3 つの防御ライン (3LoD) モデルとは?

3 つの防御ラインモデルは、ガバナンスとリスク管理に対する標準化された包括的なアプローチを提供するために設計された規制フレームワークです。

オペレーショナルリスクは、社内プロセスの不足や失敗、社外の事象、人、システムによって生じる損失のリスクとして定義されます。少し前までは、社内のオペレーショナルリスクを管理する責任は、多くの場合、在職中の専門家個人の腕にかかっていました。自身の経験や限定的な内部監査機能に頼り、ビジネスを不要なリスクにさらす可能性のある明らかな弱点や見落としを特定していました。そのため、企業と忍び寄る危険との間に立ち、実際の防衛線になるのは、唯一、監査人だけでした。

今日、ビジネスリスクの数と複雑さは増大しています。これらのリスクを照合して軽減するために、企業の多くは異なるガバナンスモデルである 3 つの防御ライン (3LoD) を導入しています。

名前が示すように、リスク管理である 3 つの防御ラインモデルは、3 レベルの保護で構成されています。このモデルは、冗長なリスク管理サポートを提供し、運用に悪影響が及ぶ前に危険を特定し、対処できるよう設計されています。同時に、3LoD モデルの最新バージョンは、コラボレーション調整、説明責任、目標重視に重点を置いており、防御だけでなく、発生した機会を認識して捉えるための重要なフレームワークでもあります。

ここでは、リスクにおける 3 つの防衛ラインの各要素、3LoD とオペレーショナルレジリエンスとの関連性、今後の 3LoD アプローチで期待できることについて詳しく見ていきます。

防衛のファーストライン (1st LoD) は運用管理であり、日々のリスク管理アクティビティを担当する最前線のマネージャーで構成されます。マネージャーは、ビジネスシステムやビジネスアプリケーションに従事する従業員を監督し、適切なリスク管理手順が守られていることを確認します。また、プロセスや制御に欠陥が生じた場合に是正措置を実施する責任もあります。

基本的に事業運営管理では、適切な内部コントロールの維持、リスク対応手順の実行、リスクの特定と評価、内部ポリシーの案内と実装、全アクティビティにおける設定目標のサポートをすべて日常的に行うことを義務付けられています。防衛のファーストラインの全体的な目的は、コンプライアンスの継続に加え、コントロールのブレークダウン、不適切なプロセス、新たな事象を迅速に特定することです。

日常のアクティビティは、オペレーショナルリスクの対応において重要な役割を果たします。そのため、防衛のファーストラインは絶対的に重要であり、信頼性の高い管理コントロールや内部コントロール対策などの内部メカニズムによってサポートされなければなりません。このようなメカニズムは、運用管理による強力な監視の下で開発と実装が行われており、機能と有効性について定期的にテストする必要があります。

3LoD モデルにおける防衛のサードライン (3rd LoD) は、内部監査人です。監査人は、リスク管理のプロセス、手順、フレームワークのすべてを審査し、ガバナンスと内部コントロールの有効性を包括的に保証する責任があります。この防衛ラインは、ファーストラインとセカンドラインをサポートしますが、単独での運用、客観的な立場の維持、経営陣や上層部の運営組織、取締役会、監査委員会などへの直接的な報告が可能である必要があります。

内部監査は、最後の防衛ラインとして、運用の効率と有効性、報告の信頼性、法令遵守などに関連するさまざまな目的をサポートできなければなりません。

防衛のサードラインは、主に内部監査に関連付けられていますが、このラインを補完して保証をさらに強化するために、外部監査も取り入れられることがあります。実際にいくつかのケース (SOC1 や SOC2 コンプライアンスの取得、PCI レポートの作成、SOX-404 コントロールの有効性の文書化を行う場合など) では、外部監査人が必須要件として定められています。

3 つの防御ラインは、企業におけるオペレーショナルレジリエンスのサポートと向上を目的に設計されています。

オペレーショナルレジリエンスとは、運用を妨げる事象が発生した場合に顧客サービスを継続し、製品とサービスの提供を続けて従業員を守る能力です。これは、有害事象を予測、防止して回復と適応を図ることで達成できます。考えられる事象には、パンデミック、データ漏えい、火災、悪天候、ネットワーク障害などが含まれます。

オペレーショナルレジリエンスの原則は、以下のとおりです。

ガバナンス

ガバナンスでは、運用において利用し、企業や従業員が責任を負う、システムやメカニズムについて定義します。リスク管理とコンプライアンスは、いずれもガバナンスの対象になります。効果的なガバナンス構造があれば、信頼性の高いオペレーショナルレジリエンスの計画とアプローチを策定でき、破壊的な事象に対する応答と復旧がより適切なものになります。

オペレーショナルリスク管理

オペレーショナルリスク管理 (ORM) は連続的なサイクルであり、リスク管理、リスクに関する意思決定、リスクコントロールの実装、その結果としての、リスクの受け入れ、軽減、回避が含まれます。

継続性計画

事業継続性計画は、さまざまな危機的状況を想定した継続計画の策定、実装、トレーニング、順守が含まれます。継続性計画は、破壊的な事象の発生時に重要な運用を継続させるために信頼性の高い戦略を策定することです。

相互依存性マッピング

相互依存性マッピングでは、内部と外部における接続や相互依存関係を特定してグラフ化し、重要な運用と中断発生時の継続的なサービスデリバリに必要な相互依存関係のマッピングを明確化します。

サードパーティのリスク管理

サードパーティのリスク管理では、サードパーティとの関係管理、重要な運用に不可欠なサードパーティエンティティの特定を行うためのツールや手法について定義します。

インシデント管理

インシデント管理は、特定のインシデントシナリオに対する応答と復旧計画の策定に関連付けられたプロセスを指します。この計画は、データ分析や以前のインシデントから得られたインサイトに基づいて、継続的に改良し、更新する必要があります。

情報、通信、サイバーセキュリティテクノロジー

情報、通信、サイバーセキュリティテクノロジーは、重要な運用の継続をサポートするために、定期的にテストを実施し、改善する必要があります。

3 つの防御ラインモデルは、リスク管理に対する実証済みのアプローチです。ただし、継続性とレジリエンスの計画では、状況の変化に適切に対応できるよう定期的な更新が必要なのと同様、3LoD でも最初に導入されてから、多くの修正が加えられています。

先日、バーゼル銀行監督委員会 (BCBS) は、「健全なオペレーショナルリスク管理のための諸原則」をリリースしました。3LoD モデルに対する今回の改訂は、特に金融機関と関連企業を対象にしたものですが、リスク管理プロファイルの改善を強化するために、金融機関以外の企業にも応用できます。

BCBS による 3LoD の最新情報:

  • オペレーショナルリスク管理アクティビティの実行における経営陣の役割の重要性を強調
  • 3 つの防御ラインモデルの他のロールを明確に定義
  • 新たなリスク要因を明確化
  • オペレーショナルレジリエンスを別項目として重視

リスクの多様化に伴い、3 つの防御ラインモデルも継続的に適応する必要があります。このことは、サードラインである内部監査に最も直接的に関連します。内部監査人と関連プロセスは、アジリティと先見性を高め、3LoD モデルの残りの部分全体にポジティブな変化を促進する必要があります。今後、監査人には、助言や予測においてより積極的な役割を果たすだけでなく、あらゆるレベルのステークホルダーに理解を促すことが期待されます。

3LoD モデルは、内部監査に限らず、今後も進化を続けていくでしょう。自動化、機械学習、AI の導入などの新たなイノベーションにより、リスクの特定と修正が容易になります。同様に、企業では 3 つの防御ラインの人間的な要素に重点を置き、チームや部門間の連携、コミュニケーション、手法の改善に取り組むことになるでしょう。

オペレーショナルリスクの管理は、現代のビジネスにとって不可欠な要素です。3LoD モデルは、想定されるさまざまな脅威に対するセキュリティを強化するために、冗長な保護レイヤーを提供します。ただし、3LoD だけでは、絶えず変化する危険から企業を完全に保護することはできません。IT 管理の業界リーダーである ServiceNow が、その問題を解決します。

ServiceNow の Operational Risk Management は、継続的な監視を適用し、企業全体で関連するデータのインサイトを取り込み、新たなリスクに対して迅速に優先順位付けと対応ができるよう企業を支援します。Operational Risk Management GRC アプリケーションには、リスクの自己評価、コントロールの保証、テスト、インシデントと損失の把握、自動モニタリングのためのツールが含まれています。高度な分析とレポート、統合された予測インテリジェンスによる課題管理の強化などに支えられた Operational Risk Management は、今日の企業が存続し、成長するのに必要な防御力を高めます。

運用上の損失を削減し、レジリエンスと信頼性を構築し、コストの削減と生産性の向上を図ります。また、すべてのリスクとコントロールの許容度をリアルタイムで完全に可視化します。ServiceNow の Operational Risk Management は、そのすべてを可能にします。

SecOps の開始

脅威をより迅速に特定し、優先順位を付けて対応します。

連絡先
Demo