2021事務年度金融行政方針を踏まえた金融機関の内部監査のポイント

1 コロナ禍における新たな局面

新型コロナウイルス感染症の拡大によって社会的・経済的活動における不確実性が増す中、金融機関にはとりわけ「事業者の立場に立った最大限柔軟な資金繰り支援」が強く求められてきました。一方で、2021事務年度金融行政方針からは、現在の環境が金融機関に今後もたらし得るリスクに対し、一歩進んだ対応を取るべき局面に入ってきたことが読み取れます。

例えば、主要行等モニタリング方針に関し、「貸出が集中し、コロナの影響を大きく受けている業種・事業者の状況について重点的に実態把握を行う」と記述されているほか、「将来的な貸倒れの増加など、国内外の経済環境の変化も見据えた内部格付や償却・引当のプロセスの有効性について金融機関と対話する」ともあり、これは2019年12月の検査マニュアル廃止後の行政方針では初めて織り込まれたポイントとなります。こうしたことから、単なるエクスポージャーの把握やリスク顕在時における自行の財務への影響の大まかな試算にとどまらず、より本質的かつフォワードルッキングな事業者の状況把握が意図されていると考えられます。

ウィズコロナまたはポストコロナといった未経験の経営環境下において、信用リスクの潜在的な高まりを当局が強く意識しつつあるといえ、金融機関には先行きのリスクが高いとみなされる貸出先事業者に対する与信リスク分析の一層の強化、リスク管理態勢の有効性の評価が求められると考えられます。こうしたことから、フォワードルッキングな視点に基づいて洗い出されたリスクへの対策が、適切な機能を果たす状態にあるか、きめ細かくモニタリングすることが必要となってきます。

2 経営を取り巻く環境の変化を踏まえた視点

デジタルイノベーションとITガバナンス

2021事務年度金融行政方針は、「金融機関がITと経営戦略を連携させて企業価値の創出を実現するITガバナンスを発揮することが重要」としており、ITガバナンスは引き続き、当局の大きな関心事項のひとつであると考えられます。なお、金融庁はITガバナンスの定義を「経営者がリーダーシップを発揮し、ITと経営戦略を連携させ、企業価値の創出を実現させるための仕組み」としています。

また、同行政方針は「クラウドサービスやマイクロサービスといった新技術の採用による先進的な取り組みを検討する金融機関に関して、早期の段階からITガバナンスやリスク管理等の観点からの議論を行う」としています。そして主要行等に関しては、「専門性の高い分野を含む業務執行・ガバナンスのあり方について、取締役会等による業務執行の監督の実効性や、経営人材の育成・選任プロセス等を確認する」としています。

なお、ITやデジタル技術の推進の目的には、先進的なサービスの提供による顧客の獲得のみならず、経営効率化の観点も含まれており、これらを踏まえたDXへの取り組みといった点からも対話が行われることになります。

新技術を採用する先進的な取り組みに関しては、未経験のリスクが潜在している可能性があります。DXは、単なる最新のITやデジタル技術の導入にとどまらず、これらを利用した組織構造やプロセス、ビジネスの「変革」がその本質であり、経営に与える影響が大きいことから、経営者による高度なITガバナンスが要求されると考えます。デジタルイノベーションは金融機関の持続的な成長に欠かせないものです。したがって、その内部監査部門はリスクをフォワードルッキングに識別し、問題点や対応策を経営に提言していくことで、デジタルイノベーションの推進を後押ししていくことが求められると考えます。

サステナビリティ

2021事務年度に金融庁が「サステナブルファイナンス推進室」を新設したことからもわかるように、サステナブルファイナンス推進の流れは加速しています。とりわけ、金融庁が日本銀行と協働し、3メガバンクと大手損保3グループを対象にNGFS（気候変動リスクに係る金融当局ネットワーク）のシナリオを共通シナリオとするシナリオ分析のパイロットエクササイズを今事務年度よりスタートさせるという動きは注目されます。一方、サステナビリティのスコープは広く、国際的な議論が先行していることもあり、当局にとっても情報の蓄積や分析手法の確立にはいまだ相応の時間を要すると考えられます。

金融行政方針にはサステナビリティに関連して以下の記述が含まれています。

• 金融機関が気候変動への対応を経営上の課題として認識し、適切な態勢を構築することが重要であり、気候変動リスクに関するガバナンス態勢の確立、気候変動のリスクと機会を考慮したビジネスモデル・戦略の策定、気候変動リスクの認識・評価・管理プロセスの構築、シナリオ分析の活用等が求められる
• 中長期的な企業価値の維持・向上に向けて、企業が投資家や金融機関と建設的な対話を進める上では、サステナビリティ情報に関する適切な企業開示が鍵となる。気候変動を含むESG情報の開示の充実を図る観点から、サステナビリティに関する開示の好事例集を改訂する
  

ESGを含むサステナビリティは、投融資先のみならず、金融機関自身にも広範囲の影響を及ぼすものです。内部監査部門にとってはまず、いずれの業務にどのような固有のリスクが発生するのかを網羅的に特定・評価し、認識したリスクに対する自社の対応に漏れはないか、ガバナンスは適切かといった点について検証することが重要になってきます。その次のステップとして、残余リスクが高い項目を詳細に検証していくことになると考えられます。

ビジネスの多角化・ボーダーレス化の進展

ビジネスの多角化やボーダーレス化の加速によって、これまで必ずしも十分な議論が尽くされてこなかった課題やステークホルダーの存在を改めて整理した上で、適切な対策を講じる必要性が高まっているといえます。こうしたことから、金融庁では海外における各種規制や取り組み事例の検証を進めているところであり、2021事務年度金融行政方針にも以下の記述が織り込まれました。

• 国際的に活動する大手クラウド事業者の出現により、集中リスクが生じ、オペレーショナル・レジリエンスの規制・監督手法にも新たな対応が求められている。第三者委託に関する国際的議論に参画し、クロスボーダーでのクラウドサービス等への対応を深化させる
• 第三者委託を含むオペレーショナル・レジリエンスやサイバーインシデントへの対応に関し、海外での規制動向など、各国における取り組みを適切に把握する

第三者委託やオペレーショナル・レジリエンスは、顧客サービスの質の維持・向上といった観点からも重要なポイントであり、当局のモニタリングが進化する領域のひとつになることが考えられます。

このほか、海外進出の拡大に伴い、グループおよびグローバルベースの視点が重要性を増しています。金融行政方針では、主要行等について、「グローバルでの経営を支えるIT・システム・会計等のあり方や、グループ・グローバルのリスク管理の枠組みの有効性を確認する」としている一方、保険会社についても、「グループベースでのガバナンスの高度化を進めることが重要」としており、海外当局との連携について言及しています。

また、海外進出という視点からは外れますが、経営の多角化・高度化を図る地域金融機関に対しても、「グループ全体にわたるガバナンス機能の発揮を促していく」としており、やはり組織全体というスコープに言及しています。

なお、グループベースといった観点に関しては、銀証ファイアーウォール規制の見直しも現在進められているところです。行政方針には「利用者本位のサービス提供が図られるよう、上場企業等の顧客情報の授受等についての制度整備を進め、モニタリングの実効性の強化を行う」とあり、顧客情報管理、利益相反管理、優先的地位の濫用防止が重要な課題になります。加えて、ファイアーウォール規制の見直しに伴い、顧客本位の業務運営プロセスや顧客保護に向けた対策の強化が急務となります。

従来、内部監査部門は第三者委託について、外部委託先管理として検証してきましたが、重要な領域において第三者の利用が広がり、また、外部委託契約を締結していない場合であっても第三者を利用しているケースがあるため、まずは各業務における第三者利用状況を網羅的に把握することが重要になってきます。その上で、第三者の業務内容を自社業務と同様に理解し、自社および第三者の業務全体としてのリスクを評価し、検証していくことが必要になってきます。なお、第三者の重要性に鑑み、統制が重要となる場合には、内部監査部門として統制の適切性に関する心証を得る必要があると考えます。

さらに、内部監査部門は、今後一層進むと見られるグループ一体経営を踏まえ、グループ間で生じるリスクを漏れなく把握すべく、グループ一体でのリスクアセスメントや監査を行っていくことが重要になると考えられます。また、冒頭に記載のとおり、金融庁は内部監査をガバナンスの重要な一部と考えていることから、グループおよびグローバルベースでの内部監査態勢の構築や、リスク管理態勢の適切性の監査が期待されると考えます。

その他の重要なテーマ

金融機関のビジネス環境の変化はさまざまなリスクにつながり、経営に大きな影響を与える可能性があります。2021事務年度金融行政方針では、マネーローンダリング・テロ資金供与・拡散金融対策、サイバーセキュリティ、システムリスク管理、経済安全保障といったテーマを個別に取り上げており、それぞれ以下のとおり記述（一部抜粋）されています。

• FATF第4次対日相互審査の結果も踏まえ、引き続き関係省庁や業界団体等と連携し、丁寧な顧客対応の促進や、顧客の実態把握に関する取り組みについての利用者の理解向上を図りつつ、わが国における金融機関等のマネロン・テロ資金供与・拡散金融対策の高度化に向けた施策を着実に実行。検査要員の確保等により検査・監督体制を強化し、リスクが高いとされる業態を優先的に、リスクベースでの検査・監督を実施

• リスクが高いと考えられる金融機関に対して、検査等で情報セキュリティ、特にサイバーセキュリティの実効性を検証。サイバーセキュリティ管理態勢をより精緻に評価するための項目を整備し、同項目に基づく金融機関による自己評価を分析の上、他の金融機関と比較した自らの位置付け、改善すべき分野等を還元

• システム障害等が発生した場合においては、原因や改善策について、モニタリングを実施するとともに、重大な顧客被害や金融機関等のシステムリスク管理態勢に問題が見られる場合は、検査を含め、重点的に検証

• 金融業の保有する情報の適切な管理を含め、機器・システムの利用や業務提携・委託等について、経済安全保障の議論を踏まえ、関係機関と連携
  

このように、これらのテーマに関しては、当局が高リスクと判断した場合、検査を通じた重点的な検証が行われることになります。

内部監査部門でもマネーローンダリング・テロ資金供与・拡散金融対策、サイバーセキュリティ、システムリスク管理、経済安全保障のエリアを高リスクと評価してきています。今後、単なるリスクレベルの評価にとどまらず、継続的なモニタリングによる徹底した実態把握、問題点の洗い出し、根本原因の分析により、リスクの管理・統制態勢をしっかりと評価する必要があると考えられます。

3 おわりに

コロナ禍において人々や企業の行動様式は大きく変化し、金融機関の経営やビジネスモデルも大きな影響を受けました。今後も以前のような状況に戻ることはなく、デジタルを活用した大きな変革により、過去からの延長線上にはない世界が訪れると考えられます。

このような中、金融機関も環境の変化に応じた、持続可能な経営を行っていく必要があります。内部監査部門にとっては、内部環境と外部環境の双方の変化を常にモニタリングし、現在のみならず、将来発生すると考えられるリスクを早期に識別し、経営や監査対象組織に適時に提言をしていくことが必要になります。このため、内部監査部門もテクノロジーを活用し、環境の変化によるリスクの予兆をタイムリーかつ適切につかむとともに、リスクの変化に応じて適時に監査を行っていくことが重要になると考えます。また、企業文化が環境の変化に適応していない場合、さまざまなコンダクトリスク事象の発生や必要とされる変化の阻害を招くことが考えられます。したがって、企業文化がステークホルダーや社会から要求される水準を満たしているかどうか検証していくことも重要になります。監査体制面では、環境の変化に伴いサイバーセキュリティ、ESG、DX、オペレーショナル・レジリエンスといった領域で専門性が要求されるようになっています。これらのエリアについても深度ある監査を実施するため、人材を計画的に確保するとともに、対応が困難な領域については、積極的にコソースを活用するといった対応も肝要であると思われます。

執筆者