今回は、内部監査人協会（IIA)の３つのディフェンスラインモデルの活用*1を元に、セキュリティや品質向上の観点で考えてみたい。３つのディフェンスラインモデルというのは字数が多くなるので、普段は３線モデルと自分たちは呼んでいる。

 

　この報告書の資料自体、２０１５年に公表されたものだが、今でも参考になるところが非常に多い。まずは、第１・第２・第３で並べて書いたもの。最近は、情報セキュリティの対策強化の観点で引用することが多いが、実際はセキュリティは単なる一要素であり、実際にはガバナンス全般の対策強化の考え方である。

　この中で、第１のディフェンスラインとなるのは、経営者のコントロール配下である。会社であれば企業であるし、会社の中でマイクロマネジメントを推奨しているのであればよりその組織の部分集合が第１線である。社長が会社の経営を適切に回し、情報セキュリティ責任者がセキュリティリスクを抑止するために必要な対策を行うのが、まずは基本である。

　続いて第２のディフェンスラインとなるのが、１線を統括監理する役割の部署。グループ会社であれば、ホールディングであろうし、それ以外にも１線を監理することを所掌に置かれているところが第２線となる。セキュリティだけでなく、財務管理やリスクマネジメント等、専門人材を第１のディフェンスラインで十分に揃えることが厳しいことから、第２線は第１線がうまくいくように対応していく。その手法として、以下の点が挙げられている。

 

第2ディフェンスラインでの支援手法 リスクを管理するためのプロセスとコントロールを設計し整備して、経営者を補佐。 モニターすべき活動および経営者の期待と比較した達成度の測定方法の決定。 内部統制活動の妥当性と有効性のモニタリング。 重大な問題、新たなリスク、異常値の上申。 リスクマネジメントフレームワークの提供。 組織のリスクとコントロールに影響する既知および新たなリスクの識別とモニタリング。 組織の潜在的なリスク選好とリスク許容度の変化の識別。 リスクマネジメントとコントロールプロセスに関するガイダンスと研修の提供。

　このうち、下線を引いた５点が、このモデルを実行的にするための肝だと思う。

１．リスクを管理するためのプロセスとコントロール・・・第１線も本来コントロールをしている。だけど２線が出てくることで、何を言われるのかと構えてくる。２線としても、すべてのリスクに対して支援はできないので、まずは自分が担当するリスクと、コントロール手法を明示する。

２.　２線のコントロールは、通常１線からみると、存在がウザい。だけど経営層の要望が何かを示し、それに基づいて評価軸、アセスメントを作る。

４．　観測を続けると問題が見つかったり、新たなリスクが見えてくる。継続的な観測、モニタリング、アセスメントの中で、なにかその予兆が見えないかどうかを見えるようにしたい。まずは異常値が何かを定義し、それを青黃赤の信号に変える。この信号のロジックがリスクのコントロールの肝であるし、通常は信号を見る人は信号を見て進むのか止まるのか、行動を変える。ただし、立場の違うヒトが信号を見て勝手に大騒ぎされないように、自分の見るべき信号かどうかを明示しておく必要がある。

６. 　組織のリスクは、通常１線で洗い出してコントロールする。２線の役割は、１線の管理内容を踏まえて、どうしても見られないものを見えるようにしたり、１線で苦労する新たなリスクに気がつけるように観測を進める。この観測は１線にも協力をお願いしないといけないので、２線としても何をどう監理するのかは、いくら経営層のお墨付きだとは言っても、第１線がわかるように説明責任がある。

８．　１線と２線が良い制御関係を作ったら、１線のヒトに役立つガイドラインや研修を行うのは効果的。１線は通例、たくさんのルールの中で何をやっていいのか混乱していることが多いので、混乱しないようにリファレンスをつくるとか、研修で理解いただくのは大事。

 

　ここまで落とし込んでから、フィロソフィを関係組織で握れると、統制も楽しくなる（ことを期待している。いつも）