コンダクト・リスク
先般金融庁から「健全な企業文化の醸成およびコンダクト・リスク管理態勢に関する対話レポート」が発表されています。これは、不祥事につながり得る組織または個人の判断・行動を抑止するには、「組織体制や管理ルールを整備し、PDCAサイクルによる継続的な改善を図ること」だけでなく、「役職員の判断・行動の拠り所となる企業文化を健全なものとすること」が重要との認識から、健全な企業文化の醸成およびコンダクト・リスク管理の取り組みに係る金融機関との対話結果をもとに取り組み事例をまとめたものです。
当社の行った内部監査においても、事務不備や個人情報の漏えいなどの原因をヒューマンエラーと整理し、情報共有や研修、マニュアルの改定や業務フローの見直しなどを再発防止策として掲げているケースが多くみられ、不祥事件や重大なインシデントの再発防止策でさえも計画の立案と形式的な再発防止策で対応しているケースが大半でした。
今回の金融庁のレポートでは、不祥事件や事故の再発を防止するには、その真因を突き止め、企業文化と内部管理態勢の両面から最善の打ち手を検討・実施する上で、法令等の明文化されたルールの逸脱に限らない、社会規範にもとる行為、商慣習や市場慣行に反する行為、利用者の視点の欠落した行為等に着目し、役職員が当該行為を行うことによって自己もしくはステークホルダーまたは公共の利益を害する行為を多くの金融機関がコンダクト・リスクと位置付けていることを確認しています。
そのうえで、各金融機関のコンダクト・リスク管理の仕組みを次のように整理しています。
1.管理フレームワーク
2.リスクのモニタリング
3.グッドコンダクトを推奨し、ミスコンダクトを誘引しない仕組み
このレポートの中では、現状では各金融機関ともコンプライアンス、事務リスクなどの既存のカテゴリーに係る監査においてコンダクト・リスクの観点も意識した検証を行うことに止まっていることも報告されていますが、当社として特に各金融機関が特定しているコンダクト・リスクについて、その管理のフレームワークに着目して監査を試みてはどうか、と思います。すなわち、①事業に精通している第一線である事業部門が、リスクオーナーとして所管業務に内在するリスクを自律的に特定・管理する、②第二線の管理部門が第一線におけるリスクの特定・評価状況、対応状況を確認し、適宜支援指導する、③第三線である内部監査部門が全社的なリスクの特定と評価を行う、というフレームワークを整備することです。とくに、第二線のリスク管理部門が、不祥事やインシデントの原因究明に際してコンダクト・リスクを意識し、検証プロセスの中にコンダクト・リスクの観点を盛り込むことで第一線との対話をより進化させていくことが重要です。
今後、コンダクト・リスクの評価・検証が金融機関の内部管理態勢、内部監査態勢の深化・高度化に大きく資するものとなるように思いますので、ご紹介しました。
