Risk Oversight vol.51 5つのディフェンスライン－株主の視点から

主要な考慮事項

ディフェンスラインモデルは、単なる職務分掌・相互牽制で はなく、より高次元のものであり、リスク管理の根本的な概 念を重視し、「取締役会会議室から顧客に対応する現 場まで、コンプライアンスリスクを含めたリスク管理は、組 織の全構成員の責任である」ということを示すものです。

一般的に知られている3 つのディフェンスラインの考え方 では、事業部門管理者やプロセス・リスクオーナーが第 1 のディフェンスライン、独立したリスク・コンプライアンス部門 が第 2のディフェンスライン、内部監査部門が第 3のディ フェンスラインを構成します。この考え方には利点もありま すが、株主はじめ外部者の視点からはより広い考え方を とることがふさわしいでしょう。それが、企業のリスク管理・ コンプライアンス管理の実行を支える5 つのディフェンスラ インです（図：「5 つのディフェンスライン」参照）。^[1] 

企業の姿勢：この項では、リスク管理、コンプライアンス、倫理的行動に関する経営トップの姿勢、中間層の姿勢、 現場の姿勢の総体的影響を示すものです。トップの姿勢 は勿論重要かつ決定的な意味を持つ基盤ではあります が、現実的には、いかに組織のトップがビジョンやミッション やコアバリューや倫理的行動へのコミットメントを伝えようと も、実際に従業員の行動を動機付けるのは直属の上司か ら見聞きすることです。

企業の姿勢は、企業のリスク文化に及ぼす影響が大きい ことから、第  1のディフェンスラインとなります。経営者は、「全員がリスク管理に対して責任がある」ということを全 組織に浸透させ、後に述べる他のディフェンスラインを配 置することによって、適切な姿勢を先導することができま す。取締役会は、独立したリスク管理部門・コンプライアン ス部門（第3のディフェンスライン）および内部監査部門（第 4のディフェンスライン）が、重要なリスク・コンプライアンス問 題が顕在化した場合に取締役会への報告を実施するこ とを妨げるものがないように気を配らなければなりません。 それには適切な職能部門長や監査部門長との定期的な 幹部会議が役に立ちます。正式な報告プロセスに関して 言えば、CEO（またはリスク委員会等）が第2と第3のディフェ ンスライン間の議論を解決する際も、取締役会はその議論 が重要かそうでないか知らされるべきです。これらの活動 が総じて企業の適切な姿勢を構築するのに役立ちます。

事業部門管理者・プロセスオーナー：リスクを生じる事業・プロセスに責任を負うものは、これらの事業・プロセス から生じるリスクを担いかつ管理する最終的な責任があ り、また、トップの姿勢に即してリスクを管理する姿勢を構 築しなければなりません。第一義的リスクオーナーとして、 これらの管理者は目的を設定し、リスク対応を確立し、人 材を教育し、リスク対応戦略を導入・強化しなければなりま せん。事業部門管理者・プロセスオーナーはデイリーベー スで有効な内部統制手続きを運用しており、リスクを生じ させる活動とリスク管理能力を統合するのに最適な地位 にいます。その上で彼らは、リスク管理・コンプライアンス 部門の監視機能や内部監査部門のアシュアランス機能 を受け入れかつ協力しなければならず、もしそのような姿 勢が見られなければそれ自体危険信号といえます。
 
独立したリスク管理・コンプライアンス部門   ：  効果的なリスク・コンプライアンス管理には、リスクを管理するための 全社的なフレームワークが存在し、リスクオーナーがフレー ムワークに沿って活動し、リスクが適切に測定され、リスク 限界が遵守され、リスク報告プロトコルが規定どおり機能 していることを確認する独立した、権限を持つ部門が必 要です。業種により、このような職能には、コンプライアン ス、環境、財務、安全衛生、検査、法務、品質管理、リスク 管理、セキュリティ・プライバシー、サプライチェーンを含むこ とがあります。これらの職能は事業部門管理者・プロセス オーナーと協働し、識別されたリスクを低減するコントロー ルや他のプロセスを策定かつモニターし、また、独立したリ スク評価を実施し、経営者ならびに取締役会に新たなリ スクやコンプライアンス上の問題を知らせます。

真に企業内で客観性を保持し、効果的な立場を保つ には、リスク管理・コンプライアンス部門は事業部門、ビジネ スライン、顧客とのフロントラインから分離独立しているこ とが必要です。CEOや取締役会の姿勢により、これらの 部門が強固な第三のディフェンスラインとなるかが決まっ てきます。例えば、これらの部門が意味あるディフェンスラ インに必要となる差し止め権や上申する権限を持ってい なければ、単なる擁護者、ファシリテーターまたは報告者に とどまってしまいます。

内部監査部門：第 4のディフェンスラインは、他のディフェンスラインが有効に機能しているかを確認する役割を担 います。内部監査部門は、ディフェンスラインフレームワー クを用いて、監査業務をリスク管理に関するものまで広げ ることにより、より存在価値を高めるべきです。内部監査 部門は内部統制やリスク管理手続きをレビューし、リスク、 問題ならびに改善点を識別し、提言を行い、取締役会と 経営者に問題点の現状を報告します。

取締役会のリスク監視と経営者  ： 取締役会と経営者 は最終ディフェンスラインとして、それぞれかつ異なった役 割を担います。報告されたリスク情報に対応する能力が 最重要です。近視眼的・短期的な利益を追求する活動 によって引き起こされる企業内の盲点の存在、透明性の 欠如、不均衡な報酬体系その他経営トップの姿勢に関す る問題は重大な時点における行動を阻害しかねません。リーダーシップ不全により必要な行動を怠ると、いかに各 種ディフェンスラインが整備されていようと、最も強固なリス ク管理能力でさえも弱体化してしまいます。

取締役会の監視の下、経営者は事業部門管理者と独立 したリスク管理・コンプライアンス部門の間の必然的な葛藤 について、両活動のバランスを適切にとり、不相応に一方 に偏らないように管理しなければなりません。経営者は、こ の価値創造と価値保全の葛藤を最適化するために適切 なバランスをとるように、ガバナンスプロセス、リスク管理能力、 内部統制を整備する必要があります。さらに重要なことは、 リスク情報が報告されたときは、適時に行動し、必要に応じ て適時に取締役会の関与を求めなくてはなりません。この 点で、重大な問題が報告された場合に、経営者と取締役 会のリスク監視は最終ディフェンスラインを構成します。

5 つのディフェンスラインモデルは、取締役会のリスク監視 プロセスにおいて何を求め、何を期待するかについて強 力な視点を提供します。このモデルは、企業がリスクに対 応する上での統合的アプローチとなります。また、このモ デルは経営者および取締役会に対し、企業がリスク管理 にどのように取り組むべきかの方向性を示すものであり、重 大な問題が報告された際に、企業価値の創造と保全の 間の適切なバランスをとることは最終的には自分自身の責 任であることを気付かせてくれるものです。重要な意思 決定を迫られたときこそ、経営者と取締役会の行動、ある いは不作為が企業の生き残りに大きな影響を与えます。

[1] 5 つのディフェンスラインの詳細についてはプロティビティBulletin vol.5 Issue 5 “Applying the Five Lines of Defense in Managing Risk”