Contents
  1. テーマ:誰が守り、誰が攻めるのか? ~役割分担の整理学~
  2. 【練習問題】パート1 セクションA-8-a

テーマ:誰が守り、誰が攻めるのか? ~役割分担の整理学~

組織のリスク管理やガバナンスにおいて、「誰が何に責任を持つのか」が曖昧だと、重要なリスクが見過ごされてしまいます(「誰かがやっているだろう」問題)。

これを整理するための世界標準の枠組みが、IIA(内部監査人協会)が公表している「3ラインモデル(The Three Lines Model)」です。

以前は「3つのディフェンスライン(3つの防衛線)」と呼ばれていましたが、2020年の改定で「防御」だけでなく「価値の創造(攻め)」にも貢献するモデルへと進化しました。 試験では、各ラインの役割の定義と、ライン間の連携(コラボレーション)について問われます。

1. 3ラインモデルの全体像

このモデルは、組織を以下の3つのグループ(と、それらを監督する統治体)に分けて考えます。

統治体(The Governing Body)= 取締役会

3つのラインの上に位置し、組織の方向性を示し、資源を配分し、監視する「建築家」です。説明責任(Accountability)を負います。

2. 第1線:マネジメント(リスクの所有者)

  • 誰か: 現場の事業部門(営業、製造、開発など)およびバックオフィス(経理、人事など)の実務部隊。
  • 役割:
    • 製品・サービスを顧客に提供する。
    • リスクを「所有(Own)」し、「管理(Manage)」する。
    • 内部統制を設計し、運用する。
  • イメージ: 料理を作る「シェフ」。衛生管理(リスク管理)の第一次責任者は、実際に料理をしている彼ら自身です。

3. 第2線:マネジメント(専門的支援・監視)

  • 誰か: リスク管理部門、コンプライアンス部門、品質管理部門、情報セキュリティ部門など。
  • 役割:
    • 第1線が適切にリスク管理できるよう、専門知識で「支援(Support)」し、「監視(Monitor)」する。
    • 「リスク管理の枠組み」を提供する。
  • 注意点: 彼らも「マネジメント(経営陣)」の一部であり、独立性は限定的です。
  • イメージ: レストランチェーン本部の「衛生指導員」。シェフに手洗いの方法を教えたり、チェックしたりしますが、あくまで会社側の人間です。

4. 第3線:内部監査(独立した保証)

  • 誰か: 内部監査部門(IAF)。
  • 役割:
    • 第1線および第2線の活動が有効かどうかについて、「独立した客観的な保証(Independent Assurance)」と助言を提供する。
    • 統治体(取締役会)に対して、真実を報告する。
  • 最大の特徴: マネジメントの指揮命令系統から切り離されている(独立している)こと。
  • イメージ: 外部の「保健所」や、オーナー直属の「覆面調査員」。店長(マネジメント)に忖度せず、客観的に評価します。

5. 試験で問われる「連携と境界線」

① 独立性の違い

  • *第2線(リスク管理部)と第3線(内部監査)は、どちらも「モニタリング」を行いますが、決定的な違いは「独立性」です。
  • 第2線は経営陣の指示下にありますが、第3線は取締役会に報告します。したがって、第3線のみが「経営陣がリスク管理に失敗していないか」を評価できます。

② 連携(Alignment & Collaboration)

モデルは壁を作るものではありません。各ラインは、情報の共有や活動の調整を行うべきです。

重複の排除: 第2線が詳しく調査した領域は、第3線がその結果を利用することで、改めてゼロから監査する手間を省けます(統合的保証)。

6. まとめ

  • 第1線: リスクを取って、管理する(Doers)。
  • 第2線: リスク管理を支援・監視する(Helpers/Checkers)。
  • 第3線: 独立した立場で評価する(Independent Evaluators)。

「誰がリスクのオーナーか?」と聞かれたら第1線。「誰が独立した評価をするか?」と聞かれたら第3線です。

【練習問題】パート1 セクションA-8-a

Q1. IIAの「3ラインモデル」において、リスクの所有権(Ownership)を持ち、日々の業務の中でリスクを管理し、内部統制を運用する主たる責任を負うのは誰か。

A. 内部監査部門(第3線)

B. リスク管理部門およびコンプライアンス部門(第2線)

C. 現場の事業部門および支援部門のマネジメント(第1線)

D. 取締役会(統治体)

【解答・解説】

正解と解説を表示

正解(C): リスクは業務活動に伴って発生するため、その業務を遂行している現場(第1線)こそがリスクの所有者(Risk Owner)であり、管理の第一次責任を負います。

不正解(A): 内部監査はリスクを評価しますが、所有はしません。

不正解(B): 第2線はリスク管理を支援・監視しますが、リスクの所有者はあくまで現場です。

不正解(D): 取締役会は監督責任(Oversight)を負いますが、日々の運用責任は負いません。

Q2. 組織内には「リスク管理部門(第2線)」と「内部監査部門(第3線)」の両方が存在し、どちらもリスク管理の状況をモニタリングしている。3ラインモデルに基づく、両者の決定的かつ最も重要な違いはどれか。

A. リスク管理部門は財務リスクのみを扱い、内部監査部門は業務リスクのみを扱う。

B. リスク管理部門は経営陣の指揮下にありマネジメントの一部とされるが、内部監査部門はマネジメントから独立しており取締役会(統治体)に対して報告を行う。

C. リスク管理部門は予防的な活動を行い、内部監査部門は発見的な活動のみを行う。

D. リスク管理部門の方が内部監査部門よりも上位の権限を持っている。

【解答・解説】

正解と解説を表示

正解(B): 第2線と第3線の最大の違いは「独立性」と「報告ライン」です。第2線は経営機能の一部として活動しますが、第3線(内部監査)は経営陣から独立した立場で、客観的な保証を提供することが求められます。

不正解(A): 扱うリスクの種類による区分けではありません。

不正解(C): 内部監査も予防的な助言(アドバイザリー)を行います。

不正解(D): 上下関係ではなく、役割と報告先の違いです。

Q3. 3ラインモデルにおける「各ライン間の連携(Collaboration)」に関する記述として、最も適切なものはどれか。

A. 独立性を維持するため、第3線(内部監査)は第1線や第2線と情報を共有したり、活動を調整したりしてはならない。

B. 第2線(コンプライアンス部門等)が十分に機能していない場合、第3線(内部監査)が第2線の責任を引き取り、コンプライアンス体制の構築・運用を代行すべきである。

C. 各ラインは定期的にコミュニケーションを取り、情報の共有や計画の調整を行うことで、作業の重複を避け、組織全体としての保証の効率性と有効性を高めるべきである。

D. 第1線(現場)は、第2線や第3線からの干渉を避けるため、リスク情報を隠蔽することが推奨される。

【解答・解説】

正解と解説を表示

正解(C): 3ラインモデルはサイロ(縦割り)を作るためのものではありません。各ラインが連携し、情報を共有することで、監査疲れ(Audit Fatigue)を防ぎ、組織全体として漏れのないリスク管理を実現することが重要です(これを「統合的保証」と呼びます)。

不正解(A): 独立性は重要ですが、それは孤立を意味しません。連携は必須です。

不正解(B): 第3線が第2線の業務(運用)を代行すると、自己監査となり独立性が侵害されます。

不正解(D): 情報の隠蔽はガバナンスの崩壊を招きます。