解説：「2021事務年度金融行政方針を踏まえた金融機関の内部監査のポイント」

2021事務年度金融行政方針は、「金融機関がITと経営戦略を連携させて企業価値の創出を実現するITガバナンスを発揮することが重要」としており、ITガバナンスは引き続き、当局の大きな関心事項のひとつであると考えられます。なお、金融庁はITガバナンスの定義を「経営者がリーダーシップを発揮し、ITと経営戦略を連携させ、企業価値の創出を実現させるための仕組み」としています。

また、同行政方針は「クラウドサービスやマイクロサービスといった新技術の採用による先進的な取組みを検討する金融機関に関して、早期の段階からITガバナンスやリスク管理等の観点からの議論を行う」としています。そして主要行等に関しては、「専門性の高い分野を含む業務執行・ガバナンスのあり方について、取締役会等による業務執行の監督の実効性や、経営人材の育成・選任プロセス等を確認する」としています。
なお、ITやデジタル技術の推進の目的には、先進的なサービスの提供による顧客の獲得のみならず、経営効率化の観点も含まれており、これらを踏まえたDXへの取り組みといった点からも対話が行われることになります。

2021事務年度に金融庁が「サステナブルファイナンス推進室」を新設したことからもわかるように、サステナブルファイナンス推進の流れは加速しています。とりわけ、金融庁が日本銀行と協働し、３メガバンクと大手損保３グループを対象にNGFS（気候変動リスクに係る金融当局ネットワーク）のシナリオを共通シナリオとするシナリオ分析のパイロットエクササイズを今事務年度よりスタートさせるという動きは注目されます。一方、サステナビリティのスコープは広く、国際的な議論が先行していることもあり、当局にとっても情報の蓄積や分析手法の確立にはいまだ相応の時間を要すると考えられます。

金融行政方針にはサステナビリティに関連して以下の記述が含まれています。

•  金融機関が気候変動への対応を経営上の課題として認識し、適切な態勢を構築することが重要であり、気候変動リスクに関するガバナンス態勢の確立、気候変動のリスクと機会を考慮したビジネスモデル・戦略の策定、気候変動リスクの認識・評価・管理プロセスの構築、シナリオ分析の活用等が求められる
• 中長期的な企業価値の維持・向上に向けて、企業が投資家や金融機関と建設的な対話を進める上では、サステナビリティ情報に関する適切な企業開示が鍵となる。気候変動を含むESG 情報の開示の充実を図る観点から、サステナビリティに関する開示の好事例集を改訂する

ビジネスの多角化やボーダーレス化の加速によって、これまで必ずしも十分な議論が尽くされてこなかった課題やステークホルダーの存在を改めて整理したうえで、適切な対策を講じる必要性が高まっているといえます。こうしたことから、金融庁では海外における各種規制や取り組み事例の検証を進めているところであり、2021事務年度金融行政方針にも以下の記述が織り込まれました。

• 国際的に活動する大手クラウド事業者の出現により、集中リスクが生じ、オペレーショナル・レジリエンスの規制・監督手法にも新たな対応が求められている。第三者委託に関する国際的議論に参画し、クロスボーダーでのクラウドサービス等への対応を深化させる
• 第三者委託を含むオペレーショナル・レジリエンスやサイバーインシデントへの対応に関し、海外での規制動向など、各国における取組みを適切に把握する

第三者委託やオペレーショナル・レジリエンスは、顧客サービスの質の維持・向上といった観点からも重要なポイントであり、当局のモニタリングが進化する領域のひとつになることが考えられます。

このほか、海外進出の拡大に伴い、グループおよびグローバルベースの視点が重要性を増しています。金融行政方針では、主要行等について、「グローバルでの経営を支えるIT・システム・会計等のあり方や、グループ・グローバルのリスク管理の枠組みの有効性を確認する」としている一方、保険会社についても、「グループベースでのガバナンスの高度化を進めることが重要」としており、海外当局との連携について言及しています。

また、海外進出という視点からは外れますが、経営の多角化・高度化を図る地域金融機関に対しても、「グループ全体にわたるガバナンス機能の発揮を促していく」としており、やはり組織全体というスコープに言及しています。

なお、グループベースといった観点に関しては、銀証ファイアーウォール規制の見直しも現在進められているところです。行政方針には「利用者本位のサービス提供が図られるよう、上場企業等の顧客情報の授受等についての制度整備を進め、モニタリングの実効性の強化を行う」とあり、顧客情報管理、利益相反管理、優先的地位の濫用防止が重要な課題になります。加えて、ファイアーウォール規制の見直しに伴い、顧客本位の業務運営プロセスや顧客保護に向けた対策の強化が急務となります。

金融機関のビジネス環境の変化はさまざまなリスクにつながり、経営に大きな影響を与える可能性があります。2021事務年度金融行政方針では、マネーローンダリング・テロ資金供与・拡散金融対策、サイバーセキュリティ、システムリスク管理、経済安全保障といったテーマを個別に取り上げており、それぞれ以下のとおり記述（一部抜粋）されています。

• FATF第４次対日相互審査の結果も踏まえ、引き続き関係省庁や業界団体等と連携し、丁寧な顧客対応の促進や、顧客の実態把握に関する取組みについての利用者の理解向上を図りつつ、我が国における金融機関等のマネロン・テロ資金供与・拡散金融対策の高度化に向けた施策を着実に実行。検査要員の確保等により検査・監督体制を強化し、リスクが高いとされる業態を優先的に、リスクベースでの検査・監督を実施
• リスクが高いと考えられる金融機関に対して、検査等で情報セキュリティ、特にサイバーセキュリティの実効性を検証。サイバーセキュリティ管理態勢をより精緻に評価するための項目を整備し、同項目に基づく金融機関による自己評価を分析の上、他の金融機関と比較した自らの位置付け、改善すべき分野等を還元
• システム障害等が発生した場合においては、原因や改善策について、モニタリングを実施するとともに、重大な顧客被害や金融機関等のシステムリスク管理態勢に問題が見られる場合は、検査を含め、重点的に検証
• 金融業の保有する情報の適切な管理を含め、機器・システムの利用や業務提携・委託等について、経済安全保障の議論を踏まえ、関係機関と連携

このように、これらのテーマに関しては、当局が高リスクと判断した場合、検査を通じた重点的な検証が行われることになります。