求められるコンプライアンス・リスクの予兆管理態勢の確立

管理対象が広範に及ぶリスク

「法令等遵守」を意味するコンプライアンスに変革の波が迫っている。対処すべきリスクの多様化、予兆管理の重要性の高まりがその背景にある。

コンプライアンス・リスクとは、法令等が遵守されない場合に発生しうる有形無形の損失発生リスクと換言できる。市場リスクや信用リスクといった従来のリスク・カテゴリーと異なり、計量化が難しいうえに、リスクが顕在化した場合の損失が想定を上回る可能性が低くない。例えば、反社会的勢力との取引が発見された場合、当局による処分に加え、反社会的勢力との取引に関する報道で、当該金融機関のブランドは棄損してしまい、多額の預金流出や口座解約も発生しうる。

こうした事態は、法規制への対応にとどまらない。LIBOR不正操作など金融市場での不祥事を受け、コンダクトリスクに対して海外当局の関心が高まっているが、同リスクに限らず、「顧客本位の業務運営」に関する議論など、わが国においても顧客保護に対する当局の関心は大いに高まっている。コンプライアンス・リスクの管理には、所与の要件を守るといった受身な姿勢ではなく、想定しうるリスクや世の動向を先取りした能動的かつフォワードルッキングな視点が求められている。

金融機関の取組みは二極化

コンプライアンスにおいて、潜在リスクやその予兆を意識した管理は、すでに大手行中心に始まっている。ある金融機関では、コンプライアンスにおける予兆管理を「ヒートマップ」と呼ばれるもので強化している。具体的には、サイバーリスクやマネー・ローンダリング、法規制の変更やハラスメントなど数十にわたる項目につき、HML（High、Medium、Low）の3段階でリスク評価を行い、可視化するものである。ヒートマップによる可視化は、近年浸透しつつある管理手法だが、リスク評価が担当者の主観に依拠することは否めない。そこで、この金融機関では、外部のデータを用いつつ、独自の定量基準により、評価の客観性を確保しているという。全社をとりまくリスクを統合的な基準で評価することで、将来顕在化しうるコンプライアンス・リスクを的確に把握し、経営層も含めてリスク軽減策の策定に関する社内コンセンサスを醸成しやすくしていることは想像に難くない。

一方、地域金融機関では、コンプライアンス・リスクに係る潜在リスクや予兆管理の枠組みをどのように構築するかを悩んでいるのが実情のようである。理由としては、法令遵守といった従来型のコンプライアンスはコンプライアンス統括部、顕在化した事象・事案の把握・管理はオペレーショナル・リスクを管理するリスク統括部というように、担当部署がそもそも分かれていることが挙げられる。このため、コンプライアンス・リスクの予兆を管理するという新たな手法・枠組みについて、どの部署が担当するのか、どのような態勢を構築するのか、従来の枠組みで対応できるのかなど、検討課題が多いように思われる。潜在リスクや予兆管理の重要性に気づいていない金融機関も見られる。確かに、人員数などのリソースの制約から、地域金融機関では十分な態勢を構築するのが容易でないといった事情はある。しかし、地元の事業基盤・顧客基盤への依存度合いを考えると、レピュテーショナル・リスクの顕在化を未然に防ぐという意味においても、コンプライアンス・リスクの場合、管理の高度化が極めて重要な領域の一つといえる。

想定されるアプローチ

能動的でフォワードルッキングなコンプライアンス・リスク管理のために、金融機関はどのような対応をとればよいのか。地域金融機関を想定したアプローチを一つ紹介したい。それは、統合的情報データベースの構築である。

地域金融機関が少ない人員の中で、部署をまたいだリスク管理を行うには、横串となる「羅針盤」が欠かせない。各部共有でコンプライアンスに関連する情報を取得・閲覧できるデータベースを構築することができれば、全社的なコンプライアンス・リスク管理を高度化させる第一歩となる。データベースに、内外規制動向や各種法令改正の動き、他金融機関の処分事例や内部のコンプライアンス違反事例などを一手に格納することで、統一的な管理を可能とする情報基盤が生まれることになる。データベースから得られた情報は、次の四つの活用法が想定できる。

①　経営会議資料での活用による経営層向け情報提供、それに伴う行内コンセンサスの醸成
②　内部情報との連携による残存リスクの可視化、統制活動の評価
③　各部署のコンプライアンス担当者への展開を通じた部内リスク予兆の把握
④　支店長などの支店管理者への展開によるコンプライアンス視点での支店運営の高度化

このうち、①は取り組みやすい活用法ではなかろうか。統一的な情報基盤に、関連する情報を格納・共有することで、局所的となりがちなコンプライアンス・リスクの管理が、各部・行内横串で実施できる可能性も一気に高まる。リソースが不足する場合、データベース構築や内外の情報収集を外部専門家に委ねるという方法も考えられよう。

＊　＊　＊

2017年は、改正個人情報保護法の施行をはじめ、法改正が多くあった。従来の視点では、これらの法改正にどのように依拠するか、対応漏れはないかなど、文字どおりミニマム・スタンダードな対応にとどまりがちであった。しかし足もとでは、事象の顕在化を未然に防ぐという潜在リスクに着目する踏み込んだ対応が求められているようにみえる（注）。リスク管理において、フォワードルッキングという概念は決して新しくない。しかし、適用されうる領域がコンプライアンスにも及んできているという事実は軽視すべきでない。金融機関の抱えるリスクの内容・多寡はそれぞれ異なるかもしれないが、リスクの顕在化を未然に防ぐという思いは一致するはずである。

（注）
18年7月には金融庁よりコンプライアンス・リスク管理に関するディスカッションペーパーが発出され、管理の要締が提示されている。
https://www.fsa.go.jp/news/30/dp/compliance.html　

（なお、文中の意見にわたる部分は、筆者の私見である）
 

*本記事では「非財務リスク」「ノンファイナンシャルリスク」「ノン・ファイナンシャル・リスク」「非ファイナンシャルリスク」等を、「非財務リスク」に表記を統一して使用しております。