低減によって、最終リスクを「許容範囲」内に収めることができれば「成功」です。
リスクベースによる低減措置
効率的にリスクを低減していくためには、リスクベース、つまり「リスク要素」のうち、①「高」に分類されたものには厳格な、②「中」には標準的な、③「低」には簡易な措置を講じていくことが考えられます。
図では、段階として「入口」・「中間」・「出口」と…何だか反社会的勢力との関係遮断のようですが、マネロン・テロ資金供与対策も次にみるように、また、顧客説明管理(取引開始・継続・終了)や情報管理(取得・保有・廃棄)などでも、同様に段階に分けてリスク低減措置を考えていくことがよいと思います。
この図は基本形として描いたものであり、簡潔すぎるかもしれません。もう少し具体的に、たとえばマネロン・テロ資金供与対策の2次リスク(マネロン・テロ資金供与に利用されるリスク)の低減措置では、たとえば次のようなイメージとなります。こちらは「マネー・ローンダリング及びテロ資金供与対策に関するガイドライン(案)」を読んで個人的な感覚で描いてみたものです。
実施、支援・サポートはコンプライアンス態勢でもある
2次リスクの発現を低減するために実施する措置は、コンプライアンスで「『すべきこと』をする」ことと同義と考えています。たとえば、マネロン・テロ資金供与に利用される(2次リスク)ことを防止するため、顧客管理(取引時確認等)を行うということです。
つまり、低減措置の実施は、①リスク低減というコンプライアンス・リスク管理としての(消極的な?)取組みであると同時に、②これにより社会的要請に応えるという(積極的な?)取組みでもあると考えられます。
これまでのプロセスを経て講じられた低減措置がきちんと実施されれば、最終リスクは「許容範囲」内に収まり、かつ社会的要請にも応えられそうです。
では、「すべきこと」をしない・「してはならないこと」をするという、1次リスクの発現を低減するための措置はどのようなものでしょうか?たとえば、取引時確認や疑わしい取引の届出を怠る(「すべきこと」をしない)ことを防止するため、支援(研修等)や牽制(モニタリング等)を行うといったものになります。
ん?…なんだかすでにあるコンプライアンス態勢になってきましたよね。
どうやら、コンプライアンス・リスク管理とコンプライアンスは接続され、一体化していくようです。
そうすると「コンプライアンス・リスク管理」は、上の図で、コンプライアンス態勢(「第1線等」から「経営陣」)の”右”に「2次リスク~最終リスク」をつけ足すといったイメージでとらえると、直観的に分かりやすのではないかと思います。
コンプライアンス・リスク管理との融合により、現在の(詰め込み)コンプライアンス態勢が、リスクベースによるメリハリのあるものになっていくことが期待できます。
…と考えますと、ちょっと気が楽になってきませんか?(←あまりならないですか‥やっぱり)
図を左に進んで、第2線等*による第1線等**に対する支援と牽制、これらをサポートする第3線の機能発揮、さらに経営陣の関与と理解(要するに経営管理)は、いうまでもなくきわめて重要です。これらがしっかりしていれば、それでも発現してしまった1,2次リスク事案については、免責とならならなくても3次リスク、つまり行政措置、刑事措置、社会的制裁が軽くなることが期待できます。
さらに、(かなり難易度は高いですが)「不可抗力」事案であることを証明できれば、民事制裁(使用者責任等)を含め、免責される可能性もなくはありません。
*実施の支援・牽制は、第1線(営業部門等)の管理者なども行いますので「等」としています。
**コンプライアンス事項によって実施主体が違い、第2線、第3線、経営陣も主体になるものも少なくないため「等」としています。
ただ、そのためには当然ながら単に「形」を整えるだけではだめでしょう。方針、規程・細則、マニュアル、研修、自己点検、モニタリング等々…各種施策等は、コンプライアンス・リスク管理を契機に、低減措置実施の支援・牽制策などとしての役割を改めて明確化するとともに、その有効性や実効性を高めていく(逆に不明なもの、有効性等が低いものなどは思い切って廃止、削減していく)ことが不可欠であると思います。
なお、このような「ハード」面だけでなく、コンプライアンス・リスク管理でも、コンプライアンス意識という「ハート」面を高めていくことも、併せて重要です。
以上、ここまでPDCAサイクルにおけるPDを一応、書きました。
残りは、CA(検証・改善)について次回、手短に書きたいと思います。
