3 つのディフェンスラインを再定義すべきとき

Daniel A. Clark

Daniel A. Clark

Washington Trust Bank 内部監査担当役員

内部監査部門は独立しているべきか、最初の 2 つのディフェンスラインにさらに統合されるべきか。 ディフェンス ラインというモデルについて再考すべきときかもしれません。

企業を統制する側にいる私たちはもう何年も、経営陣やその他利害関係者に向けて 3 つのディフェンスラインについて説明してきました。 ディフェンスラインについて初めて聞く方たちのために説明すると、このディフェンスラインとは組織が取る防衛線モデルのことで、企業は第 1 および第 2 ディフェンスラインでリスクに対抗する責任を負い、そして第 3 ディフェンス ラインを引き受けるのは内部監査であるということを提示しています。 このように防衛線を三段階に分けることには様々な良い理由があるのです。

もしかすると今、このモデルをあるべき形に進化させる時なのかもしれません。

「リスクマネジメントにおける応急的な最後の砦として内部監査を独立部門として常設することにもはやメリットはありません。」

私たちはもっと賢くあるべきです。内部監査を独立部門として擁することは最大限かつ最良の価値を提供できるはずの要所に関わらせないという単なる言い訳に過ぎないということに気づかなければなりません。

内部監査をほかの 2 つのディフェンスラインと統合することは、リスクマネジメントの機能を真の意味で高める可能性を秘めています。 リアルタイムで更新されるアプリケーションを組織のガバナンス、リスク、コンプライアンス (GRC) のビジョンや ERM で期待する情報に直接関連づけるものもこれに該当すると言えるでしょう。 フットボールでは攻撃に勝る防御なしと表現されるように、内部監査を積極的に攻める側に変えるときが来ました。

それでは、必要な独立機能を維持しつつ、攻めの内部監査を構築するにはどうしたらよいのでしょうか。その方法を見ていきましょう。

企業による統制のレビュー: 第 1 ディフェンスライン

統制の効果について独立した評価を行うことは内部監査の基本です。 プロセスが改訂ないし新規策定されている間、またはプロセス再設計の導入段階であっても、監査人に統制をレビューさせること自体に何ら間違いはありません。 こうして、統制が導入される前に変更を可能にする提案統制制度という、リアルアイムでレビューする仕組みを企業に構築できます。

早期に統制をレビューする副次的メリットを具体的に挙げるとすれば、 重複する統制内容をそぎ落とせますし、複数の統制が連動しているかを確認することが実際、企業が求める方法でリスクを軽減することにつながります。

統制機能のレビュー: 第 2 ディフェンスライン

3 つのディフェンスライン モデルには、内部監査は、経営陣が導入したさまざまな内部統制機能を信頼できるという前提があります。 これが正しいと考えるのであれば(というよりそう考えるべきなのですが)、なぜ内部監査は、目標を達成するために必要な適切な組織体制、スキル、プロセスを提案して、経営陣をサポートしないのでしょうか。

内部監査は、基準に対してあらゆる統制機能(コンプライアンス テスト、品質管理、信用リスクレビューなど)をレビューし、全面的な信頼をサポートします。 そして、こうした統制機能を確立する間にこのレビューを実施して、さらに強固で持続可能なプロセスを作り上げる必要があります。 この一連の活動を通して、企業の無駄な支出を抑え、第 2 ディフェンスラインの守りを固めるのです。

統合 GRC: ERM の真髄

最後に、GRC は情報の共有レポジトリです。 内部監査は ERM の目的で GRC を上手く導入したり開発したりする取り組みに積極的に参加するべきです。 監査でテスト、リスク評価、監視を行った結果は、企業に統制やリスクマネジメントの取り組みが有効だと第三者の視点で確認したことを示します。

内部監査で企業の GRC ツールを追加していれば、経営陣はすぐに、リスクや統制の全容をもっと明確に把握できるでしょう。 そうして内部監査は、統制が有効だと第三者の視点で確認を示すことで、リスクマネジメントにおけるパートナーになるわけです。 経営陣からすると、これはある種の「ワンストップショッピング」です。 内部監査側からすると、監査人が信用するに足る監査人になるという道のりを歩むということです。

別々に分かれてリスクマネジメントに取り組む時代は終わりを迎えなければなりません。 内部監査と企業のほかの部門は、リスクに対抗する味方としてもっと互いに交わることができるのです。 ERM と GRC ツールの活用により、連携はさらに簡単になりました。 今こそこれを実現するべきです。

eBook

内部監査人と協力してリスクを処理する

この eBook は以下のことを取り上げています。

  • リスク評価プロセスを活用して、リスクレベルを低・中・高に分類する方法
  • スコアカードとヒートマップを活用してリスクの優先度を付ける方法
  • 変化するリスク プロファイルを着実に把握しつつ、リスク ベースの監査計画を立てるためのベストプラクティス
  • リスクを特定するためのアナリティクスと公的機関や民間企業のケーススタディの事例紹介
  • リスク評価でアナリティクスを応用するための 6 ステップ

eBook をダウンロード

関連記事

lang="en-US"
X

Galvanize は Diligent になりました。

製品提供、研究、GRCリソースに関する最新情報を確実に入手するには、またはGalvanize製品にログインするには、 www.diligent.com

Diligentを開く ログイン