リスクベース・アプローチとは

国内外の規制当局は、リスクベース・アプローチによる顧客・仕入先の管理を強く推奨しています。リスクベース・アプローチは、各種ガイドラインにおいて、リスクの特定・評価をした上で、リスクの高低の基準を作り、個々の顧客・仕入先のリスクを格付けし、リスク低減措置を取っていくものとされています。しかしながら、リスクの特定・評価をするためには、リスクを分析するためのデータがそろっていないといけません。多くの企業にとって、このリスクを分析するためのデータ整備が課題になっています。そこで、私たちは、リスクベース・アプローチの最初のプロセスとして「マスタデータ整備」を追加しています。

マスタデータ整備

多くの企業において、顧客・仕入先マスタは、事業部、支社店、グループでバラバラに管理されています。また、同じ顧客・仕入先マスタ内でも、データがきれいに整備されていない状態が多くみられます。よく見られるのは、データが「重複している」、「最新でない」、「必要な情報が欠落している」というような状態です。

では、データが「重複している」、「最新でない」、「必要な情報が欠落している」と、どのようなことが起こるのでしょうか？

まずは、データが「重複している」状態を考えてみたいと思います。

たとえば、「エイ・ビー・シーカンパニー株式会社」という正式商号を持つ会社があったとします。しかし、営業担当者によって、「エイビーシーカンパニー（株）」や「ABCカンパニー」として登録していたりします。そうすると、システムはそれぞれを別会社と認識し「エイ・ビー・シーカンパニー株式会社」という１つの会社に対して、３つの別々の顧客アカウントを持つことになります。

実際に、エイ・ビー・シーカンパニー株式会社とは、100万円の取引があったとした場合、当社は3つの別々の顧客アカウントで管理されているので、それぞれ30万円程度の取引に見えてしまいます。もし会社の基準で、取引金額100万円未満と100万円以上で管理レベルを分けていたとしたら、大きなコンプライアンス違反を見逃してしまうかもしれません。

また、コストの観点でも、本当は1社のチェックで済みところを重複して3社チェックすることになるので、無駄な出費となってしまいます。
 

このように、アカウントの統合（名寄せ）ができていないと、効率的かつ正しくコンプライアンスリスクを把握することができなくなってしまします。

また、情報が「最新でない」場合も、大きなコンプライアンス違反のリスクを抱えることになります。FATFの勧告を受け、金融庁では、継続的顧客管理をすべての金融機関に求めています。具体的には、早急に全顧客の情報をアップデートし、それぞれの顧客にリスク格付を行うことを求めています。

なぜ、顧客情報をアップデートしないといけないのか？それは、リスクは常に変化するからと説明されています。ある時点で、全くコンプライアンス違反をしていない企業でも、その後犯罪組織に買収されマネーロンダリングに利用されるようになっているかもしれない。また、経営者が経営状況の悪化により、犯罪に手を染めるようになっているかもしれない。そんなことがあり、FATFでは継続的に対象企業を管理することを求めています。コンプライアンスにおいては、継続的な管理が非常に重要になっています。

最後に、「必要な情報が欠落している」状態を考えてみます。規制当局や業界団体のガイドラインを見ると、リスクの評価は、顧客特性、地域、製品・サービスの3つの観点で行うことを推奨しています。顧客特性でいうと、業種、設立年、代表者、役員、実質的支配者、資本構成、財務状況など評価のためのパラメータがあります。こちらの情報がないと精度の高い分析、評価ができません。某AML向けのソフトウエアでは、リスク評価のため約200項目のパラメータがあるとのことです。しかしながら、その項目を十分埋められるほど情報を持っている企業はほとんどないと言われています。初めから、200項目の情報を収集して分析を行うことは難しいかもしれませんが、徐々にリスク評価するための項目を増やしていき、より精度の高い分析ができるように改善していくことが重要となります。

コラム一覧に戻る