金融庁の中間とりまとめについて(3:内部監査部門・まとめ)

金融庁の中間とりまとめについて(3:内部監査部門・まとめ)

これまで、金融庁の「仮想通貨交換業者等の検査・モニタリング中間とりまとめ」について解説してきましたが、今回はその3回目です。

金融庁の仮想通貨交換業者等の検査・モニタリング 中間とりまとめについて(総論)
金融庁の中間とりまとめについて(1:ビジネス部門)
金融庁の中間とりまとめについて(2:リスク管理・コンプライアンス部門)

内部監査部門、カルチャー及びコーポレート・ガバナンス、そして今後について解説します。

 

3.内部監査部門(第3線)

(多数の業者で認められた事例)

  • マネロン・テロ資金供与対策や、システムリスクなどの監査を実施するために必要な専門性・能力を有する監査要員が確保されていない。
  • 内部監査要員が1名で、他業務と兼務している中、内部監査計画の策定や内部監査を実施していない。

(複数の業者で認められた事例)

  • 内部監査計画を策定しているが、リスク評価に基づくものとなっていない。
  • 外部委託先に利用者の暗号資産の管理を委託しているが、委託先の監査を実施していない。
  • 1事業年度に1回以上、法定帳簿の記載内容等の正確性について内部監査を実施することとしているにもかかわらず、過去1度も実施されていない。

(個社で認められた事例)

  • 内部監査人は、実際には検証していない項目について、監査結果を問題なしとして報告している。
  • 分別管理監査に関し、公認会計士又は監査法人と契約を締結できていない。

内部監査については、すべてFISC安全対策基準の【監1】に記載されていますが、実際にはFISCの発行する別のガイドラインである「金融機関等のシステム監査指針」に詳細が記載されています。FISC安全対策基準第9版では、【監1】として監査基準が創設されていますが、この項目が第8版追補改訂までの【運90】であったことを考えれば、今後、この項目も細分化されて更新されるのでしょう。

 

4.カルチャー及びコーポレート・ガバナンス

①業容に応じた態勢の見直し

(多数の業者で認められた事例)

  • 経営陣は、業容が急拡大する中、業容に見合った人員の増強やシステム・キャパシティの見直しを行っていない。

(個社で認められた事例)

  • 経営会議等において、広告宣伝などの業務拡大に関する議論のみが行われており、内部管理に関する議論が行われていない。
  • 監査役は、利用者数や取引量の増加に伴い、業務を遂行するための人員が不足していることを認識しているにもかかわらず、取締役会等において、人員の増強の必要性などの意見を述べていない。

②金融業としての経営管理

(多数の業者で認められた事例)

  • 取締役会等では、多額の利用者財産を管理する金融業者としてのリスク管理等に関する議論が行われていない。

(個社で認められた事例)

  • 主要株主が役員に就任するなど所有と経営が分離していないため、一部の株主の利益を優先した議論が行われている。
  • 社内規程に基づいて各種リスク管理委員会が設置されているものの、規程の策定に留まり、一度も開催されていない。

③開示

(多数の業者で認められた事例)

  • 経営情報や財務情報について、利用者に分かりやすく公表されていない。

④取締役会の機能発揮

(複数の業者で認められた事例)

  • 経営会議を開催しているが、議事内容、会議資料及び議事録等を記録・保存していない。
  • 取締役会は、新規事業を実現するために自社発行暗号資産を販売し、資金を調達したものの、具体的な資金使途など新規事業の進捗を管理していない。
  • 監査法人又は公認会計士との契約の締結に当たり、取締役会において、監査法人等の監査能力の有無について議論が行われていない。
  • 各種リスクの評価結果や利用者からの重要な苦情等について、取締役会への報告が行われていない。

こちらも、金融庁の所管する範囲というよりは、会社法の範疇によるものであって、そもそも会社として問題があるということを指摘しています。急激に業容が拡大していることもあり、なかなか後方部門に手が回らなかったのは事実でしょう。とはいえ、足下の後方部門がきちんと整備されていなければ、会社としての存立に関わる事態になってしまいます(経営会議の議事録が残っていないのは論外ですが)。

 

今後の展開

これを受けて、金融庁はどうしていくのか、ということも、この資料には明記されています。

(1)登録業者

暗号資産を取り巻く環境やビジネスが急速に変化する中、登録業者においては、登録審査時に構築された内部管理態勢について、その後の変化に応じた態勢強化を行っていない実態が判明した。

こうしたことを踏まえると、登録業者においては、本とりまとめの結果を踏まえた態勢整備状況について自己チェックを行うことが望ましい。また、当局においては、リスクプロファイリングの精緻化及びその頻繁な更新を行うとともに、引き続き、順次、立入検査を行う等、深度あるモニタリングを行い、問題が認められた場合は必要な行政対応を行う。

実態に問題があるので、各事業者における自己点検を行うことを要請し、金融庁としても順次検査を行うこと、問題がある場合は行政として権限を行使する、と明確にしています。これは、みなし業者についても同様で、この結果を踏まえて登録の可否を判断すると明記しています。そして、新規の事業者に対しては、以下のようにメッセージを出しています。

(3)新規登録申請業者

これまで、書面による形式審査だけでなく、システムの安全対応状況の現場訪問による確認など、実質面を重視した登録審査を行ってきた。しかし、暗号資産を取り巻く環境やビジネスが急速に変化することを踏まえ、当局審査も、さらに深度ある実質的な審査を行う必要がある。

具体的には、業者のビジネスプランの聴取及びそれに応じた実効的な内部管理態勢や、利用者保護を優先したガバナンス態勢の状況について書面やエビデンスでの確認を充実させるとともに、現場での検証や役員ヒアリング等を強化する。

さらに、新たに登録された業者に対しては、暗号資産を取り巻く環境やビジネスの急速な変化を踏まえ、登録後の早い段階で立入検査を実施する。

つまり、登録事業者と同様の確認を行うだけではなく、現場での確認を強化すること、そして登録事業者として認められたら、早期に立入検査を行うということを明記しています。検査に入った時点で、今回の中間とりまとめに見られるような問題が検出された場合、金融庁は「中間とりまとめにおいて、新規登録申請業者に対しても点検を行うように要請しているにもかかわらず、対応がなされていない」という理由で、かなり強い権限を発動することが予想されます。

 

システム以外の部分については、それぞれの規制を守る必要はありますが、今回の中間とりまとめを見る限り、システムリスクに関しては、FISC安全対策基準をベースにした確認が行われていることが確認できます。歴史のあるガイドラインでもあり、網羅性が高く、汎用性も高いガイドラインでもありますので、システム的な問題点を確認する際には、FISC安全対策基準を確認することをお勧めします。

 

CRYPTOMOでは、コンサルティングサービスを提供しています。ぜひお気軽にお問い合わせください。

 

 

 

コメントを残す

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です