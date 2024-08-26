米国の連邦および州規制当局にとって、サードパーティー・リスク管理は引き続き最優先事項であり、最近では金融機関に対して強制措置を講じています。これにより、銀行秘密法(BSA)違反や第三者のリスク管理の弱さに対して、数百万ドルの民事罰金が科されました。
最近の動向は、規制当局がフィンテック企業を含む第三者との関係について金融機関に責任を負わせるようになっていることを示しています。規制当局は、金融機関がリスクベースの慣行を確立し、これらの第三者に対して適切なデューデリジェンスを実施し、これらの関係のリスクを継続的に監視、評価、管理することを期待しています。
過去18カ月間、規制当局は詳細なガイダンスやいくつかの同意命令を発行し、サードパーティーのリスク管理に重点を置いてきました。
2023年6月、通貨監督庁（OCC）、連邦準備制度理事会（FRB）、連邦預金保険公社（FDIC）は、金融機関の第三者リスク管理に関する省庁間ガイダンスを発表した。このガイダンスは、規制上の期待の基礎を築くロードマップとして使用されることになっています。第三者との関係とベスト・プラクティスに関連するリスクを効果的に管理することを目的としています。
それから1年も経たないうちに、OCCは南大西洋地域の銀行の第三者リスク管理プログラムに弱点があることを特定し、同銀行に対して同意命令を出しました。
FDICは、北東部のフィンテック企業が危険かつ不健全な銀行業務を行っていると判断しました。特に、同銀行がその規模に見合った内部統制と情報システムを有していなかったことに関連し、同意命令を出しました。この命令では、第三者との関係の性質、範囲、複雑さ、リスクについても取り上げられています。
FDICはまた、中西部の地方銀行に対し、第三者リスク管理に関する適切な方針と手続きを策定するよう指導する同意命令も出しました。また、マネーロンダリング防止（AML）およびテロ資金供与（CFT）責任の対抗を完了する第三者のデューデリジェンスと監視の改善も求めました。
多くの場合、機関はFCC管理の実行にサードパーティーのサービス・プロバイダーを利用しています。これまで、サードパーティー・サービスは、ネガティブなニュースの特定、制裁スクリーニング、取引の監視に限定されていました。最近、これらのサービスは、顧客の本人確認、電子データ証明、強化されたデューデリジェンスケース管理における生成型人工知能、アラート調査、リスク評価などのプロセスを含むように拡大しました。
医療機関では、厳格で継続的な内部プロセス監視を行っている場合があります。しかし、これらの標準と実践を第三者に拡張しなければ、企業は間違った顧客をオンボーディングしたり、間違ったアラートを閉じたり、疑わしい活動のアラートを提出し損ねたりするリスクがあります。適切なデューデリジェンスや定期的なベンダーリスクアセスメントを行う機関は、第三者によるコンプライアンスリスクを回避できます。
第三者を利用することで得られるメリットはあるものの、金融機関は第三者が課すFCCリスクを認識し、維持し、管理することが不可欠です。そのためには、リスク管理を容易にし、サードパーティの活動を監視し、規制義務の遵守を確実にするサードパーティリスク管理プログラムを実装する必要があります。
サードパーティーの適切な監視と管理を確保するためのライフサイクルには、デュー・デリジェンス・レビュー、継続的なモニタリング、アセスメントという3つの主要なリスク管理コンポーネントが組み込まれています。
多くの金融機関は、新しいサードパーティ関係との契約段階で、デューデリジェンスの一環として標準的なコンプライアンスレビューを強化しています。最近の省庁間ガイダンスに記載されているように、これには、方針、プロセス、内部統制を含むサードパーティの全体的なリスク管理の有効性を評価することが含まれます。また、活動を取り巻くポリシーや期待との整合性を確認することも含まれます。
デューデリジェンスには、その当事者が新たなリスクやその他のリスクをもたらす可能性があるかどうかを検証するために、その企業が採用しているテクノロジーのレビューも含める必要があります。金融機関のコンプライアンス部門は、提供されるサービスの品質をチェックするための初期テストを実施できます。これは、サードパーティが金融機関のリスク許容度のしきい値内で運用されるように設定されていることを確認するためにも行われます。
機関間のガイドラインは、ベスト・プラクティスを継続的に監視するための情報セキュリティー、安全性、健全性に関する基準を定めています。規制当局は、金融機関が関係全体を通じてサードパーティのパフォーマンスを監視することを期待しています。これは、期待どおりに実行することを確認し、関係に必要な変更を特定し、結果として生じるリスクとその管理の変更を可能にするために行われます。進行中のモニタリング段階における主なリスク管理活動には以下が含まれます。
金融機関は、既存の年次AMLおよびBSAアセスメントを強化することで、リスク・プロファイルをより適切に決定し、金融犯罪コンプライアンス・リスクをより正確に特定できます。サードパーティーによって課されるリスクを特定し、そのリスクを軽減するための制御を導入することができます。また、関係を規制要件にマッピングし、主要なサードパーティーのデータ・ポイントを文書化することもできます。
すべてのサードパーティーが同様のデュー・デリジェンスと監視を保証できるわけではありませんが、サードパーティーのリスク全体をアセスメントすることは、組織が適切なリスクベースのアプローチを決定するのに役立ちます。
対象分野の専門家チームがサードパーティー・リスク管理プログラムを改善・強化します。アドバイザリー・サービスでは、組織がサードパーティーのリスク管理のポリシーと手順を評価するお手伝いをします。また、AMLプログラムのサードパーティー・リスク管理の範囲を評価することで、組織のリスク許容度に見合ったものであることを確認できます。
IBM Promontory は、お客様の組織のために行動するサードパーティーによる AML 法の遵守を維持するための AML デュー・ディリジェンスおよび継続的モニタリング・プログラムの開発を支援します。IBM Promontoryは、サードパーティーが使用している契約テンプレートを評価して、AMLコントロールに対応しているかどうかを確認できます。また、IBM Promontoryでは、AML管理の実行に役割を持つサードパーティー向けのガバナンス、レポート、およびリスク軽減手順を開発できます。
IBMとの協力により、 IBM Promontory は自動データ分析、 AI生成の要約とクラスタリング、およびAI搭載レポートを提供する独自の立場にあります。IBM watsonX™ Discoveryは、デュー・デリジェンス情報、取引記録、組織文書など、サード・パーティーに関連する大量のデータを分析できます。このツールは、人間のアナリストにはわからない可能性のあるパターン、異常、関係を特定できます。また、視覚化や要約も提供できます。この機能により、デューデリジェンスとリスク評価に関連する主な要因を確認できます。
IBM Cloud Pak for Dataは、サードパーティーのデータ、リスク評価、その他の関連要因に基づいて、サードパーティーの要約とクラスタリングを支援します。このツールは、監視の強化やオフボーディングなど、根本的な問題に対処するための推奨事項も提供することができます。IBM Cognos Analyticsは、サードパーティーの傾向とパターンに関する詳細なレポートを生成できるため、上級管理職や規制当局、その他の利害関係者に情報を提供することができます。
規制当局は、金融機関がサードパーティーの金融犯罪リスクをどのように管理するかに重点を置いていることを明らかにしました。金融機関は、サードパーティーに対するデューデリジェンスを実施し、これらの関係から生じるリスクを継続的に監視、評価、制御するための効率的かつ効果的なプログラムを導入する必要があります。