top of page
執筆者の写真内部監査.com

3つのディフェンスライン(three lines of defense)

3つのディフェンスライン(Three Lines of Defense)の考え方は、20年以上に渡り組織内でのリスク管理の領域において受け入れられているモデルです。


2011年にECIIA(European Confederation of Institutes of Internal Audit)とFERMA(Federation of European Risk Management Associations)により共同公表された"the 8th EU Company Law Directive article 41"において整理・定式化されました。


その後、2013年にIIAのポジションペーパー"THE THREE LINES OF DEFENSE IN EFFECTIVE RISK MANAGEMENT AND CONTROL"においても採用されました。


3つのディフェンスラインの概要

3つのディフェンスラインは、組織内のリスク管理についての説明モデルです。リスク管理における重要な役割・責任を明確化することにより、組織内におけるリスク管理活動相互の関係を整理します。


Fortunately, best practices are emerging that can help organizations delegate and coordinate essential risk management duties with a systematic approach. The Three Lines of Defense model provides a simple and effective way to enhance communications on risk management and control by clarifying essential roles and duties. It provides a fresh look at operations, helping to assure the ongoing success of risk management initiatives, and it is appropriate for any organization — regardless of size or complexity. Even in organizations where a formal risk management framework or system does not exist, the Three Lines of Defense model can enhance clarity regarding risks and controls and help improve the effectiveness of risk management systems. The Three Lines of Defense in Effective Risk Management and Control
1. 3つのディフェンスライン(Three Lines of Defense)モデルとは何ですか? 3つのディフェンスラインは、組織体がリスク・マネジメントとコントロールを構成する様々な活動や責任を理解するのに役立つことを目的で用いられる説明モデルです。通常、責任は複数の機能間で共有されていることから、混乱、重複、ギャップを避けるために明確なイメージを持つことが重要です。 Three Lines of Defense IIA Exposure Document FAQ (Japanese)

3つのラインの役割

3つのディフェンスラインは、組織内のリスク管理機能を、リスクとの関係において定義される3つのグループ(ライン)に分類し、相互の関係を整理するものです。


第1のラインは主体的なリスク管理機能、第2のラインはリスク監視機能、第3のラインはリスク管理についての独立した検証機能を担うものとされます。


こうした3つのラインについて、第1のラインは事業部門、第2のラインは管理部門、第3のラインは監査部門に対応すると説明されることもあります。しかし、それぞれのラインが、特定の部門と結びついているものと考えるべきではないことには留意すべきです。ラインと部門との対応は、一般的に、企業における部門構成が機能に基づくことによる結果的なものと考えるべきです。


The Three Lines of Defense model distinguishes among three groups (or lines) involved in effective risk management: ・Functions that own and manage risks. ・Functions that oversee risks. ・Functions that provide independent assurance. The Three Lines of Defense in Effective Risk Management and Control
2. モデルの中の「3つのライン」とは何ですか? 現行モデルの中核原則は、1つの組織体内には統治機関の監督とリーダーシップの下で、リスク・マネジメントとコントロールの側面について責任を共有する3つの明確な機能グループが存在するというものです。 ・第1のライン: 業務運営部門の経営管理機能が日常の業務運営上のリスクの管理と効果的なコントロールの実施を担います。 ・第2のライン: 複数の機能(リスク、コントロール、品質、コンプライアンス、法務、 情報セキュリティ等)が、業務運営部門の経営管理者によるリスクの識別、理解、およびコントロールを支援する役割を担います。 ・第3のライン: 内部監査がリスク・マネジメントとコントロールの有効性について、独立した客観的なアシュアランスを提供します。 統治機関、最高経営者、外部監査、規制当局も重要な役割を果たします。 Three Lines of Defense IIA Exposure Document FAQ (Japanese)

3つのディフェンスラインに関する近時の課題

3つのディフェンスラインにおいては、第1のラインが日常業務におけるリスク管理活動の第一次的な責任を担い、第2・第3のラインは、こうした第1のラインのリスク管理活動を前提として、それぞれ監視・検証を行います。第1のラインにおける主体的なリスク管理機能は、3つのディフェンスラインのモデルの全体の基礎となるものといえます。


しかし、次のような事情から、第1のラインの主体的なリスク管理機能が十分に発揮されていない事例が少なくありません。


  • 第1のラインにおいて、日常業務におけるリスク管理活動についての第一次的責任を自らが担っているという3つのディフェンスラインの考え方についての基本的な理解が不足しており、第1のラインの自らの役割・責任についての認識が十分でない。

  • 近時の企業活動の高度化・複雑化に伴い、リスク管理活動においても専門的知見が求められる一方で、第1のラインにおいてそうした専門性が備わっていない。

3つのディフェンスラインにおいて、リスク管理機能は、1つのラインで完結することが原則ではありますが、実際に困難であることは、IIAのポジションペーパーでも指摘されているところです。


In a perfect world, perhaps only one line of defense would be needed to assure effective risk management. In the real world, however, a single line of defense often can prove inadequate. Management establishes various risk management and compliance functions to help build and/or monitor the first line-of-defense controls. The Three Lines of Defense in Effective Risk Management and Control

第2のラインからの支援も含めつつ、第1のラインでのリスク管理機能の十全化は、多くの企業に課題です。

bottom of page