最近、３ラインモデルの推進、実践に関わる仕事が続いている。自分としてのマイブームなんだけど、世の中でも普及しつつある考え方なのかな。

 

まずは日本内部監査協会の解説資料

https://www.iiajapan.com/leg/pdf/data/iia/2020.07_1_Three-Lines-Model-Updated-Japanese.pdf

　他、各会社が解説記事を書いている。こんなポンチ絵が載っている。

　単に自分が目にしてなかっただけなんだと思うけど、昨年度まではあまり見たことない図だった。簡単に図の補足をすると、組織のガバナンス統治モデルとして、第１～第３ラインに役割を分けて定義されている。ここで扱われるテーマは、いつも述べているセキュリティが扱われることもあるが、いわゆる内部統制、内部ガバナンスのためのモデルなので、セキュリティは単にその中の１要素である。

　第１ラインというのはいわゆる現場の人。様々なリスクをヘッジしながら事業を安定運用し、拡大することを推進するヒト。上記の図には製品やサービスと書いてあるけど、まあ、継続的に顧客に対して製品やサービスを提供するのが事業なので、特に違和感があるわけではない。

　第２ラインは、「リスクに関連する事項について、専門知識の支援、モニタリングの提供及び異議申し立て」、と、ある。この役割に、このところ連続して当たっている。

　専門知識というのは、セキュリティ対策もそうだし、IT化とか、DX化とか、そういうことを進めることを支援する役割。よく、◯◯人材が◯万人不足するという、正しさの検証のしようがない記事を見ることがある。世の中の傾向として、インターネットが当たり前になったのでセキュリティは大事だし、人手不足・品質と効率化のためにDXも大事。いまさらIT化の重要性は論じるまでもなく、だ。

　第２ラインとしては第１ラインを支援する。支援しているつもりなんだけど、第１ラインからすると、第２ラインは鬱陶しかったり、屋上屋を架しているようにも見える。この点は、トップダウンに進めることが楽なこともあるけど、逆に第２ラインが提供する規程が的はずれだったりすると、第１ラインみんなを振り回してしまう。この点はよく現場を知り、適切な規程を定めて、継続的にモニタリングする。

　第３ラインは、ちょっと立場的に離れて監査を実施する。監査権を持つ監査人が監査することもあるが、オオゴトになるから、通常は内部監査人が内部監査として監査して第１ラインにリスクを示して改善策の立案を求める。第１ラインが対策立案に苦労していると、第２ラインが支援して、第１ラインのガバナンス推進を支援する。

こんな感じ。

 

　最近は、大企業も多角化で、組織グループ内にさまざまな事業を持っているし、逆に様々な事業の基盤（概ねIT基盤かな）を統合して、俯瞰的に対策を出すのもこのモデルが引用される。

　で、よくわからないなーとなると、そんなときにコンサル会社に支援を頼むんだろうなぁ。でも、コンサル会社はIT基盤のことは、通常知らないことが多い。しらんけど。