欧米金融機関市場部門における第一線による自律的統制の確立

2018-10-05

国内大手金融機関を中心に、ここ数年、3つのディフェンスラインに基づくリスク・コンプライアンス態勢の再整備が進んでいます。これは、リスク・コンプライアンス態勢の強化に限らず、リスク・コンプライアンス業務の重複の排除や集約など効率化の観点も踏まえたものとして進められています。

特に最近は、データやテクノロジーを活用することでコントロール・モニタリング機能の有効性と効率性の両立を図ろうとする流れも見られます。

今回は、欧米の金融機関において整備が進んでいる市場部門内のリスク・コンプライアンス機能をめぐるトレンドについて説明します。

これは、日本においてはいわゆる「第1.5線」と言われる機能に類似する概念です。

※原文は、PwC USのThe Supervisory framework:building a stronger defenseを基に翻訳したものです。

※ただし、ここで述べていることはあくまで現在までのトレンドであり、今後の流れとしてはこれらの機能はさらに進展し、最終的にリスク・コンプライアンス機能は狭義の第1線の業務プロセス(コントロール)の中に組み込まれることにより、「第1.5線」的機能は不要となる可能性もあります。さらに第2線についても同様で、現在のような大規模な中央集権的な組織のあり方も変わる可能性があります。

欧米金融機関における第一線による自律的統制の確立:Central Supervisory Team

金融機関1の多くは、3 Lines of Defense(3 LoD)モデルを導入することでリスク管理態勢を整備し、デスクヘッドや上級のトレーダーといった監督者(Supervisor)によるリスクのモニタリング能力の向上を図ってきました2。しかし、ファイナンシャルリスク(信用、マーケット、流動性リスク等)に対するリスク管理態勢の整備・強化が進む一方で、規制当局は、ノンファイナンシャルリスク(オペレーショナルリスク、コンダクトリスク等)を注視するようになってきています3

多くの場合、監督者は、金融機関の第一線の内部統制体制を設計、管理、実施するだけではなく、収益目標の達成(あるいは、これを上回ること)が期待されています。このような規制当局4と上級管理職の期待を満たすためには、伝統的な3 LoDモデルを改善しなければなりません。そのため多くの金融機関で、第一線内にCentral Supervisory Team(以降、CST)と呼ばれる一元的な監督機能を担うチームを配置しています(当該機能を「1.5線」と呼んでいる金融機関もあります)。CSTは、監督者が問題を評価し、統制を設計し、監督プロセスを実施し、ノンファイナンシャルリスクをモニタリングすることをサポートします。

実効的なCST体制においては、トレーダーやデスクヘッドによるノンファイナンシャルリスク関連業務の一次レビューをCSTに移管し、ノンファイナンシャルリスクに関連する重要な問題があった場合に、CSTは、トレーダーやデスクヘッドに報告します5。そのため、トレーダーやデスクヘッドは、ファイナンシャルリスクに関連する問題に重点的に取り組むことができ、監督体制の強化につながります。この体制において重要な点は、監督者がすべてのリスクに対する説明責任を保持していますが、CSTのサポートにより、真に注視すべきオペレーションやコンダクト上の問題にのみ対応することができるということです。これにより、監督者は、クライアント対応や収益目標の達成により時間を投入することができます6。また、強力なCST体制を構築するためには、金融機関は、監督体制における3LoDの役割を整理することが求められるため、第一線と第二線の役割と責任が明確化され、業務の重複の軽減・解消につながります。

多くの金融機関ではCST体制を整備しているものの、CSTの役割を定め、適切なオペレーティング・モデルを決定し、監督者とCSTの効率的な業務遂行を手助けするツールを利用することに労力を費やしています。

以下では、金融機関がどのように監督体制を整備し、CSTを活用して、第一線におけるノンファイナンシャルリスク管理活動を強化しているかを考察します。

監督体制

伝統的な3 LoD体制において、第一線の監督者は、所管する業務活動に関連するあらゆるリスクに対して責任を有しており、金融機関は、リスクを計測、モニタリング、管理、報告するために設計された数多くの活動に対して、監督体制を構築しています。このような統制は、通常、大まかに(1)ファイナンシャルリスク管理、(2)オペレーショナルリスク管理、(3)トレーディング・ライフサイクル活動、(4)従業員の行為、(5)公正な顧客取引、(6)その他の潜在的な操作的活動の防止、という6つの区分に分類されます。これら6つの区分には、ファイナンシャルリスク管理に対する最終的な責任を監督者が担う業務が含まれます7

実効的なCST体制が整備され、高度化されている第一線の場合、監督者は、(リスク管理やコンプライアンスという観点から)最も適切な業務に対して生産的に時間を投入することができ、日々のクライアント対応や収益目標達成の管理に一段と注力することができます。基本的に、CSTは、アラートを優先順位付けた上で根本原因の確認や波及経路のコントロールを行い、重要性が低く、監督者に報告する必要のない問題は自身で解決します。

CSTの役割

多くの金融機関において、監督レポートや異常値レポートの作成・確認といった一部の業務をCSTの担当者に委任するというモデルに基づき、CSTの役割を定めています。なお、このモデルにおいて重要な点は、一部の業務を委任した場合であっても、業務の実施あるいは業務を実施しなかったことに伴い発生しうるリスクに対して、監督者は最終的な責任を有しているということです。このような委任モデルを採用する場合、CSTと監督者との間の役割が明確に定義され、どのような業務を誰に委任するかに関するルールが定められていなければなりません。更に、業務の委任先の担当者に対して、問題を把握し、報告することができるよう、適切な研修を実施すべきです。

監督者に代わって実施する業務に加え、CSTは、フロントオフィスの監督体制を構築・整備し、標準化することのほか、コントロールの強化策を策定、実施することをサポートすることができます。さらにCSTは、既存コントロールの有効性を評価し、改善すべき点を把握します。また、監督者のテスティング対応を手伝い、必要に応じて自ら問題を特定します。ただし、CSTは、第二のテスティング機能として創設されるべきではなく、また、CSTの活動が第二線と第三線によるテスティング機能を代行したり、重複するものであってはなりません。CSTは、監督者が主体的に監督活動を実施し、内部統制体制における不足を補完するためのアプローチなのです。

進化し続ける3 Line of Defense モデル

最適なオペレーティング・モデル

CSTは第一線内に設置されるが、CSTが中央集権的(すなわち、最終的には、グローバルヘッドに報告が集約され、グローバルヘッドが金融機関の部門長またはCOOに報告します)、あるいはさまざまなビジネスラインや拠点に適合するよう分権的に設置されるかは、金融機関によって異なります。

中央集権型モデルは、金融機関全体にわたって統一的な役割を設定し、さまざまなビジネスラインや商品ラインに固有のニーズを踏まえてリソースを配置するのに有用です。一方で分権型モデルでは、CSTは地域またはビジネスラインごと、もしくは両方を踏まえて組織化され、各国・地域または商品の種類(すなわち、適用される規制)を勘案して調整することができます。

金融機関が特定の監督活動を中央集権的に実施(例えば、メールの確認)するとともに、他の活動については、業務固有のアプローチを講じるという、両モデルを組み合わせたモデルが最も実効的であると考えています。ただし、金融機関がいずれのアプローチを選択するかに関わらず、CSTのグローバルヘッドは、金融機関全体にわたる実効的な基準・ガイダンスの整備・適用を確保すべきです。

人材ニーズ

金融機関は、CSTにどのような人材をどのように配置するか(例えば、求められるスキルや、CSTをどこに配置するか)を決定するにあたって課題に直面しています。通常、CSTは、(元トレーダーやリスクマネージャーを含め)コンプライアンス、財務、法律、監査、リスクといったエリアの経歴を有する者から構成されています。CSTに割り当てられる業務内容によって、特定分野の専門性、定量分析、プロジェクト管理のスキルといった、要求されるスキルセットは異なってきます。

また、金融機関によっては、コンプライアンス・オフィサーを第二線からCSTに移しています。また、トレードサーベイランスを実施するラインとして、第一線がより適切であると考えている金融機関もあります。これまで、第一線は、第一線が行う活動、第一線内で発生する違反的行為の防止に責任を有しており、コンプライアンス部門(第二線)は、通常、トレードサーベイランスに責任を有しています。トレードサーベイランスを第一線に移管した金融機関は、人員を有効に活用し、業務が統一され、LoD間の不要な業務の重複は避けるようにすべきです。

金融機関はまた、一部の標準化された業務(典型的な内容のe-mailの作成、KYC情報の収集)の移管・委託先として、シェアードサービス、ベンダー、オフショアを活用することによって、CSTの設置に伴うコスト増の影響を最小限に抑えることを検討しています8。これらの選択肢を検討している金融機関は、特に、ベンダーを選定し、これに対して研修を実施し、業務の提供を継続して受けるにあたって、幾つかの課題に直面しています。重要な点は、一部の業務をオフショア拠点に移管した場合であっても、本店が最終的な監督上の承認責任を有しているということです。

効果的な監督リスクマネジメントのためのツール

報告体制が十分に整備されていない金融機関の場合、さまざまな異常値レポートやコントロール(例えば、取引の取消・修正、レートトレード(late trade)の日次追跡レポート)を用いて、監督責任が遂行されていることをモニタリングしています9。ただし、これらのレポートは、関連しない情報が含まれており、また報告・改善された問題点の監査証跡として用いることができないことが多く、そのため、監督者が必要となる情報を特定し、監督責任を遂行したことを実証することが困難であるため、多くの金融機関は、監督者に対して、監督責任を遂行した旨を月次で宣誓するよう要請しています。

一方、より成熟した報告体制を有する金融機関の場合、CSTは、スーパーバイザリー・ダッシュボードを活用することによって、監督義務の遂行をサポートしています。ダッシュボードは、重要なコントロール、対応事項に関する情報(リミットまたは閾値超過、改善対応項目の報告など)を集約したワンストップショップのツールです。監督者が複数のシステムを用いて、問題を追跡、確認、報告する代わりに、このようなダッシュボードを活用して、CSTがアラートを確認し、必要に応じて、監督者に報告するという一元的な体制を整備することができます。

ダッシュボードの基本的な機能として、日次、週次または月次で、さまざまな内部ソースからデータインプットを収集(プラットフォームの整備状況に応じて、手作業あるいは自動化)することによって、対応またはレビューが必要な場合にアラートが生成され、また、関連するその他の重要な指標を提供します。さらに、ダッシュボードには、監督対応のために、報告すべき問題点を事前にスクリーニングする一連の基準を提供している場合もあります。

これらに加え、ダッシュボードは、明確な報告・改善プロセスを提供するワークフローツールを策定し、意思決定の監査証跡や情報の報告作成をサポートします(例えば、トレード監視チームによる価格例外アラートが発せられた原因の説明を監督者が閲覧できるようにします)。これにより、形式的になっていた宣誓書の提出を監督者に対して求める必要がなくなります。また、ダッシュボードを用いて、定期的なレビュー(例えば、清算前のレビュー)を実施し、規制要件への遵守状況(例えば、ボルカールールにおけるマーケットメイキング制限)をモニタリングすることができます。より効率的なレビュープロセスを構築することによって、CSTは、誤検知に時間を費やすのではなく、スーパーバイザリー・ダッシュボードを活用して重要な問題(異常値、報告対象項目)や収益目標の達成に注力することができるのです10

金融機関が実施すべき対応

金融機関の監督体制がどの程度成熟しているかに関わらず、各金融機関がCSTを活用し、リスク管理態勢を強化するために検討すべき事項が幾つかあります。

  • CSTについて明確な役割・責任を定め、文書化し、実施します。これには、CSTが他のフロントオフィス担当者とどのように連携するか、CSTが第二線とどのようにして、どのような場合に連携するかといった点が含まれます。
  • CSTに対していずれの業務を委任することが適切であるかに関する明確な方針を設定します。
  • 委任先の担当者が、業務を実施し、問題点を監督者に報告する方法と報告を行うケースを理解するにために必要な知識、スキルセットを有していることを確認します。
  • 監査証跡を作成し、監督者が宣誓に依拠するのではなく、実施している内部統制の証跡を提供することができる、重要なツールやテクノロジーを特定し、導入します。
  • 類似の業務・商品について、標準的な監督体制を設計・導入することによって、レビューや報告が優先的に実施されるようにします。

注記

  1. 本書でいう金融機関とは、主に、資産が500億米ドル超の銀行、証券会社、資本市場における取引業者です。
  2. 3 lines of defenseモデルは、現在主流のガバナンス体制である。第一線は、リスクテイクを行う事業部署であり、自身の業務から生じるリスクを管理します。第二線は、第一線から独立したリスク管理監視機能を遂行し、リスクを特定、測定、モニタリング、管理する責任を担います。最後の第三線である内部監査は、リスク管理態勢全体について、独立の立場から評価・保証を行います。
  3. 2011年から2015年にかけて、米国の上位5行は、コンダクト関連の違反により、合計で1670億ドルの罰金を支払いました。ノンファイナンシャルリスクに対する規制当局の調査に関しては、2016年10月にPwCが公表したA closer look, Sales practices: OCC exams and beyondを参考。
  4. 例:連邦準備制度理事会(Fed)、金融業規制機構(FINRA)、証券取引委員会(SEC)、商品先物取引委員会(CFTC)
  5. CSTは、監督者によるノンファイナンシャルリスクの管理をサポートすることに重点を置いています。これにより、トレーダーやデスクヘッドといった、フロントオフィスのスタッフは、自身の役割により関連した形で、リスクをモニタリングすることができます(例えば、PLのモニタリング)。
  6. このモデルにおいては、ビジネスラインにおけるコンプライアンス・オフィサーの設置へと回帰しています。元来、コンプライアンス・オフィサーの役割は、複雑な規制動向に対応していくにあたって業務部署のヘッドと連携することであり、CSTの役割と類似するものでした。しかし、金融危機以降、第一線における監督者(すなわち、リスクのオーナー)の説明責任が注目されるようになり、第一線の責任を明確にするために、CSTが設置されるようになりました。
  7. 各区分の手続きの例として、以下が挙げられます。(1)ファイナンシャルリスク管理には、監督者が、日次で、損益を確認・承認すること、(2)オペレーショナルリスク管理には、トレーディング権限(いずれのトレーダーがどのような商品を売買できるか)が最新のものであることを確認すること、(3)トレーディング・ライフサイクル活動には、権限のない売買を防止するための、取消、訂正、修正に係る内部統制、(4)従業員による行為には、コミュニケーション管理、贈答・経費の確認、(5)公正な顧客取引には、顧客に関する適合性評価、(6)その他の潜在的な操作的活動の防止には、アクセス制御、オフプレミスの取引モニタリングが含まれます。
  8. 2016年1月にPwCが公表した「Financial crime observer, AML:Do you really know your customer?」参考
  9. 取引報告・コンプライアンスエンジン(Trade Reporting and Compliance Engine:TRACE)は、店頭流通市場における適格債権に関する取引報告を容易にします。
  10. ダッシュボード自体は、膨大な数の誤検知の問題を解決することはできないが、CSTがダッシュボードを活用することによって、監督者がこの問題に費やす時間を軽減することができます。また、金融機関の多くは、ダッシュボードだけではなく、その他のビッグ・データ・ソリューションを模索しており、膨大な数の誤検知や非効率的な調査といった問題を解決するためにより有用な分析を行うことを目指しています。

辻田 弘志

パートナー, PwCあらた有限責任監査法人

Email

※ 法人名、役職、コラムの内容などは掲載当時のものです。


関連情報

Contact us

Follow us