戻  る

 

 

(仮訳)

 

 

 

 

 

 

 

 

 

 

 

 

銀行組織における内部管理体制のフレームワーク

 

 

 

 

 

 

 

 

 

 

バーゼル銀行監督委員会

 

 

 

 

 

バーゼル

 

19989

 

 

目  次

 

はじめに――――――――――――――――――――――――――――― 1

 

I . 背景――――――――――――――――――――――――――――― 8

 

II . 内部管理のフレームワークの目的と役割―――――――――――――10

 

III . 内部管理プロセスの主な要素――――――――――――――――――12

A. 経営陣による監視と管理重視の企業風土────―───12

1. 取締役会―――――――――――――――――――12

2. 上級管理職――――――――――――――――――14

3. 管理重視の企業風土――――――――――──――15

B. リスクの認識および評価―――――――――――――――16

C. 管理業務と職責の分離――――――――――――――――17

D. 情報とコミュニケーション――――――――――――――21

E. モニタリング業務と問題点の是正―――――――――――24

 

IV . 監督当局による内部管理体制の評価―――――――――――――――27

 

V . 外部監査人の役割と責任――――――――――――――――――――31

 

補論 I . 参考文献―――――――――――――――――――――――――32

 

補論 II . 内部管理の不備事例から得られた監督上の教訓――――――――33

 

 

銀行組織における内部管理体制のフレームワーク

 

 

 

はじめに

1.銀行監督を巡る諸課題に取り組み、健全なリスク管理の実践を促す指導を通じて監督の質的向上を目指す継続的な努力の一環として、バーゼル銀行監督委員会は、内部管理体制の評価のためのフレームワークを公表する。有効な内部管理体制は、銀行経営にとって、必須の要素であり、また銀行組織の安全かつ健全な業務のための基盤となるものである。強力な内部管理体制は、銀行組織の目標と目的が満たされ、銀行の長期的な収益目標が達成され、信頼性の高い財務・経営報告が維持されることを確実にする手助けとなり得るものである。また、こうした体制は、法規制および組織上の方針・計画・内部規定または手続きの遵守、不測の損失や銀行のレピュテーションへのダメージにつながるリスクの削減にも役立つ。本稿は、メンバー各国の経験や当委員会よりこれまで公表されてきた諸原則を踏まえ、健全な内部管理体制に不可欠な要素について説明する。本稿の目的は、監督当局が銀行の内部管理体制を評価する際に活用する多くの諸原則を概説することである。

2.バーゼル委員会は、世界各地の銀行監督当局とともに、健全な内部管理の重要性について、より一層注意を払っている。内部管理へのこうした関心の高まりは、一つにはいくつかの銀行組織で重大な損失が生じた結果である。これらの損失に関連する問題を分析した結果、それらの問題は銀行が有効な内部管理体制を保持していれば、おそらく避けることが出来たものであることがわかった。そうした体制が整っていれば、損失につながるような問題を未然に防ぐか、またはその早期発見を可能にし、その結果として、銀行組織へのダメージを限定的なものに止めていたかもしれない。当諸原則を作成するにあたって、当委員会はメンバー各国における問題銀行の状況から得られた教訓を取り込んでいる。

3.当諸原則は一般的な適用を意図したものであり、各国監督当局は、銀行の内部管理体制の構築方法をモニタリングするための自らの監督手法や手続きを評価するために、当諸原則を活用すべきである。個々の監督当局が採用する具体的なアプローチは、オンサイトおよびオフサイトでの監督技術や監督機能における外部監査の活用度合といった種々の要因に依存するとはいえ、バーゼル委員会のすべてのメンバーは、本稿に提示されている諸原則が、銀行の内部管理体制を評価する際に用いられるべきであると合意している。

4.バーゼル委員会はまた、提示された諸原則が内部管理体制の有効な監督を行ううえで有用なフレームワークを提供するものであるとの信念に基づき、本稿を世界中の監督当局に配布する。より一般的に言えば、当委員会は、健全な内部管理は、銀行の健全な業務遂行および金融システム全体の安定性促進のために不可欠であることを強調しておきたい。当委員会は、全ての機関がこのフレームワークの全ての観点を備えているとは認識していないが、銀行は採用に向けて取り組んでいる。

5.これまでにバーゼル委員会より公表されたガイダンスでは、金利リスク、トレーディング業務、デリバティブ業務など、特定の銀行業務に関する内部管理についての議論が中心であった。対照的に、当ガイダンスでは、銀行および連結ベースでの銀行グループ全体におけるすべてのオンバランスおよびオフバランスの業務に関する内部管理を評価するうえで、当委員会が各監督当局にその活用を勧めるフレームワークを提供している。このガイダンスは、銀行組織の特定の分野や業務に焦点を当てたものではない。実際にどう適用するかは、当該銀行業務の性質、複雑さ、およびリスクによる。

 

6.当委員会は、本稿 I のセクションにおいて、背景を説明し、 II のセクションでは、内部管理のフレームワークの目的と役割を述べている。 III 、 IV のセクションにおいては、銀行監督当局が銀行の内部管理体制を評価する際に適用するための13の原則を規定している。また、補論 I では、参考文献の一覧表を付記し、補論 II では、過去の内部管理の不備事例から得られた監督上の教訓を提供している。

 

内部管理体制の評価のための原則

 

A.経営陣による監視と管理重視の企業風土

原則1:

 取締役会は、(1)銀行の全体の企業戦略および重要な方針を承認し、定期的に見直すこと、(2)銀行が負っている主要なリスクを理解し、これらのリスクにつき受容できるレベルを設定すること、また上級管理職にこれらのリスクを識別、測定、モニタリング、コントロールするのに必要な手順を踏ませるようにすること、(3)組織構造を承認すること、(4)上級管理職による内部管理体制の有効性についてのモニタリングが確実に行われるようにすること、に関する責任を担うべきである。取締役会は、適切かつ有効な内部管理体制が構築され、維持されることを確実なものとする最終的な責任を負っている。

原則2:

 上級管理職は、(1)取締役会により承認された戦略および方針を実行すること、(2)銀行に生じるリスクを識別、測定、モニタリング、およびコントロールするプロセスを構築すること、(3)責任、権限、および報告の関係が明確に割り当てられた組織構造を維持すること、(4)委譲された権限が有効に機能していることを確実なものとすること、(5)適切な内部管理方針を定めること、および(6)内部管理体制の妥当性および有効性をモニタリングすること、に関する責任を担うべきである。

原則3:

 取締役会と上級管理職は、高い職業倫理観を涵養し、あらゆる職階における職員に対して内部管理の重要性を強調・明示する風土を組織内に醸成する責任がある。銀行組織のすべての職員は、内部管理プロセスにおける自らの役割を理解し、そのプロセスに十分に関与する必要がある。

 

B.リスクの認識および評価

 

原則4:

 有効な内部管理体制を構築するには、銀行の目的を達成する上で悪影響を与え得る重大なリスクが認識され、継続的に評価されることが必要である。この評価は、銀行および連結ベースでの銀行グループ全体が直面しているリスク(すなわち、信用リスク、カントリー・リスク、トランスファー・リスク、マーケット・リスク、金利リスク、流動性リスク、オペレーショナル・リスク、法務リスク、およびレピュテーショナル・リスクに関連するもの)をすべてカバーすべきである。内部管理は、新規ないしは以前にコントロールされていなかったいかなるリスクにも適切に対応するように、改訂される必要があろう。

 

C:管理業務と職責の分離

原則5:

 管理業務は、銀行の日常業務の中で必要不可欠な部分となっていなければならない。有効な内部管理体制の構築には、各業務段階における管理業務が明確に示され、適切な管理体制が築かれていることが必要である。これらには、トップレベルにおける見直し、部、課ごとの適切な業務管理、実物管理、エクスポージャー・リミットの遵守状況のチェックとそれが遵守されていない場合のフォロー・アップ、認可・了承の体制、検証・突合の体制が含まれるべきである。

原則6:

 有効な内部管理体制の構築には、職責の分離が適切になされ、職員が利益相反する職務に従事することのないようにする必要がある。利益相反が生じ得る領域は、識別され、最小限に止められたうえ、注意深くかつ業務から独立したモニタリングの対象とされるべきである。

 

D.情報とコミュニケーション

原則7:

 有効な内部管理体制の構築には、適切かつ包括的な財務、事務、コンプライアンスに関する内部データや、意思決定のために関連する事象および状況に関して外部の市場情報の装備が行われることが必要である。情報は、信頼でき、タイムリーであり、手に入れ易いものでなければならず、かつ一貫したフォーマットで提供されるべきである。

原則8:

 有効な内部管理体制の構築には、銀行のすべての重要な業務をカバーし、信頼度が高い情報システムが装備されている必要がある。これらのシステムは、電子形式でデータを保存・利用するものも含め、安全に管理され、業務から独立してモニタリングされ、さらに適切なコンティンジェンシー対応により支援されなければならない。

原則9:

 有効な内部管理体制の構築には、自らの義務や責任に影響を与える方針および手続きをすべての職員が理解し、厳守すること、その他の関係のある情報が然るべき職員に行き届くこと、が確実になるようなコミュニケーションの有効な経路が必要である。

 

E.モニタリング業務と問題点の是正

原則10:

 銀行の内部管理の総合的な有効性は、継続的にモニタリングされるべきである。主要なリスクのモニタリングは、業務ラインおよび内部監査部署による定期的な評価と同様に、銀行の日々の業務の一部として行われるべきである。

原則11:

 業務上独立し、適切に訓練された能力のある職員により、内部管理体制に関する有効かつ包括的な内部監査が行われるべきである。内部監査部署は、内部管理体制の一環であるモニタリングの一部として、取締役会、監査委員会、および上級管理職に対して直接報告すべきである。

原則12:

 内部管理上の欠陥は、業務ライン、内部監査部署、または他の管理職員のいずれに発見されようと、適時に然るべき経営レベルに報告され、直ちに対応措置が講じられるべきである。重大な内部管理上の欠陥は、上級管理職および取締役会に報告されるべきである。

 

F.監督当局による内部管理体制の評価

原則13:

 監督当局は、規模に拘らずすべての銀行に対し、そのオンおよびオフバランスシートの業務に内在する性質、複雑さ、リスクと整合的で、銀行を取り巻く環境や条件の変化に対応できる有効な内部管理体制を持つよう要求すべきである。監督当局が銀行の内部管理体制が当該行の個別リスク・プロファイルに対して適切でない、もしくは有効でないと判断した場合(例えば、本稿に示されたすべての原則をカバーしていない場合)、監督当局は、適切な措置をとるべきである。

 

 

I .背景

1.バーゼル委員会では、内部管理上の問題の主な原因を識別するために、銀行業務に係る最近の問題について検討を加えてきた。そこで見出された問題は、銀行の取締役および経営陣、内部・外部監査人、そして銀行監督当局が内部管理体制の強化に一層の注意を傾け、その有効性を継続的に評価していくことの重要性を改めて裏付けている。最近のいくつかの事例は、不適切な内部管理は銀行にとって重大な損失につながる可能性があることを実証している。

2.問題銀行の事例で特徴的にみられる管理体制の不備の類型は、5つに区分できる。

・ 経営による適切な監視・経営責任の欠如、および銀行内における強力な管理重視の企業風土構築の失敗

 重大な損失が生じた事例は、例外なく、銀行の管理重視の企業風土構築についての経営陣の無関心または怠慢、取締役会や上級管理職による不十分な指導・監視、および役割や責務の割り当てを通じた明確な経営責任の欠如を反映している。また、こうした事例は、業務ラインにおける強力な管理の遂行および業務現場における高い管理意識の維持に向けた適切なインセンティブの欠如も反映している。

・ オンバランス、オフバランスに関わらず、特定の銀行業務のリスクに対する不適切な認識と評価

 重大な損失を被った銀行の多くは、新しい商品および新しい業務のリスクを認識し、評価することや、環境や業務状況に重大な変化が生じた際にリスク評価を新たに見直すことを怠っていた。最近の多くの事例をみると、伝統的あるいは単純な構造の商品には十分機能する管理体制が、より高度化または複雑化した商品には対応できないという実情が浮き彫りとなっている。

・ 職責の分離、承認、検証、突合、および取扱い業務の見直しなどの主要な管理体系および管理業務の欠落または失敗

 特に職責の分離の不備が、銀行で生じた重大な損失において、主要な役割を果たしている。

・ 銀行内部での経営の各レベル間の不十分な情報交換、特に問題に関する経営上層部に向けてのコミュニケーションの不備

 方針および手続きが有効に機能するためには、業務に携わる職員すべてに有効に伝達される必要がある。銀行が被った損失のいくつかは、関係する職員が方針を知らない、または理解していないために生じている。いくつかの事例では、本来、各組織段階を経て上層部に報告されるべき不適切な行為が、問題が深刻化するまで取締役会や上級管理職に伝達されていなかった。また、その他にも、経営陣への報告における情報が不完全、または不正確なもので、業務状況について、不当に良好な印象を持たせるようにみせかけた事例がみられた。

 不適切、または有効でない監査プログラムおよびモニタリング業務

 多くの事例では、監査は、問題銀行の管理面での弱点の所在を識別または報告するうえで、十分に厳格ではなかった。また、他の事例では、監査人が問題を報告しても、経営陣にそれを是正させることを確実にする体制が整備されていなかった。

3.当ガイダンスの底流にある内部管理のフレームワークは、多くの主要銀行、証券会社、非金融事業法人、およびそれらの監査人における現在の業務に基づいている。さらに、この評価のフレームワークは、監督当局による銀行組織のリスク管理体制と内部管理プロセスのレビューの重要性が増大していることとも整合的である。ここで強調すべきは、適切な内部管理を銀行内に確実に設け、職員各人がこの分野においてその責任を理解し遂行する環境を整備することは、銀行の取締役会および上級管理職の責任である、ということである。これを踏まえて、内部管理プロセスへの銀行の取締役会と経営陣の関与を評価することが、銀行監督当局の責任である。

 

 

II .内部管理のフレームワークの目的と役割

4.内部管理は、取締役会2、上級管理職、およびすべての職階における職員により実行されるプロセスである。それは単にある一定の時点で行われる手続きや方針ではなく、銀行内のあらゆるレベルで継続的に行われる。取締役会および上級管理職は、有効な内部管理プロセスを確立するために適切な企業風土を醸成したり、その有効性を継続的にモニタリングする責任がある。一方で、組織内の個々人がそのプロセスに参加しなければならない。内部管理プロセスの主要な目的は以下のように分類される3

(1)業務活動の効率性および有効性(業績上の目的)

(2)財務・経営情報の信頼性、完全性および適時性(情報上の目的)

(3)適用され得る法規制の遵守(コンプライアンス上の目的)

5.業績上の目的は、銀行が資産や他の資源を利用し、銀行を損失から守る際の有効性および効率性に関連する。内部管理プロセスは、不測の、あるいは過度のコストをかけることなく、また銀行以外の主体(従業員、売り主、または顧客など)の利益を優先することなく、組織内の職員が効率よく誠実に銀行の目標を達成するために確実に働くようにする。

6.情報上の目的は、銀行の組織内の意思決定に必要なタイムリーで信頼できる関連報告書の準備や、信頼性のある年次会計報告その他の財務諸表、ならびに株主、監督当局および他の第三者に提供する報告書に対応することにある。経営陣、取締役会、株主および監督当局が受ける情報は、意思決定の際にその情報を信頼できるに足るだけの十分に高い質と正確さが必要である。財務諸表に関する信頼性とは、公正にまとめられ、そして包括的かつ明確な会計原則および規則に基づいた書類を用意することを意味する。

7.コンプライアンス上の目的は、すべての銀行業務が、適用され得る法令、監督規制、当該組織の方針・手続きを確実に遵守して行われるようにすることにある。この目的は、銀行の特殊な位置付けとレピュテーションを守るうえで満たされなければならないものである。

 

 

III .内部管理プロセスの主な要素

8.内部管理プロセスは、歴史的には不正、横領、事務ミスを減らすためのメカニズムであったが、その範囲は一段と拡大し、銀行組織が直面する様々なリスクのすべてに対応するものになってきている。現在では、銀行が設定した目標を達成し、また、財務面での体力を維持していくうえで、健全な内部管理プロセスは極めて重要であると認識されている。

9.内部管理は以下の5つの相互に関連した要素から構成されている。

(1)経営陣による監視と管理重視の企業風土

(2)リスクの認識と評価

(3)管理業務と職責の分離

(4)情報とコミュニケーション

(5)モニタリング業務と問題点の是正

 銀行における最近の大きな損失において見受けられた問題は、これらの5つの要素に結び付けて整理することができる。これらの要素が有効に機能することは、銀行の業務、情報、コンプライアンス上の目的を達成するうえで極めて重要である。

 

 

A.経営陣による監視と管理重視の企業風土

 

1.取締役会

原則1:

 取締役会は、(1)銀行の全体の企業戦略および重要な方針を承認し、定期的に見直すこと、(2)銀行が負っている主要なリスクを理解し、これらのリスクにつき受容できるレベルを設定すること、また上級管理職にこれらのリスクを識別、測定、モニタリング、コントロールするのに必要な手順を踏ませるようにすること、(3)組織構造を承認すること、(4)上級管理職による内部管理体制の有効性についてのモニタリングが確実に行われるようにすること、に関する責任を担うべきである。取締役会は、適切かつ有効な内部管理体制が構築され、維持されることを確実なものとする最終的な責任を負っている。

10.取締役会は、上級管理職に対する統治、指導、および監視を行う。また、全体の企業戦略と組織上の重要な方針、および組織構造の承認と見直しに関して責任を負っている。取締役会は、適切かつ有効な内部管理体制の確立・維持を確実にする最終的な責任を担う。取締役会のメンバーは、客観的で、有能で、探究的であり、銀行業務や銀行が負っているリスクに関する知識または専門性を有するべきである。国よって可能な場合には、取締役会には銀行の日々の経営から独立したメンバーも加わるべきである。強力で活発な取締役会は、とりわけ、有効な上層部へのコミュニケーション経路と有能な財務、法務、および内部監査の機能と一体になった場合に、内部管理体制の有効性を減ずる可能性のある問題を確実に修正するための重要なメカニズムを提供する。

11.取締役会は、その業務の中に、(1)経営陣との内部管理体制の有効性についての定期的なディスカッション、(2)経営陣、内部監査人、および外部監査人による内部管理評価の適時の見直し、(3)監査人や監督当局により指摘された内部管理上の問題に関する勧告事項や指摘事項について、経営陣が適切なフォローアップを確実に行うようにするための定期的な努力、(4)銀行の戦略とリスク・リミットの適切性に関する定期的な見直し、を含むべきである。

12.多くの国で銀行が利用している一つの選択肢は、取締役会の責務遂行を補助するための独立した監査委員会の設置である。監査委員会の設置は、取締役全員の時間を使うことなく、情報や報告に関する詳細な検査を可能とする。監査委員会は、一般的に、財務報告のプロセスおよび内部管理体制を監視する責任がある。この責任の一部として、一般的に監査委員会は、銀行の内部監査部署の業務を監視し、その直接的な窓口の役割を果たし、外部監査人との主要な窓口の役目を果たす。国によって可能な場合には、同委員会は、財務報告および内部管理に関する知識を有する外部の取締役(すなわち、銀行もしくはその関連会社に雇用されていないメンバー)によりその大多数もしくは全体が構成されるべきである。但し、いかなる場合においても、監査委員会の設置により、唯一法的に意思決定を行うことが認められている取締役会からその責務が移管されることのないよう、留意しておくべきである。

 

 

2.上級管理職

原則2:

 上級管理職は、(1)取締役会により承認された戦略および方針を実行すること、(2)銀行に生じるリスクを識別、測定、モニタリング、およびコントロールするプロセスを構築すること、(3)責任、権限、および報告の関係が明確に割り当てられた組織構造を維持すること、(4)委譲された権限が有効に機能していることを確実なものとすること、(5)適切な内部管理方針を定めること、および(6)内部管理体制の妥当性および有効性をモニタリングすること、に関する責任を担うべきである。

13.上級管理職には、取締役会の指示(戦略および方針の実行、有効な内部管理体制の確立など)を実行する責任がある。上級管理職のメンバーは、一般的に、より具体的な内部管理の方針と手続きを確立する責務を、特定の業務部署の責任者に委ねている。職権の委任は、経営の重要な要素である。しかし、このような責務を負った責任者が適切な方針と手続きを構築・行使していることを確実にするため、上級管理職が同責任者を監視することは重要である。

14.確立した内部管理体制が遵守されるかは、文書化され、コミュニケーションのとれた組織構造に大きく依存する。そして、こうした組織構造においては、報告責任と権限のラインが明確に示され、組織全体の有効なコミュニケーションが提供されなければならない。職務や責任の配分により、報告ラインにギャップがないことや、有効なレベルの経営管理が銀行のあらゆるレベルおよび様々な活動に広がっていることを確実にするべきである。

15.必要な経験と技術的能力を備えた有能な職員により業務が実行されるように、上級管理職が手段を講じることは重要である。内部管理部署の職員は、正当に報酬を得るべきである。職員の研修やスキルは定期的に更新されるべきである。上級管理職は、適切な行動に報い、職員が内部管理の機能を無視または無効とするようなインセンティブを最小化するように、報酬と昇格に関する方針を制定すべきである。

 

 

3.管理重視の企業風土

原則3:

 取締役会と上級管理職は、高い職業倫理観を涵養し、あらゆる職階における職員に対して内部管理の重要性を強調・明示する風土を組織内に醸成する責任がある。銀行組織のすべての職員は、内部管理プロセスにおける自らの役割を理解し、そのプロセスに十分に関与する必要がある。

16.内部管理体制に必要不可欠な要素の一つは、堅固たる管理重視の企業風土である。取締役会と上級管理職は自らの言動を通じて内部管理の重要性を強調する責任を有する。これには、経営陣が組織の内外において、業務取引の中で身をもって示す倫理観が含まれる。取締役会と上級管理職の言動は、銀行の管理重視の企業風土の品格、倫理、および他の側面に影響を及ぼす。

17.程度は異なるものの、内部管理は銀行の全役職員の責任である。ほとんどすべての従業員は、内部管理体制の中で利用される情報を生産しているか、もしくは管理を実行するのに必要とされる他の行動を取っている。強力な内部管理体制に必要不可欠な要素の一つとして、すべての従業員が自らの責任を有効に果たす必要性、および業務上の問題、業務規範を遵守していない事例、その他の気付いた方針違反または違法な行動について然るべき経営陣に伝える必要性を認識することが挙げられる。これは、業務の手順が書面に明記され、それを関係者すべてが利用できるようになっている場合、最も達成され易い。銀行内のすべての職員が内部管理の重要性を理解し、そのプロセスに積極的に関わることが重要である。

18.倫理的な価値観を醸成するうえで、銀行組織は、不適切な業務へのインセンティブや誘惑を不本意にも与えてしまう可能性がある方針や慣行を避けるべきである。そのような方針や慣行の例としては、業績の目標値や他の業務結果の過度の強調(とりわけ長期的なリスクを無視した、短期的な実績の目標値)、短期的な実績に過度に重視する報酬体系、資源の濫用や芳しくない実績の隠蔽を誘発するような実効性のない職責の分離やその他の管理体制、不適切なふるまいに対する過小な、もしくは極端に重い罰則等が挙げられる。

19.堅固たる内部管理風土を持つことは、組織が目標に到達することを保証するものではないものの、そのような風土が欠如している場合、誤りが見過ごされたり、不適当な事象が発生する可能性が高まる。

 

 

B.リスクの認識および評価

原則4:

 有効な内部管理体制を構築するには、銀行の目的を達成する上で悪影響を与え得る重大なリスクが認識され、継続的に評価されることが必要である。この評価は、銀行および連結ベースでの銀行グループ全体が直面しているリスク(すなわち、信用リスク、カントリー・リスク、トランスファー・リスク、マーケット・リスク、金利リスク、流動性リスク、オペレーショナル・リスク、法務リスク、およびレピュテーショナル・リスクに関連するもの)をすべてカバーすべきである。内部管理は、新規ないしは以前にコントロールされていなかったいかなるリスクにも適切に対応するように、改訂される必要があろう。

20.銀行はリスクを取る業務を行なっている。この結果、内部管理体制の一環として、リスクが認識され、継続的に評価が行われることが肝要である。内部管理の観点からみると、銀行組織の業績上、情報上、そしてコンプライアンス上の目的の達成に悪影響を与え得る内外の要因は、リスク評価により識別・評価されるべきである。このプロセスは、銀行が直面する全てのリスクをカバーし、銀行内の全てのレベルで機能しなければならない。それは、一般に銀行内の各部門におけるリスクと収益のトレード・オフの関係を最良にするために構築された業務戦略の見直しに焦点をあてているリスク管理プロセスとは、異なるものである。

21.有効なリスク評価では、銀行の目的の達成に悪影響を与え得る内部要因(組織構造の複雑さ、銀行業務の性質、職員の質、組織変更、従業員の異動等)と外部要因(経済情勢の変動、産業の変化、技術進歩等)がともに識別され、考慮される。こうしたリスク評価は、個別の業務段階において、かつ幅広い業務や連結対象の銀行組織の子会社にわたって行われるべきである。これは、様々な手法により達成され得る。有効なリスク評価は、測定可能なリスクおよび測定できないリスクの両方に対応するものであり、また内部管理がもたらす利益に対して管理コストがどのくらい必要かについても考慮したものである。

22.リスク評価プロセスには、銀行がコントロールできるリスクとそうではないリスクを判別するための評価を含む。コントロール可能なリスクに対しては、銀行は管理手続きを通じてそれを受容するか、あるいはどの程度軽減したいかを評価しなければならない。コントロール不可能なリスクについては、銀行はそれを受容するか、または、関連する業務活動から撤退もしくはその規模を縮小するか、を決断しなければならない。

23.リスク評価、ひいては内部管理体制が有効であり続けるため、上級管理職は、銀行の目的の達成に影響を与えるリスクを継続的に評価し、環境および状況の変化に対応する必要がある。新規ないしは以前にコントロールされていなかったいかなるリスクにも適切に対応するように、内部管理は改訂される必要があろう。例えば、金融イノベーションが生じれば、銀行は新しい金融商品や新しい市場取引を評価し、これらの業務に付随するリスクを考慮する必要がある。これらのリスクは、多くの場合、様々な(経済的およびその他の要因による)シナリオの下でキャッシュフローや金融商品・取引の収益がいかなる影響を受けるかを考慮することにより、最もよく把握できよう。顧客の誤解や事務上のミスを含むあらゆる種類の生じ得る問題について注意深く検討することにより、重要な管理上の検討項目が指し示されるであろう。

 

 

C:管理業務と職責の分離

原則5:

 管理業務は、銀行の日常業務の中で必要不可欠な部分となっていなければならない。有効な内部管理体制の構築には、各業務段階における管理業務が明確に示され、適切な管理体制が築かれていることが必要である。これらには、トップレベルにおける見直し、部、課ごとの適切な業務管理、実物管理、エクスポージャー・リミットの遵守状況のチェックとそれが遵守されていない場合のフォロー・アップ、認可・了承の体制、検証・突合の体制が含まれるべきである。

24.管理業務は、銀行が上記のリスク評価プロセスを通じて識別したリスクに対応するために企画され、実行される。管理業務には、(1)管理方針と手続きの確立、(2)その方針および手続きが遵守されていることの検証、の2つのステップが含まれる。管理業務には、上級管理職から営業現場の職員まで、銀行のあらゆる職階の職員が関与する。管理業務の具体例は以下のとおり。

トップレベルにおける見直し ―― 取締役会および上級管理職は、銀行の目標の達成度合いを見直すための説明や実績報告をしばしば要求する。例えば、上級管理職は、予算と対比した現在までの実際の財務結果を示す報告書を見直すことがある。この見直しの結果、上級管理職が発する質問と、それに対するより低い経営レベルによる返答は、管理上の弱点、財務報告におけるミス、不正行為といった問題を見抜く可能性がある管理業務の一例である。

業務管理 ―― 部または課レベルの責任者は、日次、週次、もしくは月次で主要な実績や異例取引の報告書を受け取り、見直しを行う。実務的な見直しは、トップレベルにおける見直しよりも頻繁に行われ、通常、より詳細なものである。例えば、商業貸付の責任者は、滞納、支払受領、ポートフォリオから生じた利子所得についての報告を週次で見直すことがあろう。一方、信用管理の上級責任者は、同様の報告を月次で、かつすべての貸付分野を含むより要約された形で見直すかもしれない。トップレベルにおける見直しと同様、報告書を見直した結果発せられる質問と、その質問に対する返答は、管理業務の一例である。

実物管理 ―― 実物管理は一般的に、現金や証券を含む物的資産へのアクセスの制限に焦点を当てる。管理業務には、物理的制限、資産の二重管理、定期的な在庫品検査が含まれる。

エクスポージャー・リミットの遵守状況 ―― 慎重なリスク・エクスポージャー・リミットの設定は、リスク管理における重要な側面である。例えば、債務者およびその他の取引相手に対するリミットの遵守は、銀行の信用リスクの集中を減少させ、そのリスク・プロファイルを分散化させるのに役立つ。したがって、内部管理の重要な側面とは、そのようなリミットの遵守状況を見直し、遵守されていない場合にはフォローアップをするプロセスにある。

認可と了承 ―― 一定のリミットを超える取引についての認可、了承を義務づけることにより、然るべき経営陣による取引内容または状況の把握、および責任体制の確立がより確実になる。

検証と突合 ―― 取引の詳細とその業務内容、および銀行に利用されているリスク管理モデルの出力結果の検証は、重要な管理業務である。キャッシュフローと会計記録・文書との比較といった定期的な突合作業により、修正が必要な業務や記録を識別しうる。したがって、これらの検証の結果、問題あるいは潜在的な問題の存在が明らかになった場合には、必ず然るべき経営陣に報告されるべきである。

25.管理業務は、銀行の日々の事務に追加して行われるものではなく、むしろ日々の業務との不可分一体な部分として、経営陣および他のすべての職員に認識されることにより、最も実効性が高まる。管理が日々の事務に対して追加的なものとして見られると、管理業務は、往々にして重要性が劣るものとして見られがちであり、個々人が限られた時間内で業務を終えなければならないというプレッシャーを感じるような状況下では行われない可能性もある。加えて、日々の事務と不可分一体である管理は、変わりゆく状況への素早い対応を可能にし、不必要なコストを回避する。銀行内で適切な管理重視の企業風土を醸成する一環として、上級管理職は、適切な管理業務が確実にすべての関連職員の日々の職務の不可分一体な部分となるようにすべきである。

26.上級管理職は、単に銀行の様々な業務および部署のための適切な方針や手続きを確立するだけでは十分ではない。上級管理職は、銀行のあらゆる領域におけるそうした方針と手続きが遵守されていることを定期的に確認し、また既存の方針や手続きが引き続き適切であるかどうかを判断しなければならない。こうした機能は、通常、内部監査部署の主要な役割である。

原則6:

 有効な内部管理体制の構築には、職責の分離が適切になされ、職員が利益相反する職務に従事することのないようにする必要がある。利益相反が生じ得る領域は、識別され、最小限に止められたうえ、注意深くかつ業務から独立したモニタリングの対象とされるべきである。

27.不十分な内部管理により生じた銀行の莫大な損失事例をレビューすると、監督当局は、適切な職責の分離を欠いていたことが主な原因の一つであることを見出すことが多い。一個人に利益相反する職務(例えば、トレーディング部署でのフロント、バック両オフィスの役割)を課すことは、その人物に高価な資産へのアクセスや、個人的な利益のために財務データを改竄したり損失を隠蔽したりする機会を与えることになる。したがって、銀行内の特定の職責は、財務データの改竄や資産の横領のリスクを削減するために、可能な限り異なる職員間で分担されるべきである。

28.職責の分離は、同一人物がフロント、バック両オフィスを同時に管理する状況に限られた問題ではない。一人で以下のような責任を負い、それらの事例に対して適切な管理が行なわれていないときにも、深刻な問題となり得る。

・資金の支払いに関する承認と実際の支払い

・顧客勘定と自己勘定

・「バンキング」と「トレーディング」両勘定における取引

・営業部門による顧客ポジションに関する情報の内々の提供(訳注:本来は事務部門が連絡すべき)

・貸出稟議書の適正性の評価と貸出発生後の借り手のモニタリング

・その他著しく利益相反が生じ、他の要素により軽減されない領域

29.利益相反が生じ得る領域は、識別され、最小限に制限されたうえ、業務から独立した第三者による注意深いモニタリングの対象とされるべきである。また、主要な人物が不適切な行動を隠蔽できるポジションにいることがないよう、そうした人物の責任と機能の定期的な見直しを行うべきである。

 

 

D.情報とコミュニケーション

原則7:

 有効な内部管理体制の構築には、適切かつ包括的な財務、事務、コンプライアンスに関する内部データや、意思決定のために関連する事象および状況に関して外部の市場情報の装備が行われることが必要である。情報は、信頼でき、タイムリーであり、手に入れ易いものでなければならず、かつ一貫したフォーマットで提供されるべきである。

30.内部管理体制が適正に機能するには、適切な情報と有効なコミュニケーションが極めて重要である。銀行側の観点からすると、情報が役に立つものであるためには、適切で、信頼でき、タイムリーであり、手に入れ易いものでなければならず、かつそれは一貫したフォーマットで提供されなければならない。情報には、意思決定に関わりのある事象および状況に関する外部市場情報とともに、財務、事務、コンプライアンスに関する内部データが含まれる。内部情報は、記録を保管するプロセスの一部であり、そこには確立された記録保存のための手続きが含まれるべきである。

原則8:

 有効な内部管理体制の構築には、銀行のすべての重要な業務をカバーし、信頼度が高い情報システムが装備されている必要がある。これらのシステムは、電子形式でデータを保存・利用するものも含め、安全に管理され、業務から独立してモニタリングされ、さらに適切なコンティンジェンシー対応により支援されなければならない。

31.銀行業務の重要な構成要素の一つは、業務の全範囲をカバーする経営情報システムの構築とその維持管理である。こうした情報は通常、電子・非電子両媒体を通じて供給される。銀行は、とりわけ電算情報処理に関連する組織管理上および内部管理上の必要事項と、適切な監査の経路を有することの必要性を認識していなければならない。経営陣の意思決定は、設計や管理が不完全なシステムによって提供された、信頼性が乏しいかあるいは誤解の生じやすい情報により、悪影響を受けるかもしれない。

32.電子情報システムと情報テクノロジーの利用については、業務の大混乱や潜在的な損失を未然に防ぐために、銀行が有効にコントロールしなければならないリスクが存在する。取引処理とビジネス・アプリケーションがメインフレーム・コンピュータ環境の枠を超え、業務上不可欠な機能が分散システムへと拡大しているため、リスクの規模もまた拡大している。情報システムおよび情報テクノロジーの管理には、一般管理とアプリケーション管理の両者が含まれるべきである。一般管理は、コンピューター・システム(例えば、メインフレーム、クライアント/サーバー、およびエンドユーザー用のワークステーション)の管理であり、それらの継続的で適切な稼動を確保するものである。一般管理には、行内でのバックアップおよび復旧の手続き、ソフトウェアの開発・入手の方針、維持(変更)管理の手続き、物理的および論理的なアクセス・セキュリティの管理が含まれる。アプリケーション管理とは、取引および業務の処理を管理するソフトウェアのアプリケーション内のコンピューター化された行程およびその他の手作業による手続きである。アプリケーション管理には、例えば、編集チェックや業務システムに固有の具体的な論理アクセス管理が含まれる。開発中のシステムを含め、情報システムと情報テクノロジーに対する適切な管理がなければ、銀行は不適切な物理的および電子的な安全管理上の手続き、設備またはシステムの停止、および不適切なバックアップおよび回復の手続きにより、データやプログラムを消失してしまうことがあり得る。

33.上記のリスクおよびコントロールに加えて、銀行のコントロールを超えた要因によって引き起こされる損失やサービスの混乱に伴う、固有のリスクが存在する。対企業、および対顧客のサービスの提供は、主要な取引上の、戦略上の、およびレピュテーション上の問題につながるため、極端なケースでは、それが銀行に深刻な問題を引き起こすばかりではなく、主要な業務を営む能力を危機にさらすことさえある。この潜在性のため、銀行は、別の用地にある代替的な設備を用いて、外部業者によってサポートされている重要なシステムの回復を含む業務回復策とコンティンジェンシー・プランを策定しなければならない。損失および重要な業務運営の混乱発生の可能性のため、中央集約的なコンピュータ管理に集中しないかたちで、業務管理を含め、組織全体にわたるコンティンジェンシー・プランを策定する努力を必要とする。業務回復プランは、不測の災害時に確実に機能するよう、定期的に検証されなければならない。

原則9:

 有効な内部管理体制の構築には、自らの義務や責任に影響を与える方針および手続きをすべての職員が理解し、厳守すること、その他の関係のある情報が然るべき職員に行き届くこと、が確実になるようなコミュニケーションの有効な経路が必要である。

34.有効なコミュニケーションがなければ、情報は役に立たない。銀行の上級管理職は、必要な情報が確実に然るべき人々に行き届くようにするため、コミュニケーションの有効な経路を確立する必要がある。こうした情報は、銀行の業務上の方針および手続きと、組織の実際の業務実績に関する情報の双方に関連する。

35.銀行の組織構造は、垂直的にも、横断的にも、組織全体にわたる適切な情報の流れを容易にするものであるべきである。こうした構造は、情報が確実に上に流れ、取締役会および上級管理職が銀行の業務上のリスクや業務実績を認識できるようにする。組織内を下向きに流れる情報は、銀行の目的、戦略、予測、確立された方針および手続きが、より低いレベルの経営陣や事務職員に確実に伝達されるようにする。こうしたコミュニケーションは、銀行の目的達成のために銀行の全従業員が一体となって努力をしていくうえで、極めて重要である。最後に、組織内を横断するコミュニケーションは、一部署が持っている情報を他の関連部署と確実に共有できるようにするうえで必要である。

 

 

E.モニタリング業務と問題点の是正

原則10:

 銀行の内部管理の総合的な有効性は、継続的にモニタリングされるべきである。主要なリスクのモニタリングは、業務ラインおよび内部監査部署による定期的な評価と同様に、銀行の日々の業務の一部として行われるべきである。

36.銀行業は、ダイナミックかつ急速に変容しつつある産業であるので、銀行は、変化する内外の状況に照らし、その内部管理体制についてのモニタリングや評価を継続的に行わなければならない。銀行はこうした内部管理体制の有効性を維持するために、それを必要に応じて強化しなければならない。複雑かつ多国籍の組織については、上級管理職は組織内にモニタリング機能が確実に定められ、構築されることを確保しなければならない。

37.内部管理の有効性のモニタリングは、当該業務部署に加え、財務管理、それに内部監査を含む、幾つかの異なる部門の職員によって実行され得る。このため、上級管理職が、どの職員がどのモニタリング機能に関して責任を負っているかを明確にすることが重要である。モニタリングは、日々の銀行業務の一部であると同時に、内部管理プロセス全体の定期的かつ業務から独立した評価を含んでいるべきである。銀行の様々な業務をモニタリングする頻度は、それに伴うリスクと業務環境に生じる変化の頻度と性質を考慮のうえで決定されるべきである。

38.継続したモニタリング業務は、内部管理体制における欠陥を早く察知し、修正することが出来るという点で優れている。そのようなモニタリングは、内部管理体制が業務環境に組み込まれ、見直しのための定期的な報告が行われている時に最も有効である。継続したモニタリングの例には、ジャーナルへの入力の再鑑および承認や、異例取引報告の経営陣による見直しおよび承認が含まれる。

39.反対に、業務から独立した評価では、事実発覚後に初めて問題点を発見することになるケースが多い。しかし、こうした業務から独立した評価により、内部管理体制の有効性、特にモニタリング業務の有効性に関して、その組織は新鮮かつ包括的な見解を持つことが可能になる。こうした評価は、当該業務部署に加え、財務管理、それに内部監査を含む、幾つかの異なる部門の職員によって実行され得る。内部管理体制に対する業務から独立した評価は、特定の機能に関して責任を有する職員が自分が行っている業務の有効性を判断する場合、しばしば自己評価の形態をとる。そして、その評価に関する書類と評価結果が上級管理職によりレビューされる。あらゆる段階のレビューは、適切に文書化され、適時に然るべき経営陣に対して報告されなければならない。

原則11:

 業務上独立し、適切に訓練された能力のある職員により、内部管理体制に関する有効かつ包括的な内部監査が行われるべきである。内部監査部署は、内部管理体制の一環であるモニタリングの一部として、取締役会、監査委員会、および上級管理職に対して直接報告すべきである。

40.内部監査機能は、確立された方針と手続きの適格性とその遵守状況について、独立した評価を提供することから、内部管理体制の一環である継続したモニタリングの重要な一部となっている。内部監査機能が銀行の日常業務から独立したものであり、かつ支店と子会社を含む銀行組織によって執り行われているすべての活動に対してアクセスできることは不可欠である。

41.内部監査人は、取締役会もしくは監査委員会、ならびに上級管理職に直接報告することにより、業務ラインの活動に関する偏りのない情報を提供する。この機能の重要な性格を踏まえ、内部監査は、自らの役割と責任を明確に理解している有能かつよく訓練された人材により編成されなければならない。銀行内における内部監査の実施および内部管理のチェックの頻度および範囲は、その組織の業務の性質、複雑さ、およびリスクと整合的なものであるべきである。

42.内部監査部署が、銀行組織における最高位、一般的には取締役会もしくはその監査委員会、ならびに上級管理職に対して、直接報告を行うことは重要である。報告の対象となる管理者がいかなる歪曲も加えていない情報を取締役会に提供することを通じて、コーポレート・ガバナンスが正しく機能するようになる。また、取締役会は、内部監査人の報酬や予算のような問題を、内部監査業務の影響を受ける管理職ではなく、取締役会や最高位の経営陣により決定させることを通じ、内部監査人の独立性を強化するべきである。

原則12:

 内部管理上の欠陥は、業務ライン、内部監査部署、または他の管理職員のいずれに発見されようと、適時に然るべき経営レベルに報告され、直ちに対応措置が講じられるべきである。重大な内部管理上の欠陥は、上級管理職および取締役会に報告されるべきである。

43.内部管理上の欠陥、または有効にコントロールされていないリスクは、発見され次第、然るべき職員に報告されるべきであり、深刻な問題については上級管理職および取締役会に報告されなければならない。そうした報告がなされた場合、経営陣がその欠陥を適時に是正することが重要である。内部監査人はフォローアップの見直しあるいは他の適切な形式でのモニタリングを行い、是正されていないいかなる欠陥も直ちに上級管理職もしくは取締役会に知らせるべきである。すべての問題点に対し、適時に対応策が確実に講じられるようにするために、上級管理職は内部管理上の弱点およびそれを是正するためにとるべき行動を追跡調査する体制を構築する責任を負うべきである。

44.取締役会と上級管理職は、全ての識別された管理上の問題を取りまとめた定期的な報告を受けるべきである。個々の問題を、その管理プロセスについて単独で見た場合には重大と看做されなくても、それらを繋ぎ合わせてみると、適時に対応がとられなければ重大な管理上の欠陥となり得るという傾向を示すことがある。

 

 

 

IV .監督当局による内部管理体制の評価

原則13:

 監督当局は、規模に拘らずすべての銀行に対し、そのオンおよびオフバランスシートの業務に内在する性質、複雑さ、リスクと整合的で、銀行を取り巻く環境や条件の変化に対応できる有効な内部管理体制を持つよう要求すべきである。監督当局が銀行の内部管理体制が当該行の個別リスク・プロファイルに対して適切でない、もしくは有効でないと判断した場合(例えば、本稿に示されたすべての原則をカバーしていない場合)、監督当局は、適切な措置を取るべきである。

45.有効な内部管理体制については取締役会および上級管理職が最終的な責任を有しているものの、監督当局は、継続した監督業務の一環として、個別銀行における内部管理体制の評価を行うべきである。また、監督当局は、内部管理プロセスを経て発見されたいかなる問題に対しても、個別銀行の経営陣が迅速に注意を向けているかどうかについて判断すべきである。

46.監督当局は、監督している銀行が堅固たる管理重視の企業風土を有することを要求し、その監督業務の中でリスク重視のアプローチを採るべきである。これには、内部管理の適切性についてのレビューも含まれる。監督当局は、内部管理全体の体制の有効性を評価するだけでなく、とくに、リスクの大きい分野(通常以上の収益性がある分野、急成長している分野、新規業務、あるいは本部から地理的に離れているケース等)に対する管理を評価することも重要である。銀行監督当局は、銀行の内部管理システムが当該銀行のリスク・プロファイルに対して適切でない、あるいは有効でないと判断する状況においては、適切な行動を取るべきである。これには、上級管理職に対して当局の抱く懸念事項を伝達すること、および銀行が内部管理体制を改善するために取った措置をモニタリングすること、が含まれる。

47.監督当局は、銀行の内部管理体制を評価する際に、過去において多大なるロスにつながった内部管理の不備において見られたような業務や状況には、特別の注意を払ってもよい。銀行を取り巻く環境における何らかの変化については、それに伴って内部管理体制の修正を必要とするものかどうかをみるため、特段の考慮をすべきである。このような変化としては、(1)業務環境の変化、(2)新しい職員、(3)新しい、もしくは改良された情報システム、(4)急成長している分野・業務、(5)新しい技術、(6)新しいライン、商品、業務(特に複雑なもの)、(7)企業のリストラ、吸収・合併、(8)海外業務の拡張・吸収(関連する経済・規制環境の変化の影響を含む)などが挙げられる。

48.内部管理の質を評価するため、監督当局はいくつものアプローチを採ることができる。監督当局は、銀行の内部監査部署の作成資料のレビューを通じ、そこで用いられているリスクの識別、測定、モニタリングおよびコントロールの方法論も含め、内部監査部署の業務を評価することができる。仮に、内部監査部署の業務の質が満足のいくものであれば、監督当局は、銀行の管理上の問題の識別、もしくは内部監査人が最近レビューを行っていない潜在的なリスクのある領域の識別を行うための第一次的な手段として、内部監査人の報告書を使うことができる。いくつかの監督当局は、経営陣が業務毎に内部管理を見直し、監督当局に対して当該業務の管理が適切であることを証明するという自己評価のプロセスを活用することもある。別のいくつかの監督当局では、当局自らが定める範囲の主要分野における定期的な外部監査を求めることもある。そして最後に、監督当局は、自らオンサイトでの内部管理のレビューや検証を行う際に、上記手法のいくつかを組み合わせることもある。

49.多くの国の監督当局はオンサイトの検証を実施しており、内部管理のレビューはそのような検証における不可欠な部分である。オンサイトでのレビューは、銀行自身の内部管理プロセスを当局自ら検証するため、業務プロセスのレビューおよび適度な取引チェックの双方を含み得る。

50.適度な取引チェックは以下の点を検証するために行われるべきである。

・内部方針、手続き、および取引リミットの妥当性および遵守状況

・経営報告および財務記録の正確性および完全性

・評価対象の内部管理要素の要として認識されている特定の管理体制の信頼性(経営陣が意図したように機能しているか)

51.銀行組織(ないしは部署、業務)の内部管理の5つの要素の有効性を評価するため、監督当局は以下の作業を行うべきである。

・レビューの対象となる組織、部署、業務(融資、投資、経理など)に関係する内部管理上の目的を識別すること

・方針と手続きのレビューに加え、書類のレビュー、各職位の職員との業務に関するディスカッション、執務環境の観察、および取引チェックを通じて内部管理の各要素の有効性を評価すること

・内部管理に関する懸念事項、および改善に向けた勧告事項に関して、取締役会や経営陣と適時に問題意識を共有すること

・欠陥が発見された場合、適時に是正措置が実施されていることを確認すること

52.外部監査人の業務範囲を指示し、監査結果を利用するための法的根拠あるいは他の取り決めを有する銀行監督当局は、オンサイトでの検証に代えてしばしば、あるいは必ずこれを利用する。こうしたケースでは、外部監査人は、一定の契約上の取り決めの下で上記のような業務プロセスのレビューや取引チェックを行うべきであり、監査人の監査結果について、監督当局は評価すべきである。

53.すべての事例において、銀行監督当局は、内部管理の有効性に関する外部監査人の所見や勧告事項を考慮し、銀行の経営陣および取締役会が外部監査人により表明された指摘事項や勧告事項につき十分に対応しているか判断すべきである。監査人が発見した管理上の問題の度合および性質は、監督当局が銀行の内部管理の有効性を評価する際に考慮されるべきである。

54.監督当局は、外部監査人に対し、不正により銀行の財務諸表に重大な誤りがある可能性を適切に考慮しつつ監査を計画し、実行するよう促すべきである。外部監査人により発見されたいかなる不正も、その重要性を問わず、適切なレベルの経営陣に伝えられなければならない。上級管理職を巻き込んだ不正、および組織にとって重要な不正については、外部監査人により取締役会もしくは監査委員会、またはその双方に報告されるべきである。外部監査人は、(その国の法令に従って)一定の状況において、銀行外の監督当局等に対して不正に関する情報開示を行うことを期待されることもある。

55.個々の銀行組織における内部管理プロセスの妥当性をレビューする際、母国監督当局は、そのプロセスが業務ライン、子会社、国境を跨って有効であるか否かを見極めなければならない4。監督当局が、個々の業務や単体のレベルだけではなく、銀行組織全体の中の広範囲な業務や子会社にわたって連結ベースでの内部管理プロセスを評価することが重要である。このため、監督当局は銀行グループに対して、可能な限りグループ全体を通じて共通の監査人および同一の会計基準日を用いるよう働きかけるべきである。

 

 

V .外部監査人の役割と責任

56.外部監査人は、定義上は銀行組織の一部ではなく、それ故に内部管理体制の一部ではないものの、経営陣との議論および内部管理の改善に向けた推奨などを含む監査活動を通じて、内部管理の質に重要な影響を与える。外部監査人は、内部管理体制の有効性について、重要なフィードバックを提供する。

57.外部監査機能の第一義的な目的は、銀行の年次会計報告に対して意見を述べることにあるものの、外部監査人は銀行の内部管理体制の有効性が信頼できるものか否かについて判断しなければならない。この理由から、自らの監査手続きの性質、時期、および範囲を決定する際に、どの程度内部管理体制が信用できるものかについて判断するため、外部監査人は、内部管理体制を理解しなければならない。

58.外部監査人の実際の役割および外部監査人が用いるプロセスは国によって異なっている。多くの国々が採用している外部監査基準では、監査は、財務報告に重大な誤りがないことについてを十分保証するために、計画され、実行されることを求められている。また、監査人は、財務諸表および企業内容開示の基礎となる取引記録についても、サンプルチェックにより検証する。さらに、監査人は、企業が用いている会計原則および会計方針、ならびに経営陣による重要な予測値を評価し、さらには財務報告書全体についても評価を行う。いくつかの国々では、外部監査人は、監督当局より、内部監査体制を含む銀行の内部管理体制の範囲、妥当性、および有効性についての具体的な評価結果を監督当局に提供することが求められている。

59.しかしながら、各国に共通して言えるのは、外部監査人は、銀行の財務諸表の正確性に関連する限りにおいて、銀行の内部管理プロセスを理解することが期待されているということである。内部管理体制に払われる注意の程度については、監査人、また銀行により区々である。もっとも、一般的に外部監査人により識別された重大な弱点は、機密レターにより経営陣へ、また多くの国においては監督当局へも報告することが期待されている。さらに、多くの国において、外部監査人は、内部管理についての評価および報告の方法を明示するように、監督当局から特別に求められることがある。

補論 I

 

参考文献

Bank of England, “Banks Internal Controls and the Section 39 Process”, February 1997

Canadian Deposit Insurance Corporation, “Standards for Sound Business and Financial Practices: Internal Control”, August 1993

Canadian Institute of Chartered Accountants, “Guidance on Control”, November 1995

The Committee of Sponsoring Organizations of the Treadway Commission (COSO), “Internal Control - Integrated Framework”, July 1994

European Monetary Institute, “Internal Control Systems of Credit Institutions”, July 1997

 

補論 II

 

 

内部管理の不備事例から得られた監督上の教訓

A.経営陣による監視と管理重視の企業風土

1.銀行に重大な損失をもたらすこととなった内部管理の不備事例の多くは、取締役会と上級管理職が強力な管理重視の企業風土を醸成していれば、損失を大幅に軽減するか、場合によっては回避することさえ可能なものであった。管理重視の企業風土が脆弱になったケースの多くには、2つの共通する要因が存在していた。第一に、上級管理職が、その言動を通じて、また、最も重要な問題として、報酬や昇格を決定するために用いられる基準を通じて、強力な内部管理体制の重要性を強調することを怠っていた。第二に、上級管理職が、組織構造と経営上の責任の明確な定義付けが確実に行われるようにすることを怠っていた。例えば、上級管理職が、重要な意思決定を行う者に対する適切な監督や、業務活動の性格と運営に関する適時の報告を要求することを怠っていた。

2.上級管理職は、利益を産み出すことに長けている一方で、内部管理方針を実行したり、内部監査によって識別された問題に対応することを怠るような管理職を、昇格させたり報酬を与えたりすることによって、管理重視の企業風土を弱めてしまう可能性がある。そうした措置は、組織内の他の人々に対して、内部管理は組織における他の目標よりも重要性において劣ると見なされている、というメッセージを送ることになる。そして、管理重視の企業風土への関与が低下したり、その質が劣化することになる。

3.管理上の問題を有する銀行の一部では、責任の所在が明確に定められていない組織構造となっていた。この結果、ある部署は、どの上級管理職に対しても直接的な責任を負わない体制となっていた。このことは、不自然な金融その他業務に気付くほど身近に、業務実績をモニタリングする上級管理職や、業務を包括的に理解し、どのように利益が産み出されているのかを知る上級管理職がいなかったことを意味した。もし管理職が当該部署の業務を理解していたならば、危険信号となるもの(例えば利益とリスクのレベルの不自然な関係など)に気が付いて、業務を調査し、最終的な損失を軽減する手段を取ることが可能であったかもしれない。また、このような問題は、業務ラインの責任者が取引や経営情報の報告を見直し、実行中の業務の性質について然るべき職員と議論していれば、やはり避けることができたかもしれない。こうしたアプローチは、業務ラインの責任者に対して、どのように意思決定がなされているかということについて客観的な見解を与え、要となる職員が、確実に銀行によって設けられたパラメーターや内部管理のフレームワークの範囲内で機能するようにする。

 

B.リスク評価

4.最近では、不適切なリスクの認識と評価が、いくつかの組織における内部管理上の問題やそれに関連した損失事例に結び付いている。いくつかの事例においては、特定の貸出、投資およびデリバティブ商品に伴う高利回りの可能性に惑わされ、経営陣が、当該取引に伴うリスクの十分な評価やリスク・エクスポージャーの継続的なモニタリングとレビューへの十分な資源投入の必要性を正しく認識できなかった時や、経営陣が、組織の業務環境が変化している下で、リスク評価プロセスの刷新を怠った時にも、損失が発生している。例えば、業務ラインにおいて、より複雑もしくは先端的な商品が開発された傍ら、内部管理は、複雑化した商品に対応すべく強化されていなかったのかもしれない。第2の例として、内包しているリスクの十分かつ客観的な評価をせずに、新たな業務活動に参入することが挙げられる。こうしたリスクの評価がなければ、内部管理体制は新たな業務におけるリスクに適切に対応できない可能性がある。

5.上述のように、銀行組織は、業務の効率性と実効性、財務情報および経営情報の信頼性と完成度、および法規制の遵守に関する目的を定めている。リスク評価は、こうした目的を達成するためのリスクの識別と評価を含んでいる。このプロセスにより、銀行の内部管理はオンおよびオフバランスシートの業務の性質、複雑さ、およびリスクとより確実に整合性がとれるようになる。

 

C.管理業務と職責の分離

6.不十分な内部管理によって生じた大規模な銀行業務上の損失をレビューすることにより監督当局は、これらの銀行が何らかの内部管理上の主要原則を守れていなかったという事実を発見する場合が多い。内部管理上の問題に起因する重大な損失を被った銀行において、多くの場合、健全な内部管理体制の一つの柱である職責の分離が見落とされていた。上級管理職は、高く評価された一人の職員に対して利益相反を伴う二つ以上の分野の監督責任をしばしば課していた。例えば、いくつかの事例においては、同一人物がトレーディング・デスクのフロント、バック両オフィスを監督していた。このため、その人物は取引の約定(証券やデリバティブの売買など)から、それに関わる記帳作業までも、コントロールすることが可能であった。そのような利益の相反する役割を一人の人間に任せることは、その人物に個人的な利益や損失の隠蔽のために財務データを改竄する機会を与えるものである。

7.職責の分離は、同一人物がフロントオフィスとバックオフィスを同時に管理する状況だけに限定されるものではない。一人で以下の責任を負うケースでも、深刻な問題が生じ得る。

・資金の支払いに関する承認と実際の支払い

・顧客勘定と自己勘定

・「バンキング」と「トレーディング」両勘定における取引

・営業部門による顧客ポジションに関する情報の内々の提供

・貸出稟議書の適正性の評価と貸出発生後の借り手のモニタリング

・その他著しく利益相反が生じ、他の要素により軽減されない領域5

8.他方、管理活動の欠陥は、業務が期待どおりに行われているかを判断するための、高いレベルの見直しから個々の業務プロセスにおける相互牽制に至る様々な努力が奏効していないことを反映している。例えば、いくつかの事例において、管理職が、自らが受けている報告に対して適切に対応していなかった。こうした情報は、組織のすべての部署からの業務結果に関する定期的報告という形態をとっており、管理職に対して各部署の目的達成への進展状況を知らせ、結果が期待から外れた場合は経営陣がそれに対して質問することを可能にするものであった。後になって重大な損失を報告した部署の多くは、最初は利益、それも見かけ上のリスク量に基づく予測をはるかに超える利益を報告していたが、上級管理職は、そうした利益に関心を抱くべきであった。仮にトップレベルによる十分な見直しが行われていれば、上級管理職は、その奇妙な結果について調査を行い、問題の一部を発見して対応することができ、その結果、実際に発生した損失を制限、あるいは回避することができたかもしれない。しかし、彼らの期待からの乖離が好ましい(利益が生じているという)方向性のものであったことから、問題が手に負えなくなるまで、報告に対して疑問が投げかけられたり、調査が開始されたりしなかった。

 

D.情報とコミュニケーション

9.一部の銀行は、組織内の情報が信頼できない、あるいは不完全なものであることや、組織内でのコミュニケーションが有効でなかったことによる損失を経験している。すなわち、財務情報は内部で誤って報告される可能性がある。また、外部の情報源からの誤った一連のデータが財務状況を判定するのに用いられる可能性がある。さらに、経営報告に小規模だがリスクは大きい業務が反映されない場合もある。いくつかの事例では、銀行は、従業員の責務、管理上の責任、あるいは徹底すべき方針について、電子メールのように、それらが確実に相手に読まれ、理解され、保持されることが確実ではない経路を用いたために、適切なコミュニケーションをとることに失敗していた。その結果、長期にわたって、重要な経営方針が実行に移されなかった。また、別の事例では、従業員による不正疑惑を報告するための、適切なコミュニケーションのラインが存在しなかった。問題について各組織段階を経て上層部に向かうコミュニケーションの経路が確立されていれば、経営陣はそのような不正をはるかに早い時期に認識し、是正することができたであろう。

 

E.モニタリング業務と問題点の是正

10.内部管理上の問題から損失を被った銀行の多くは、内部管理体制を有効にモニタリングしていなかった。そうした場合、しばしば必要な継続的モニタリングのプロセスが内部管理体制に組み込まれておらず、業務から独立した評価は、不適切であったか、経営陣によって然るべき方法で行われなかったか、のいずれかであった。

11.いくつかの事例では、業務ラインの責任者や他の職員に提供される日々の情報で、エクスポージャー・リミットの超過、自己売買業務における顧客勘定、債務者からの直近時点の財務諸表の未徴求などの不自然な業務を示唆するものに対する検討や対応を怠ったことから、モニタリングが欠如することとなった。ある銀行では、トレーディング業務に伴う損失が架空の顧客勘定の中に隠蔽されていた。仮に、勘定明細が顧客に毎月郵送され、その顧客勘定が定期的に確認されるような手続きがその組織に存在していたならば、隠蔽されていた損失は、銀行に深刻な問題をもたらすほど肥大化する遥か以前に発見されていたであろう。

12.他のいくつかの事例では、膨大な損失をもたらした組織の部署あるいは業務は、認識されていたリスクのレベルに比して不自然な収益性とか、母体組織から地理的に離れた場所における新しい業務活動の急速な成長といった、リスクの増大を示す多数の特徴点があった。しかしながら、不適切にリスク評価を行っていたため、それらの組織は、そうしたリスクの大きい業務の管理、モニタリングに十分な追加的資源を投入していなかった。実際、いくつかの例では、リスクの大きい業務の方がリスクのはるかに小さい業務よりも少ない監視の下で行われており、当該部署の業務に関わる内部監査人や外部監査人からの数回の警告に、経営陣は対処していなかった。

13.内部監査は、業務から独立した評価の有効な源となり得るものの、問題を有する銀行組織の多くでは有効ではなかった。このような不備は次の三つの要素が結び付いたことに起因している。すなわち、(1)断片的な監査の実行、(2)業務プロセスの十分な理解の欠如、そして(3)問題が認められた際の不適切なフォローアップである。断片化した監査手法は、内部監査プログラムが、同じ部署内、地域内、または法的主体内における特定業務に対する一連の個別的監査によって構成されたことを主たる原因として生じたものであった。監査のプロセスが断片化されていたために、内部監査人は業務のプロセスを完全には理解していなかった。監査人がプロセスや機能について、最初から最後まで(ある取引について、当該取引の発生時点から財務報告段階まで)トレース出来るような監査手法であれば、監査人はより理解を深めていたであろう。さらに、そうした方法により、プロセスの各段階において管理の適正性を検証、テストする機会が提供されたはずである。

14.いくつかの事例においては、トレーディングの商品や市場、電子情報システム、および他の高度に先端的な分野についての内部監査人の不十分な知識や研修の不備が、内部監査上の問題の一因となった。内部監査人が必要な専門知識を持ち合わせていなかったために、問題があることを疑った時にも質問することをためらうことが頻繁にあり、また質問をすることがあっても、それに対する回答に反論するよりも、むしろその答えを受け入れがちであった。

15.内部監査人が指摘した問題に対して経営陣が適切なフォローアップを行わない場合にも、内部監査の効果が失われる可能性がある。経営陣が内部監査の役割とその重要性を認識していないなかったために、フォローアップの遅れが生じた可能性もある。加えて、上級管理職や取締役会(場合によっては、監査委員会)のメンバーが、重大な問題や経営陣のとった事後的な是正措置を示した適時かつ定期的な経過報告を受けなかった時にも、内部監査の有効性は低下してしまった。このような定期的な追跡調査の方法は、上級管理職が適切な時期に重要な問題に対処する手助けとなるものである。

 


Back
メニューへ戻る