Other parts of this series:
2021年に金融庁が公表した「モデル・リスク管理に関する原則」を機に、本邦でもAML分野におけるモデルリスク管理のあり方について関心が高まっている。
モデルリスク管理の態勢整備では、規程作成等のフレームワークの整理に重きが置かれる傾向にあるが、本質的には実務への落とし込みが重要である。
特に取引モニタリングシステム(TMS)では、膨大かつ複雑なデータ検証作業が求められるため、有効性検証のプロセスを明確に定義する必要がある。
本稿では、先行する海外規制の動向を考慮しつつ、TMSにおける有効性と効率性を両立するためのモデルリスク管理のあるべき姿を論じる。
厳格化するAMLモデルリスク管理
欧米金融機関では、日本に先んじてAML分野におけるモデルリスク管理の態勢整備が進んでおり、対応の不備による当局からの処分事例も見られるようになった。2021年12月、英国FCA (金融行為規制機構)はHSBCに対し、取引モニタリングシステム(TMS)の設定・検証の不備により、約6,395万ポンドの罰金を科したと発表した。FCAは処分理由として、シナリオ(疑わしい取引の検知ロジック)のカバレッジやパラメータ設定、入力データに関する不備が長期に渡り解消されなかった点を挙げている。
①シナリオカバレッジの不備
- ビジネス規模やリスク特性を考慮した際に、シナリオがカバーするモニタリングの範囲が不十分であった。
- グローバル共通に定められたシナリオを使うのみで、ローカル特有のリスクに見合ったシナリオを用いていなかった。
- 取引タイプ(現金、電信送金、小切手など)を区別せずに金額を集計する粗雑なシナリオや、ストラクチャリング(高額取引を小口の複数取引に分割する手口)の検知の際に単独取引でもアラートが発生してしまうシナリオの設計ミスがあった。
②パラメータ設定の不備
- 各シナリオの閾値分析(閾値を上げるべきか検討するabove-the-line分析と、閾値を下げるべきか検討するbelow-the-line分析)が適切に行われず、当局へ届出すべき取引を見誤るリスクがあった。
- いくつかのシナリオでは極端に大きな閾値が設定されており、ほとんど何も検知されず、実質的に無効な状態であった。
- アラート抑止機能(一定期間中に同じ顧客に対して同一のシナリオでアラートを何度も発生させないようにする機能)の理解が不十分であり、本来調査すべきアラートまで抑止してしまった。
③データの不備
データ項目の取込漏れや値の欠落など、データ取得元とTMSの連携方法に誤りがあり、不正確な金額の集計や、モニタリング対象から漏れる顧客が発生した。
コルレス銀行のリストに不備があり、モニタリングが不正確であった。
取引タイプの扱いに不備(例:小切手を電子送金と判断)があり、モニタリングが不正確であった。
さらに、FCAはこれらの不備の根底にある課題として、ドキュメンテーションの不足と、実効性の欠如を指摘している。例えば、閾値の決定根拠を記載したドキュメントが存在しないため、メンテナンス時に適切なパラメータチューニングの方針を立てることができなかった。また、社内規程上は最低1年に1回はTMS主要部の有効性検証が定められていたが、適切に実施されず形骸化した状態であった。
TMSにおける有効性検証の要素
モデルリスク管理では、モデルインベントリーやモデルへのリスク格付付与、モデル管理態勢を明文化した社内規程やモデル記述書等の準備など、一連のフレームワークを構築することが求められる。しかし、これらはモデルの実効性を維持するための手段であって目的ではない。全てのモデルが常に誤りが存在するリスクに晒されている、との前提に立ち、定期的にモデルの有効性を検証することがモデルリスク管理の肝である。特にTMSでは、モニタリングのカバレッジ、疑わしい取引の検知精度、入力データの観点からシナリオの有効性を検証する必要がある(図表1)。
カバレッジの有効性検証
カバレッジには、シナリオ多様性とモニタリング範囲の2つの観点が存在する。シナリオ多様性の観点では、自社のリスク評価結果に基づき、様々な金融犯罪の手口に対応するためのシナリオが網羅的に準備されていることを確認する。次にモニタリング範囲の観点では、自社における商品・サービス・顧客種別ごとの取引量を考慮した場合に、TMSが検知対象とする取引量の割合が適切であることを確認する。例えば、コルレス取引がかなりのボリュームで存在するにも関わらず、個人顧客や法人顧客の取引に比べてシナリオ数やアラート発生件数がずっと少ないようであれば、カバレッジの有効性には疑義がある状態となる。
検知精度の有効性検証
シナリオごとにあらかじめアラート発生件数や検知精度の基準値を決めた上で、定期的にこれらの基準が満たされていることを検証する。一定期間、基準を満たさなかったシナリオについては、パラメータのチューニングを行い検知精度の改善を図る。精度検証では、閾値を上げてFalse Positiveアラートを削減するAbove-the-line分析に観点が偏りがちだが、逆に閾値を下げるBelow-the-line分析も行う必要がある。例えば、直近の検知精度がTMSの運用開始時よりも大幅に上昇したシナリオがあれば、そのシナリオに関連する金融犯罪のリスクが高まっているとも言えるため、閾値を下げてアラート数を増やしモニタリングを強化する場合がある。
データの有効性検証
データの有効性検証では、上流システムから連携されるデータがすべて正しくTMSに取り込まれていることを確認する。具体的には、データのリコンサイル(上流システムとTMSの双方ですべてのデータを突合すること)や、データ連携プログラムの設計書とソースコードの照合を行い、双方に差異がないことを確認する。さらに、実際のデータ項目をシステムから抽出し、想定外の値が含まれていないことを検証する必要もある。特にシナリオパラメータとして使用されるデータ項目については、項目の桁数やデータの欠損、コード値のパターンについて異常がないか検証する。
求められる効率性
TMSの有効性検証は多岐にわたり手間のかかる作業である。現時点ではAMLパッケージ製品を用いても、TMSのモデルリスク管理に特化した機能は提供されておらず、有効性検証で実施するデータ準備から分析結果検証までの大部分を手作業で実施する必要がある。現状ではTMSの有効性検証に社内の人員を配置できず、都度データ分析スキルを有した人材を外部から調達する場合も多いだろう。しかし、明確なプロセスや評価基準が定まっていなければ、担当する分析者の経験やスキルによって異なるアプローチがとられ、常に安定した成果が得られないことも考えられる。よって属人性を排除し、一貫した有効性検証を効率よく実施するための仕組みづくりが課題となる(図表2)。
有効性検証の工業化
モデルリスク管理の品質を維持するためには、有効性検証のプロセスから極限まであいまいさを排除し、誰がやっても同じ結果が得られる(=工業化)レベルまで業務を定型化する必要がある。具体的には、有効性検証の全ての判断基準に定量的な指標を定め、データドリブンで検証プロセスを進められるようにする。これらを実現するために、モデル記述書にはシナリオごとにアラート件数や検知精度の想定値を記載し、チューニング要否の判断基準、さらにチューニングすべきパラメータの優先順位や、各パラメータが取り得る値の範囲など、シナリオ要件の細部まで定義しておくようにする。
さらなる効率化を目指して
有効性検証のプロセスを定型化することによって、最終的にはRPAによる有効性検証作業の自動化も可能となるだろう。さらにパラメータチューニングもAIに行わせることで、分析作業についても自動化することが可能となる。モデルリスク管理の取り組みについては、フレームワークの定義に終始することなく、実務のあるべき姿についても併せて検討を進めて頂きたい。
※FSアーキテクトは、金融業界のトレンド、最新のIT情報、コンサルティングおよび貴重なユーザー事例を紹介するアクセンチュア日本発のビジネス季刊誌です。過去のFSアーキテクトはこちらをご覧ください。