変化するリスク環境。金融機関は内部監査を“リスクベース”な手法に
大手金融機関が相次いでクラウドファーストを宣言したことで、クラウド活用が普及し、スマートデバイスやQRコード決済を活用するFinTech(フィンテック)が台頭した。そんなテクノロジーの進歩によって、金融機関の情報システムを取り巻くリスク環境に変化が起こっている。これを受けFISC(金融情報システムセンター)は、金融機関における情報システム安全対策のスタンダードとして発行している「FISC安全対策基準・解説書」の改訂を行った。
日笠健太氏(以下、日笠氏)は、2020年3月に刊行されたFISC安全対策基準の第9版を紹介し、それ以前に活用されていた第8版からどのような変化が起こっているのか説明した。第8版からの改訂ポイントとして特徴的な点は、「リスクベースアプローチの充足」と「FinTechへの対応」であり、中でもリスクベースアプローチの充足に関しては最も注視すべきだと、日笠氏は指摘する。なぜなら、そこに安全対策上のアプローチ方法の変化が見て取れるからだ。
金融商品取引法における内部統制の制度や、コンプライアンスなどに関するガイドラインへの準拠などいわゆる「内部監査系」の領域において、日本企業はグローバル水準に比べ10年以上遅れをとっているという。そう言われる最大の要因の1つが、自分たちが制度に準拠できているかどうか確認する際のプロセスが非効率的であるという点だ。
J-SOX(内部統制報告制度)への対応が良い例だが、日本の金融機関における従来の内部監査では、リスクごとの優先度を加味せず親会社、子会社ともに同じ基準やガイドラインを適用していた。チェックリストを作成して、すべての部署に満遍なく対応させる方式だ。すると、同時に対応すべきリスクが多すぎるという事態が発生。対応に割けるリソースは子会社の規模や部署ごとに異なるため、対応レベルにムラが出てしまっていた。
これは、金融庁の内部監査に関わる文書でも指摘されている課題だ。時代が進むにつれさまざまなシステムが増え続けている中で、こうしたチェックリスト型の方法を維持することは現実的ではない。そこで、大手金融機関はチェックリスト型を見直し、リスクベースでの監査手法や態勢へ転換する動きを見せている。それが第9版のFISC安全対策基準改訂で注視すべき、リスクベースアプローチの充足に関する項目で言わんとするところだろうと日笠氏は語る。