラインに関するモデルについて三様監査も交えてお伝えし、ディフェンスの重要性を紐解きます。
なお、本コラムはIIAの見解・解釈を表すものではありません。
3つのディフェンスラインモデル
まず、「3つのディフェンスライン」モデルです。このモデルは、20年以上前に提唱され、2013年にIIAが、次いで2015年にCOSOトレッドウェイ委員会支援組織委員会も、公式なものとして採用し公表したものです。リスク・マネジメントとコントロールの役割及び活動をモデル化しているところ、防衛機能ばかりに注目が集まり硬直的に使われやすい問題点がありました。
■モデルの内容
1.リスク・マネジメントとコントロールの役割及び活動についてのモデルです。企業の価値保全を目的としてディフェンスラインを3つに分けガバナンス機関等に報告するモデルを提唱しています。
2.第1のディフェンスラインは、業務執行部門の内部統制と、部門の経営責任者(担当役員など)によるコントロールです。リスクオーナーとしてリスクの特定と統制を行います。
3.第2のディフェンスラインは、リスク管理部門・コンプライアンス部門などの行う財務管理・リスクマネジメント・品質管理などです。リスクとリスク統制の体制・運用とをモニタリングして、必要な支援・助言を行います。
4.第3のディフェンスラインは、内部監査です。リスク統制の体制・運用その他のリスク管理機能や内部統制について合理的保証を行い必要な助言を行います。
5.それぞれのディフェンスラインは互いに独立していることが必要です。
■モデルの問題点
1.モデルの内容に「ディフェンス」の文字が並んでいるように、本モデルはディフェンスとしての役割と活動を強調しています。そのため、企業の価値保全のための防御機能ばかりに注目が集まってしまいました。
2.本モデルは独立性を強調し部門を例示しています。その結果、例えば第1(業務執行)と第2(財務管理等)の両方の性質を持つ管理部門を第2のディフェンスラインに無理に当てはめるなど、硬直的に使われやすくなっていました。
3つのディフェンスラインモデルから3ラインモデルへ
次に、「3ラインモデル」です。このモデルは「3つのディフェンスライン」モデルの問題点解消に向けて2020年7月にIIAが公表したものです。IIAのワーキンググループが2019年6月に問題点を整理し改善を提唱していました。これをさらに改訂しモデル化しています。
■モデルの内容
1.ガバナンスとリスク・マネジメントの構造及びプロセスについてのモデルです。企業の目的達成・価値創造・価値保全を目的として、ライン=役割を3つに分け、ガバナンス機関から指示・監督を受け報告するモデルを提唱しています。
2.第1ラインは、製品・サービスの提供と、リスク管理です。第2ラインと連携しながら役割を果たします。連携させるのは経営責任者の役割です。
3.第2ラインは、リスクのある事柄に対する支援・検証・異議提唱と、リスク管理です。第1ラインと連携する一方で、第1ラインのリスク管理の妥当性・有効性のモニタリングと報告も行います。
4.第3ラインは、内部監査と助言です。ガバナンス機関と経営責任者が報告先です。独立性・客観性の侵害を受けたらガバナンス機関へ報告します。
5.第3ラインは経営責任者から独立している必要があります。意見交換は妨げられないものの、指示・監督は受けません。独立していない分野があれば外部監査人などを活用すべき、とされています。
■3つのディフェンスラインモデルの問題点解消
1.各ラインは企業の価値保全だけでなく目的達成・価値創造にも貢献する、とモデル内で強調し、防衛機能以外にも目が向けられるようにしています。
2.ラインは部門ではなく役割を意味し、ひとつの部門に第1と第2が共存してよいとし、硬直的な使い方にならないよう誘導しています。
三様監査
さらに、モデルではないものの日本独特の仕組である三様監査を見ていきます。日本の監査役は、取締役会には属さず、また取締役会の上位でなく並列的な立場から、会計監査だけでなく業務監査なども行います。三様監査はこの特徴的な監査役制度を背景としています。
■三様監査の内容
1.監査役(または監査役会、監査等委員会)、公認会計士(または監査法人)、内部監査部門が、それぞれの目的及び機能から監査を実施する仕組です。
2.監査役は、会社法に基づき、株主の負託を受けて監査し、株主・取締役へ報告します。
3.公認会計士は、投資家保護目的の金融商品取引法と株主・債権者保護目的の会社法に基づき、外部専門家として監査し、金融商品取引法監査では主に投資家へ報告、会社法監査では株主・取締役・監査役へ報告します。
4.内部監査部門は、直接の根拠法はないものの、金融商品取引法の内部統制報告制度の一環、及び会社法の経営者の内部統制構築運用義務の一環として、会社の使用人が監査し、取締役・監査役・経営者へ報告します。(報告先は会社により異なります。)
■問題点
1.目的や機能、視点、報告先が三者それぞれ異なるためコミュニケーションや連携が行われにくくなりがちです。
2.日本では経営者の指揮命令下に内部監査部門を置く会社が多く、独立性に課題が生じています。(3ラインモデルでいえば、第1・第2ラインの経営責任者が指揮命令しており第3ラインが独立していません。)
■問題点の解消
1.コミュニケーション・連携については、日本監査役協会、日本公認会計士協会、日本内部監査協会などが呼びかけており、実務も応じています。
2.独立性については、監査役(または監査役会、監査等委員会)の指揮命令を受ける体制に移行する企業が増えています。独立性に課題のある部分について外部監査人の活用も考えられます。
3ラインモデルと三様監査
ここまで、3ラインモデルと三様監査について見てきました。そこで次に、両者の関係を整理します。
■共通点
1.内部監査が監査機能のひとつである点。3ラインモデルなら第3ラインです。
2.外部監査人も監査機能として登場する点。3ラインモデルでは、法律の求める監査及び第3ラインに独立していない分野のあるときなどに補完する監査を、公認会計士監査・内部監査の外部委託などの形で外部監査人が実施します。三様監査では、公認会計士による監査が該当します。
■相違点
1.3ラインモデルはガバナンスとリスク・マネジメントの視点、三様監査は監査の視点です。
2.3ラインモデルでは監査役が登場しません。監査役制度のない国でも活用できるモデルです。
3.3ラインモデルでは第3ラインの内部監査は第1ライン・第2ライン及び経営管理者からの独立を重視しています。三様監査では課題が認識されつつも解消途上といえます。
■関係性
3ラインモデルと三様監査を重ねることで、監査機能として内部監査に監査役監査と公認会計士監査が加わり監査体制がより充実化します。また、内部監査が3ラインモデルと三様監査をつなぐ重要な機能となります。
一方で監査も、企業の価値保全だけでなく目的達成・価値創造にも貢献することを求められます。監査の役割が広範囲であり、互いにコミュニケーションをとり連携することが重要です。なお、連携の際、それぞれが互いの監査結果の適切性を確認する必要がある点にご留意ください。
ディフェンスも固めて企業価値の向上を
以上、従来のモデルの問題点を解消した3ラインモデルと三様監査、それぞれの内容及び両者の関係を見てきました。ここでもう一度概要を振り返り、ディフェンスの重要性を検討します。
■今までの概要
1.3ラインモデルはガバナンスとリスク・マネジメントの両面からのモデルを提唱しています。
2.日本は三様監査を採用しています。3ラインモデルも適用することで監査体制がより充実化します。
3.監査は独立性を求められます。また、企業の価値保全だけでなく目的達成・価値創造にも貢献することを求められます。
■ディフェンスの重要性
3のとおり、監査は目的達成・価値創造への貢献が求められます。そのため、ディフェンスの機能の重要性が下がってしまったように見えるかもしれません。しかし、ディフェンスの機能は企業にとって引き続き重要です。なぜそういえるのか。企業の目的が関係します。
企業の目的は究極的には利潤獲得です。利潤を獲得するためには価値を創造するだけでなく価値を保全することも重要です。例えば、物を製造・販売して現金を得ます(価値創造)。現金は次の製造・販売の資金源となるため、現金を適切に保管管理しておくこと(価値保全)も重要です。
価値を保全することは利潤獲得=目的達成や価値創造につながります。そのため、価値保全もそれを後押しするディフェンスの機能も企業にとって引き続き重要です。
■おわりに
企業は価値創造→価値保全→次の価値創造のサイクルを繰り返し企業価値を向上させて利潤を獲得します。他方、監査は独立性とともに広範囲の役割も求められます。外部監査人の活用も視野に入れつつ、ディフェンスもさらに固めて企業価値の向上をぜひ図ってください。
まとめ
■3つのディフェンスラインモデル
・3つのディフェンスラインモデルでは企業の価値保全を目的としたモデルを提唱している。
・第1(業務執行)と第2(財務管理等)の両方の性質を持つ管理部門を第2に無理に当てはめるなど、硬直的に使われやすい。
■3つのディフェンスラインモデルから3ラインモデルへ
・3ラインモデルでは、企業の価値保全だけでなく目的達成・価値創造にも貢献するよう、内容が見直された。
・第3(内部監査)が経営者から独立していることが必要で、独立していない分野があれば外部監査人などを活用すべきとしている。
■三様監査
・三様監査では、監査役・公認会計士・内部監査部門がそれぞれの目的及び機能から監査を実施する。
・三者の連携が呼びかけられ、行われている。
■3ラインモデルと三様監査
・日本企業は、3ラインモデルと三様監査を重ねることで監査体制がより充実化する。
・内部監査は、3ラインモデルにも三様監査にも登場しており両者をつなぐ重要な機能となる。
■ディフェンスも固めて企業価値の向上を
・ディフェンスの機能は、企業の目的達成、価値創造・保全・向上のために重要である。
・外部監査人の活用も視野に入れつつ、ディフェンスもさらに固めて企業価値の向上をぜひ図ってください。