はじめに――「来られてから気づく」から「自分で気づく」へ
建設業の立入検査は前に詳述したとおり、事前通知を経て行われることが多い。しかし、通知を受けてから慌てて書類を集め、不備を発見して初めて「こんなことになっていたのか」と気づく——これは「外部から来てやっと自分の状態を知る」という最も非効率で危険な状態だ。
内部監査の目的は、行政の立入検査が来る前に自分たちで自社の状態を把握し、問題を早期に発見・是正することにある。「検査に合格するための準備」ではなく、「法令を遵守した経営状態を日常的に維持するための仕組み」が内部監査の本質だ。
本稿では、まず世界標準として急速に普及している「3ラインモデル」を解説し、建設業の内部監査体制をこのフレームワークで整理する方法を論じる。
世界標準となった「IIAの3ラインモデル」
2008年リーマン・ショックから生まれた教訓
3ラインモデルが導入された背景の一つに2008年のリーマン・ショックがある。リーマン・ショックでは、ファーストライン(投資銀行の営業部門・トレーダー)の暴走が顕著だった。住宅バブル期にトレーダーがサブプライムローンをリスク管理やコンプライアンスをないがしろにして大量に証券化して販売し、ディフェンスの視点が欠如していた。このリーマン・ショックを教訓に、海外の金融機関でガバナンスの見直しが検討された。
この反省から国際的に普及したのが「3つのディフェンスライン(Three Lines of Defense)」の概念であり、2013年にIIA(国際内部監査人協会)が公式に体系化した。その後、IIAは2020年7月20日、組織のリスク管理・統制活動のモデルである3つのディフェンスラインを改訂した「IIAの3ラインモデル(Three Lines Model)」を公表した。
「ディフェンス」から「ライン」へ――2020年改訂の意味
改訂により、「ディフェンス」が外れて「3つのライン」に改められている。従来のモデルには、シンプルで伝えやすいという利点がある反面、組織に硬直した構造を示唆して縦割りの運用を招く傾向があるなどの課題があった。
3ラインモデルは従来の3ラインディフェンスの考え方を発展させたもので、リスクを単に防ぐだけでなく、組織の目的や戦略を達成するためにリスクを「管理」するアプローチを強調している。また、各ラインが単独で行動するのではなく組織全体としてリスクを管理するための連携と協力の重要性を強調している点が特徴的だ。
3ラインの構造
第1のディフェンスラインは、業務執行部門の内部統制と、部門の経営責任者によるコントロールだ。リスクオーナーとしてリスクの特定と統制を行う。第2のディフェンスラインは、リスク管理部門・コンプライアンス部門などが行う財務管理・リスクマネジメント・品質管理などだ。リスクとリスク統制の体制・運用をモニタリングして、必要な支援・助言を行う。第3のディフェンスラインは内部監査であり、リスク統制の体制・運用その他のリスク管理機能や内部統制について合理的保証を行い必要な助言を行う。それぞれのディフェンスラインは互いに独立していることが必要だ。
さらに付言すると、中川総合法務オフィスでは、金融機関の専門誌の依頼で、「1.5線」論文を書いているので参照されたい。下記に雑誌名など記載した。https://compliance21.com/three-lines-of-defense/
金融機関での先行採用と全業種への展開
3線ディフェンスの考え方は経営管理のあり方として実務に取り入れられており、金融庁が2018年10月に発表した「コンプライアンス・リスク管理に関する検査・監督の考え方と進め方(コンプライアンス・リスク管理基本方針)」では、「三つの防衛線」という概念を用いて、リスク管理態勢構築の考え方が示されている。
さらに決定的だったのが、2023年4月に公表された財務報告に係る内部統制の評価及び監査に関する実施基準(いわゆるJ-SOX実施基準)の改訂で、内部統制・ガバナンス及び全組織的なリスク管理に係る考え方の例示として「3線モデル」が明記されたことだ。金融機関のみならず幅広い企業においてのいっそうの取り組みが求められるようになった。
また、アシュアランスは内部監査の重要な役割の一つだが、企業全体のアシュアランスやモニタリングを内部監査だけで担うのは現実的ではない。3ラインモデルのコンセプトを導入して企業全体でアシュアランスを構築することが望ましい。
不祥事が発生した企業の再発防止策でも、「3ラインモデルに沿った体制の再構築」を明記するケースが増えている。このモデルはもはや金融業界固有の概念ではなく、ガバナンス改革全般の基軸フレームワークになっている。
建設業界における3ラインモデルの現状と展望
建設業界では現状、このモデルを意識した体制整備は大手ゼネコンの一部にとどまる。しかし、2023年のJ-SOX実施基準改訂・コーポレートガバナンス・コードの浸透・建設Gメンによる監視強化という三つの圧力が重なることで、今後は中堅・中小建設会社においても3ラインモデルに基づく内部監査体制の整備が事実上の業界標準となっていくことが予想される。特に上場企業の建設子会社・公共工事比率の高い建設会社・大規模JVに参加する建設会社では、発注者や親会社からの体制整備要求として具体的に求められる可能性が高い。
建設業における3ラインの実務的設計
3ラインモデルを建設業に当てはめると、以下のように整理できる。
第1ライン(業務執行部門)は、工事部門・営業部門・現場代理人・監理技術者だ。建設業法上の義務(技術者配置・施工体制台帳・下請代金の支払い等)の直接の履行責任者であり、「リスクオーナー」として日常業務の中での法令遵守を一義的に担う。
第2ライン(管理・コンプライアンス部門)は、総務・経理・法務・コンプライアンス担当部署だ。第1ラインの業務執行状況を独立した立場でモニタリングし、建設業法令遵守の5重点項目(許可制度・技術者制度・請負契約の適正化・経営事項審査・監督処分等)に照らして問題がないかを確認・助言・是正促進する役割を担う。
第3ライン(内部監査)は、第1ライン・第2ラインの双方から独立した視点で、コンプライアンス体制の実効性を検証し経営層に報告する機能だ。外部の行政書士・弁護士等が担うことも実務上は有効な方法だ。
この3ラインが独立性を保ちながら連携することで、建設業法上の義務の履行状況が「現場レベルでの履行→管理部門によるモニタリング→内部監査による検証→経営層への報告」という体系的なサイクルで担保される。
建設業法令遵守の5重点項目
建設業の内部監査で中心に置くべきは、建設業者が建設業法の法令遵守を考える場合に特に注意してチェックしていただきたい5項目、①許可制度、②技術者制度、③請負契約の適正化、④経営事項審査、⑤監督処分等だ。
この5項目は立入検査・監督処分と直結しており、内部監査のチェック項目の骨格として機能する。
①許可制度の確認
許可更新期限の管理(5年ごとの更新漏れ防止)、許可業種と受注工事の一致確認、常勤役員等・営業所技術者の常勤実態の確認が主な点検項目だ。更新期限の2〜3か月前に担当者に自動通知が届く管理体制が不可欠だ。
②技術者制度の確認
全工事の技術者配置台帳を整備し、資格要件の充足・常勤実態(社会保険加入記録との照合)・専任義務のある工事での他現場との重複がないかを確認する。前に論じたパナソニックGの事案は、技術者台帳と実態の乖離が長年放置された結果だ。台帳と実態を定期的に突合する仕組みが最も効果的な予防策になる。
③請負契約の適正化の確認
建設業法に関する内部監査の一環として、下請取引等実態調査の調査票を活用する方法がある。この調査票は建設工事の請負契約における実態を回答する選択式の形となっており、建設業に携わる者であれば比較的容易に回答できる。ただし、この調査票を使用した場合、請負契約の適正化の面での確認はできるが、他の4点の内容はチェックできないため、建設業法の法令遵守のチェックリストとして網羅的とは言えない。 したがって5項目全体を網羅した独自のチェックリストを整備することが必要だ。
当初契約書の16項目記載確認・変更契約書の書面化状況・見積期間の確保記録・施工体制台帳の作成状況・赤伝処理の合意書面の有無・下請代金の支払期日遵守が主な確認項目となる。
④経営事項審査の確認
完成工事高・技術者数・社会保険加入状況など経審申請の各数値が、工事台帳・技術者台帳・社会保険記録と整合しているかを確認する。申請担当者以外の者によるダブルチェック体制が経審の正確性を担保する最低限の仕組みだ。
⑤監督処分等の状況の確認
過去に受けた指示処分・行政指導の内容と、その後の改善状況を記録・管理する。改善報告書を提出した事案について「その後、本当に改善されているか」を追跡確認することが、再発防止と処分加重の防止につながる。
建設業における3ライン実装の実務形態
第1ライン:現場・工事部門の自律的法令遵守
3ラインモデルでは、リスクの一義的な管理責任は第1ラインにある。建設業において言えば、現場代理人・監理技術者・施工管理者が日常業務の中で建設業法令を遵守することが第1ラインの機能だ。「現場責任者のコンプライアンス」で論じた口頭指示の排除・変更契約の書面化・下請への適正な取引が、第1ライン機能の具体的内容となる。
第2ライン:管理部門によるモニタリングと支援
管理部門は、事業部門の自律的なリスク管理に対して、独立した立場から牽制すると同時に、それを支援する役割を担う。建設業では、経理・総務・コンプライアンス担当がこの役割を担い、工事部門から独立した視点で法令遵守状況を定期的に確認し、問題が生じた際に是正を促す。
第2ラインが機能するためには、工事部門の人事評価に影響を受けない形での独立性が必要だ。中小建設会社では部門間の人間関係から「言いにくい」という状況が生まれやすく、この点に意識的に対処する必要がある。
第3ライン:内部監査による独立した検証
内部監査部門は、事業部門や管理部門から独立した立場で、コンプライアンス・リスクに関する管理態勢について検証し、経営陣に対し不備を指摘して是正を求め、あるいは管理態勢の改善等について経営陣に助言・提言をすることが期待されている。
建設会社では独立した内部監査部門の設置が難しい規模の会社も多いが、外部の行政書士・弁護士等を「外部内部監査」として活用することで、独立性を確保することが可能だ。模擬立入検査もこの第3ラインの機能として位置づけられる。
中小・中堅建設会社における現実的設計
大手ゼネコンのように3つのラインを完全に分離した専門部門として設置することが難しい場合でも、3ラインの「考え方」を組織に導入することは可能だ。
小規模な組織では、工事部門(第1ライン)と管理部門(第2ライン)の相互確認体制、および外部専門家による年1〜2回の第3ライン機能(外部監査・模擬立入検査)という組み合わせが現実的な出発点となる。中川総合法務オフィスでも受任可能である。
重要なのは「誰が何を確認するか」の役割を明文化し、確認した記録を残すことだ。3ラインが正式に機能していることを記録として示せることが、行政調査・不祥事発生時の対応において組織の誠実性の証拠となる。
内部監査結果の経営への活用
内部監査はコンプライアンス上のリスクを経営判断に組み込む機能でもある。定期監査の結果を経営会議に報告し、重大なリスク項目については経営トップが直接関与する形で改善策を決定する体制を整えることで、コンプライアンスが「担当者の仕事」から「経営の課題」へと昇格する。
「内部統制崩壊のケース」で論じたCOSOモデルの「モニタリング活動」の具体的な実装が、この内部監査の定期実施と結果の経営への報告・活用に他ならない。3ラインモデルとCOSOモデルは相互補完的であり、両者を組み合わせることで建設業コンプライアンス体制の理論的基盤が一層強固になる。
まとめ
IIAが2020年に改訂した「3ラインモデル」は、金融機関での先行採用を経て2023年のJ-SOX実施基準改訂により全業種への普及が本格化した世界標準フレームワークだ。建設業界での本格的な展開はこれからだが、企業不祥事の再発防止策にこのモデルが採用されるケースが増える中、元請ゼネコンとして先手を打つ価値は大きい。
第1ライン(現場・工事部門)・第2ライン(管理・コンプライアンス部門)・第3ライン(内部監査)それぞれの役割を明確にし、建設業法令遵守の5重点項目を軸にした内部監査サイクルを回すことが、「立入検査が来て初めて気づく」から「自分たちで気づいて改善する」への転換の基盤となる。
中川総合法務オフィスでは、建設会社向けのコンプライアンス研修・3ラインモデルに基づく内部監査体制の設計支援・模擬立入検査を行っております。外部コンプライアンス顧問としての定期訪問・点検サービスもご提供しています。初回相談は無料です。お問い合わせはこちら
