What is the Three Lines of Defense model (3LoD)?

The Three Lines Defense model is a regulated framework designed to provide a standardized, comprehensive approach to governance and risk management.

What are new updates to 3LoD?

The Three Lines of Defense model is a tried-and-true approach to risk management. But just as continuity and resilience plans should be regularly updated to better account for changing situations, 3LoD has seen a number of revisions since it was first introduced.

What is the future of the 3LoD model?

As risks become more diverse, the Three Lines of Defense model must also continue to adapt. This truth may relate most directly to the third line: internal audits. Internal auditors and their associated processes must become more agile and forward thinking, promoting positive change throughout the rest of the 3LoD model. In the future, auditors will be expected to play a much more active role in advising and anticipating, as well as educating stakeholders at all levels.

ソリューション領域

ソリューション

カスタマーエクスペリエンス

カスタマーロイヤルティを高めて収益性を向上。顧客のリピートを促す快適なカスタマーエクスペリエンスを創出します。

詳しくはこちら

ソリューション

テクノロジーの優位性

自動化を導入してスピードとアジリティを促進。セキュリティとレジリエンスを備えたテクノロジーの提供により、ビジネスの差別化を図ります。

詳しくはこちら

ソリューション

従業員エクスペリエンス

ハイブリッド環境でも従業員エンゲージメントと生産性を維持。エクスペリエンスを統一して業務を簡素化し、人、職場、プロセス、テクノロジーを結びつけます。

詳しくはこちら

ソリューション

運用の優位性

種々の運用を連携させることで、長期にわたって戦略的価値を提供、リスクを軽減。共通サービスを強化しつつ、グローバルビジネスサービスと ESG 効果に対する変わりゆく期待に応えます。

詳しくはこちら

ソリューション

構築と自動化

ローコード開発でアプリ構築を高速化。ハイパーオートメーションを活用して企業全体のモダナイズとイノベーションを推進します。

詳しくはこちら

ソリューション

業種

ServiceNow Impact

ServiceNow Impact で ROI を向上。価値実現を促進するパーソナライズドソリューションを導入して、専門知識を強化し、デジタルジャーニーを変革しましょう。

詳しくはこちら

ServiceNow Impact

ワークフロー

製品

IT Workflows

デジタルワークフローが搭載された単一の統合プラットフォームで未来を見据えた IT を構築。企業のオペレーションを連携し、最新化することで、ビジネスを変革します。

詳しくはこちら

製品

注目のソリューション

製品

Employee Workflows

つながりと魅力を感じられる従業員エクスペリエンスを創出。従業員のモチベーションを高め、必要なものを必要なときに、簡単に利用できる環境を整えましょう。

詳しくはこちら

製品

注目のソリューション

製品

Customer Workflows

従来の CRM やフィールドサービスを超える。コネクテッドデジタルワークフローによって部門全体の作業を自動化することで、顧客ロイヤリティーの向上を促します。

詳しくはこちら

製品

注目のソリューション

製品

Creator Workflows

ローコードプラットフォームなら、デジタルワークフローアプリを短時間で構築できます。企業全体にすぐに展開して、ユーザーが好む直感的でつながりを感じられるエクスペリエンスを創出しましょう。

詳しくはこちら

製品

注目のソリューション

すべての製品とソリューション

Now Platform

Now Platform^® が企業を変革します。単一のクラウドプラットフォームで、業務の進め方の合理化、直感的なエクスペリエンスの提供、デジタルワークフローアプリの作成が可能です。

詳しくはこちら最新リリースを表示

仕組み

顧客向け

ServiceNow への投資を最大限に活用する方法をご紹介します。ビジネス成果を推進し、目標の達成を早めるツールとリソースの数々をご確認ください。

詳しくはこちら

カスタマーサクセス

カスタマーサポート

イベント

職場環境を変革し、イノベーションを刺激する新たな方法を探りませんか？世界各地で開催されるイベントには ServiceNow のビジョナリーたちが登場します。ぜひ、ご参加ください。

詳しくはこちら

グローバルイベント

バーチャルイベント

イベント

詳しくはこちら

ServiceNow について

ServiceNow は、テクノロジーには仕事の複雑性を低減させる力があると信じ、最新のデジタルワークフローによって人々の働き方を改善するべく、日々尽力しています。

詳しくはこちら

会社概要

パートナー

開始する

キーワード検索をする

トレーニング開発者ポータル Customer Success Center 拠点情報 Performance Analytics CMDB IT Asset Management パートナー Knowledge 22

3 つの防御ライン (3LoD) モデルとは？

3 つの防御ラインモデルは、ガバナンスとリスク管理に対する標準化された包括的なアプローチを提供するために設計された規制フレームワークです。

SecOps デモ

オペレーショナルリスクは、社内プロセスの不足や失敗、社外の事象、人、システムによって生じる損失のリスクとして定義されます。少し前までは、社内のオペレーショナルリスクを管理する責任は、多くの場合、在職中の専門家個人の腕にかかっていました。自身の経験や限定的な内部監査機能に頼り、ビジネスを不要なリスクにさらす可能性のある明らかな弱点や見落としを特定していました。そのため、企業と忍び寄る危険との間に立ち、実際の防衛線になるのは、唯一、監査人だけでした。

今日、ビジネスリスクの数と複雑さは増大しています。これらのリスクを照合して軽減するために、企業の多くは異なるガバナンスモデルである 3 つの防御ライン (3LoD) を導入しています。

名前が示すように、リスク管理である 3 つの防御ラインモデルは、3 レベルの保護で構成されています。このモデルは、冗長なリスク管理サポートを提供し、運用に悪影響が及ぶ前に危険を特定し、対処できるよう設計されています。同時に、3LoD モデルの最新バージョンは、コラボレーション調整、説明責任、目標重視に重点を置いており、防御だけでなく、発生した機会を認識して捉えるための重要なフレームワークでもあります。

ここでは、リスクにおける 3 つの防衛ラインの各要素、3LoD とオペレーショナルレジリエンスとの関連性、今後の 3LoD アプローチで期待できることについて詳しく見ていきます。

防衛のファーストライン (1st LoD) は運用管理であり、日々のリスク管理アクティビティを担当する最前線のマネージャーで構成されます。マネージャーは、ビジネスシステムやビジネスアプリケーションに従事する従業員を監督し、適切なリスク管理手順が守られていることを確認します。また、プロセスや制御に欠陥が生じた場合に是正措置を実施する責任もあります。

基本的に事業運営管理では、適切な内部コントロールの維持、リスク対応手順の実行、リスクの特定と評価、内部ポリシーの案内と実装、全アクティビティにおける設定目標のサポートをすべて日常的に行うことを義務付けられています。防衛のファーストラインの全体的な目的は、コンプライアンスの継続に加え、コントロールのブレークダウン、不適切なプロセス、新たな事象を迅速に特定することです。

日常のアクティビティは、オペレーショナルリスクの対応において重要な役割を果たします。そのため、防衛のファーストラインは絶対的に重要であり、信頼性の高い管理コントロールや内部コントロール対策などの内部メカニズムによってサポートされなければなりません。このようなメカニズムは、運用管理による強力な監視の下で開発と実装が行われており、機能と有効性について定期的にテストする必要があります。

3LoD モデルにおける防衛のサードライン (3rd LoD) は、内部監査人です。監査人は、リスク管理のプロセス、手順、フレームワークのすべてを審査し、ガバナンスと内部コントロールの有効性を包括的に保証する責任があります。この防衛ラインは、ファーストラインとセカンドラインをサポートしますが、単独での運用、客観的な立場の維持、経営陣や上層部の運営組織、取締役会、監査委員会などへの直接的な報告が可能である必要があります。

内部監査は、最後の防衛ラインとして、運用の効率と有効性、報告の信頼性、法令遵守などに関連するさまざまな目的をサポートできなければなりません。

防衛のサードラインは、主に内部監査に関連付けられていますが、このラインを補完して保証をさらに強化するために、外部監査も取り入れられることがあります。実際にいくつかのケース (SOC1 や SOC2 コンプライアンスの取得、PCI レポートの作成、SOX-404 コントロールの有効性の文書化を行う場合など) では、外部監査人が必須要件として定められています。

3 つの防御ラインは、企業におけるオペレーショナルレジリエンスのサポートと向上を目的に設計されています。

オペレーショナルレジリエンスとは、運用を妨げる事象が発生した場合に顧客サービスを継続し、製品とサービスの提供を続けて従業員を守る能力です。これは、有害事象を予測、防止して回復と適応を図ることで達成できます。考えられる事象には、パンデミック、データ漏えい、火災、悪天候、ネットワーク障害などが含まれます。

オペレーショナルレジリエンスの原則は、以下のとおりです。

ガバナンス

ガバナンスでは、運用において利用し、企業や従業員が責任を負う、システムやメカニズムについて定義します。リスク管理とコンプライアンスは、いずれもガバナンスの対象になります。効果的なガバナンス構造があれば、信頼性の高いオペレーショナルレジリエンスの計画とアプローチを策定でき、破壊的な事象に対する応答と復旧がより適切なものになります。

オペレーショナルリスク管理

オペレーショナルリスク管理 (ORM) は連続的なサイクルであり、リスク管理、リスクに関する意思決定、リスクコントロールの実装、その結果としての、リスクの受け入れ、軽減、回避が含まれます。

継続性計画

事業継続性計画は、さまざまな危機的状況を想定した継続計画の策定、実装、トレーニング、順守が含まれます。継続性計画は、破壊的な事象の発生時に重要な運用を継続させるために信頼性の高い戦略を策定することです。

相互依存性マッピング

相互依存性マッピングでは、内部と外部における接続や相互依存関係を特定してグラフ化し、重要な運用と中断発生時の継続的なサービスデリバリに必要な相互依存関係のマッピングを明確化します。

サードパーティのリスク管理

サードパーティのリスク管理では、サードパーティとの関係管理、重要な運用に不可欠なサードパーティエンティティの特定を行うためのツールや手法について定義します。

インシデント管理

インシデント管理は、特定のインシデントシナリオに対する応答と復旧計画の策定に関連付けられたプロセスを指します。この計画は、データ分析や以前のインシデントから得られたインサイトに基づいて、継続的に改良し、更新する必要があります。

情報、通信、サイバーセキュリティテクノロジー

情報、通信、サイバーセキュリティテクノロジーは、重要な運用の継続をサポートするために、定期的にテストを実施し、改善する必要があります。

3 つの防御ラインモデルは、リスク管理に対する実証済みのアプローチです。ただし、継続性とレジリエンスの計画では、状況の変化に適切に対応できるよう定期的な更新が必要なのと同様、3LoD でも最初に導入されてから、多くの修正が加えられています。

先日、バーゼル銀行監督委員会 (BCBS) は、「健全なオペレーショナルリスク管理のための諸原則」をリリースしました。3LoD モデルに対する今回の改訂は、特に金融機関と関連企業を対象にしたものですが、リスク管理プロファイルの改善を強化するために、金融機関以外の企業にも応用できます。

BCBS による 3LoD の最新情報：

オペレーショナルリスク管理アクティビティの実行における経営陣の役割の重要性を強調
3 つの防御ラインモデルの他のロールを明確に定義
新たなリスク要因を明確化
オペレーショナルレジリエンスを別項目として重視

リスクの多様化に伴い、3 つの防御ラインモデルも継続的に適応する必要があります。このことは、サードラインである内部監査に最も直接的に関連します。内部監査人と関連プロセスは、アジリティと先見性を高め、3LoD モデルの残りの部分全体にポジティブな変化を促進する必要があります。今後、監査人には、助言や予測においてより積極的な役割を果たすだけでなく、あらゆるレベルのステークホルダーに理解を促すことが期待されます。

3LoD モデルは、内部監査に限らず、今後も進化を続けていくでしょう。自動化、機械学習、AI の導入などの新たなイノベーションにより、リスクの特定と修正が容易になります。同様に、企業では 3 つの防御ラインの人間的な要素に重点を置き、チームや部門間の連携、コミュニケーション、手法の改善に取り組むことになるでしょう。

オペレーショナルリスクの管理は、現代のビジネスにとって不可欠な要素です。3LoD モデルは、想定されるさまざまな脅威に対するセキュリティを強化するために、冗長な保護レイヤーを提供します。ただし、3LoD だけでは、絶えず変化する危険から企業を完全に保護することはできません。IT 管理の業界リーダーである ServiceNow が、その問題を解決します。

ServiceNow の Operational Risk Management は、継続的な監視を適用し、企業全体で関連するデータのインサイトを取り込み、新たなリスクに対して迅速に優先順位付けと対応ができるよう企業を支援します。Operational Risk Management GRC アプリケーションには、リスクの自己評価、コントロールの保証、テスト、インシデントと損失の把握、自動モニタリングのためのツールが含まれています。高度な分析とレポート、統合された予測インテリジェンスによる課題管理の強化などに支えられた Operational Risk Management は、今日の企業が存続し、成長するのに必要な防御力を高めます。

運用上の損失を削減し、レジリエンスと信頼性を構築し、コストの削減と生産性の向上を図ります。また、すべてのリスクとコントロールの許容度をリアルタイムで完全に可視化します。ServiceNow の Operational Risk Management は、そのすべてを可能にします。

SecOps の開始

脅威をより迅速に特定し、優先順位を付けて対応します。

SecOps デモ

データの保護

リソース

3 つの防御ライン (3LoD) モデルとは？

ガバナンス

オペレーショナルリスク管理

継続性計画

相互依存性マッピング

サードパーティのリスク管理

インシデント管理

情報、通信、サイバーセキュリティテクノロジー

SecOps の開始

リソース

アナリストレポート

ウェビナー

ソリューション概要

ホワイトペーパー

会社概要

サービスとサポート

リソース

アカウント情報

サービスとサポート

ServiceNow の最新情報を受け取る

ありがとうございます

当社とつながる

3 つの防御ライン (3LoD) モデルとは？

防衛のファーストライン：事業運営管理

防衛のサードライン：内部監査

オペレーショナルレジリエンスの原則

ガバナンス

オペレーショナルリスク管理

継続性計画

相互依存性マッピング

サードパーティのリスク管理

インシデント管理

情報、通信、サイバーセキュリティテクノロジー

3LoD の最新情報

3LoD モデルの今後について

ServiceNow の Operational Risk Management

SecOps の開始

リソース