Skip to content Skip to footer
Search

Loading Results

コンダクトリスクに対する内部監査のアプローチ

2021-05-11

1.コンダクトリスクを巡る最近の動向

金融庁が「コンプライアンス・リスク管理に関する検査・監督の考え方と進め方(コンプライアンス・リスク管理基本方針)」*1を2018年10月に公表してから、およそ2年半が経過しました。この期間に、大手金融機関を中心にコンプライアンス・リスク(コンダクトリスク)管理に向けた取り組みがなされ、その状況に関しては、金融庁も金融機関の経営陣等との対話を実施し、その実態を2019年6月に「コンプライアンス・リスク管理に関する傾向と課題」*2として公表しています。他方、中小規模の金融機関では具体的な施策の実行までには至っていない状況にあります。

昨今、コンダクトリスク管理態勢に対する金融庁の関心は益々高まっており、本邦金融機関で多発している法令違反ではない不祥事の事案に対しても、厳しい処分が課されています。

コンダクトリスクおよびその管理については、以下のページもご参照ください。

2.コンダクトリスクの内部監査の動向

コンダクトリスクの特定・管理の機能は、「3つのラインモデル」*3に即して考えた場合、2線(リスク部門、コンプライアンス部門等)が担うことが一般的であると考えられます。しかしながら、実際には、外部のステークホルダーの期待と組織体のカルチャーにギャップがあるかどうかを検証する(コンダクトリスクを特定する)に足る質・量共に十分な人的リソースの確保は難しいのが、現在の日本国内の実情です。

こうした中、3線である内部監査部門に対しては、独立したアシュアランス提供機能を担う部署として社外役員(社外取締役・社外監査役<監査等委員・監査委員>)と緊密に連携し、組織体のカルチャーと世の中の感覚の間にギャップが発生していないかを検証し、その結果を経営陣・取締役会に報告することが求められています。

2019年に金融庁が内部監査の高度化の方向性や問題意識をまとめた「金融機関の内部監査の高度化に向けた現状と課題」*4では、内部監査においても事後チェック型監査からフォワードルッキング型監査への転換(過去から未来へ)、準拠性監査から経営監査への転換(形式から実質へ)、部分監査から全体監査への転換(部分から全体へ)へという3段階の転換の方向性が示され、加えて外国金融機関グループ等の先進的な事例として第4段階があるともされていますが、当該第4段階を達成する要件の一つとしてコンダクトリスクに対する監査の実施が例示されています。また、海外G-SIFIs(Global Systemically Important Financial Institutions)においてはコンダクトリスク監査(カルチャー監査)を実施しており、第3段階相当の国内大手金融機関でも、この数年でコンダクトリスクに関する監査を実施している傾向となっています。

内部監査においても、ハードコントロール(方針、制度、システム等)の検証を中心とした既存の内部監査手法・領域に留まらず、ソフトコントロール(組織風土、企業文化等)の検証へと拡大・進化することが求められています。

3.コンダクトリスクに対応した内部監査のアプローチ例

図1は、一般的な金融機関の組織別機能を「3つのラインモデル」での1・2・3線に分類し、さらに1・2線に関してはそれぞれ2つに分類(1線:営業拠点・フロント部門/コンダクトリスク管理推進部門、2線:コンダクトリスク管理所管部門/コンダクトリスク管理関連部門)したものです*5

コンダクトリスクに対する監査にあたっては、他のテーマ監査と同様に、内部監査部門が組織の中でコンダクトリスクが高い領域(部署、業務等)についてリスクアセスメントを通じて識別し、その領域に対して監査資源を集中的に投入することが通常のアプローチとなります。

ただし、コンダクトリスク管理の導入が初期段階にある組織では、内部監査部門が3線として、1・2線のコンダクトリスク管理所管/推進/関連部門におけるコンダクトリスク管理態勢の整備状況と運用状況とを評価するといったアプローチが想定されます(アプローチⅠ)。

その上で、アプローチⅠを通じてコンダクトリスク管理が適切に機能しているが確認できた場合には、上述のとおり高リスク領域を特定した上で、1線部門の各職員がミスコンダクトを起こすような態勢となっていないか、各部門へのカルチャーサーベイを実施し、企業の行動規範やコンダクトガイドラインに対する認知・共感・行動のレベルを測る手法が想定されます(アプローチⅡ)。

図1 コンダクトリスク監査のアプローチ例

4.コンダクトリスク監査の着眼点

図2はコンダクトリスク管理のPDCAサイクルを実現する上で組織全体として具備すべきプロセスと要素をまとめたものです。中央の1から5の5つのプロセスは、主に2線がコンダクトリスク管理態勢を構築・運用する上で必要と考えられるプロセスであり、これらの各プロセスが適切・有効に機能しているかが、内部監査における着眼点としてまずもって考えられます。

これに加えて、周囲の11の要素は、中央の5つのプロセスを実施していく上で考慮すべき要件や、コンダクトリスクを管理する上で検討すべき事項であり、内部監査としてさらに深掘りして検証する上で、下記に言及する観点を踏まえることが有益と考えます。

「1. 組織としてコンダクトリスクを定義・見直しているか」については、11の要素のうち「カルチャー」「ガバナンス」「リスクマネジメント」「事業戦略」が密接に関連しています。社内のカルチャーや事業戦略を踏まえたコンダクトリスクの定義が行われているのか、コンダクトリスクを定義する上では社外のマネジメント・取締役も含めた経営陣等が関与し、リスク共有が行われているか、といった観点が考えられます。

「2. 組織としてどの領域・業務プロセスにコンダクトリスクがあるかを特定・評価しているか」と「3. 組織としてコンダクトリスクが高い領域を中心にどのようなコントロールを行っているか」に関しては2線によるリスクマネジメントプロセスに該当しますが、「事業戦略」といった上流プロセスから「設計・開発」「商品販売」「マーケット」「アフターサービス」までの各業務プロセスから想定されるコンダクトリスクの特定・評価や、それに応じたコントロールの整備が行われているか等が、観点として考えられます。

「4. コントロールの運用状況をモニタリングし、その結果を経営陣・取締役会に報告しているか」に関しては、「情報収集・分析」を通じて、「採用・研修・教育」や「報酬・評価」制度の仕組みに問題がないか、「カルチャー」面で検証・是正を行うべき施策の有無を検証しているか等が、観点として考えられます。

「5. 不十分なコントロールに対して経営陣・取締役会は適切な判断をしているか」については、資源投入や制度見直しといった経営基盤の見直しをトップマネジメントの関与によって是正措置(ガバナンス機能の発揮)がなされているか等が観点として考えられます。

図2 コンダクトリスク監査の着眼点

コンダクトリスク管理態勢それ自体を監査する場合、その監査領域の広さから、監査期間・資源を踏まえてリスクベースで対象領域を絞り込んで実施する必要があります。特に図1の「アプローチⅡ」や図2の「カルチャー」に関しては、職員等へのサーベイを行うことが想定されるため、内部監査部門が独自に行う場合には相当な準備期間を要することが想定されるのを、念頭に置いていただければと思います。

オンラインセミナー「コンダクトリスクに対する態勢構築と内部監査のアプローチ」

PwCあらた有限責任監査法人は2021年6月4日(金)から6月30日(水)まで、表題のオンラインセミナーを配信します。

本セミナーは2部構成です。第1部でコンダクトリスクの態勢整備を担当する方を対象に、あるべき態勢設計や判断基準の設定について、PwCのこれまでの支援実績に基づくアプローチを紹介します。

第2部では、コンダクトリスク態勢を評価する内部監査部門に在籍される方を対象に、有効な監査のアプローチについて解説します。

詳細はこちら

執筆者

森 裕大
シニアアソシエイト, PwCあらた有限責任監査法人

※ 法人名、役職、内容などは掲載当時のものです。

{{filterContent.facetedTitle}}


{{filterContent.facetedTitle}}


{{filterContent.facetedTitle}}