コンダクトリスクに対する内部監査のアプローチ
お問い合わせ

コンダクトリスクに対する内部監査のアプローチ

2021-05-11

1．コンダクトリスクを巡る最近の動向

金融庁が「コンプライアンス・リスク管理に関する検査・監督の考え方と進め方（コンプライアンス・リスク管理基本方針）」^*1を2018年10月に公表してから、およそ2年半が経過しました。この期間に、大手金融機関を中心にコンプライアンス・リスク（コンダクトリスク）管理に向けた取り組みがなされ、その状況に関しては、金融庁も金融機関の経営陣等との対話を実施し、その実態を2019年6月に「コンプライアンス・リスク管理に関する傾向と課題」^*2として公表しています。他方、中小規模の金融機関では具体的な施策の実行までには至っていない状況にあります。

昨今、コンダクトリスク管理態勢に対する金融庁の関心は益々高まっており、本邦金融機関で多発している法令違反ではない不祥事の事案に対しても、厳しい処分が課されています。

コンダクトリスクおよびその管理については、以下のページもご参照ください。

2．コンダクトリスクの内部監査の動向

コンダクトリスクの特定・管理の機能は、「3つのラインモデル」^*3に即して考えた場合、2線（リスク部門、コンプライアンス部門等）が担うことが一般的であると考えられます。しかしながら、実際には、外部のステークホルダーの期待と組織体のカルチャーにギャップがあるかどうかを検証する（コンダクトリスクを特定する）に足る質・量共に十分な人的リソースの確保は難しいのが、現在の日本国内の実情です。

こうした中、3線である内部監査部門に対しては、独立したアシュアランス提供機能を担う部署として社外役員（社外取締役・社外監査役＜監査等委員・監査委員＞）と緊密に連携し、組織体のカルチャーと世の中の感覚の間にギャップが発生していないかを検証し、その結果を経営陣・取締役会に報告することが求められています。

2019年に金融庁が内部監査の高度化の方向性や問題意識をまとめた「金融機関の内部監査の高度化に向けた現状と課題」^*4では、内部監査においても事後チェック型監査からフォワードルッキング型監査への転換（過去から未来へ）、準拠性監査から経営監査への転換（形式から実質へ）、部分監査から全体監査への転換（部分から全体へ）へという3段階の転換の方向性が示され、加えて外国金融機関グループ等の先進的な事例として第4段階があるともされていますが、当該第4段階を達成する要件の一つとしてコンダクトリスクに対する監査の実施が例示されています。また、海外G-SIFIs（Global Systemically Important Financial Institutions）においてはコンダクトリスク監査（カルチャー監査）を実施しており、第3段階相当の国内大手金融機関でも、この数年でコンダクトリスクに関する監査を実施している傾向となっています。

内部監査においても、ハードコントロール（方針、制度、システム等）の検証を中心とした既存の内部監査手法・領域に留まらず、ソフトコントロール（組織風土、企業文化等）の検証へと拡大・進化することが求められています。

3．コンダクトリスクに対応した内部監査のアプローチ例

図1は、一般的な金融機関の組織別機能を「3つのラインモデル」での1・2・3線に分類し、さらに1・2線に関してはそれぞれ2つに分類（1線：営業拠点・フロント部門／コンダクトリスク管理推進部門、2線：コンダクトリスク管理所管部門／コンダクトリスク管理関連部門）したものです^*5。

コンダクトリスクに対する監査にあたっては、他のテーマ監査と同様に、内部監査部門が組織の中でコンダクトリスクが高い領域（部署、業務等）についてリスクアセスメントを通じて識別し、その領域に対して監査資源を集中的に投入することが通常のアプローチとなります。

ただし、コンダクトリスク管理の導入が初期段階にある組織では、内部監査部門が3線として、1・2線のコンダクトリスク管理所管／推進／関連部門におけるコンダクトリスク管理態勢の整備状況と運用状況とを評価するといったアプローチが想定されます（アプローチⅠ）。

その上で、アプローチⅠを通じてコンダクトリスク管理が適切に機能しているが確認できた場合には、上述のとおり高リスク領域を特定した上で、1線部門の各職員がミスコンダクトを起こすような態勢となっていないか、各部門へのカルチャーサーベイを実施し、企業の行動規範やコンダクトガイドラインに対する認知・共感・行動のレベルを測る手法が想定されます（アプローチⅡ）。

4．コンダクトリスク監査の着眼点

図2はコンダクトリスク管理のPDCAサイクルを実現する上で組織全体として具備すべきプロセスと要素をまとめたものです。中央の1から5の5つのプロセスは、主に2線がコンダクトリスク管理態勢を構築・運用する上で必要と考えられるプロセスであり、これらの各プロセスが適切・有効に機能しているかが、内部監査における着眼点としてまずもって考えられます。

これに加えて、周囲の11の要素は、中央の5つのプロセスを実施していく上で考慮すべき要件や、コンダクトリスクを管理する上で検討すべき事項であり、内部監査としてさらに深掘りして検証する上で、下記に言及する観点を踏まえることが有益と考えます。

「1. 組織としてコンダクトリスクを定義・見直しているか」については、11の要素のうち「カルチャー」「ガバナンス」「リスクマネジメント」「事業戦略」が密接に関連しています。社内のカルチャーや事業戦略を踏まえたコンダクトリスクの定義が行われているのか、コンダクトリスクを定義する上では社外のマネジメント・取締役も含めた経営陣等が関与し、リスク共有が行われているか、といった観点が考えられます。

「2. 組織としてどの領域・業務プロセスにコンダクトリスクがあるかを特定・評価しているか」と「3. 組織としてコンダクトリスクが高い領域を中心にどのようなコントロールを行っているか」に関しては2線によるリスクマネジメントプロセスに該当しますが、「事業戦略」といった上流プロセスから「設計・開発」「商品販売」「マーケット」「アフターサービス」までの各業務プロセスから想定されるコンダクトリスクの特定・評価や、それに応じたコントロールの整備が行われているか等が、観点として考えられます。

「4. コントロールの運用状況をモニタリングし、その結果を経営陣・取締役会に報告しているか」に関しては、「情報収集・分析」を通じて、「採用・研修・教育」や「報酬・評価」制度の仕組みに問題がないか、「カルチャー」面で検証・是正を行うべき施策の有無を検証しているか等が、観点として考えられます。

「5. 不十分なコントロールに対して経営陣・取締役会は適切な判断をしているか」については、資源投入や制度見直しといった経営基盤の見直しをトップマネジメントの関与によって是正措置（ガバナンス機能の発揮）がなされているか等が観点として考えられます。

コンダクトリスク管理態勢それ自体を監査する場合、その監査領域の広さから、監査期間・資源を踏まえてリスクベースで対象領域を絞り込んで実施する必要があります。特に図1の「アプローチⅡ」や図2の「カルチャー」に関しては、職員等へのサーベイを行うことが想定されるため、内部監査部門が独自に行う場合には相当な準備期間を要することが想定されるのを、念頭に置いていただければと思います。

*1：金融庁, 2018年. 「コンプライアンス・リスク管理に関する検査・監督の考え方と進め方（コンプライアンス・リスク管理基本方針）」

*2：金融庁, 2019年. 「コンプライアンス・リスク管理に関する傾向と課題」

*3：一般社団法人日本内部監査人協会, 2020年. 「IIAの３ラインモデル 3つのディフェンスラインの改訂」

*4：金融庁, 2019年. 「金融機関の内部監査の高度化に向けた現状と課題」

*5：各企業に当てはまることが想定される部署を例示していますが、組織の職務分掌等によって異なる点に留意が必要となります。