英FCAが、監督対象金融機関に対してDear CEO Letterを公表
英FCAが金融機関経営陣に向けた書簡で、金融機関の金融犯罪対策に見られる典型的な脆弱性の事例を示し、一層の改善を求めました。本稿では、その概要と、そこから得られる本邦金融機関への示唆について解説します。
英FCAが金融機関経営陣に向けた書簡で、本稿では、その概要と、そこから得られる本邦金融機関への示唆について解説します。
英FCA(Financial Conduct Authority:金融行動監督機構)は2024年3月5日、監督対象金融機関の経営陣に対し「Dear CEO Letter」と称する書簡を公表し、金融犯罪対策関連規制の遵守状況への評価結果について説明しました。その中でFCAは、金融犯罪対策において共通に見られる典型的な脆弱性について解説しています。
1.金融犯罪対策における脆弱性
FCAは、監督の一環として金融機関の対応状況を評価した結果、金融犯罪対策において共通に見られる脆弱性は、以下の4つの領域に見られる、と指摘しました。具体的にどのような点が「脆弱」と評価されたのかについて、関連する規則およびガイダンスを参照しながら概説します。
(1)ビジネスモデル
(2)リスク評価
(3)顧客管理、継続的なモニタリング、および方針・手続
(4)ガバナンス、経営情報、および研修
(1)ビジネスモデル
The Money Laundering, Terrorist Financing and Transfer of Funds(Information on the Payer) Regulations 2017(以下、MLR)に規定される金融機関に該当する事業者は、FCAに対して事業内容を正確に申告して登録を行うこと、変更が生じた際はすぐにFCAに報告することが求められます。しかし、FCAに登録されていた事業内容と今回評価時に確認された事業内容とに乖離があったことが指摘されています。
特に、金融機関が比較的短期間で大きく成長する等、業容が変わったにもかかわらず、金融犯罪に関する方針や手続、統制が、従来通りのままで、成長後のビジネスの規模と複雑さに対応しておらず、金融犯罪の枠組みが不十分であった事例もありました。
(2)リスク評価
リスク評価に関して、MLRでは、自社の顧客や事業を行っている国または地域、自社の製品・サービス、取引チャネル等を勘案してリスク評価を行い(Section 18 (2))、リスクの特定・評価にあたって講じたすべての措置について文書化することを求めています(Section 18 (4))。また、FCAが公表しているFinancial Crime Guide(以下、FCG)2章では、全社的なリスク評価について、包括的で幅広い要因が考慮されていること、広範な関連情報が利用されていること、ビジネス活動の特性や規模、複雑性に見合ったものであることを求めています(2.2.4))。
しかし、今回の評価では、そもそも全社的なリスク評価を行っていないという事例に加え、リスク評価を行っていたとしてもその品質が低く、十分具体的ではない、リスク評価手法が不明瞭である、等の事例や、顧客リスク評価において、個々の顧客特性を踏まえておらず、リスク低減策が適切かを効果的に評価できていない事例が指摘されています。
(3)顧客管理、継続的なモニタリング、および方針・手続
FCGは、金融機関に対して、すべての関連職員が理解できるような形で顧客管理の方針・手続を文書化することを求めています(2.2.5)。しかし、今回の評価では、方針・手続が具体的でないために、口座開設において、リスクに応じてどのような確認を行うべきか、継続的なモニタリングをどの時点で発動するか等があいまいになっている事例や、疑わしい取引の調査や届出方法が明確に文書化されていない事例が指摘されました。
(4)ガバナンスおよび経営情報、研修
FCGでは、上級管理職が金融犯罪リスクの管理に対して明確な責任を持ち、金融犯罪対策に積極的に関与していることを示す証跡を残すこと(2.2.1)、上級管理職に自社が直面するリスクを理解するに十分な情報を提供すること(2.2.2)、上級管理職がリスクを把握し、これらのリスクを効果的に軽減するための措置を確実に講じること(3.2.1)を求めています。 しかし今回の評価では、上級管理職が適切に監督を行っておらず、金融犯罪対策部門に十分なリソースが配分されていない事例、職員の役割に応じた適切な研修が行われず、金融犯罪に対する意識が十分ではない事例、経営レベルでの会議において金融犯罪が重要な議題となっておらず、意思決定プロセスの証跡が残っていない事例が指摘されています。
2.本邦金融機関への示唆
FCAの指摘は、監督下の金融機関に共通して見られると述べられているとおり、わが国の金融機関にとっても、参考となる教訓と言えます。わが国の金融機関は、金融庁のマネロンガイドラインにおける「求められる事項」の対応について、2024年3月末を期限として一旦完了した段階にあります。今後は、自社のサービスが金融犯罪に悪用されることを防ぐために、その実効性を確保することが重要です。FCAの指摘は、特に見落としが発生しやすい、対応が不十分になりやすい、あるいは不十分であることを見逃しやすい領域に対する警告であると考えられます。不十分な統制は、金融犯罪を企図する勢力を利することになり、結果的に金融市場の健全性を毀損することにつながります。本邦金融機関においても、各種法規制・ガイドラインの遵守は当然として、これらの4つの領域について、継続的に「実効的か?」と自問自答し、上級管理職の積極的な関与のもと「金融犯罪対策のリスク評価⇒適宜の見直し⇒テスティング・モニタリング」というPDCAサイクルを絶えず回していくこと、そしてそれらの手法や結果を適切に文書化することが重要と考えられます。
執筆者
あずさ監査法人
金融アドバイザリー事業部
マネージング・ディレクター 山﨑 千春(やまざき ちはる)
アソシエイト 白田 侑希(しろた ゆうき)