金融庁「令和2事務年度 金融行政方針」を踏まえた金融機関の内部監査のポイント

はじめに

本稿では、金融庁が2020年8月に公開した「令和2事務年度 金融行政方針」※1を読み解き、内部監査として着意すべき3つの領域を示します。また、これからの金融機関に求められる内部監査高度化ポイントとして、実効的なリスクアセスメントを行う方法、それを踏まえた監査の実施や、発見事象の根本原因分析を解説します。

第1節 金融行政方針から読み解く内部監査への示唆

1 「令和2事務年度 金融行政方針」の概要

金融庁より「令和2事務年度 金融行政方針」(以下、金融行政方針)が2020年8月31日に公表されました。7月に金融庁長官に就任した氷見野良三氏がどのような行政方針を示すか注目されていましたが、これで明らかになりました。本年3月以降の金融行政は、主として新型コロナウイルス感染症への対応でしたが、本年度金融行政方針も新型コロナウイルス感染症の影響を踏まえたものとなっています。

本年度の金融行政方針は、次の3つを重点課題として取り組むとしています。

  1. コロナと戦い、コロナ後の新しい社会を築く
  2. 高い機能を有し魅力のある金融資本市場を築く
  3. 金融庁の改革を進める

具体的な施策を見てみると、昨年度の金融行政方針※2にも取り上げられていた重点施策のポイントである「①デジタライゼーション、② 金融サービスの向上(顧客本位)、③ 金融仲介機能の発揮」については、本年度の金融行政方針でも踏襲されており、大きな方向性に変化はないと考えてよいでしょう。

一方、内部監査に関しては、昨年度の金融行政方針では「内部監査の高度化」が重点施策のひとつとして取り上げられていましたが、本年度では具体的な記載はなくなっています。2019年6月に金融庁が公表した「金融機関の内部監査の高度化に向けた現状と課題」※3でも、内部監査が向かう方向性として「未来(フォワードルッキング)、実質(経営監査)、全体監査」が示されており、これらは金融庁の金融機関に対する検査監督の方向性と一致したものとなっています。

コロナ禍の環境下における内部監査のあり方を見直すにあたり、本年度金融行政方針の中にいくつか参考になる記述があります。本稿ではその中から2つ紹介します。

2 的確な実態把握

1つ目は「的確な実態把握」です。今回の新型コロナは、経済活動に著しいインパクトを与えており、ほぼすべての業種に影響が及んでいます。このような状況の中で、各業務の抱えるリスクは大きく変容を遂げている可能性があります。そのため業務の現場で起きていることを正確に把握し、その上で新型コロナによるリスクプロファイリングやリスク量の変化を識別することが内部監査においても重要です。金融行政方針の中でも「的確な実態把握は金融行政上の全ての判断の基礎となる 」としています。

そして「的確な実態把握」にあたり、課題として「データ戦略と分析力向上」および「モニタリング手法」を挙げています。

(1)データ戦略と分析力向上

新型コロナウイルス感染症対策の影響で、内部監査において被監査部署への実査が難しくなっており、いかに組織体内のデータを網羅的に収集し、分析するかがカギになることは言うまでもありません。また、分析力はビジネス環境変化が経営にどのような影響を与えているかを正しく把握、評価するために必要な技術であり、その重要性は従来以上に増しています。

ところが筆者らの認識では、多くの組織体において、内部監査がデータ収集を網羅的にかつ効率的に実施しているケースはいまだまれです。分析においても、監査人が各自で表計算ソフトなどを使って加工するレベルでは広まっていますが、リスク評価の段階で積極的に活用している事例は少ないのが実状です。コロナ後の環境変化の経営への影響を分析し、内部監査を実施するためには、多くのデータを収集し、それらを適切に分析する態勢を構築することは急務となっています。

(2)モニタリング手法

金融行政方針では、モニタリング手法に関して以下のように記述しています。

オンサイトとオフサイトを効果的に組み合わせ、(…)機動的かつ先を見通した実態把握を実施していく。その際には、従来のモニタリング手法にとらわれることなく、リモート手法を積極的に取り入れ、実効的かつ効率的な新しいスタイルへの転換を進めていく。

これも多くの内部監査部門が直面している課題です。実査に行けない、あるいは実査の人数や時間が限定されるなど、コロナ後の内部監査のあり方は変容せざるを得ない状況です。また、オンサイト(実査)をしないでオフサイトのみで完了させる内部監査は現状でも可能です。しかし、手続きがきちんと定まっていない態勢の下では、有効なアシュアランスを提供するには適切とは言い難いです。

多くの金融機関で監査といえば実査です。その実査を中心に据えて監査手続きが定められており、オフサイトとオンサイトの効果的な組み合わせを構築できているケースはまだ多くはないでしょう。資料閲覧やインタビューなども含めてオフサイトでも有効な監査ができる領域を識別してオフサイトの比重を高め、オンサイトと最適な組み合わせで効率的な監査手続きを改めて策定する必要があります。

多くの内部監査部門は、これまでもデータやオフサイトのモニタリングを活用して、内部監査の効率化を果たしてきているところです。コロナ後はさらにこれを進化させ、効率的かつ実効的な監査態勢を再構築しなければなりません。

3 持続可能なビジネスモデルに関する対話

金融行政方針が2点目として挙げているのは、「持続可能なビジネスモデルに関する対話」です。これは内部監査部門の役割として言い換えれば、経営監査に求められる「洞察提供機能の発揮」と言えるでしょう。

各社の経営方針や計画は、先行き不透明な経済情勢や変化に直面する経営環境の下で、実現性や適切性の観点から方針や計画の修正の必要性や修正すべき事項の識別など、コロナ以前とは違った視点での監査機能の発揮が期待されています。会社によっては大幅なビジネスモデルの見直しやリストラクチャリングに迫られているケースも想定されます。こうした中で、内部監査部門はコンサルティング機能もあわせて発揮することが期待されています。

本邦においては、内部監査部門によるコンサルティング活動は、内部監査規程に定められていてもほとんど実施されてこなかったと筆者らは認識しています。今回の新型コロナウイルス感染症のように経営に変革をつきつける事態は、ある意味で内部監査部門が独立かつ客観的な洞察を提供して、その機能を最大限発揮する好機ではないでしょうか。

これらを実現するためのハードルは決して低くはありません。しかし、チャレンジを重ねて前進し、最終的には経営に信頼されるアドバイザーとして内部監査部門の地位を確立することを展望します。

4 内部監査として着意すべき3つの領域

最後に、金融行政方針を踏まえて金融機関の内部監査として着意すべき領域を3つ挙げます。

1つ目は、新型コロナウイルス感染症の影響で、資金繰り支援融資が多くの金融機関で行われ貸出が伸びている中で、金融機関の本業である与信管理態勢が適切に機能しているかです。特に今後は新型コロナウイルス感染症による経済活動の減退がこれまで経験したことのない形で企業収益に影響することが予想され、従来以上にきめ細かい管理が必要となるでしょう。

次に問題となるのは、自宅やオフィス外で勤務するテレワークの常態化に適した、サイバー攻撃を含めた情報セキュリティ管理です。その重要性は従来以上に高まっており、内部監査においても、これまでのルールや態勢に準拠しているという観点のみならず、テレワークに伴うリスク変化に着目した監査を早急に行うべきです。

3つ目は、顧客本位の業務運営です。金融行政方針の中でも明確に取り上げられており、2020年7月に公表された「投資信託等の販売会社による顧客本位の業務運営のモニタリング結果について」※4でも、金融機関によってその取組みにばらつきがあり、課題が残されていると指摘されています。独立性と客観性を有した内部監査こそが、当局が目指す「顧客利益を最優先した業務運営」を適切に評価できる組織であり、その機能発揮が期待されるところです。

第2節 これからの金融機関に求められる内部監査高度化ポイント

1 内部監査部門におけるリスクアセスメントの高度化の必要性

筆者は2018年7月から2020年6月の2年間にわたり金融庁に出向し、総合政策局の内部監査・経営管理等チームに在籍していました。当チームにおいて、大手銀行や地域銀行における内部監査のモニタリングや実態把握の他、海外G-SIFIs(グローバルなシステム上重要な金融機関)等の最新事例を収集し、2019年6月に金融庁が公表した「金融機関の内部監査の高度化に向けた現状と課題」(以下「内部監査レポート」という)の執筆にも関与しました。

内部監査レポートに記載のとおり、金融庁は各金融機関の内部監査部門が、各社のビジネスモデル、経営戦略および組織態勢を前提としたリスクプロファイルに対応した監査を実施しているかといった観点から内部監査の実効性を検証しています。したがって、まずは内部監査部門が会社のリスクプロファイルを適切に捉えるリスクアセスメントを実施しているかどうかを検証していくことになります。

検証の結果、地域銀行に限らず大手金融機関においてもリスクアセスメントが十分にできておらず、結果として実施される監査が根本原因に迫る深掘りをしたものとなっておらず、内部監査レポートに記載のとおり経営戦略や業務運営の改善に十分につながっていないといった課題が残されています。

リスクアセスメントは監査の基礎であり、有効かつ効率的な年間監査計画や個別監査計画の策定、監査の実施および報告につながるものであることから、金融機関が最初にすべきことはリスクアセスメントの高度化であると考えられます。

以下では、まず、実効的なリスクアセスメントを行う方法、その次にそれを踏まえた監査の実施や、発見事象の根本原因分析について解説します。

2 内部監査部門におけるリスクアセスメント高度化の内容

(1)業務別のリスクアセスメント

ビジネスモデル、経営戦略および組織態勢に基づくリスクプロファイルを適切に捉えるには、リスクアセスメントを業務別(大企業融資、個人ローン、預り資産販売等)に整理することが望まれます。また、リスクについては、コンダクトリスクが高まってきていることや、当局の関心も高まってきていることから、法令等遵守リスクのうち、顧客本位の業務運営、顧客説明・保護、利益相反取引、優越的地位の乱用、公正な市場取引、インサイダー、情報管理等を独立項目とし、各業務でこれらリスクが発生しているかどうか網羅的に検証していく必要があります(図表1)。

(2)実効的な統制リスクの評価

外部環境や内部環境の変化に対しては、固有リスクの変化を捉えるのみではなく、環境の変化に対して統制が依然として機能しているかどうかまで評価します。多くの金融機関では統制の評価は、規程が整備されているかどうかといったレベルに留まっていますが、業務ごとに識別された固有リスクに対して、1 線、1.5 線、2 線の統制が適切に機能しているかどうかといった実質的な観点から評価する必要があります。

(3)リスク評価の根拠説明

リスクアセスメントにおける、固有リスクや統制リスクの評価根拠の説明は、監査を実施する一般の監査部員がその内容を理解し、監査の着眼点がどこにあるのかといったことが簡潔明瞭に読み取れなければなりません。形式的ではなく実質的な監査を行うためには、どこにどういった固有リスクがあり、あるべき統制はどのようなものかといったことをわかりやすく記載しておく必要があります。

(4)リスクアセスメントの更新の頻度

多くの金融機関は、リスクアセスメントを、監査の範囲や頻度の決定に使用するため、年度または半期、四半期ごとに更新しています。しかし、外部環境や内部環境の変化を適時に捉えるには、リスクアセスメントも適時に更新していく必要があります。そのため、常時モニタリングの結果のみならず、個別の監査が終わった段階で適時にリスクアセスメント(特に統制リスク)についても更新するようにします。

(5)常時モニタリングの高度化

多くの金融機関は、外部環境の分析の他、各種委員会への出席や議事録の通査、事務事故、不祥事案、苦情、内部通報などの常時モニタリングを行っています。リスクアセスメントを効果的に行うためには、これらに加え、各部署のモニタリング担当者を配置し、可能であれば月次レベルで対象部署との意見交換をすることが望まれます。これにより、統制の変更や運用上の問題点、退職者の状況、部門運営上の課題、今後の計画を把握できるようになります。

(6)リスクアセスメントと監査計画

多くの金融機関では、リスクアセスメントの結果に基づき監査計画を策定しているものの、リスクアセスメントの深度が浅く、例えば、監査テーマが市場リスク管理態勢、信用リスク管理態勢といった概括的なものとなり、監査が幅広い領域に対する表層的なものになる傾向にあります。監査計画時点で固有のリスクや統制リスクを踏まえた監査の着眼点まで洗い出されているため、範囲を絞り込むことができ、深度ある監査が実施できます。

(7)個別監査計画におけるリスクアセスメント

個別の監査計画では、監査計画で認識された監査の着眼点に基づいて、プロセスレベルでのリスク認識を行うとともに、それに対するあるべき統制を想定し、実際の統制を検証していきます(図表2)。こうすることで、規程を所与とした準拠性監査から、内部統制の妥当性にまで踏み込んだ監査が可能になります。

(8)リスクアセスメントと根本原因分析

多くの金融機関は、根本原因分析の高度化のため、マニュアルの作成、研修の実施等を行っているものの、深度ある分析ができていない状況にあります。根本原因分析は、現場における統制の問題、本部所管部署における指示等の問題、経営における経営戦略遂行のPDCAの問題、経営戦略自体や企業文化の問題と遡って行う必要があります。こういった分析は、これまで述べたようなリスクアセスメントが実行できてはじめて有効なものになります。すなわち、リスクアセスメントの高度化と根本原因分析の高度化は表裏一体であると考えられます。

3 おわりに

本稿で述べてきたとおり、リスクアセスメントの高度化は、複雑に考えるのではなく、基本に忠実に従い、実効的に運用していくことが重要です。また、個別の監査を想定しつつ、実際に使えるアセスメントもあわせて行っていくことが大切になります。



執筆者

PwCあらた有限責任監査法人
ガバナンス・リスク・コンプライアンス・アドバイザリー部
パートナー 駒井 昌宏

PwCあらた有限責任監査法人
ガバナンス・リスク・コンプライアンス・アドバイザリー部
シニアマネージャー 佐藤 眞

PwCあらた有限責任監査法人
第三金融部
シニアマネージャー 小林 康宏