CIAフォーラムNo.e10表紙

Similar documents
[ 指針 ] 1. 組織体および組織体集団におけるガバナンス プロセスの改善に向けた評価組織体の機関設計については 株式会社にあっては株主総会の専決事項であり 業務運営組織の決定は 取締役会等の専決事項である また 組織体集団をどのように形成するかも親会社の取締役会等の専決事項である したがって こ

8. 内部監査部門を設置し 当社グループのコンプライアンスの状況 業務の適正性に関する内部監査を実施する 内部監査部門はその結果を 適宜 監査等委員会及び代表取締役社長に報告するものとする 9. 当社グループの財務報告の適正性の確保に向けた内部統制体制を整備 構築する 10. 取締役及び執行役員は

内部統制ガイドラインについて 資料

品質マニュアル(サンプル)|株式会社ハピネックス

ISO9001:2015規格要求事項解説テキスト(サンプル) 株式会社ハピネックス提供資料

Microsoft Word - 内部統制システム構築の基本方針.doc

ISO9001:2015内部監査チェックリスト

預金を確保しつつ 資金調達手段も確保する 収益性を示す指標として 営業利益率を採用し 営業利益率の目安となる数値を公表する 株主の皆様への還元については 持続的な成長による配当可能利益の増加により株主還元を増大することを基本とする 具体的な株主還元方針は 持続的な成長と企業価値向上を実現するための投

CCSAスタディガイド 解説コース

どのような便益があり得るか? より重要な ( ハイリスクの ) プロセス及びそれらのアウトプットに焦点が当たる 相互に依存するプロセスについての理解 定義及び統合が改善される プロセス及びマネジメントシステム全体の計画策定 実施 確認及び改善の体系的なマネジメント 資源の有効利用及び説明責任の強化

パラダイムシフトブック.indb

5) 輸送の安全に関する教育及び研修に関する具体的な計画を策定し これを適確に実施する こと ( 輸送の安全に関する目標 ) 第 5 条前条に掲げる方針に基づき 目標を策定する ( 輸送の安全に関する計画 ) 第 6 条前条に掲げる目標を達成し 輸送の安全に関する重点施策に応じて 輸送の安全を確 保

6 当社は 反社会的勢力に対しては一切の関係をもたず 不当要求を受けた場合等の 事案発生時には 総務部を対応統括部署として警察および顧問弁護士等と連携し毅然とした態度で対応する (2) 取締役の職務の執行に係る情報の保存及び管理に関する体制 1 当社は 取締役の職務の執行に関する情報 ( 株主総会議

J-SOX 自己点検評価プロセスの構築

安全管理規程

JICA 事業評価ガイドライン ( 第 2 版 ) 独立行政法人国際協力機構 評価部 2014 年 5 月 1

監査に関する品質管理基準の設定に係る意見書

2. 開示すべき重要な不備 の原因分析 内部統制報告書の 開示すべき重要な不備の内容及び 理由 及び 開示すべき重要な不備の是正に向けての 方針 等の記載事項から 開示すべき重要な不備 の 主な原因を整理すると以下の通りです 制度開始以来 決算業務に係る事項 ( 決算プロセスの体制の不備 重要な決算

直しも行う これらの事務については 稟議規程 文書管理規程 契約書取扱規程は管理本部長が所管 情報管理規程 情報セキュリティ管理規程はコンプライアンス推進部長が所管し 運用状況の検証 見直しの経過等 適宜取締役会に報告する なお 業務を効率的に推進するために 業務システムの合理化や IT 化をさらに

Microsoft Word - 【施行②】第50条解釈適用指針Rev4.doc

目次 4. 組織 4.1 組織及びその状況の理解 利害関係者のニーズ 適用範囲 環境活動の仕組み 3 5. リーダーシップ 5.1 経営者の責務 環境方針 役割 責任及び権限 5 6. 計画 6.1 リスクへの取り組み 環境目標

JCROA自主ガイドライン第4版案 GCP監査WG改訂案及び意見

5. 内部統制推進部内部統制推進部は NEC グループ企業行動憲章 および NEC グループ行動規範 の周知をはじめとしたコンプライアンス徹底のための各種施策を企画立案し 実施しています また 事業部門およびスタッフ部門が実施するリスクマネジメントが体系的かつ効果的に行われるように 必要な支援 調整

第 2 章職階および等級 ( 職 階 ) 第 7 条 職階は 職務遂行に要求される能力の範囲と程度に基づき 一般職 監督職 管理職およ ( 等級 ) 第 8 条等級は 各々の職階における職務遂行能力の成熟度の差に応じ 次の9 等級に区分するものとする 2. 前項の職階および等級の職能資格基準は 別表

第 3 章 保険募集管理態勢の整備と内部監査 法令等遵守態勢の確認検査用チェックリスト とは別に 保険募集管理態勢の確認検査用チェックリスト により検証する構成がとられています これは 保険募集に関する法令等遵守の重要性が高く また 着目すべきポイントが多岐に渡っていることを反映したものとも考えられ

修-CIA Exam Change Handbook_FAQs_ indd

第 3 章内部統制報告制度 第 3 節 全社的な決算 財務報告プロセスの評価について 1 総論 ⑴ 決算 財務報告プロセスとは決算 財務報告プロセスは 実務上の取扱いにおいて 以下のように定義づけされています 決算 財務報告プロセスは 主として経理部門が担当する月次の合計残高試算表の作成 個別財務諸

SGEC 附属文書 理事会 統合 CoC 管理事業体の要件 目次序文 1 適用範囲 2 定義 3 統合 CoC 管理事業体組織の適格基準 4 統合 CoC 管理事業体で実施される SGEC 文書 4 CoC 認証ガイドライン の要求事項に関わる責任の適用範囲 序文

COSOレポートの概要

< D92E8955C81698D488E968AC4979D816A2E786C73>

PYT & Associates Attorney at law

Microsoft Word - 講演録添付資料.doc

説明項目 1. 審査で注目すべき要求事項の変化点 2. 変化点に対応した審査はどうあるべきか 文書化した情報 外部 内部の課題の特定 リスク 機会 利害関係者の特定 QMS 適用範囲 3. ISO 9001:2015への移行 リーダーシップ パフォーマンス 組織の知識 その他 ( 考慮する 必要に応

<4D F736F F F696E74202D E9197BF A B90D88E9688C482CC8DC494AD96688E7E82C98CFC82AF82C482CC8E7793B1814

中小企業者等に対する金融の円滑化を図るための臨時措置に関する法律第 7 条第 1 項に規定する説明書類 奄美信用組合 奄美信用組合は 奄美地区における金融の円滑化への取り組みをこれまで以上に強化するとともに その取り組み姿勢をお客様にご理解していただき 借入の条件変更等に関する ご要望 ご相談に迅速

特定個人情報の取扱いの対応について

<4D F736F F F696E74202D2091E6368FCD5F95F18D908B7982D D815B >

ISO19011の概要について

ISO 9001:2015 改定セミナー (JIS Q 9001:2015 準拠 ) 第 4.2 版 株式会社 TBC ソリューションズ プログラム 年版改定の概要 年版の6 大重点ポイントと対策 年版と2008 年版の相違 年版への移行の実務

Microsoft PowerPoint - M1001_1_ ppt [互換モード]

<4D F736F F D208DBB939C97DE8FEE95F18CB48D EA98EE58D7393AE8C7689E6816A2E646F63>


4 研修について考慮する事項 1. 研修の対象者 a. 職種横断的な研修か 限定した職種への研修か b. 部署 部門を横断する研修か 部署及び部門別か c. 職種別の研修か 2. 研修内容とプログラム a. 研修の企画においては 対象者や研修内容に応じて開催時刻を考慮する b. 全員への周知が必要な

スキル領域 職種 : マーケティング スキル領域と MK 経済産業省, 独立行政法人情報処理推進機構

はじめに 本文書は トレッドウェイ委員会支援組織委員会 (COSO) と内部監査人協会 (II A) が共同で作成したものである 本文書は COSOの 内部統制の統合的フレームワーク 1 と3つのディフェンスラインモデル 2 を結びつけて内部統制に関する具体的な役割と責任の説明や割り当て方法のガイダ

Bカリキュラムモデル簡易版Ver.5.0

文書管理番号

1. はじめに 本格的な地方分権の時代を迎え 市民に最も身近な地方自治体は 市民ニーズに応じた政策を自ら意志決定し それを自己責任の下に実行することがこれまで以上に求められており 地方自治体の果たすべき役割や地方自治体に寄せられる期待は ますます大きくなっています このような市民からの期待に応えるた

(2) 総合的な窓口の設置 1 各行政機関は 当該行政機関における職員等からの通報を受け付ける窓口 ( 以下 通報窓口 という ) を 全部局の総合調整を行う部局又はコンプライアンスを所掌する部局等に設置する この場合 各行政機関は 当該行政機関内部の通報窓口に加えて 外部に弁護士等を配置した窓口を

する 2 利害関係者がこれを入手できる ISO14001 では利害関係者が入手可能なものとして 環境方針がある 環境方針と併せて利害関係者が要請した場合 渡すことが出来る状態にすることが必要である 一般的には自社のホームページに掲載していれば 誰でも入手可能な状態と言える (3) 環境マニュアルの例

PowerPoint プレゼンテーション

TPT859057

個人情報保護規定

AAプロセスアフローチについて_ テクノファーnews

Microsoft Word - IRCA250g APG EffectivenessJP.doc

平成18年度標準調査票

特定個人情報の取扱いの対応について

Microsoft Word - 内部統制報告書の訂正報告書の提出に関するお知らせ(リリース)

中小企業者等に対する金融の円滑化を図るための臨時措置に関する法律

ための手段を 指名 報酬委員会の設置に限定する必要はない 仮に 現状では 独立社外取締役の適切な関与 助言 が得られてないという指摘があるのならば まず 委員会を設置していない会社において 独立社外取締役の適切な関与 助言 が十分得られていないのか 事実を検証すべきである (2) また 東証一部上場

エチオピア 2017 年 2 月 エチオピアは FATF 及び ESAAMLG( 東南部アフリカ FATF 型地域体 ) と協働し 有効性強化及び技術的な欠陥に対処するため ハイレベルの政治的コミットメントを示し 同国は 国家的なアクションプランや FATF のアクションプラン履行を目的とした委員会

第 分科会 / 分科会 B 改正会社法等への対応状況と今後の課題 ディスカッションポイント ( 例 ) 参考資料 関西支部監査役スタッフ研究会報告書 改正会社法及びコーポレートガバナンス コードへの対応状況と監査役 監査役スタッフの役割と今後の課題. 監査役会の運営 改正会社法等により監査役会の開催

< F2D91DE E8BE08B8B D8790CF97A78BE082CC>

<355F838A E837D836C B E696E6464>

~この方法で政策形成能力のレベルアップが図れます~

( 内部規程 ) 第 5 条当社は 番号法 個人情報保護法 これらの法律に関する政省令及びこれらの法令に関して所管官庁が策定するガイドライン等を遵守し 特定個人情報等を適正に取り扱うため この規程を定める 2 当社は 特定個人情報等の取扱いにかかる事務フロー及び各種安全管理措置等を明確にするため 特

3 参照基準次に掲げる基準は この基準に引用される限りにおいて この基準の一部となる - プライバシーマーク付与適格性審査実施規程 - プライバシーマーク制度における欠格事項及び判断基準 (JIPDEC) 4 一般要求事項 4.1 組織 審査業務の独立性審査機関は 役員の構成又は審査業務

はじめに 個人情報保護法への対策を支援いたします!! 2005 年 4 月 個人情報保護法 全面施行致しました 個人情報が漏洩した場合の管理 責任について民事での損害賠償請求や行政処分などのリスクを追う可能性がござい ます 個人情報を取り扱う企業は いち早く法律への対応が必要になります コラボレーシ

上場会社監査事務所登録制度に係る規定要綱案

第5回 国際的動向を踏まえたオープンサイエンスの推進に関する検討会 資料1-1

図解COBIT5

JIS Q 27001:2014への移行に関する説明会 資料1

タイトル

個人情報管理規程

(別紙2)保険会社向けの総合的な監督指針(新旧対照表)

<4D F736F F D D9197A791E58A C8FAC924D8FA489C891E58A77838A E837D836C B4B92F65F E332E398E7B8D73816A>

Microsoft PowerPoint - ITGI JapanPresentation( 島田)

内部統制の基本的枠組み(案)

2 マンション管理業界の課題マンション管理業界の課題理事会理事会理事会理事会とのとのとのとのコミュニケーションコミュニケーションコミュニケーションコミュニケーション管理員管理員管理員管理員とのとのとのとのコミュニケーションコミュニケーションコミュニケーションコミュニケーション学習学習学習学習 研磨研

問 2 戦略的な知的財産管理を適切に行っていくためには, 組織体制と同様に知的財産関連予算の取扱も重要である その負担部署としては知的財産部門と事業部門に分けることができる この予算負担部署について述べた (1)~(3) について,( イ ) 内在する課題 ( 問題点 ) があるかないか,( ロ )

p81-96_マンション管理ガイド_1703.indd

5. 文書類に関する要求事項はどのように変わりましたか? 文書化された手順に関する特定の記述はなくなりました プロセスの運用を支援するための文書化した情報を維持し これらのプロセスが計画通りに実行されたと確信するために必要な文書化した情報を保持することは 組織の責任です 必要な文書類の程度は 事業の

4.7.4 プロセスのインプットおよびアウトプット (1) プロセスへのインプット情報 インプット情報 作成者 承認者 備 考 1 開発に関するお客様から お客様 - の提示資料 2 開発に関する当社収集資 リーダ - 料 3 プロジェクト計画 完了報 リーダ マネージャ 告書 ( 暫定計画 ) 4

日本企業のCSIRT実例紹介

審査の品質管理において取り組むべき事項 ( 平成 27 年度 ) 平成 27 年 4 月 28 日 特許庁 特許 Ⅰ. 質の高い審査を実現するための方針 手続 体制の整備 審査の質を向上させるためには 審査体制の充実が欠かせません そこで 審査の効率性を考慮しつつ 主要国と遜色のない審査実施体制の確

本日のポイント 事業のグローバル化の進展に伴い 長期ビジョンVG2020 * と共に現在のリスクマネジメントがスタート 経営陣とオムロンらしいリスクマネジメントは何かについて議論しながら 社会的責任の遂行 等を目標とする グローバル に 統合 された仕組み作りを目指して活動をしてきた 現在 取締役会

社会的責任に関する円卓会議の役割と協働プロジェクト 1. 役割 本円卓会議の役割は 安全 安心で持続可能な経済社会を実現するために 多様な担い手が様々な課題を 協働の力 で解決するための協働戦略を策定し その実現に向けて行動することにあります この役割を果たすために 現在 以下の担い手の代表等が参加

恣意的に限定した適用範囲になっていませんか 主力サイトは適用範囲外になっていませんか ( 当該サイト活動を適用範囲外することにより経営的に大きな影響を受けていませんか ) 環境マネジメントシステムの意図した成果 ( 箇条 4.1) に影響する部門 部署を除外していませんか 適用範囲に含まれるサイトと

経営活動の一環としての情報セキュリティ

agenewsプライバシーポリシー_0628_テキスト形式

組織内CSIRTの役割とその範囲

平成22 年 11月 15日

平成27年規程第20号_内部統制基本方針

解されなければならない 定義 主要株主 とは 当社の株主総会における議決権の 5 パーセント超を実質 的に保有している株主をいう ただし 信託業を営む者が信託財産として株式を保有している場合 証券業を営む者が引受けまたは売出しを行う業務により株式を保有している場合 または証券金融会社がその通常業務と

Microsoft Word - 01_LS研IT白書原稿_2012年度_統合版__ _v1 2.doc

平成22年○月○日

職務権限規程

従って IFRSにおいては これらの減価償却計算の構成要素について どこまで どのように厳密に見積りを行うかについて下記の 減価償却とIFRS についての説明で述べるような論点が生じます なお 無形固定資産の償却については 日本基準では一般に税法に準拠して定額法によることが多いですが IFRSにおい

適用時期 5. 本実務対応報告は 公表日以後最初に終了する事業年度のみに適用する ただし 平成 28 年 4 月 1 日以後最初に終了する事業年度が本実務対応報告の公表日前に終了している場合には 当該事業年度に本実務対応報告を適用することができる 議決 6. 本実務対応報告は 第 338 回企業会計

PowerPoint プレゼンテーション

Transcription:

CIA フォーラム No.e10 成果物 有効な三層ディフェンスラインの整備に向けて 内部監査部門の進むべき方向性 CIA フォーラム は CIA 資格保持者の研鑽及び相互交流を目的に活動する 一般社団法人日本内部監査協会の組織上の研究会のひとつである 各 CIA フォーラム研究会は 担当の座長が責任をもって自主的に運営し 研究期間 目標成果を設定し 研究成果を発信している この研究報告書は CIA フォーラム No.e10 研究会が その活動成果として取りまとめたものである 報告書に記載された意見やコメントは 研究会の見解であり協会の見解を代表するものではない

有効な三層ディフェンスラインの整備に向けて 内部監査部門の進むべき方向性 目次 はじめに... 1 第 1 章 三層ディフェンスラインの具体的な展開... 1 第 2 章 当研究会において認識された各層の課題... 4 (1) 第 1のディフェンスラインにおける課題... 4 (2) 第 2のディフェンスラインにおける課題... 5 (3) 第 3のディフェンスラインにおける課題... 6 第 3 章 有効な三層ディフェンスラインの整備に向けて... 7 (1) 第 1のディフェンスラインの整備について... 8 (2) 第 2のディフェンスラインの整備について... 9 (3) 第 3のディフェンスラインの整備について... 9 第 4 章 内部監査部門が今後進むべき方向性についての提案... 10

はじめに IIA のポジションペーパー 有効なリスクマネジメントとコントロールにおける 3 本のディフェンスライン (The Three Line of Defense Effective Risk Management and Control, January 2013) では 組織体としてリスクマネジメントと内部統制を効果的 効率的に機能させることを目的に 3 本のディフェンスライン いわゆる三層ディフェンスラインという考え方 ( アプローチ ) が提示された この三層ディフェンスラインという考え方は その後 改定された内部統制のフレームワークやエンタープライズ リスク マネジメント ( 以下 ERM) のフレームワークでも 組織体としてリスクマネジメントと内部統制を効果的 効率的に機能させるアプローチとして採用されている そこで この報告書ではまず三層ディフェンスラインのアイディアを どのように組織に落とし込むことが可能であるか このアプローチの具体化について考察を行う 次に このアプローチを組織に落とし込んだ際に想定される各層の課題を 我が国企業の現況等を踏まえ考察する そして最後にそれに対する解決の方向性を検討する 第 1 章 三層ディフェンスラインの具体的な展開 三層ディフェンスラインにおける各ディフェンスラインの関係性については 業務活動を行う現場の管理者 ( 第 1 のディフェンスライン ) が管理活動を遂行し 業務活動に関する規則 規程を定める間接管理部門 ( 第 2 のディフェンスライン ) がこの遂行状況をモニターする そして 監査部門 ( 第 3 のディフェンスライン ) は これらの統制活動が適切に機能しているかどうかを確認し保証するということである すなわち 統制活動の推進主体は第 1 のディフェンスラインと第 2 のディフェンスラインであり これらが適切に機能することで統制が機能するということを前提に 第 3 のディフェンスラインである監査部門は他のディフェンスラインの活動状況をトップマネジメントに代わって確認するという枠組みである 事業ラインによる管理の構造と管理機能の主管部署のラインによる管理の構造から成立しているわけだが この組織上の具体的な活動については やはり縦と横の複数のラインで業務を管理するマトリクス組織の視点から検討することができるだろう その視点を踏まえて 三層ディフェンスラインの概要を考察したのが下図である 第 2 層 管理部門 総務法務経理人事他 事業部門 事業 1 事業 2 事業 3 第 1 層 第三層が第二層をモニタリングする時は 各部門に対する当部門の管理 指導状況を確認する 第三層が第一層をモニタリングする時は 各部門の統制活動の状況を見るために 機能横断的に確認する ホールディングカンパニーと各子会社や 或いは単純な親会社と子会社の関係についても基本的には同じである まず ホールディングカンパニーについてみてみる ホールディングカンパニーの各間接部門は 第 2 のディフェンスラインとして 各間接機能についてグループの基本となる手順 指針を作成 指示し その運用を支援するとともに活動状況をモニタリングし 適宜改善を指導する ホールディングカンパニーの内部監査部門は第 3 のディフェンスラインとして 各間接部門が第 2 のディフェンスラインとして 適切に活動し機能していることを確認し そのことをホールディングカンパニーのトップマネジメントに対して報告する ( 統制状況の保証 ) グループの各社は ホールディングカンパニーのトップマネジメントに対しては オペレーションを司る第 1 のディフェンスラインとして事業活動に関わる統制状況を報告する 1

グループ各社を見ると 各社の本社間接部門は各社の第 2 のディフェンスラインとして 各間接機能についてグループの指針に基づいて 基本となる自社の手順 指針を作成 指示し その運用を支援するとともに活動状況をモニタリングし 適宜改善を指導する そして 各社の内部監査部門は第 3 のディフェンスラインとして 当該各間接部門が第 2 のディフェンスラインとして 適切に活動し機能していることを確認し そのことを各社のトップマネジメントに対してアシュアする ( 保証する ) このように ホールディングカンパニー制の下では 企業グループという視点での三層ディフェンスラインの区分と各社での三層ディフェンスラインの区分という 2 重の構造になることが考えられる また 各社の業務を遂行する部署は 各社の本社間接部門と各事業ラインに対して統制活動の実施状況を報告するというダブルレポートラインの下にある 一方 各社の本社間接部門は 各社のトップマネジメントとホールディングカンパニーの間接部門に対してモニタリングの結果を報告するというダブルレポートラインの下にある このことを取りまとめたのが下図である ホールディング 管理部門 総務 法務 経理 人事 他 企業グループの第 2 層 各社の第 2 層 会社 A 管理部門 総務 法務 経理 人事 他 事業 1 事業 2 事業 3 各社の第 1 層 会社 B 管理部門 総務 法務 経理 人事 他 事業 1 事業 2 事業 3 企業グループの第 1 層 第三層が第二層をモニタリングする時は 各社 各部門に対する当部門の管理 指導状況を確認する なお 情報システム ( 以下 IT) については システムの連動性 構造 本体 関係会社間の関係によるが 子会社本社レベルでの二層レベルの機能 役割は限定的になる場合が考えられる 例えば 子会社本社レベルでは IT 機能については本体 ( もしくはホールディングカンパニー ) の IT 部門の指示に従うというシングルレポーティングラインになる場合もある 本体 ( もしくはホールディングカンパニー ) の IT 部門の延長という位置づけの場合も考えられるということである それを図示したのが下記である 第三層が第一層をモニタリングする時は 当社の状況を見るために 機能横断的に確認する 2

ホールディングカンパニー制を取らない 親会社 子会社については 企業グループにとっての第 1 のディフェンスラインの位置づけは異なるが それ以外は基本的に同じと考えることができる これを表したのが下図である 親会社 企業グループの第 2 層 第 2 層 管理部門 総務 法務 経理 人事 他 事業部門 第 1 層 会社 A 企業グループの第 1 層 会社 B 各社の第 2 層 管理部門 総務 法務 経理 人事 他 事業 1 事業 2 事業 3 管理部門 総務 法務 経理 人事 他 事業 1 事業 2 事業 3 各社の第 1 層 親会社の第 1 層 ( 事業部門 ) が企業グループの第 1 層として各社の第 1 層の統制状況を確認する 3

第 2 章 当研究会において認識された各層の課題このフレームワークを組織として有効に機能させる上での課題を検討するに当たり 近時の問題事例を考察する 次に このフレームワークを組織に落とし込んだモデルを踏まえながら 各層が現実に直面している 或いは直面することが想定される問題点 課題を考察する まず第三者委員会報告書の近時の 2 つの事例 12 を踏まえて 各層の課題をみる 一つは昭和電工株式会社の子会社である昭光通商株式会社 ( 以下 昭光通商社 ) の子会社が絡んだもので 当該子会社もその親会社の昭光通商社も不正取引を見抜けなかったという事例であり もう一つは富士ゼロックス株式会社 ( 以下 富士ゼロックス社 ) の海外の子会社で発生した不適切会計の事例である 1 第 1 のディフェンスラインの限界 売上追求に走りがちになること 内部統制 リスクコントロールに対する知識 経験が十分ではないこと マネジメントオーバーライドへの対抗力の弱さ昭光通商社の例では 担当役員も含め 当該事業に対する内部統制のアプローチが弱く 与信管理条件の履行段階で不正発見の端緒を得ることができず 事態が大きくなるまで不正取引を見抜けなかった 富士ゼロックス社の例では売上追求に走った現地の Managing Director( 以下 MD) が独走し これに やはり売上追求に走った地域 HQ のマネジメントおよび本社担当取締役が共謀するという事態が生じた 2 第 2 のディフェンスラインの限界 リソース面 権限面からの管理能力の限界 機能 体制整備に係る手間暇の膨大さ マネジメントオーバーライドへの対抗力の弱さ昭光通商社の例では 第 2 のディフェンスラインに 十分なリソースもなく適切な管理が遂行されず 関係書類の不備等をチェックすることができなかった 富士ゼロックス社の例では現地の MD 地域 HQ のマネジメント HQ の担当取締役によるマネジメントオーバーライドの前に十分な機能を発することができなかった 3 第 3 のディフェンスラインの限界 人材の配置 ( 質 量 ) トップマネジメントとのコミュニケーションの状況 マネジメントオーバーライドという点から影響を受ける事例でみると 昭光通商社の例 富士ゼロックス社の例とも十分な人材の投下が行われず 十分な監査を行うことができなかった さらに富士ゼロックス社では監査チームが本社 HQ( 監査部門やトップマネジメント ) とのダイレクトなコミュニケーションを取る形になっていなかったために 地域のマネジメントオーバーライドに屈することになった 次に各層の課題を個別にみていく (1) 第 1 のディフェンスラインにおける課題第 1 のディフェンスラインとは 現業部門の管理者による責任範疇のことである 第 1 のディフェンスラインである現業部門の管理者は その責任範囲において リスクを把握し管理する責任を負う すなわち 現業部門の管理者は リスクに対するコントロールに不備があった場合 これを是正する責任を負っている その一方で 現業部門の管理者は 自部門の業績にも直接の責任を負う 彼らは直接的にビジネスやプロセスを通して 通常の管理及び監督活動を中心にリスクを所有し 管理している為 その責任範囲における業績にも直接責任を負っていると言える この責任を果たすために 彼らは日々の業務における内部統制を維持し リスクが管理されていることを確かめる必要があり その中でプロセスやコントロールの欠陥に対する是正措置を講じる一連の手続きを行う また 現業部門の管理者は より上位の経営者又は管理者に対し 内部で行う報告を通じて こういった責任の遂行についてアシュアランスを提供する 現業部門の管理者は自らが責任を負う業務が対象なので それに対する知識や経験は豊富であるし 日常的 1 昭光通商株式会社設置特別調査委員会 調査報告書 (2017 年 4 月 17 日 ) 2 富士フィルムホールディングス株式会社設置第三者委員会 調査報告書 (2017 年 6 月 10 日 ) 4

評価もできるため 問題発生時には迅速に対応できる しかしながら 内部統制やリスクマネジメントに対する知識や専門性を充分に有していない場合もあり 部門の業績にも直接の責任を負うため ディフェンスラインとして十分な機能を果たすのは難しい 特に 組織の評価システムは 一般的に 現業部門の管理者がリスクのコントロールに寄与することよりも 自部門の業績の維持 向上を通して より評価される仕組みとなっている このことから 現業部門の管理者は 自部門の業績の維持 向上に重きを置き リスクのコントロールを軽視する傾向となりやすい 具体的な問題点として 以下の事項が当研究会で意見として出ている 1 リスクを過少に評価する傾向業績の維持 向上を最優先の目的として設定する結果 リスクを過少に評価し 活動にブレーキがかかりにくい 2 社内ルールの軽視 又は認識不足第 1 のディフェンスラインは 概してリスクをコントロールするためのコスト 手間を回避する傾向にあり 結果 社内ルールを軽視する傾向にある また 社内ルールに関し 認識不足が生じている場合もある 3 レポーティングの不十分性及び改ざん可能性リスク等に係るレポーティングが リスクを過小評価することにより報告が不十分になること あるいは 自身の評価が下がることを恐れて意図的に改ざんされるか隠ぺいされる可能性がある (2) 第 2 のディフェンスラインにおける課題 第 2 のディフェンスラインは 間接管理部門が各責任領域において 方針 手続きを整備 その運用状況を評価し 第 1 のディフェンスラインを担う現業部門に必要な助言を与えることにより リスクマネジメントとコンプライアンスの機能を担う 第 1 のディフェンスラインからは分離しているものの トップマネジメントの監督指揮下にある 第 2 のディフェンスラインである間接管理部門は 第 1 のディフェンスラインを担う現業部門の責任者と密接に連携し リスクの専門知識の提供 方針と手続きの導入 リスクとコントロールの全社的視点を生み出すための情報収集を支援する だが 現業部門の業績により直接影響を受けることはない また 責任領域における第 1 のディフェンスラインの統制制度構築とその適切な運用の支援 モニタリングなども含む 第 2 のディフェンスラインとして想定している会社機能 ( 部署 ) は 以下の通りである 財務管理 情報セキュリティ リスクマネジメント 品質 検査 コンプライアンス 法務 サプライチェーン これらの会社機能は それぞれの責任領域において リスクを管理するためのプロセスとコントロールを設計整備することにより現業部門の責任者を支援するだけでなく モニターすべき活動およびトップマネジメントの期待と比較した達成度の測定方法の決定にも責任を担うことになる 重大な問題やリスク 異常値を発見し トップマネジメントに報告する リスクマネジメントの視点では 組織の潜在的なリスク選好とリスク許容度の変化の識別を行う また リスクマネジメントとコントロールプロセスに関するガイダンスと研修も提供する 例えば 財務管理部門は 業務分掌規程や決裁規程に違反する取引がないかを単純に規程に照らし合わせるだけでなく 不自然な取引がないかに敏感であることが求められる リスクマネジメント部門は 表面化したリスクに留まることなく 潜在的なリスクにまで踏み込むことが必要になってくる 何が潜在的なリスクとなり得るか またリスク許容度の変化を判断するに際しては トップマネジメントとの密なコミュニケーションが不可欠である 5

第 2 のディフェンスラインであるリスク マネジメント部門 コンプライアンス部門等の間接管理部門は それぞれの責任領域において リスクを監督する部門である 当該部門は 間接部門であるが故 以下の課題を抱えていると考える 1 リスクの過大評価第 1 のディフェンスラインとは対照的に 第 2 のディフェンスラインに属する各部門では 自らの責任領域に係る業務を全うすることのみに焦点を当てた結果 リスクを過大に評価することがある そのような場合 現業部門で運用するには 過剰な統制を構築してしまうことがある 2 形式主義第 2 のディフェンスラインには 実質的なリスクコントロールが期待されているが 前例主義に陥り 書面を整えることが目的化されてしまっている場合がある このような場合 実質的な検討が行われず 形式的なチェックのみが行われる可能性が高い また 外部環境 内部環境 ( 組織設計含む ) の変化に対応せずに 以前からのモニタリング手続を継続していることもある このような場合 以前は 十分なアシュアランスの信頼性を有していたが 現在は十分に機能が果たせなくなっている場合がある 3 職務分掌の不明確さ組織の成長に伴い 間接管理部門を増設した際に 各間接管理部門の職務分掌が曖昧になっている場合がある このような場合 他の間接管理部門と重複したチェックを行い 経営資源の活用が非効率になっており また現業部門に過度の負担を強いているケースがある また これとは反対に 職務分掌が曖昧であるが故に 現業部門がリスクを過度に取ることや あるいは社内ルールに反する行動をとろうとした場合に 第 2 のディフェンスラインの特定の間接管理部門が これを適時に防止する動きを取ることが難しい場合がある 4 統制機能の形骸化上述した分掌の不明確さとも関係するが 業務処理の遂行が重視され統制機能については第二次的な活動と組織内で位置づけられる場合がある 業績評価においても 統制機能に関わる活動についてはほとんど評価されないこともある 結果として 統制機能に関わる活動が軽んじられ 第 2 のディフェンスラインにおける統制機能が形骸化することがある (3) 第 3 のディフェンスラインにおける課題第 3 のディフェンスラインは 内部監査により 独立したアシュアランスを提供するディフェンスラインである 内部監査部門は 第 1 第 2 のディフェンスラインによるリスクマネジメントとコントロール目標の有効性と達成状況を含め ガバナンス リスクマネジメント及びコントロールの有効性に関するアシュアランスを提供する 内部監査部門が提供する通常のアシュアランス範囲は 以下の通りである 業務の効率性と有効性 財務報告の信頼性 法令遵守 資産保全 統制環境 リスク評価 情報と伝達 モニタリング活動 コントロール活動 ビジネスプロセス組織 子会社 業務 管理部門の全体 独立性の観点からは 第 3 のディフェンスラインは第 2 のディフェンスラインよりも独立性が高く また報告先の観点からは 第 2 のディフェンスラインの報告先が主に経営管理者であることに対し 第 3 のディフェンスラインの報告先は経営管理者のみならず 取締役会や内部統制委員会などの統治機関も含むことが特徴である 第 3 のディフェンスラインである内部監査部門は 独立した立場から監査を行い 仮に不備があった場合それを発見して修正を提案することで 適切な組織運営を可能とすることが期待される部門である 組織の規模に係らず 専門的な内部監査部門の設置は重要である しかしながら 我が国にあっては 企業によっては トップマネジメントや他部門から 内部監査部門が必ずしも高く評価されていないことがあり 上場を維持する ないし IPO を果たすために必要な 義務的に設置しているコスト部門 と捉えられている傾向も見受けられる その結果 以下のような課題があると考えられる 1 適切な監査を行うことのできる人材の不足 6

トップマネジメントが内部監査部門の必要性を十分に認識していないために 内部監査部門に対して場当たり的な人事が行われることがある その場合 他の専門部署であれば人員の配置に際して検討されるであろう 当該業務への適性や経験 専門性等が十分に検討されないことがある 結果として監査を行うのに適切な人材が配置されないことがある 日本企業においては 内部監査人をプロフェッションとして認識 採用する風土が十分に醸成されておらず 内部監査人の流動性を担保するための転職市場が十分に育っていない可能性がある 内部監査人の外部採用に対する企業側の意識 および内部監査人の流動性を担保するためのインフラの双方に課題がある可能性があり 結果として 即戦力となる人材の採用による人材の確保 体制の整備が進まないことがある トップマネジメントが内部監査部門の必要性を十分に認識していないために 計画的に内部監査人を育成する必要性が認識されず 体系的な研修プログラムや適切な研修を通じた人材育成が行われないことがある 結果として我が国におけるプロフェッションたる内部監査人の育成 質の向上が進まず 人材の育成等を通じた組織の全般的な向上 成熟等が達成されないことがある 2 内部監査部門を取り巻く環境内部監査部門の必要性がトップマネジメントに十分に理解されていない場合 トップマネジメントや他部門との適切なコミュニケーションが取れないことがある また 統制に関わる是正 改善指導を含むコンサルティング機能について期待されず 発揮できていないことがある 組織内において内部監査部門の実質的な立場が低い場合 部門構成員のモチベーションが低下することや 組織としての機能 能力拡充が進まないことがある 以上のように トップマネジメントや他部門からの評価が低い等の要因により 適切な人材を確保することができないことがある 結果として適切な監査を行うことができず そのことが更なる期待や評価の下落を招くという 悪循環に陥っている可能性がある 独立した立場からのアシュアランス機能 更には統制の是正 改善に関わるコンサルティング機能も十分に発揮できないことになる 第 3 章 有効な三層ディフェンスラインの整備に向けて三層ディフェンスラインというフレームワークを組織へ展開するという点から モデル化を検討し 各層における課題と解決の方向性を考察してきた これまで 三層ディフェンスラインのフレームの概要について述べてきたが ここでは これを具体的な組織活動に展開する上で 内部監査部門として経営に資するためには その中でどのような役割を果たすべきかについて検討する 有効な三層ディフェンスラインの整備にはどのようアプローチが考えられるだろうか 下図は 組織目的と COSO のフレームワーク および三層ディフェンスラインモデルの関係を図で表したものである これによると COSO フレームワークは 内部統制の 5 つの要素を通して 何がなされるべきかを示している 一方で 三層ディフェンスラインモデルは 誰がそれを担うべきかを示しており この図から 企業の目的達成には 誰が何を行うべきか という役割と行動を明確化することが 何よりも大切であると読み取ることができる 近時の問題事例に関する報告書でも各層の強化が挙げられている すなわち 各層の役割分担 ( 特に第一層 第二層 ) を明確にすること そしてそれを踏まえて各層を強化することが望まれているのである 7

出典 : 月刊監査研究 2015 年 10 月号 企業の特質は様々であり 特に第 1 のディフェンスラインと第 2 のディフェンスラインの切り分けについては注意が必要である 例えば 財務管理機能は第 2 のディフェンスラインに位置付けられているが これが特定の支店の財務管理部署であれば その支店を統括している本社とは役割が異なる場合も多々ある為 特定の支店の財務管理部署は第 1 のディフェンスラインと区分したほうが良いケースがあるだろう また 名称だけで第 1 のディフェンスラインと見られがちな業務部や総務部が 第 2 のディフェンスラインである全社のリスクマネジメントやコンプライアンス機能を担っている場合もありえる つまり 現業部門の経営者による支配が行き届いていないこと 又は上級経営者の下にあり 通常ある程度の経営機能を果たしていれば 第 1 のディフェンスラインではなく第 2 のディフェンスラインへ区分けすることとなる ( 上述した経営機能とは 導入戦略の定義づけや リスクの専門知識の提供 方針と手続きの導入 リスクとコントロールの全社的な視点を生み出すための情報収集の支援 コントロールとリスクの継続的モニタリングの責任 等の要素を総称したものである ) 次に 各層の強化の方向性を考察する (1) 第 1 のディフェンスラインの整備について第 1 のディフェンスラインの課題を踏まえ 以下のような整備の方向性が考えられる 1 リスクを適切に評価する企業風土の醸成第 1 のディフェンスラインが リスクを過小に評価して活動した結果 企業が想定している以上のリスクを負担するといったことを避けるため 企業が負担しうるリスクに対する共通認識を持ち リスクレベルを適切に評価しコントロールを行っていく企業風土の醸成を図る 2 社内ルールに係る研修等の実施及び簡素化現業部門が社内ルールを遵守することの重要性を理解していない場合 又は 社内ルールの存在自体認識していない場合 研修や事例研究等を実施することにより 社内ルールに対する理解を深めてもらうことが有用である また 社内ルール自体も 簡素で理解しやすく 実践可能なものとすることが必要であると考える 3 業績評価システムの見直し意図的なレポーティングの隠ぺい 改ざんは 業績評価システムが 部門業績によって測られることや 適切なレポーティングを評価しない ( 場合によっては評価を下げられる ) ことによって引き起こされることが多々あると考える そうした問題を解決するには 業績評価システム自体を見直すことが必要な場合もあろう 8

(2) 第 2 のディフェンスラインの整備について第 2 のディフェンスラインの課題を踏まえて 以下のような方向性が考えられる 1 リスクの評価基準の明確化リスクの過大評価を防止するためには リスク評価について 企業としての判断基準を明確にしておくことが望ましいと考える 当該基準を明確にすることで 第 2 のディフェンスラインである間接管理部門は 現業部門に過度の負担を与えずに かつ有効な統制を構築し モニタリングを実施することができよう 2 チェック項目及び手続に対する毎期の見直し前例主義を排除し 信頼性あるアシュアランス レベルを保持するために 毎期定期的に 外部環境 内部環境の変化を把握し 当該変化に対応したチェック項目及び実施する手続の見直しを行うことが望まれる 3 職務分掌の明確化経営資源の有効活用及び現業部門への負担軽減の観点から 重複したチェックがなされないように 各間接管理部門の職務分掌を明確にしておく必要がある 各間接管理部門の職務分掌を明確にしておくことは 現業部門が 過度にリスクを取るような行動 計画を採用したり あるいは社内ルールに反する行動をとった場合に 第 2 のディフェンスラインのどの間接管理部門が対応にあたるか 組織として適時に対応するためにも必要である 4 統制機能の明確化上述した分掌の明確化の一環として 統制機能が通常の業務処理と並ぶ主要機能であることを組織内で明確に位置づけることである 業績評価においても 統制機能に関わる活動を主要な評価対象として含めることが必要である また 第 2 のディフェンスラインの構成は 組織の規模や業界により異なる 即ち 組織の複雑さやビジネス特性などの内部的要因や業界を取り巻く規制の程度などの外部的要因等 リスクに応じた設計が検討されるべきである (3) 第 3 のディフェンスラインの整備について第 3 のディフェンスラインの課題を踏まえて 以下のような方向性が考えられる 1 トップマネジメントとのコミュニケーション上述の課題の多くは 内部監査部門に対するトップマネジメントからの評価の低さに起因していると考える このため まずはトップマネジメントに対して 本来内部監査部門がどのような役割を果たすことが可能で それが経営にとって どのような好影響をもたらすのかということを説明し 内部監査部門の必要性や役割に対する理解を深めてもらうことが重要と考える また その上で 内部監査部門として トップマネジメントが当該部門に何を期待しているかということを理解し これに沿った適切なレポーティングを行うことで トップマネジメントの内部監査部門に対する評価を高めていくことが重要であると考える 2 適切な人材の配置監査をより効果的 効率的に進めていくために どのような人材が必要かについて トップマネジメントと内部監査部門で協議を行い そこで必要なバックグラウンドや専門性を持つ人材を配置する人事施策を講じることが必要である そのための解決策として トップマネジメントへのキャリアパスとして内部監査部門を組み込むといった解決策が考えられる なお 本研究会では 内部監査人には 以下の資質及び環境も必要であるとの意見があった 国際的な内部監査実施基準に従って行動している 責務を十分に果たせるよう 独立的な組織に属している 取締役会などに対する 能動的かつ効果的な報告ラインがある 3 研修プログラムの確立 9

内部監査人の育成 及び専門性の向上に対する解決策としては プロフェッション育成のための体系だった研修プログラムや ベストプラクティスの蓄積及びその共有といった適切な研修プログラムを社内 又は複数企業で共同して開発していくことが考えられる 第 4 章 内部監査部門が今後進むべき方向性についての提案ポジションペーパーにも書かれているように 三層ディフェンスラインモデルは 有効な内部統制やリスクマネジメントの達成という面から上級経営陣や Governing Body が主導することになる この三層ディフェンスラインモデルの組織への展開を推進する上での要件としては トップマネジメントにおける理解 認識ということと 取組みに際してトップマネジメントを支援する機能の存在という 2 つのことが考えられるが それぞれについて内部監査部門の取り組みの方向性を検討する 第 1 点目に関しては 上級経営陣や Governing Body とのコミュニケーションを密に行い 内部監査で把握した内部統制の状況とそれを踏まえた統制の是正 改善活動の報告などにより 日頃から内部統制の整備の重要性を強く訴求し このことを通じて三層ディフェンスラインのフレームワークに対する彼らの認識の醸成を図るということである 上級経営陣や Governing Body が有効な内部統制 リスクマネジメント体制の整備に向けて 三層ディフェンスラインのフレームワークを組織に反映していくことの意義を十分に理解し 結果として 彼らが三層ディフェンスラインのフレームワークを組織に反映することを主導する意思を表明し この取り組みに関する第三層の活動について支援を表明するようになることである 第 2 点目の支援については 三層ディフェンスラインモデルの組織への展開にあたり 内部監査部門が 当該組織の統制に関わる情報を提供することと 全体調整に関するアドバイスを提供することなどにより トップマネジメントの取り組みを支援することである 上級経営陣や Governing Body は 組織の現状の課題を把握し 改善の方向性 方針を検討 策定し 実施していくことになるが そのために 進捗状況を確認し 適宜改善策を推進すること そしてこれら一連の活動を継続することが必要になる ここで 内部監査部門は その独立性と客観性 更には内部統制 リスクマネジメントについての専門性を以て 組織におけるリスクおよび内部統制の状況に関する情報を提供するとともに 全体最適の視点から組織の整備 運用に関してアドバイスするなど 上級経営陣や Governing Body による指揮 指導などの活動を支援することができるだろう 具体的には 内部監査部門は 内部監査を通じて 第 1 第 2 のディフェンスラインのガバナンス リスクマネジメント及びコントロールの有効性を評価し ( 第一層 第二層の機能の状況などを含む ) 不備がみられた場合には必要な改善 是正の方向性を提示し その進捗状況を評価 確認する また これらの改善 是正の推進にあたっては ポジションペーパーの中で挙げられている各層間の適切な役割の調整 ( 特に第一層と第二層 ) これによる内部統制やリスクマネジメント活動の漏れと重複の解消について 適宜アドバイス等を提供すること等ができるだろう これらの一連の活動を継続的に遂行することを通じて 上級経営陣や Governing Body が進める第 1 のディフェンスライン 第 2 のディフェンスラインの整備を確実に実行することを支援するのである 内部監査部門の活動について対象 内部統制面での寄与 三層ディフェンスラインモデルでの寄与 上級経営陣や Governing 統制状況についての保証 全体最適に向けたコンサルティング Body 第一層 統制状況の評価 是正 改善支 各層間の調整 ( 分掌領域等 ) 第二層 援 これらのことを達成するうえで 内部監査部門には 次のことが求められるだろう 1 組織におけるリスクおよび内部統制の状況に関する情報を提供する能力 全体最適の視点から組織の整備 運用に関する適切なアドバイスをする能力を有すること 2 三層ディフェンスラインのフレームワークを組織に反映する取り組みに関与できる能力を十分に有しているということを 日頃の活動の中で証明すること 内部監査部門が トップマネジメントとコミュニケーションをとることは当然必要だが 同時に上記の 2 点に向けて 体制整備 能力の具備 拡充に努めることもまた必要なことと思われる 10

2024 © docsplayer.net プライバシー | 利用規約 | フィードバック