0
会員になると、いいね!でマイページに保存できます。
共有する
近年、金融機関におけるリスク管理の重要性がさらに増している。「不祥事件はなぜ起こってしまうのか」、「防止・早期発見のためにすべきこととは何か」──。こうした金融機関の抱える悩みを解決に導く武器となるのが、「3つの防衛線(3ラインディフェンス)」と呼ばれる内部統制のフレームワークだ。プロアクト法律事務所のパートナー弁護士・渡邉宙志氏に、過去の金融機関の不祥事件の事例も交えながら、「3つの防衛線」の有効性や自社に採用する上でのポイントを解説してもらった。
金融機関におけるリスク管理を担う「3つの防衛線」とは
「3つの防衛線」とは、企業内のさまざまな部署が担う役割を3つに分けて考えることにより、企業のリスク管理を強化していこうという考え方に基づいた内部統制の仕組みです。「3つのディフェンスライン(three lines of defense)」とも呼ばれており、独立した3つのラインがあることで、リスクマネジメントをより十全なものにしていく狙いがあります。
まず、3つのラインがどのようなものなのか説明しましょう。
「1線」は主に営業部門です。ビジネスを進める現場の人間が担当し、自律的な立場でリスクを発見・報告・低減する役割をっています。
「2線」はリスク管理部門であり、コンプライアンス部門などが担当。「1線」のリスク管理の支援と検証の役割を担っています。
「3線」は「1線」「2線」の外側にある完全に独立したラインです。内部監査部門が担当し、「1線」と「2線」のリスク管理が機能しているかどうかをモニタリングし、必要な時には助言する役割を担っています。
「3つの防衛線」という言葉が使われるようになったのは、1996年ころです。世界的に知られるようになったのは、2012年にバーゼル銀行(銀行監督委員会)によって、この仕組みに基づいた内部監査に関する提言が出されてからと言われています。それ以降、IIA(内部監査人協会)、COSO(トレッドウェイ委員会組織委員会)などでもリスクマネージメントのモデルとして「3つの防衛線」が紹介・推奨され広まった経緯があります。
日本国内では金融庁が「マネー・ローンダリング及びテロ資金供与対策に関するガイドライン」の中で「3つの防衛線」について言及したことをきっかけに、金融機関を中心に認知が広がってきました。経済産業省でも「3つの防衛線」をグローバルスタンダードと位置付け、有効に活用することを推奨しています。
商工中金の不祥事件はなぜ起こったのか?
金融機関は平常時においても不祥事件の予防対策を講じていますが、残念ながらすべてを防げるわけではありません。何か問題が起こった時には早期に発見し、しっかりとした対応を取り、被害を最小限に食い止めて、再発防止策を錬っていくのが一連の基本的な流れです。
ここ数年の間にも、さまざまな不祥事件が起こっています。主な事件を挙げていくと、2017年の商工中金「不正融資問題」、2018年のスルガ銀行「不正融資問題」、2019年のかんぽ生命保険「不適正販売問題」、同じく2019年の都留信用組合「不祥事件届出遅延問題」、2020年の第一生命保険「元社員による金銭詐取問題」などがあります。これらの事件を並べて気づくのは、現象はさまざまでも、いずれも「より早期に対応する機会があった」という点で共通点があることです。
ここでは、商工中金の事例を検証していきます。この事件は、リーマンショックや震災などの危機対応業務と呼ばれる融資案件に関して起こりました。複数の支店で融資案件の要件を満たすために、稟議書に添付する企業の審査表を改ざんして融資していたことが発覚したのです。
最初にこの事案が明らかになったのは、鹿児島支店でした。これについて社内で調査を開始してみると「色々なところで起こっているらしい」「規模が大きいらしい」ということが分かってきて、第三者委員会で調査することになったのです。
しかし、この事件の1番の問題点は、初期段階での発見統制が機能しなかったことにあります。実は鹿児島支店の調査を始める2年ほど前に、池袋支店でまったく同様の事案が見つかっていたというのです。
ところが、金融庁に報告することに躊躇(ちゅうちょ)を感じたのか、不祥事件には該当しないという見解のもとに組織ぐるみで問題を片付けていたのです。隠蔽するというほどの明確な意図はなかったのかもしれませんが、「報告しなくてもすむ程度のこと」であると問題を矮小化して収めてしまい、結果的には隠蔽することになりました。
本来であれば早めに発見して、問題がより小さいうちに対処できたばずなのに、なぜこのような事態が起こってしまったのでしょうか。これはとても重要な問題です。おそらく関わっていた営業担当者は全員、許されることではないと感じていたはずです。「これはおそらくダメだよな」「でもみんな、やっているよな」といった認識があったに違いありません。
では違和感を抱いた人間が誰にどう報告をすれば良かったのか。どんなシステムだったら、問題を上まであげて対応できたのか。発見統制という観点から考えると、なるべく多方面から情報を上まであげられるシステムが必要になります。
また第一生命保険の「社員による金銭詐取問題」の場合は一社員による犯罪ではありますが、これも1人だけの問題ではありません。会社には事前に「おかしな動きがある」という情報が入っていて、ある程度は問題を把握している状況があったのです。
しかし「会社全体としてこの問題を継続的に監視していくのだ」という意志統一が行き届いておらず、問題の発見が遅れてしまいました。これらの不祥事件をこじらせたのは発見統制上の問題だと言えるでしょう。
不祥事件が起こると、顧客の信頼を大きく毀損してしまい、会社に対する評価や評判を著しく低下させ、業績にも悪影響が出てしまいます。1つひとつの小さな違和感が積み重なり、大きな不祥事件につながり、会社の信頼を毀損し、業績を悪化させてしまう結果を招きかねません。「3つの防衛線」はこうしたリスクへの有効な対抗策でもあるのです。
【次ページ】「3つの防衛線」を有効に機能させるために必要なこと
