1 3ラインモデルって何?
サイバーセキュリティの関係で、「3ライン(三線)モデル」という用語を聞いたので、ちょっとお勉強します。
たとえば、
- 日本内部監査協会「ⅠⅠAの3ラインモデル」(以下、IIAモデル)
- PwC 「IIAの「3つのラインモデル(Three Lines Model)」の概要」
- 内部監査.com「最新の3線モデル(スリーラインズ・モデル)」
- 渡邉宙志弁護士「3つのディフェンスラインと内部監査人協会(IIA)の「3ラインモデル」」
などの資料があります。
3ラインモデルは、組織体が、目標達成を最も支援し、かつ、強力なガバナンスとリスク・マネジメントを最も促進するような構造とプロセスを特定するのに役立つ。このモデルは、あらゆる組織体に当てはまり、以下によって最適化される。
§ 原則ベースのアプローチを採用して、モデルを組織体の目標と状況に合わせる。
§ リスク・マネジメントが、「ディフェンス」と価値の保全の問題だけでなく、目標の達成と価値の創造に貢献することにも焦点を当てる。
§ モデルで表される役割と責任、およびそれらの間の関係を明確に理解する。
§ 活動と目標が、ステークホルダーが優先する利益と整合するように対策を実施する。
とされます(IIAモデル)
2 6つの原則についての違和感
IIAは、さらに、6つの原則にいきます。それらは、
- ガバナンス
- 統治機関の役割
- 経営管理者と第1・第2ラインの役割
- 第3ラインの役割
- 第3ラインの独立性
- 価値の創造と保全
です。個人的には、この6つの原則は、いまひとつ、よくわからないところがあります。原則1は、原則以前の話です。リスクマネジメントは、だれでも、どの組織でもしないといけないですし、それを行っているわけです。それを枠組を作って管理しましょうということなので、原則以前といってもいいところだなあと思います。原則2は、組織があれば、その機関があるのは、当たり前で、団体である以上、所有者、意思決定機関、執行機関、(従業員)、監督機関が出てくるのは、当然に思えます。原則というのは、組織のミッションを実現するのにあたっての公道のルールを支える思想・価値体系の簡潔な表現というのが、普通のガバナンスの用語だよね、と思ったりします。価値の創造と保全(原則6)というのは、原則的な表現ですが、むしろ、この意味として
ガバナンスのシステムは、価値の保全のみではなく価値の創造をも目的としなければならない
という意味であって、だからゆえに従来の「三線防御モデル」いった表現から、「防御」がとれたといえば、いいように思います。このように位置づけると、むしろ、たとえば、情報ガバナンスについていえば、情報セキュリティのためのガバナンスといって、情報の活用の観点が落ちたりしているのがよくある訳ですが、そのような観点はやめましょうということで、むしろ、ガバナンス体系の作り方についての原則に思います。
原則3、4、5は、上の例でいえば、情報ガバナンスの具体的なポリシを作成するにあたって、第1ライン・第2ライン、内部監査の役割を認識して作りましょうということで、また、かなり個別の話ということになるように思います。
私の違和感を図にすると以下のような感じになります。
上の図で使っているのは、わたしが自分で使うリスクマネジメント枠の図です。図を作るのが大事ですというのが原則1でしょうし、リスクというのは、オポチュニティ(天使のイラスト)と狭義のリスク(悪魔)を含むことが原則6でしょう。また、そのような考え方を各組織ごとのポリシで分けて整理しましょうというのが原則2と思われます。各組織ごとのポリシに内部監査がどう絡んでいくのかというのが、原則3ないし5だと思います。
それぞれ組織のガバナンスについて考えているイメージというのがあって、また、業界としてのポジション的なものもあるのでしょうから、これらの違和感が正しいとか間違っているというのは、あまり意味がないと思いますが、ガバナンス体系という点から考えると、レベルの違うものがこの原則にはいっているというのは、認識すべきことに思えます。
3 日本法のもとで、3ラインモデルをどう考えるのか
3.1 監査等委員会設置会社を例に
ここでIIAモデルが出てきますが、その図について、
大まかな役割は、3ラインモデルの原則を説明するのに役立つ。
といいます。そうはいっても、実際に株式会社を考えたときに、「統治機関」といったところで、それって株主総会なの? 取締役会レベルを考えているのという問題があるわけです。なので、あくまでもこの3ラインモデルというのは、IIAというところが、ひとつのモデルとしてお話ししていますということで考えて、実際に自分の会社だとどのような仕組みになっていて、IIAのいっているのは、会社のこのところをいっているのね、と理解したほうがいいだろうと思います。
それをもとにIIAの3ラインモデルをの図をわが国の会社法の仕組みにあわせて展開した図のほうがいいだろうと思います。(というか、その部分をわが国のコンサルのために残してくれているというモデル図なんだろうと思います)
それでもって、わが国の会社法にどうあわせて、展開できるのかということになりますが、そうはいっても、わが国の会社法は、39通りもの種々の柔軟な機関設計を旗頭に制定されているので、どのしようかということになりますが、その後に追加された監査等委員会設置会社が、非常に人気になっているので、監査等委員会設置会社を例にとるのがいいように思います。
となって、わが国のモデル図をどう描くかとなったときには、日本銀行金融機構局金融高度化センター「ガバナンス改革と内部監査」というスライドを見つけました。PwC 「IIAの「3つのラインモデル(Three Lines Model)」の概要」内部監査.com「最新の3線モデル(スリーラインズ・モデル)」は、日本法へのフィットという視点があまりないように思います。渡邉宙志弁護士「3つのディフェンスラインと内部監査人協会(IIA)の「3ラインモデル」」は、監査役会設置会社を例に採っています。
監査等委員会設置会社というのは、会社法2条、399条の2
第二条 この法律において、次の各号に掲げる用語の意義は、当該各号に定めるところによる。(略)
十一の二 監査等委員会設置会社 監査等委員会を置く株式会社をいう。(監査等委員会の権限等)
第三百九十九条の二(略)
3 監査等委員会は、次に掲げる職務を行う。
一 取締役(会計参与設置会社にあっては、取締役及び会計参与)の職務の執行の監査及び監査報告の作成
二 株主総会に提出する会計監査人の選任及び解任並びに会計監査人を再任しないことに関する議案の内容の決定
三 第三百四十二条の二第四項及び第三百六十一条第六項に規定する監査等委員会の意見の決定(略)
となります。監査「等」委員会の「等」って何?というのについては、結構解説が出ていたりします。
これの監査等委員会設置会社が増えているのは
- 実は取締役の選任人数が少なくて済むこと
- 常勤監査役の設置義務がない
- 機動的な意思決定が可能
などがあげられています。
では、デメリットはというと、
- 取締役会から業務執行取締役に対して、重要な業務執行の決定権限を大幅に委任することができることから、意思決定段階での監査ができまないこと
- また、上述のように常勤監査役の設置義務がないことから、むしろ、どのようにして監査の実効をあげるかが課題となること
といえるだろうと思います。なので、規模の小さな企業で、常勤監査役のメリットが大きくない場合には、有効だろうとされていたりします。
でもって、この仕組みは、会社法のレベルであると、以下の図のように記載されるわけですが、むしろ、この3ラインモデルを加味して、監査等を行うための仕組みというのをどう考えるといいのかという問題が出てきてそれに応じたのが、上の日銀資料の図(日銀の図は、)を参考に法律家的な視点を加えて図を書いてみたいと思います。
この図の意味するところを以下検討します。
3.2 統治機関(Governing Body)について
統治機関(Governing Body)というのは、IIAでは
統治機関は通常、ビジョン、使命、価値観、および組織体のリスク選好を定義することによって、組織体の方向性を定める。次に統治機関は、組織体の目標達成に対する責任を、必要な資源とともに経営
管理者に委ねる。統治機関は、計画された、実際の、および期待された成果、ならびにリスクとリスクの管理に関する報告を経営管理者から受ける
とされています(IIA7頁-統治機関と経営管理者(第1と第2ラインの両方)の関係 )。監査等委員会設置会社においては、法399条の13第1項各号
第三百九十九条の十三 監査等委員会設置会社の取締役会は、第三百六十二条の規定にかかわらず、次に掲げる職務を行う。
一 次に掲げる事項その他監査等委員会設置会社の業務執行の決定イ 経営の基本方針
ロ 監査等委員会の職務の執行のため必要なものとして法務省令で定める事項
ハ 取締役の職務の執行が法令及び定款に適合することを確保するための体制その他株式会社の業務並びに当該株式会社及びその子会社から成る企業集団の業務の適正を確保するために必要なものとして法務省令で定める体制の整備二 取締役の職務の執行の監督
三 代表取締役の選定及び解職
となっています。
「ビジョン、使命、価値観、および組織体のリスク選好を定義する」となっていますが、上の「ロ 監査等委員会の職務の執行のため必要なものとして法務省令で定める事項、ハ 取締役の職務の執行が法令及び定款に適合することを確保するための体制その他株式会社の業務並びに当該株式会社及びその子会社から成る企業集団の業務の適正を確保するために必要なものとして法務省令で定める体制の整備」というのは、
会社法施行規則110条の4
法第三百九十九条の十三第一項第一号ロに規定する法務省令で定めるものは、次に掲げるものとする。
一 当該株式会社の監査等委員会の職務を補助すべき取締役及び使用人に関する事項
二 前号の取締役及び使用人の当該株式会社の他の取締役(監査等委員である取締役を除く。)からの独立性に関する事項
三 当該株式会社の監査等委員会の第一号の取締役及び使用人に対する指示の実効性の確保に関する事項
四 次に掲げる体制その他の当該株式会社の監査等委員会への報告に関する体制イ 当該株式会社の取締役(監査等委員である取締役を除く。)及び会計参与並びに使用人が当該株式会社の監査等委員会に報告をするための体制
ロ 当該株式会社の子会社の取締役、会計参与、監査役、執行役、業務を執行する社員、法第五百九十八条第一項の職務を行うべき者その他これらの者に相当する者及び使用人又はこれらの者から報告を受けた者が当該株式会社の監査等委員会に報告をするための体制五 前号の報告をした者が当該報告をしたことを理由として不利な取扱いを受けないことを確保するための体制
六 当該株式会社の監査等委員の職務の執行(監査等委員会の職務の執行に関するものに限る。)について生ずる費用の前払又は償還の手続その他の当該職務の執行について生ずる費用又は債務の処理に係る方針に関する事項
七 その他当該株式会社の監査等委員会の監査が実効的に行われることを確保するための体制2 法第三百九十九条の十三第一項第一号ハに規定する法務省令で定める体制は、当該株式会社における次に掲げる体制とする。
一 当該株式会社の取締役の職務の執行に係る情報の保存及び管理に関する体制
二 当該株式会社の損失の危険の管理に関する規程その他の体制
三 当該株式会社の取締役の職務の執行が効率的に行われることを確保するための体制
四 当該株式会社の使用人の職務の執行が法令及び定款に適合することを確保するための体制
五 次に掲げる体制その他の当該株式会社並びにその親会社及び子会社から成る企業集団における業務の適正を確保するための体制イ 当該株式会社の子会社の取締役、執行役、業務を執行する社員、法第五百九十八条第一項の職務を行うべき者その他これらの者に相当する者(ハ及びニにおいて「取締役等」という。)の職務の執行に係る事項の当該株式会社への報告に関する体制
ロ 当該株式会社の子会社の損失の危険の管理に関する規程その他の体制
ハ 当該株式会社の子会社の取締役等の職務の執行が効率的に行われることを確保するための体制
ニ 当該株式会社の子会社の取締役等及び使用人の職務の執行が法令及び定款に適合することを確保するための体制
となっているので、まさに上の統治機関のミッションの部分を論じているとなります。
統治機関と経営管理者の役割に関する重複や分離の程度は、組織体によって異なる。
とされています(同書7頁)。では、監査等委員会設置会社ではどうなのか、というと、一般的な説明としては、取締役会とは独立の執行者たる取締役は、別個であって、その取締役を取締役会が、監督し、また、監査等委員会で監査等をなすうという説明が与えられます。
上でみたように法399条の13第1項二号でふれたように
取締役の職務の執行の監督
とされています。監査等委員会設置会社では、取締役会のメンバーたる取締役は、取締役会とは距離を置いて業務を執行しているということに整理されます。
3.3 経営管理(Management)
IIAでは経営管理は、何をするかというと、(リスクの管理を含む)活動と資源の活用を主導し指示して、組織体の目標を達成する活動であるということが明らかにされています。
第1ライン(顧客に対する製品やサービスの提供とリスクの管理)、第2ライン(リスクに関連する事項について、専門知識、支援、モニタリングの提供とリスクの関連事項についての異議申立) わけて考察されています。
この第1ラインと第2ラインに関する説明としては、改訂される前の説明ですが「3つのディフェンスライン」があります。そのまとめも参考に表にすると以下のような感じでしょうか。
| 第1ライン | 第2ライン | 第3ライン | |
| 活動 | 統治機関と継続的に対話して、組織体の目標に関連する、計画された、実際の、および期待された成果、ならびにリスクについて報告する。 | リスクの管理に関連する補完的な専門知識、支援、モニタリングを提供し、また、異議を唱える。 | 統治機関に対する一義的なアカウンタビリティ、および経営管理者の責任からの独立性を維持する。 |
| 主な部門 | 業務執行部門 | リスク管理部門/コンプライアンス部門 | 内部監査部門 |
| レポート先 | 最高業務執行責任者 最高財務責任者 | 最高リスク管理責任者 | 監査等委員会 |
となるものと思われます。
日本語の翻訳は、経営管理者とされていますが、むしろ、活動にフォーカスがなされているので、経営管理としておきます。
第1ラインについては、
- 業務と(インターナル・コントロールを含む)リスクを管理するために、適切な構造とプロセスを確立して維持する。
- 法規制上のおよび倫理的な期待事項への遵守を確実にする。
とされています。
これに対して第2ラインについては、
- プロセス、システム、および全社レベルでの(インターナル・コントロールを含む)リスク・マネジメント実務の策定、導入、および継続的な改善。
- 法規制および許容される倫理的行動の遵守、インターナル・コントロール、ITセキュリティ、持続可能性、および品質保証のような、リスク・マネジメント目標の達成。
- (インターナル・コントロールを含む)リスク・マネジメントの妥当性と有効性に関する分析とレポートを提供する。
とさています。
第1ラインと第2ラインについていえば、第1ライン自体は、それ自体としてリスクオーナーである活動、第2ラインは、評価・措置に対する支援活動として整理されるということになります。もっとも、
部門、チーム、さらには個人も、第1ラインと第2ラインの両方の役割を含む責任を負う場合がある。
とされています。その意味で、厳密にわけることができるかという問題はありそうに思います。が、第2ラインの活動の確立というのは、きわめて重要な活動であるということは、いうまでもないことです。
また、日銀資料においては、準拠性検査が明確に第2ラインのミッションとして明確化されているのは、興味深いです(資料16頁)。
3.4 内部監査
また、内部監査部門については
- ガバナンスと(インターナル・コントロールを含む)リスク・マネジメントの妥当性と有効性について、経営管理者と統治機関に独立にして客観的なアシュアランスと助言を伝達することにより、組織体の目標達成を支援し、継続的な改善を奨励して促進する。
- 独立性と客観性の侵害を統治機関に報告し、必要に応じてセーフガードを実行する。
とされています。
この内部監査部門について、詳細に論じているのは、日銀資料です。そこでは、
- 監査委員会が、3線の内部監査部門を指揮。
- 3線の内部監査部門は、社長CEOより社外取締役を優先。
- 社外取締役による経営目線の監査が主体。
- 内部監査人は、1線、2線に戻らない専門職が主体。
- 公認内部監査人(CIA)の資格取得を義務付け
とされています(資料16頁)。
3.5 3ラインモデルと法
3.5.1 モニタリング・モデルとマネジメント・ボード
日銀資料でも、そうですが、モニタリング・モデルとマネジメント・ボードということがいわれているので、まとめておきます。
| モニタリングモデル | マネジメント・ボード | |
| 機能 | 取締役会は、経営の基本方針内部統制のあり方、業務執行者の選解任、報酬といって戦略的意思決定や会社の基礎にかかわる重要事項についての意思決定を行い、基本的に個別具体的な業務執行の意思決定は行わない | 個別具体的な業務執行の意思決定をも行う意思決定機関として機能している |
| 構成員 | 取締役会の構成員の少なくとも過半数は経営者から独立した独立取締役である | 自社の事業や現場を熟知した内部昇格者を中心として構成されている |
法的には、
4 監査等委員会設置会社の取締役会は、次に掲げる事項その他の重要な業務執行の決定を取締役に委任することができない。
一 重要な財産の処分及び譲受け
二 多額の借財
三 支配人その他の重要な使用人の選任及び解任
四 支店その他の重要な組織の設置、変更及び廃止
五 第六百七十六条第一号に掲げる事項その他の社債を引き受ける者の募集に関する重要な事項として法務省令で定める事項
六 第四百二十六条第一項の規定による定款の定めに基づく第四百二十三条第一項の責任の免除
となっています。ただし、「監査等委員会設置会社の取締役の過半数が社外取締役である場合には、当該監査等委員会設置会社の取締役会は、その決議によって、重要な業務執行の決定を取締役に委任することができる。(例外あり)」となっています。その意味で、モニタリング・モデルとマネジメント・ボードモデルとどちらを範としているということはいえないことにとなります。
3.5.2 内部監査と3ラインモデル
なお、上の図のところで「監査等委員会の立て付け」となっていて、内部監査と第2ラインまでかかっていることになっています。これは、基本的に監査等委員会設置会社において
監査等委員会は、独人制は、認められておらず、監査等委員会は、指名委員会等設置会社の監査委員会と同様に会議体として組織的な監査を行い、監査を行うに際し、株式会社の業務の適正を確保するために必要な態勢(内部統制システム)を利用することが想定されている。すなわち、典型的には、監査等委員は、内部統制システムが取締役会により適切に構築・運営されているかを監視し、また、必要に応じて内部統制部門(内部監査部門、コンプライアンス所管部門、経理部門、財務部門そのた内部統制機能を所管する部署など)や内部統制システムを利用して監査に必要な情報を入手し、必要に応じて内部統制部門に対して具体的支持指示を行う方法で、監査を行うことが想定されている
とされています(97頁太子堂厚子「Q&A 監査等委員会設置会社の実務」)。
そこでは、第2ラインの活用、第3ラインの活用については、どちらにかぎるとか、この方式が良いというものではないことがわかります。
3ラインモデルといっても、わが国でこれを適用する限り、法の規定との関係を見ておく必要があると思いますが、なかなか、この点について、ふれるものがないので、このような形で捉えるのは、勉強になりました。
そもそも、会社法もよくできているわけなので、むしろ、具体的にどのような仕組みを与えて、それをきちんと動かしていくというのが重要だということになるものと考えられます。
