リスク管理Naviリスクマネジメントの情報サイト

用語集

スリーラインディフェンス

2019年02月25日

スリーラインディフェンス(日本語では「3つの防衛線」)とは、3つのグループ(防衛線)によって組織のコントロールとリスク管理を十分に機能させる体制のことを指します。

スリーラインディフェンスのもとになった考え方にCOSO(米国トレッドウェイ委員会組織委員会)の『内部統制の統合フレームワーク』があります。これは、組織の目的を達成するために、リスクマネジメントをどんな観点から考えれば良いのか示したフレームワークです。COSOのフレームワークでは、組織を有効にリスクマネジメントするうえで必要な構成要素、原則等が説明されていますが、誰が責任を負うべきか具体的に決まっていませんでした。

スリーラインディフェンスでは、その課題を解決するために、誰が行った業務を、誰が管理し、誰が責任をとるのかを組織内で割り当て、グループ同士を連携させることで、組織のガバナンス体制の向上に貢献します。

3つのラインの定義

具体的に3つのラインの一般な定義は以下のとおりです。

ファーストライン(第一のディフェンスライン):
業務運営部門を指し、具体的には製造部門、購買部門、営業部門などを指します。規定や手続きに基づいて日々の業務を行い、収益獲得やコスト削減の責務があります。その責務を果たしていく中で、どのようなリスクがあるのか自ら特定し、管理を行います。

セカンドライン(第二のディフェンスライン):
リスク管理が十分になされているか確かめるために、ファーストラインのマネジメントをモニタリングする機能を持っています。具体的には、コンプライアンスやリスク管理部門などが該当します。ファーストラインは収益最大化、セカンドラインはリスク最小化と、相反しかねない目標を持っています。

サードライン(第三のディフェンスライン):
ファーストラインとセカンドラインとは独立的な立場から、両ラインに該当する部署が行ったリスク管理について「保証」する責任があります。具体的には、内部監査部門や、社外取締役などを指します。

 

スリーラインディフェンスのポイントは、経営層と取締役会の監督の下、これら3つのラインに該当する部署それぞれの責任範囲が明確になっている点にあります。単に2つよりも3つ、3つよりも5つと防衛線(=ライン)の数を増やしてリスク管理がされるというよりも、同一部署・人員が同時に担ってはいけない役割を分離・配分し、リスクと責任の所在を明確化することが、リスク管理上、効果が高いということです。

また、どのグループも最終的なゴール・目的は共通で、「組織の発展のため」に各業務・責務を明確にし、それぞれのリスク管理を行うことになります。

【スリーラインディフェンスの全体像】

スリーラインディフェンスが生まれた背景

そもそも、なぜスリーラインディフェンスという考え方が導入されるようになったのでしょうか。

その背景にリーマンショックが挙げられます。リーマンショックでは、ファーストライン(投資銀行の営業部門、トレーダー)の暴走が顕著でした。住宅バブル期にトレーダーがサブプライムローンを貧困層顧客に対し、ハードルの低い審査で大量に販売。ローンの返済が不可能となった場合、債務者が担保である住宅を引き渡せばそれ以上の支払いが発生しないため、住宅バブルがはじけるとサブプライムローンの不良債権が増加し、リーマンブラザーズは倒産へと追い込まれてしまいました。トレーダーが返済してもらえない可能性や住宅の価値が上がらない可能性を考えていれば、回避できていたかもしれませんが、トレーダー個人の売り上げ目標を達成するためにサブプライムローンのリスク管理やコンプライアンスを度外視し、ディフェンスの概念がありませんでした。その結果、海外の金融機関では、ガバナンスの見直しが入りました。

そこで、ファーストラインの責務をしっかりモニタリングするセカンドライン、さらに独立的な立場から保証するサードラインという考え方が重要だと考えられるようになり、スリーラインディフェンスの導入が始まりました。

日本企業におけるスリーラインディフェンス欠如事例

スリーラインディフェンスが欠如していた日本企業の事例として代表的なのは、2015年に発覚したA社の不正会計問題です。A社は2014年度までの7年間で合計2,248億円の利益を水増ししていました。当時の監査委員会の委員長は社長の元部下で財務部門の責任者だった社内取締役が担当しており、監査委員から会計処理の調査実施の申し入れがあったものの、社長の意向を踏まえ調査を行いませんでした。監査委員には社外取締役が入っていましたが、残念ながら財務について十分に理解している人が少なく、完全に機能していたとは言い難い状況でもありました。

また、内部監査部門も社長直属のレポート体制をとっていたため、不正を知りながら監査報告書には事実が記載されませんでした。本来サードラインの役割はファーストライン、セカンドラインに対してリスク管理業務の是正勧告やアドバイスを客観的に行うことですが、内部統制が機能しなかった一例です。

機能するスリーラインディフェンスとは

では、自組織においてスリーラインディフェンスを十分に機能させるためにはどうすればいいのか、A社の不適切会計を例に考えてみましょう。

A社では、サードラインの独立性の欠如が課題でした。この課題の解決策の一つに、サードラインと社外取締役のレポートライン構築があります。サードラインが、取締役会から独立した社外取締役に報告することで、内部監査部門の独立性を担保し、トップ層の不正を防ぐことにもつながります。このサードラインの独立性が低いことは、日本企業に全般的に見られる傾向です。十分に機能するスリーラインディフェンスのためには、サードラインの独立性の担保が求められます。

スリーラインディフェンスはリスク管理を行う上で基本的な組織体制です。大手企業においては、このような体制はもはや当たり前といえるでしょう。しかしそのようなスリーラインディフェンスを導入している企業においても、不正・不祥事による事故は発生し続けています。改めて3つのラインの役割と責任を明確にし、適切な人材教育・配置がなされているか確認することが重要です。ファーストラインは業務に邁進するあまりリスク管理を軽視していないか、セカンドラインにはファーストラインと対等に業務について話し合いができ些細な不正の予兆を見抜く力があるか、サードラインは例えそれが経営層の主張であっても独立性を担保して意見できるか。自組織の実情に照らし合わせて力量のある人材を配置し、お互いのラインが目的・目標を達成するために有機的に機能する仕組みが必要です。

(執筆:門前 美沙希

当社のWebサイトでは、サイト閲覧時の利便性やサイト運用および分析のため、Cookieを使用しています。こちらで同意をして閉じるか、Cookieを無効化せずに当サイトを継続してご利用いただくことにより、当社のプライバシーポリシーに同意いただいたものとみなされます。
同意して閉じる