3線モデルにおけるCSAの活用

Ⅰ はじめに

わが国における3線モデルの取組みへの必要性の高まりがみられます。

企業会計審議会内部統制部会により2022年12月に「財務報告に係る内部統制の評価及び監査の基準並びに財務報告に係る内部統制の評価及び監査に関する実施基準の改訂について（公開草案）」が公表されました。改訂基準及び改訂実施基準は、24年4月1日以後開始する事業年度における財務報告に係る内部統制の評価及び監査から適用される見込みです。本改定案において注目すべきは「財務報告に係る内部統制の評価及び監査の実施基準（抄）Ⅰ. 内部統制の基本的枠組み」において「5. 内部統制とガバナンス及び全組織的なリスク管理」という項が新設され、内部統制、ガバナンス及び全組織的なリスク管理に係る体制整備の考え方の例として次の通り3線モデルが紹介されている点です。

• 「 財務報告に係る内部統制の評価及び監査の実施基準（抄）Ⅰ. 内部統制の基本的枠組み」「5. 内部統制とガバナンス及び全組織的なリスク管理」より引用
  
  「内部統制、ガバナンス及び全組織的なリスク管理に係る体制整備の考え方には、例えば、3線モデルが挙げられる。3線モデルにおいては、第1線を業務部門内での日常的モニタリングを通じたリスク管理、第2線をリスク管理部門などによる部門横断的なリスク管理、そして第3線を内部監査部門による独立的評価として、組織内の権限と責任を明確化しつつ、これらの機能を取締役会又は監査役等による監督と適切に連携させることが重要である。」

3線モデルは以前から、トレッドウェイ委員会支援組織委員会（Committee of Sponsoring Organizations of the Treadway Commission：COSO）「内部統制の統合的フレームワーク」や内部監査人協会（IIA）「The IIA’s Three Lines Model」において示されている考え方であり、わが国でも18年10月に金融庁により発表された「コンプライアンス・リスク管理に関する検査・監督の考え方と進め方（コンプライアンス・リスク管理基本方針）」や19年6月にコーポレートガバナンス・コードを補完するものとして経済産業省より示された「グループ・ガバナンス・システムに関する実務指針」にて紹介されています。今回あらためてJ-SOXに関する実施基準においても3線モデルの必要性が明記されたことで、金融機関のみならず幅広い企業においてのいっそうの取組みが求められます。

3線モデルの構築には各企業のガバナンス体制、業務等、実態に合わせたさまざまなかたちが想定されます。本稿では、中でも3線モデル活用の手法の1つである統制自己評価（Control Self-Assessment：CSA）について取り上げ、その目的・導入効果、導入方法、活用方法、課題と対応策を紹介したいと思います。

Ⅱ CSAの目的・導入効果

CSAとは、組織に存在するリスクの統制状況を、実際に業務を実施している担当者自身が評価し、改善策を検討することにより、自律的な内部統制の改善・強化を図る手法です。Enterprise Risk Management（ERM）が経営者を中心に遂行される全社的リスクの抽出、対応状況へのモニタリングというトップダウンアプローチであるのに対し、CSAは現場レベルを中心に遂行されるボトムアップアプローチによるリスク評価、管理手法です。

コロナ禍において、現地訪問による監査に制約が生じ、リモートを活用した新たな監査手法やモニタリングの在り方を検討するに当たり、CSAへの関心は高まっています。また、業務の多角化、海外進出の強化を進めている企業にとって、拠点の増加に伴い管理が行き届かない事業、拠点に対するグループガバナンス強化策の1つとしてCSAが注目されています。さらに、昨今、テクノロジーを活用した内部統制のデジタルトランスフォーメーション（DX）に注目が集まっていますが、活用にはシステムの導入や専門知識が必要となり、時間を要するため、DX本格導入までのつなぎとして、内部統制強化の目的でCSA導入を検討されることもあります。

また、CSA導入には、内部統制の評価を通じ、従業員の内部統制に対する理解を醸成する効果があることも大きなポイントです。一般的に、どれだけ内部統制教育に力を注いでも、規範意識は高めることができる一方、自身の業務において具体的に何をなすべきかという理解をすることは困難です。そうした理解を醸成するための手段として、CSAを通して自身の業務に関連する具体的な内部統制を示すことが有効となります。

Ⅲ CSAの導入方法

CSA導入における一般的なフローと主なタスク、担当者は＜図1＞の通りです。

一般的に、法務・コンプライアンス部門、リスク管理部門、内部監査部門等がCSA推進事務局となり、制度設計や各種ファシリテーションを実施します。

CSAの実施形式には、1線によるCSAチェックリストへの書面回答を実施する質問書形式と、1線とCSA推進事務局双方が参加してテーマに対し意見を述べ合うワークショップ形式があります。前者は多数の部署・子会社を対象にスピーディーに展開することができます。後者は事務局と1線の合意形成がしやすいといった利点がある一方、時間がかかること、議論を主導するファシリテーターの能力が必要であることから難易度が高い手法であり、導入企業数も少ない傾向にあるといえます。したがって＜図1＞では質問書形式を前提としたフローを紹介しています。

「リスク一覧の作成、評価」では、CSAの回答者となる本社部署、子会社、事業所等のそれぞれの業務・業種ごとに対象となるリスクを選別します。

「CSAチェックリストの作成」では、選別されたリスクに対する標準統制、またはその成熟度を定め、回答者の現状を把握するための質問書を作成します。

CSA導入に当たり、コンテンツの作成は各社が最も検討を要するタスクのため、後述する「Ⅳ CSAチェックリスト作成上の留意点」にて詳しく説明します。

「CSAの実施」では、回答者に対しマニュアル配布や説明会の開催、質問窓口の案内といったサポートを提供し、回答方法について意識合わせをすることで、意図した運用の定着を図ることができます。

「改善計画策定」「改善の実施」では、回答結果と設定した標準統制を比較し、統制が不足している場合、1線による自律的な改善が求められます。

「モニタリング」については、リスクの重要度に応じてモニタリングの程度に差をつけるリスクアプローチの要となる部分ですので、後述する「Ⅴ 3線モデルにおけるCSAの活用方法」にて詳しく説明します。

Ⅳ CSAチェックリスト作成上の留意点

質問書形式におけるCSAにおいて、準備が必要となるCSAチェックリストのイメージは＜図2＞の通りです。

この例では「大項目」および「小項目」にて記載された業務プロセス、サブプロセスに関連する「リスク」に対する標準統制が「質問（標準統制）」に設定されています。標準統制は、回答者に対する質問の裏返しとなることが理解できるかと思います。回答者は、自部署や自社の統制状況を「回答選択」や「自由回答」欄に記載し、証憑（ひょう）となる関連資料を「提出資料」欄に回答していくこととなります。

回答様式について、こちらのイメージでは、標準統制に対する「成熟度」をあらかじめチェックリスト上に設定し、回答者が選択により回答する例となっています。テキスト回答を求める場合、内部統制の理解が深い回答者でない限り回答品質にばらつきが生じる、または現場の対応負荷が高くなるといったことが考えられます。よって、特に導入初期においては回答様式を選択式にするなどして、回答者が容易に回答を行うことができ、かつ、回答者により回答内容が異ならないような工夫を講じることを推奨します。

「質問（標準統制）」の設定に当たって、CSA評価対象となる子会社に業種が異なる会社が複数存在する場合でも、業務レベルのリスクや内部統制は業態によって大きく異なるわけではないため、CSAチェックリストを汎用（はんよう）化することも可能です。具体的には＜図2＞で示した人事プロセス以外にも、購買プロセスにおける購入申請・発注・検収・支払の職務分離や外部委託先管理における選定・評価等は、業種が異なる場合でもリスクや内部統制は大きく変わらないため、同一の質問項目を利用できることが理解できるかと思います。汎用化に際しては「質問（標準統制）」に修飾語や固有名詞を入れることを控えることで、業態特性を排除し、多様な業種にあてはまるチェックリストとすることが可能です。

質問項目数に関しては、数が多ければ多いほど2線、3線での回答結果の活用性が高まりますが、1線での回答負担は増加します。導入期は数十程度の比較的少ない項目数からスタートし、徐々に項目数を増やす方法や、回答組織の規模に合わせて質問項目数を増減させるといった方法も考えられます。

Ⅴ 3線モデルにおけるCSAの活用方法

CSAを導入し、評価結果を活用することで、3線モデルにおいてリスクの重要度に応じてモニタリングの程度に差をつけるリスクアプローチが可能となります。2線および3線のリソースには制約があることから、2線と3線で同様のチェックを行うことは非効率であり、CSAの活用は、1線、2線、3線とで自社の重要リスクに対して協力して管理する体制を構築し、リソースの最適化を図ることに寄与します。

3線モデルにおけるCSAの活用イメージは＜図3＞をご覧ください。

1線部門においては、日常業務ではそれほど内部統制を意識しない従業員が自らの業務プロセスにおける内部統制に関連する項目に対して回答することにより、現場レベルでのリスク管理意識および業務に即した具体的な内部統制に関する理解の向上に寄与することが可能となります。また、2線または3線によるモニタリングにおける指摘を待たずに自らが内部統制上の問題の早期発見、改善を図ることが可能となります。

2線部門においては、CSA評価結果を活用することにより組織横断的なモニタリングの実施が可能となります。一定程度を下回る中程度リスクについては1線部門のCSAにある程度依拠し、モニタリングの比重を軽くし効率化を図ることが可能です。

3線部門においても同様に、中程度リスクについては1線部門のCSAに依拠、重要リスクについては2線部門のモニタリングに依拠することで内部監査の補完とし、最重要リスクのみを直接監査するというリスクアプローチ監査を実践できます。また、直接監査を実施しない中程度リスク分野についてはCSAの実施状況に関する監査、重要リスク分野については2線のモニタリング実施状況に関する監査を実施することで、CSAを活用したPDCAサイクル全体を独立的な立場から監査し、一定のアシュアランスの提供も可能です。

Ⅵ CSAの課題と対応策

CSAの実施に当たっては以下の課題が想定されます。

1. 1線部門の負担

統制評価の実施において現場の負担が想定されます。全社的内部統制の向上といった実施意義を伝達し、1線、2線、3線の役割を明確にしたCSA実施要領などを作成することで、それぞれに責任を持って対応が求められる全社的な取組みであることを示し、CSA実施に対する協力を得るためのコンセンサスを構築する必要があります。また、CSAチェックリストの設計においては、CSA対象項目数や回答方法（〇×形式、成熟度選択式、自由記述式）を十分に検討し、負担軽減への配慮をすることが欠かせません。

2. 事務局の負担

CSA評価対象を多数の子会社や事業所等とする場合、回答依頼、質問対応等のファシリテーションや集計、フォローアップを担当する事務局側の対応負荷も想定されます。特に、評価回答収集後の品質レビューが追い付かない場合、回答品質が損なわれる場合があります。対応策としては、CSA対象項目数の絞り込みや、CSA評価の実施時期をずらし、回答収集時期を分散させることが考えられます。

3. CSA評価結果の信頼性

自己評価であるがゆえに、評価結果の信用性や粒度が回答者により異なることが予想されます。評価結果に対するエビデンスの提出を必須とする、2線による回答結果のモニタリングを徹底するなど、信頼性向上の取組みが必要となります。3線部門である内部監査部門によってCSAの実施状況に関する内部監査を実施することも考えられます。

4. 反復実施による陳腐化

複数年にわたりCSAチェックリストの内容を更新せずに実施すると、昨年とほぼ同様の結果となるなど形骸化し、評価が高止まりになる傾向があります。評価対象リスクの見直しや、当初〇×形式で実施した場合は成熟度選択式、自由記述式を取り入れるなど、CSA制度における高度化への取組みが必要となります。

Ⅶ おわりに

内部統制、ガバナンスの強化・向上のため、3線モデルへの取組みの必要性が各監督機関等から提唱されています。CSAを導入して活用することで、3線モデルにおいてリスクの重要度に応じてモニタリングの程度に差をつけるリスクアプローチが可能となります。CSA導入に当たっては、各担当者の負荷を避けるため、特にCSAチェックリスト作成時の工夫が必要となります。

また、本稿で取り扱った3線モデルへの活用以外にも、企業買収時における内部統制デューデリジェンスや買収後のPMIの一環として、応用的にCSAを活用することも考えられます。

このことから、CSAは内部統制やグループガバナンスの実効性の確保、底上げの有効な手段の1つであるといえます。まだ導入されていない場合、活用を検討してはいかがでしょうか。また、導入されていても活用しきれていない場合、在り方を検討することも考えられます。