2021事務年度金融行政方針が8月31日に公表されました。前事務年度の枠組みからほぼ変更はなく、「コロナを乗り越え、力強い経済回復を後押しする」「活力ある経済社会を実現する金融システムを構築する」「金融行政をさらに進化させる」といった3つの大きな柱に区分した構成となっています。なお、足元で重要性を増しているテーマとしては、ITガバナンス、デジタルトランスフォーメーション(DX)への取り組み、サステナビリティなどが挙げられます。
内部監査については、前事務年度と同様、金融行政方針の中に具体的な記載はありませんが、金融庁は引き続き重要なガバナンス上のテーマと考えており、2019年6月に公表された「金融機関の内部監査の高度化に向けた現状と課題」がよりどころとなります。本稿では、金融機関の内部監査部門が監査を行うにあたって、金融行政方針において着意すべきポイントを紹介します。
※本稿はhttps://www.pwc.com/jp/ja/knowledge/column/internal-audit-fs/jfsa-priorities.htmlを転載の上、一部編集しています。
新型コロナウイルス感染症の拡大によって社会的・経済的活動における不確実性が増す中、金融機関にはとりわけ「事業者の立場に立った最大限柔軟な資金繰り支援」が強く求められてきました。一方で、2021事務年度金融行政方針からは、現在の環境が金融機関に今後もたらし得るリスクに対し、一歩進んだ対応を取るべき局面に入ってきたことが読み取れます。
例えば、主要行等モニタリング方針に関し、「貸出が集中し、コロナの影響を大きく受けている業種・事業者の状況について重点的に実態把握を行う」と記述されているほか、「将来的な貸倒れの増加など、国内外の経済環境の変化も見据えた内部格付や償却・引当のプロセスの有効性について金融機関と対話する」ともあり、これは2019年12月の検査マニュアル廃止後の行政方針では初めて織り込まれたポイントとなります。こうしたことから、単なるエクスポージャーの把握やリスク顕在時における自行の財務への影響の大まかな試算にとどまらず、より本質的かつフォワードルッキングな事業者の状況把握が意図されていると考えられます。
ウィズコロナまたはポストコロナといった未経験の経営環境下において、信用リスクの潜在的な高まりを当局が強く意識しつつあるといえ、金融機関には先行きのリスクが高いとみなされる貸出先事業者に対する与信リスク分析の一層の強化、リスク管理態勢の有効性の評価が求められると考えられます。こうしたことから、フォワードルッキングな視点に基づいて洗い出されたリスクへの対策が、適切な機能を果たす状態にあるか、きめ細かくモニタリングすることが必要となってきます。
2021事務年度金融行政方針は、「金融機関がITと経営戦略を連携させて企業価値の創出を実現するITガバナンスを発揮することが重要」としており、ITガバナンスは引き続き、当局の大きな関心事項のひとつであると考えられます。なお、金融庁はITガバナンスの定義を「経営者がリーダーシップを発揮し、ITと経営戦略を連携させ、企業価値の創出を実現させるための仕組み」としています。
また、同行政方針は「クラウドサービスやマイクロサービスといった新技術の採用による先進的な取り組みを検討する金融機関に関して、早期の段階からITガバナンスやリスク管理等の観点からの議論を行う」としています。そして主要行等に関しては、「専門性の高い分野を含む業務執行・ガバナンスのあり方について、取締役会等による業務執行の監督の実効性や、経営人材の育成・選任プロセス等を確認する」としています。
なお、ITやデジタル技術の推進の目的には、先進的なサービスの提供による顧客の獲得のみならず、経営効率化の観点も含まれており、これらを踏まえたDXへの取り組みといった点からも対話が行われることになります。
新技術を採用する先進的な取り組みに関しては、未経験のリスクが潜在している可能性があります。DXは、単なる最新のITやデジタル技術の導入にとどまらず、これらを利用した組織構造やプロセス、ビジネスの「変革」がその本質であり、経営に与える影響が大きいことから、経営者による高度なITガバナンスが要求されると考えます。デジタルイノベーションは金融機関の持続的な成長に欠かせないものです。したがって、その内部監査部門はリスクをフォワードルッキングに識別し、問題点や対応策を経営に提言していくことで、デジタルイノベーションの推進を後押ししていくことが求められると考えます。
2021事務年度に金融庁が「サステナブルファイナンス推進室」を新設したことからもわかるように、サステナブルファイナンス推進の流れは加速しています。とりわけ、金融庁が日本銀行と協働し、3メガバンクと大手損保3グループを対象にNGFS(気候変動リスクに係る金融当局ネットワーク)のシナリオを共通シナリオとするシナリオ分析のパイロットエクササイズを今事務年度よりスタートさせるという動きは注目されます。一方、サステナビリティのスコープは広く、国際的な議論が先行していることもあり、当局にとっても情報の蓄積や分析手法の確立にはいまだ相応の時間を要すると考えられます。
金融行政方針にはサステナビリティに関連して以下の記述が含まれています。
ESGを含むサステナビリティは、投融資先のみならず、金融機関自身にも広範囲の影響を及ぼすものです。内部監査部門にとってはまず、いずれの業務にどのような固有のリスクが発生するのかを網羅的に特定・評価し、認識したリスクに対する自社の対応に漏れはないか、ガバナンスは適切かといった点について検証することが重要になってきます。その次のステップとして、残余リスクが高い項目を詳細に検証していくことになると考えられます。
ビジネスの多角化やボーダーレス化の加速によって、これまで必ずしも十分な議論が尽くされてこなかった課題やステークホルダーの存在を改めて整理した上で、適切な対策を講じる必要性が高まっているといえます。こうしたことから、金融庁では海外における各種規制や取り組み事例の検証を進めているところであり、2021事務年度金融行政方針にも以下の記述が織り込まれました。
第三者委託やオペレーショナル・レジリエンスは、顧客サービスの質の維持・向上といった観点からも重要なポイントであり、当局のモニタリングが進化する領域のひとつになることが考えられます。
このほか、海外進出の拡大に伴い、グループおよびグローバルベースの視点が重要性を増しています。金融行政方針では、主要行等について、「グローバルでの経営を支えるIT・システム・会計等のあり方や、グループ・グローバルのリスク管理の枠組みの有効性を確認する」としている一方、保険会社についても、「グループベースでのガバナンスの高度化を進めることが重要」としており、海外当局との連携について言及しています。
また、海外進出という視点からは外れますが、経営の多角化・高度化を図る地域金融機関に対しても、「グループ全体にわたるガバナンス機能の発揮を促していく」としており、やはり組織全体というスコープに言及しています。
なお、グループベースといった観点に関しては、銀証ファイアーウォール規制の見直しも現在進められているところです。行政方針には「利用者本位のサービス提供が図られるよう、上場企業等の顧客情報の授受等についての制度整備を進め、モニタリングの実効性の強化を行う」とあり、顧客情報管理、利益相反管理、優先的地位の濫用防止が重要な課題になります。加えて、ファイアーウォール規制の見直しに伴い、顧客本位の業務運営プロセスや顧客保護に向けた対策の強化が急務となります。
従来、内部監査部門は第三者委託について、外部委託先管理として検証してきましたが、重要な領域において第三者の利用が広がり、また、外部委託契約を締結していない場合であっても第三者を利用しているケースがあるため、まずは各業務における第三者利用状況を網羅的に把握することが重要になってきます。その上で、第三者の業務内容を自社業務と同様に理解し、自社および第三者の業務全体としてのリスクを評価し、検証していくことが必要になってきます。なお、第三者の重要性に鑑み、統制が重要となる場合には、内部監査部門として統制の適切性に関する心証を得る必要があると考えます。
さらに、内部監査部門は、今後一層進むと見られるグループ一体経営を踏まえ、グループ間で生じるリスクを漏れなく把握すべく、グループ一体でのリスクアセスメントや監査を行っていくことが重要になると考えられます。また、冒頭に記載のとおり、金融庁は内部監査をガバナンスの重要な一部と考えていることから、グループおよびグローバルベースでの内部監査態勢の構築や、リスク管理態勢の適切性の監査が期待されると考えます。
金融機関のビジネス環境の変化はさまざまなリスクにつながり、経営に大きな影響を与える可能性があります。2021事務年度金融行政方針では、マネーローンダリング・テロ資金供与・拡散金融対策、サイバーセキュリティ、システムリスク管理、経済安全保障といったテーマを個別に取り上げており、それぞれ以下のとおり記述(一部抜粋)されています。
このように、これらのテーマに関しては、当局が高リスクと判断した場合、検査を通じた重点的な検証が行われることになります。
内部監査部門でもマネーローンダリング・テロ資金供与・拡散金融対策、サイバーセキュリティ、システムリスク管理、経済安全保障のエリアを高リスクと評価してきています。今後、単なるリスクレベルの評価にとどまらず、継続的なモニタリングによる徹底した実態把握、問題点の洗い出し、根本原因の分析により、リスクの管理・統制態勢をしっかりと評価する必要があると考えられます。
コロナ禍において人々や企業の行動様式は大きく変化し、金融機関の経営やビジネスモデルも大きな影響を受けました。今後も以前のような状況に戻ることはなく、デジタルを活用した大きな変革により、過去からの延長線上にはない世界が訪れると考えられます。
このような中、金融機関も環境の変化に応じた、持続可能な経営を行っていく必要があります。内部監査部門にとっては、内部環境と外部環境の双方の変化を常にモニタリングし、現在のみならず、将来発生すると考えられるリスクを早期に識別し、経営や監査対象組織に適時に提言をしていくことが必要になります。このため、内部監査部門もテクノロジーを活用し、環境の変化によるリスクの予兆をタイムリーかつ適切につかむとともに、リスクの変化に応じて適時に監査を行っていくことが重要になると考えます。また、企業文化が環境の変化に適応していない場合、さまざまなコンダクトリスク事象の発生や必要とされる変化の阻害を招くことが考えられます。したがって、企業文化がステークホルダーや社会から要求される水準を満たしているかどうか検証していくことも重要になります。監査体制面では、環境の変化に伴いサイバーセキュリティ、ESG、DX、オペレーショナル・レジリエンスといった領域で専門性が要求されるようになっています。これらのエリアについても深度ある監査を実施するため、人材を計画的に確保するとともに、対応が困難な領域については、積極的にコソースを活用するといった対応も肝要であると思われます。
PwCあらた有限責任監査法人
ガバナンス・リスク・コンプライアンス・アドバイザリー部
パートナー 駒井 昌宏
PwCあらた有限責任監査法人
ガバナンス・リスク・コンプライアンス・アドバイザリー部
スーパーバイザー 村上 美樹
PwCあらた有限責任監査法人
ガバナンス・リスク・コンプライアンス・アドバイザリー部
シニアマネージャー 小林 康宏