コラム

リスクベース・アプローチとは


(※この記事は2024/09/25に加筆しております)

目次

 

 

リスクベース・アプローチとは

 

金融庁「マネー・ローンダリング及びテロ資金供与対策に関するガイドライン」では、「自らが直面しているリスク(顧客の業務に関するリスクを含む。)を適時・適切に特定・評価し、リスクに見合った低減措置を講ずること」と定義しています。まずは、自社におけるリスクを特定・評価し、リスクが高いと判断したものに対し、リソースを集中させて管理をすることを指しています。 

 
 

 

従来のコンプライアンス管理と今後のリスクベースアプローチとの比較

OFACでは、

「すべての企業に同じことをするコンプライアンス管理は、必然的にリソースが薄く幅広く割り当てられ、低リスク分野に必要以上にリソースが割かれ、高リスクの分野に対するための 対応が不十分となり、ほとんどの場合誤りであり、効果がない。」

とガイドラインで述べています。犯罪手口が巧妙化し、簡単な対応では犯罪者を排除できない状況であることが、リスクベース・アプローチが強く推奨されている背景にあります。

 

 

 

ルールベース・アプローチとの違い

 ルールベース・アプローチとは、広くルールを定めてそれを遵守することによりリスクを管理する考え方です。

想定されるあらゆるリスクごとに対応ルールを整備し、そのルールの遵守を徹底することができれば、確かにリスクの低減や解消を図ることができるでしょう。

しかし、実際のビジネスの現場ではリスク管理に充てることのできるリソース(人員や資金など)には限界があります。リスクの大小に依らず、あらゆるリスクに等しく網羅的に対応することは非現実的です。また、全てのリスクに対して同じリソースを割くことは、より重要なリスク対応への比重が相対的に低くなり、不十分な対応を招くことに繋がります。
 
ルールベース・アプローチが全てのリスクに網羅的に対処することに対して、リスクベース・アプローチはリスクの大小に応じて優先順位をつけて対処することを意味します。
 

 

 

リスクベース・アプローチのためのプロセス、タスク、課題

 
リスクベースアプローチをタスクと課題に分けた図

 

国内外の規制当局は、リスクベース・アプローチによる顧客・仕入先の管理を強く推奨しています。リスクベース・アプローチは、各種ガイドラインにおいて、リスクの特定・評価をした上で、リスクの高低の基準を作り、個々の顧客・仕入先のリスクを格付けし、リスク低減措置を取っていくものとされています。しかしながら、リスクの特定・評価をするためには、リスクを分析するためのデータがそろっていないといけません。多くの企業にとって、このリスクを分析するためのデータ整備が課題になっています。そこで、私たちは、リスクベース・アプローチの最初のプロセスとして「マスタデータ整備」を追加しています。

 

 

マスタデータ整備

多くの企業において、顧客・仕入先マスタは、事業部、支社店、グループでバラバラに管理されています。また、同じ顧客・仕入先マスタ内でも、データがきれいに整備されていない状態が多くみられます。よく見られるのは、データが「重複している」、「最新でない」、「必要な情報が欠落している」というような状態です。

では、データが「重複している」、「最新でない」、「必要な情報が欠落している」と、どのようなことが起こるのでしょうか?

まずは、データが「重複している」状態を考えてみたいと思います。

 

<データ重複例>

たとえば、「エイ・ビー・シーカンパニー株式会社」という正式商号を持つ会社があったとします。しかし、営業担当者によって、「エイビーシーカンパニー(株)」や「ABCカンパニー」として登録していたりします。そうすると、システムはそれぞれを別会社と認識し「エイ・ビー・シーカンパニー株式会社」という1つの会社に対して、3つの別々の顧客アカウントを持つことになります。

実際に、エイ・ビー・シーカンパニー株式会社とは、100万円の取引があったとした場合、当社は3つの別々の顧客アカウントで管理されているので、それぞれ30万円程度の取引に見えてしまいます。もし会社の基準で、取引金額100万円未満と100万円以上で管理レベルを分けていたとしたら、大きなコンプライアンス違反を見逃してしまうかもしれません。


また、コストの観点でも、本当は1社のチェックで済みところを重複して3社チェックすることになるので、無駄な出費となってしまいます。
 

このように、アカウントの統合(名寄せ)ができていないと、効率的かつ正しくコンプライアンスリスクを把握することができなくなってしまします。

 

また、情報が「最新でない」場合も、大きなコンプライアンス違反のリスクを抱えることになります。FATFの勧告を受け、金融庁では、継続的顧客管理をすべての金融機関に求めています。具体的には、早急に全顧客の情報をアップデートし、それぞれの顧客にリスク格付を行うことを求めています。

 

なぜ、顧客情報をアップデートしないといけないのか?それは、リスクは常に変化するからと説明されています。ある時点で、全くコンプライアンス違反をしていない企業でも、その後犯罪組織に買収されマネーロンダリングに利用されるようになっているかもしれません。

また、経営者が経営状況の悪化により、犯罪に手を染めるようになっているかもしれない。そんなことがあり、FATFでは継続的に対象企業を管理することを求めています。コンプライアンスにおいては、継続的な管理が非常に重要になっています。

 

最後に、「必要な情報が欠落している」状態を考えてみます。規制当局や業界団体のガイドラインを見ると、リスクの評価は、顧客特性、地域、製品・サービスの3つの観点で行うことを推奨しています。顧客特性でいうと、業種、設立年、代表者、役員、実質的支配者、資本構成、財務状況など評価のためのパラメータがあります。こちらの情報がないと精度の高い分析、評価ができません。某AML向けのソフトウエアでは、リスク評価のため約200項目のパラメータがあるとのことです。しかしながら、その項目を十分埋められるほど情報を持っている企業はほとんどないと言われています。初めから、200項目の情報を収集して分析を行うことは難しいかもしれませんが、徐々にリスク評価するための項目を増やしていき、より精度の高い分析ができるように改善していくことが重要となります。

 

 

高リスクの一例

リスクベース・アプローチにおいて高リスクとされやすい事象の一例を挙げます。

口座開設/継続的顧客管理:
・マネロン/テロ資金供与のリスクが高いとされる国に居住する顧客/法人代表者
・実質的支配者が不明瞭な法人
・役員や実質的支配者の変更が頻繁に発生する法人
取引モニタリング:
・当該法人の業態/規模に見合わない不自然な大口取引
・頻繁な国際送金

実際には疑わしい取引や顧客の分析を通じて、自社の事業に応じたリスク評価プロセスに反映することが重要です。

 

 

まとめ

今回は、リスクベース・アプローチの概要と具体的なプロセス、そしてマスターデータ整備や継続的な情報収集の重要性について説明しました。犯罪手口の巧妙化に伴い、自社の事業特性に応じて高リスクを特定し、適切な対処を行うことは金融犯罪対策における根本的で重要な考え方です。

自社の金融犯罪対策強化において信頼性の高い法人情報の収集を課題として抱えている方はぜひ弊社までご相談ください。

コラム一覧に戻る

Similar posts

ブログ購読申込

コンプライアンス・データラボ代表取締役の山崎博史を含む国内外のコンプライアンス専門家やデータマネジメントのスペシャリストが、お客様のコンプライアンス管理にまつわる国内外の最新情報やトレンド、重要な問題を解説します。当ブログを通じて最新のベストプラクティスやガイドラインの情報も提供します。
 
ブログの購読をご希望の方は下記のリンクより、フォームに必要事項を入力してご登録ください。
配信は毎週金曜日を予定しています。購読料は無料です。