EYとは、アーンスト・アンド・ヤング・グローバル・リミテッドのグローバルネットワークであり、単体、もしくは複数のメンバーファームを指し、各メンバーファームは法的に独立した組織です。アーンスト・アンド・ヤング・グローバル・リミテッドは、英国の保証有限責任会社であり、顧客サービスは提供していません。
不正リスク対応では、個別事案への対処が中心となり再発防止策が断片的な積み上げにとどまってしまう場当たり的な状況、いわば「モグラたたき」のような状態に陥りがちです。その結果として、統制の重複や形骸化、重要な不正リスク対応の見落としなど、不正リスク管理の全体像を見失う場合があります。
本稿では、COSO/ACFEの枠組みを例に挙げ、不正リスク対応の土台となる継続的かつ総合的な不正リスク管理プロセスを整備するための要点を整理します。
本稿の執筆者
EY新日本有限責任監査法人 Forensics事業部 西日本Forensics 岡本 亮
約10年間にわたる検察庁での事件捜査経験を有する。入社後は、金融機関などに対する不正リスク管理態勢の構築支援、不正リスクをテーマとした内部監査支援や社内研修講師を務めるなどの平時対応のほか、複数の不正調査などの有事対応業務に従事している。マネージャー。
※所属・役職は記事公開時のものです
要点
- 不正リスク対応は、個別施策を積み重ねるだけでなく、不正リスクのガバナンス/不正リスク評価/不正統制活動/不正調査・是正措置/不正リスク管理のモニタリングからなる継続的プログラムとして設計すべきである。
- 不正リスクタクソノミー(整理・分類したもの)の整理と統制活動の棚卸により、重複・抜け漏れを可視化し、不正リスク評価を定期的かつ体系的に行う必要がある。
- データ分析やAIを活用した統制は有効な打ち手になり得るが、土台となる継続的かつ総合的な不正リスク管理プロセスの上で初めて効果を最大化できる。
Ⅰ はじめに:現在の金融機関を取り巻く環境
近年、金融機関を取り巻く環境は、規制・監督の強化やAIをはじめとするデジタル化の進展を背景に、大きく変化しています。こうした環境変化の一方で、金融業界では、顧客からの金銭詐取、インサイダー取引、情報漏えいなど、さまざまな不正・不適切事案が後を絶ちません。金融機関における不正・不適切事案は、単なる内部の不祥事にとどまらず、顧客資産の毀損(きそん)、社会からの信認の低下や行政対応につながるという点において、他業種以上に深刻な影響を及ぼすため、金融機関には、実効性のある不正リスク管理態勢を構築・運用することが社会から強く求められています。金融庁の各種レポートやモニタリング結果においても、営業職員による顧客に対する金銭詐取事案、保険金不正請求事案、情報管理の不備などが繰り返し取り上げられ、業務改善命令などを含めた法令に基づく行政対応が行われています。※1 ※2
不正・不適切事案が発生すると、発生した事案への対応や再発防止策を積み重ねる過程で、部門ごとに統制が積み上がり、全体としての整合性や優先順位を見失うケースが散見されます。目の前の発生した事案に対して場当たり的に対応する「モグラたたき」のような状態になり、その結果、一見しっかりと統制が整備されているように見えるものの、どのような不正リスクに対して、どの統制が、どの程度機能しているのかを組織として把握しづらくなり、統制の重複や、抜け漏れを抱えたまま運用されてしまう状態に陥りがちです。そのような状況下では、リスク管理を行う現場の負担が増す一方で、不正リスク管理全体としての実効性を高めることは容易ではありません。
本稿の狙いは、個別事案への対応を重ねること自体を否定することではありません。そうした対応を実効的なものとする前提として、その土台となる不正リスク管理態勢を整備することの重要性を再認識し、自組織の現状の不正リスク管理態勢全般を見直すきっかけとしていただくことにあります。なお、不正防止においては、組織風土や企業文化といった要素が重要であることは言うまでもありませんが、本稿では、あくまで不正リスク管理態勢に焦点を当てています。
※1 金融庁「2025年 保険モニタリングレポート」(令和7年7月4日公表)、fsa.go.jp/news/r7/hoken/20250704/02.pdf(2026年2月16日アクセス)
※2 金融庁「コンプライアンス・リスク管理に関する検査・監督の考え方と進め方(コンプライアンス・リスク管理基本方針)」(平成30年10月公表)、fsa.go.jp/news/30/dp/compliance_revised.pdf(2026年2年16月アクセス)
Ⅱ なぜ「モグラたたき状態」では全体最適なリスク管理や改善が難しくなるのか(重複・抜けの発生メカニズム)
前述の通り、不正・不適切事案が発生するたびに再発防止策を積み重ねていくと、結果として統制が増え続け、全体像が見えにくくなる、いわば「モグラたたき」状態に陥りがちです。特に、金融機関においては、このような状況が生じやすい構造的な要因が存在します。金融機関の業務は、営業、与信・引受、代理店、外部委託先など、役割や機能が高度に分化しており、それぞれの業務領域に応じた統制や管理が求められます。その結果、不正・不適切事案への対応も、個別の業務プロセスや部門単位で設計・強化されることが多くなります。このような対応自体は必要なものである一方で、全社横断で不正リスクを俯瞰(ふかん)する視点が欠けると、統制の重複や抜け漏れが生じやすくなります。
具体的には、次のような論点が考えられます。
① 再発防止策を検討する際に、既存の統制の有無やその有効性が十分に確認されないまま、新たな統制が追加されるケースです。この場合、個別には合理的に見える対応であっても、全社的に見ると同種の統制が重複して整備され、現場の負担増加につながることがあります。
② 統制が業務プロセスごとに設計・管理されることで、特定の不正リスクに対して複数の部門が関与する一方、それらを統括的に管理するオーナーが明確でないケースです。このような場合、統制の有効性の評価が各部門に委ねられ、全社的な視点での見直しが行われにくくなります。
③ 発生した事案に対応する統制は整備される一方で、それ以外の不正リスクについては、発生可能性や影響度、既存の有効性を含めた体系的な評価が十分に行われず、結果として重要な不正リスクへの対応が後手に回るケースです。金融機関にとって、こうした抜け漏れは、顧客の信認や内部管理態勢全体に影響を及ぼしかねません。
これら不正リスク管理の全体像の欠如を補う考え方として、COSO(トレッドウェイ委員会支援組織委員会)がACFE(公認不正検査士協会)と共同で2016年9月に公表した「不正リスク管理ガイド」※3には、「不正リスク管理の5つの原則」が示されています。これらの原則では、不正リスク管理を「不正リスクのガバナンス」「不正リスク評価」「不正対策活動」「不正調査と是正措置」「不正リスク管理モニタリング活動」という一連のプロセスとして捉え、継続的かつ総合的に運用することの重要性が示されています。その詳細について本稿では言及しませんが、これは単に統制活動(打ち手)を増やすことを意味するものではありません。まず、金融機関として不正リスク管理にどのように取り組むのかという方針を明確にし、マネジメントを含む組織全体の役割と責任を整理した上で、総合的な不正リスク評価を実施することが前提となります。その評価結果に基づき、管理すべき不正リスク類型を定め、必要な予防的・発見的統制を整備し、さらにその有効性を定期的に見直していく。このような一連の流れとして不正リスク管理を捉えることで、場当たり的な対応から脱却し、より実効性の高い不正リスク管理態勢を構築していくことが可能となります。その上では、金融機関として管理すべき不正リスク全体を俯瞰し、体系的に整理する視点が必要となります。
※3 一般社団法人 日本公認不正検査士協会、「COSO/ACFE, Fraud Risk Management Guide (Executive Summary/日本語翻訳版)(2016) 」、acfe.jp/wp-content/uploads/2021/01/COSO-ACFE_Fraud_Risk_Management_Guide-Executive_Summary.pdf(2026年2月16日アクセス)
Ⅲ 不正リスク管理の重要ポイント:金融業界における不正リスク類型を不正リスクタクソノミーとして整理
継続的かつ総合的な不正リスク管理を実現する上で、金融機関にとって重要となるのが、自社が管理すべき不正リスクを体系的に整理し、不正リスクのタクソノミーとして可視化することです。金融機関では、不正・不適切事案が、顧客資産の毀損や、顧客の信認低下、ひいては行政対応につながる可能性が高く、個別事案の対応にとどまらず、どのような不正リスクを重点的に管理しているのかを組織として説明できる状態が求められます。
金融機関固有の不正リスク類型としては、例えば、営業担当職員や募集人による顧客資産の窃取・詐取行為、与信・引受などの業務プロセスに関する不正、顧客の資産や取引に関する情報の不正利用や情報漏えいが挙げられます。これらは、いずれも顧客の信認や業務の健全性に直結する点で、金融機関として特に重点的に管理すべきリスクと考えられます。加えて、金融機関の業務は、代理店や外部委託先に広く依存したものであり、それらを通じた不正行為についても、不正の実行者が金融機関の役職員であるか否かを問わず、金融機関自身の内部管理態勢や監督責任が問われるケースが少なくありません。その結果、金融機関が管理すべき不正リスクは、内部不正にとどまらず、外部委託・代理店を通じた不正行為も含めて多岐にわたります。このような環境下では、発生した事案ごとに対応を積み重ねるだけでは、不正リスク管理の全体像を把握することが難しくなります。
そこで重要となるのが、自社が管理すべき不正リスク類型をタクソノミーとして整理し、各不正リスク類型に対して、どのような統制が整備・運用されているのかを俯瞰的に可視化することです。タクソノミーとして整理することで、統制の重複や抜け漏れ、過度な対応が生じていないかを、組織全体で確認しやすくなります。
もっとも、タクソノミーの整理は、不正リスクを分類すること自体が目的ではなく、重要なのは、自社にはどのような統制が存在し、それぞれの統制に対してどの部門が責任を持ち、その統制がどの程度機能しているのかを把握できる状態を作ることです。特に、全社的な不正リスク管理オーナーが明確でなく、統制の管理が各部門に委ねられている場合、そもそもどの不正リスクにどの統制が対応しているのかを把握すること自体が困難となり、結果として統制の重複や抜け漏れに気づきにくくなります。
そのため、まずは金融機関における主要な不正リスク類型をタクソノミーとして整理し、その上で、各不正リスク類型に対する統制の対応状況を棚卸することが有効です。このプロセスを通じて、場当たり的に統制を追加するのではなく、優先度に応じた統制の追加や見直しが可能となり、後々、統制の一元化や整理が困難になる事態を防ぐことができます。
また、金融機関における不正リスクを検討する際には、過去に発生した事案を個別の不祥事として捉えるのではなく、その背景にある構造的要因に目を向けることも重要です。例えば、銀行の貸金庫に関連する不正事案や、証券業界における相場操縦などの市場不正事案は、業務内容や発生態様こそ異なりますが、内部管理態勢やけん制機能の在り方としては共通する論点を含んでいます。
例えば、これらの事案を不正のトライアングル理論の観点から整理すると、営業目標や評価制度によるプレッシャーや個人的な金銭の困窮などの「動機」、業務の高度な分化がもたらす「機会」、慣行として許容されているなどの意識による「正当化」などが重なることで不正は発生しやすくなります。
特に金融機関では、顧客資産や市場取引を扱う高度な専門性が求められる業務が多く、一定の裁量や専門性が現場に委ねられていることから、不正の「機会」が生じやすい構造にあります。そのため、個別事案への対応だけでなく、こうした構造的なリスク要因を前提として、不正リスクを類型化し、整理することが重要となります。
Ⅳ 不正リスク管理態勢を整備する重要性
前述の通り、近年の金融業界では、役職員による不正行為や不適切事案が相次いで発生しており、その都度、金融機関には迅速かつ適切な対応が求められています。こうした状況を受けて、多くの金融機関では、業務プロセスに対するチェック機能の強化や手続きの追加、モニタリングの高度化など、個別の統制強化に注力する傾向が見られます。また、近年のAI技術やデータ分析の進展に伴い、取引データなどを活用した不正検知やモニタリングを導入する金融機関も増加しています。これらの取組みは、不正リスク管理の高度化・効率化に大きく寄与するものであり、金融機関の実務においても今後ますます活用が進んでいくものと考えられます。
しかし、その一方で、金融機関における不正リスク管理の実効性は、個々の統制や技術的な打ち手の高度さだけで決まるものではありません。顧客資産や重要な取引情報を預かる金融機関においては、不正リスク管理が、マネジメントの関与の下で体系的に整備・運用され、内部管理態勢全体として整合的に機能していることが求められます。つまり、不正リスク管理態勢の成熟度が十分でなければ、いかに高度な統制やAIを導入したとしても、その効果を十分に発揮することは難しくなります。
特に、金融機関では、三線防御の枠組みの下、業務部門、リスク管理・コンプライアンス部門、内部監査部門がそれぞれ不正リスク管理に関与しています。そのため、不正リスク管理全体や役割分担が整理されていない場合、各部門が個別に最適な対応に終始してしまい、結果として不正リスク管理態勢全体の実効性が高まらないおそれがあります。不正リスク管理態勢の整備は、このような部門横断な取組みを前提として、どの部門がどの不正リスクを管理し、どのように統制を整備・評価し、改善していくのかを明確にすることとも言えます。
また、金融庁をはじめとする監督当局においても、個別の不正事案への対応状況だけではなく、実効性のある不正リスク管理態勢の構築・運用を重視しています。そのため、不正リスク管理態勢を整備することは、単なる不祥事対応ではなく、金融機関としての内部管理態勢の信頼性を高める取組みとも言えます。不正・不適切事案の未然防止や早期発見を実現するためには、技術的な統制の導入と並行して、その土台となる不正リスク管理態勢そのものを見直し、継続的に改善していくことが重要です。金融機関においては、不正リスク管理態勢の高度化と統制の高度化を相互に補完させながら、顧客からの信頼と業務の健全性を向上させていくことが求められていると言えます。
Ⅴ おわりに
自社の不正リスク管理態勢は十分と言えるでしょうか。近年の金融業界においては、不正・不適切事案が発生したか否かだけでなく、そうした事案を未然に防止し、また、発生した場合に適切に対応できる内部管理態勢が構築・運用されているか否かが、顧客・社会・監督当局から問われています。本稿で触れた通り、金融機関にとって重要なのは、実効性のある不正リスク管理態勢を構築することです。
こうした不正リスク管理態勢の実効性を検証する手段として、内部監査は重要な役割を担います。不正リスク管理態勢をテーマとする内部監査は、個別の不正事案や統制の有無を確認するだけでなく、不正リスクの特定から評価、統制の整備・運用、モニタリングに至る一連のプロセスが、組織全体として整合的に機能しているのかを点検する機会として有用なものであり、不正の未然防止とガバナンスを強化するための中核的な取組みとして、今後、ますます重要性を増していくものと考えられます。
本稿が、皆さまの組織において、金融機関としてより実効性のある不正リスク管理態勢の構築・高度化のための一助となれば幸いです。
サマリー
COSO/ACFEの枠組みを例に挙げ、不正リスク対応の土台となる継続的かつ総合的な不正リスク管理プロセスを整備するための要点を整理します。
EYの関連サービス
-
フォレンジック・インテグリティ・サービス チームと、インテグリティの実現に向けたサポート内容について、さらに詳しい情報をご覧ください。
続きを読む
情報センサー
EYのプロフェッショナルが、国内外の会計、税務、アドバイザリーなど企業の経営や実務に役立つトピックを解説します。
