通信記録保持義務違反に関連してNFRの強化が図られているという記事を昨日Postしたが、同様に外注ベンダーなどのリスクを管理するTPRMもグローバルでは必要以上に厳しくなっているものの一つである。

コンサルティング、各種業務委託、会計、税務、IT、データー入力といった外注のほかに極端に言うと清掃、受付、警備など様々な外注が行われている。10数年前であれば、便利なサービスがあれば使ってみてその意義を検証するということが容易にできたが、昨今では、こうしたベンダーから膨大な資料の提出を求め、厳密な審査とレビューを行わなければサービスを利用することができない。

通常こうしたベンダーの中にはベンチャー企業も多く、膨大な資料提出に対応が難しいところも多い。たとえ手間とコストをかけて、その資料をすべて提出したとしても採用されるとは限らず、結局大手独占を助長してしまうように感じる。

リーマンショックやアルケゴスショックなどを経て、Finandcial Riskのリスク管理強化が行われるのは理解できるのだが、最近はありとあらゆることを規制で統率しようとしているため、技術革新の妨げになっているように感じる。NFRやTPRMを担当する人員も数多く採用しているので、当然担当者は真面目に仕事をしようとする。こうして社内の統制がどんどん厳しくなっていく。

まだ日本はましだと思うのだが、海外業務を手掛ける場合は、先日の通信記録保持違反の罰金のように影響を受けてしまう。

今回は6/6に米国当局からTPRMに関するガイダンスが出されており、特にフィンテックに関する締め付けが厳しくなりそうだ。今回のガイダンスは、最近の流行りではあるのだが、リスクベースアプローチが取れらているため、何が許容され、何が禁止されているかという細かい規定はない。銀行が自ら考えてコンプライアンスプログラムを作成し、問題が起きないように考えてほしいというガイダンスだ。

ある意味正しいやリ方なのだが、こういった場合に問題になるのはいわゆる「横並び」の必要性である。通常こうした新しい規制が始まるとコンサルティング会社などがアドバイザーとして入り、そしてコンサルには各社の対応状況が蓄積され、何となく業界スタンダードが出来上がっていく。しかしこうしたコンサルを使っていないと、いつの間にか自分だけがOutlierになっていまっているということもありうる。特に米国外の銀行の場合はなおさらだ。

米国では、これを受けてコンプライアンスプログラムのレビューが進んでおり、小規模のフィンテックが市場から締め出されているという報道も見られる。

リスクベースアプローチをとっていると、銀行によってはすべての点において保守的な対応をするところも出てくる。そうすると、これまでのように、革新的なサービスを思いついて起業したとしても、コンプライアンスの負担に耐えかね、どこからも契約が取れないということもありうる。いずれにしても、あらゆる規制が金融業界にInnovationを起きにくくしているように思える。とは言っても米国規制の影響は無視することはできないので、日本の金融機関もある程度の対応をしておかないと、突然罰金をかせられるということにもなりかねないので注意が必要である。