今回は、内部監査人協会(IIA)の3つのディフェンスラインモデルの活用*1を元に、セキュリティや品質向上の観点で考えてみたい。3つのディフェンスラインモデルというのは字数が多くなるので、普段は3線モデルと自分たちは呼んでいる。
この報告書の資料自体、2015年に公表されたものだが、今でも参考になるところが非常に多い。まずは、第1・第2・第3で並べて書いたもの。最近は、情報セキュリティの対策強化の観点で引用することが多いが、実際はセキュリティは単なる一要素であり、実際にはガバナンス全般の対策強化の考え方である。
この中で、第1のディフェンスラインとなるのは、経営者のコントロール配下である。会社であれば企業であるし、会社の中でマイクロマネジメントを推奨しているのであればよりその組織の部分集合が第1線である。社長が会社の経営を適切に回し、情報セキュリティ責任者がセキュリティリスクを抑止するために必要な対策を行うのが、まずは基本である。
続いて第2のディフェンスラインとなるのが、1線を統括監理する役割の部署。グループ会社であれば、ホールディングであろうし、それ以外にも1線を監理することを所掌に置かれているところが第2線となる。セキュリティだけでなく、財務管理やリスクマネジメント等、専門人材を第1のディフェンスラインで十分に揃えることが厳しいことから、第2線は第1線がうまくいくように対応していく。その手法として、以下の点が挙げられている。
第2ディフェンスラインでの支援手法 |
このうち、下線を引いた5点が、このモデルを実行的にするための肝だと思う。
1.リスクを管理するためのプロセスとコントロール・・・第1線も本来コントロールをしている。だけど2線が出てくることで、何を言われるのかと構えてくる。2線としても、すべてのリスクに対して支援はできないので、まずは自分が担当するリスクと、コントロール手法を明示する。
2. 2線のコントロールは、通常1線からみると、存在がウザい。だけど経営層の要望が何かを示し、それに基づいて評価軸、アセスメントを作る。
4. 観測を続けると問題が見つかったり、新たなリスクが見えてくる。継続的な観測、モニタリング、アセスメントの中で、なにかその予兆が見えないかどうかを見えるようにしたい。まずは異常値が何かを定義し、それを青黃赤の信号に変える。この信号のロジックがリスクのコントロールの肝であるし、通常は信号を見る人は信号を見て進むのか止まるのか、行動を変える。ただし、立場の違うヒトが信号を見て勝手に大騒ぎされないように、自分の見るべき信号かどうかを明示しておく必要がある。
6. 組織のリスクは、通常1線で洗い出してコントロールする。2線の役割は、1線の管理内容を踏まえて、どうしても見られないものを見えるようにしたり、1線で苦労する新たなリスクに気がつけるように観測を進める。この観測は1線にも協力をお願いしないといけないので、2線としても何をどう監理するのかは、いくら経営層のお墨付きだとは言っても、第1線がわかるように説明責任がある。
8. 1線と2線が良い制御関係を作ったら、1線のヒトに役立つガイドラインや研修を行うのは効果的。1線は通例、たくさんのルールの中で何をやっていいのか混乱していることが多いので、混乱しないようにリファレンスをつくるとか、研修で理解いただくのは大事。
ここまで落とし込んでから、フィロソフィを関係組織で握れると、統制も楽しくなる(ことを期待している。いつも)