変容するコンプライアンスと金融機関の対応

2022-05-20

拡がるコンプライアンスの概念と金融機関への期待

コンプライアンスとは「法令を遵守する」こと、と考えることがこれまでは一般的でした。しかし、企業のビジネス戦略に重大な影響を及ぼすような域外適用法規制あるいはグローバル標準への対応、企業に求められる社会的責任の拡大、社会環境・価値基準の急激な変化に伴い、コンプライアンスは「法令」だけでなく「社会規範・モラル」を含む概念へと拡大しつつあります。

金融庁が2018年に公表した「コンプライアンス・リスク管理に関する検査・監督の考え方と進め方」においても、「金融機関の事業が社会・経済全体に悪影響を及ぼすことにならないか、利用者保護等に反しないかといった、より本質的な観点からリスクを深く洞察する姿勢が求められる」とされています。

つまり、コンプライアンス対応においては、金融機関が配慮すべきステークホルダーは当局や顧客、株主だけではなく、社会全体も含むようになったのです。

近年、ESGやSDGsへの関心が高まっていますが、これは「持続可能な社会の実現を目指すべき」という社会的な期待に応えるものであり、この意味において、ESG・SDGsもまた、コンプライアンスの範疇に含まれると言えます。

加えて、金融システムの担い手として世間から高い「信頼」と「社会的責任」が期待される金融機関には、スピード感を持ちつつも高い水準でコンプライアンス対応を行うことが求められます。

今後想定されるコンプライアンス・リスク管理の方向性

拡大するコンプライアンス領域に対応しながら、さまざまなステークホルダーの期待に応えるためには、従来のチェックリストを用いた対応では限界があります。

金融庁が2018年に公表した「金融検査・監督の考え方と進め方」でも「形式・過去・部分」ではなく「実質・未来・全体」に重点を置くと説明されています。つまり、チェックリストを用いて問題がないことを確認するだけでは不十分であり、将来の変化を予想する、あるいはその予兆を把握し、事象が顕在化する前に適切な措置を講じる必要があります。既出の「コンプライアンス・リスク管理に関する検査・監督の考え方と進め方」においても、「コンプライアンス・リスク管理」とあるように、コンプライアンス対応にリスク管理の発想を取り入れる必要があります。

フォワードルッキングな管理

コンプライアンス対応にリスク管理の発想を取り入れるには、フォワードルッキングな管理、すなわちリスク発現の予兆を把握し、適時・適切に対処できるような仕組みを整備・運用することが重要になります。

例えば、ある営業部署で、部長が人事部と連携して部下の行動傾向を把握する中で「ストレスに弱く、逆境下ではコンプライアンス違反を犯す可能性が比較的高い」という人物が浮かび上がったとします。この場合、「もし営業成績が上がらないなどの事態に陥ったら、サポートを厚くしつつ、同時に行動を注視する」などと事前に対応策を決めておきます。そして、実際に営業成績が低迷しているといった情報を入手した場合、速やかにその措置を実施します。

このような仕組みを整備・運用することで、コンプライアンス上のリスクが発現する前に、適時かつ適切に対処することが可能となります。

1線と2線の情報連携システム構築

コンプライアンス対応にリスク管理の発想を取り入れ、かつフォワードルッキングな管理を行う上でカギとなるのが3線防御態勢における1線（業務部門）と2線（コンプライアンス部門）の連携を密にするための情報基盤です。これまで2線は、1線が日々の業務において利活用する情報基盤とは別の情報基盤を構築し、1線の情報基盤からデータを抜き出して事後的に分析を行ってきました。そこで、この1線が日々利活用する情報基盤を2線の業務でも同時に活用できるようなシステムを構築し、コンプライアンスに関する何らかの異常値を検知した際に、2線に自動的にアラートを発信できるようにします（図表1参照）。

このような工夫を行うことで、2線は貴重なリソースをリスクの高い領域や本来的機能（助言業務など）に集中的に投入できるようになります（リスクベース・アプローチ）。また、アラートの範囲・種類などを工夫することで、リスクの予兆を幅広く検知することも可能です（Key Risk Indicator¹）。このような仕組みの導入は、1線にとっても2線に対する報告負荷が軽減するというメリットがあります。加えて、1線、2線ともに問題発生前の異常検知や、同じデータに基づく改善策の立案・実行が可能となるだけでなく、このプロセスを繰り返すことで、1線におけるコンプライアンス意識の醸成と、2線におけるビジネスや営業戦略の理解にもつながります（リスク認識・評価の議論も深化可能）。

*1 金融庁が2020年に公表した「コンプライアンス・リスク管理に関する傾向と課題」では、Key Risk Indicator（KRI）として「例えば、不祥事件届出件数、社内規程の違反件数、指導者層の不適切行為の件数、懲罰事案の件数、内部告発件数、課徴金支払件数、研修の未受講者数、職員から聴取した自社の推奨度、職員向け意識調査やストレスチェックのスコア、労働時間等に着目し、警戒基準を設定している金融機関がある」、との趣旨の記述があります。

データ整備の必要性と進め方

1線と2線が同時に利活用できる情報基盤を構築するためには、データの整備が不可欠です。この際、金融機関が従来活用してきた構造化データ（例：記帳データなど）に加え、非構造化データ（例：音声、画像、Cookieなど）の活用が重要になります。まずは構造化・非構造化データ、社内・社外データを全社的に整理し、蓄積できる態勢を構築することが求められます。その上で、非構造化データの構造化データへの紐付け（名寄せ）を行い、利活用できる状態を構築することは、多くの金融機関にとって今後のチャレンジとなると考えます。