Quiz-summary
0 of 30 questions completed
Questions:
- 1
- 2
- 3
- 4
- 5
- 6
- 7
- 8
- 9
- 10
- 11
- 12
- 13
- 14
- 15
- 16
- 17
- 18
- 19
- 20
- 21
- 22
- 23
- 24
- 25
- 26
- 27
- 28
- 29
- 30
Information
Premium Practice Questions
You have already completed the quiz before. Hence you can not start it again.
Quiz is loading...
You must sign in or sign up to start the quiz.
You have to finish following quiz, to start this quiz:
Results
0 of 30 questions answered correctly
Your time:
Time has elapsed
Categories
- Not categorized 0%
- 1
- 2
- 3
- 4
- 5
- 6
- 7
- 8
- 9
- 10
- 11
- 12
- 13
- 14
- 15
- 16
- 17
- 18
- 19
- 20
- 21
- 22
- 23
- 24
- 25
- 26
- 27
- 28
- 29
- 30
- Answered
- Review
-
Question 1 of 30
1. Question
ある国際的な中堅銀行において、コンプライアンス担当者は、最近導入されたフィンテック企業向けサービスの取引量が急増していることに気づきました。内部監査の結果、このセグメントの固有リスクは「高」と評価されているものの、現在の自動取引モニタリングシステムの検知ルールが最新の手口に対応しておらず、見逃し(偽陰性)が発生している可能性が浮上しました。このままでは、残存リスクが取締役会の承認したリスクアペタイト(リスク許容度)を超過する恐れがあります。この状況において、コンプライアンス担当者が取るべき最も適切な対応はどれですか。
Correct
正解: リスクベース・アプローチにおいて、残存リスクが組織のリスクアペタイト(リスク許容度)を超過していると判断された場合、コンプライアンス部門はコントロールの有効性を再評価し、適切な緩和策を講じる必要があります。ギャップ分析を通じて現在のモニタリングシステムの不備を特定し、検知ルールを最適化することは、リスクを「制御(Control)」または「軽減(Treat)」する戦略として適切です。また、リスクアペタイトからの逸脱の可能性については、ガバナンスの観点から速やかに経営陣へ報告し、組織全体での意思決定を仰ぐことが求められます。
不正解: 特定のセグメント全体を即座に排除するデリスキングは、個別のリスク評価に基づかない極端な対応であり、金融包摂の観点やビジネス戦略上、必ずしも推奨されません。また、コントロールの不備を正すのではなく、現状に合わせてリスクアペタイト・ステートメントを修正して許容度を引き上げる行為は、リスク管理の本来の目的を逸脱しており、規制当局からの厳しい指摘を受ける原因となります。さらに、業務負担を理由に不十分なコントロールを維持し、頻度の低い定期レビューのみに頼ることは、金融犯罪リスクを放置することと同義であり、コンプライアンス違反のリスクを著しく高めます。
ポイント: 残存リスクがリスクアペタイトを超過した際は、コントロールの強化によるリスクの軽減と、経営陣への適切な報告を通じたガバナンスの維持が不可欠です。
Incorrect
正解: リスクベース・アプローチにおいて、残存リスクが組織のリスクアペタイト(リスク許容度)を超過していると判断された場合、コンプライアンス部門はコントロールの有効性を再評価し、適切な緩和策を講じる必要があります。ギャップ分析を通じて現在のモニタリングシステムの不備を特定し、検知ルールを最適化することは、リスクを「制御(Control)」または「軽減(Treat)」する戦略として適切です。また、リスクアペタイトからの逸脱の可能性については、ガバナンスの観点から速やかに経営陣へ報告し、組織全体での意思決定を仰ぐことが求められます。
不正解: 特定のセグメント全体を即座に排除するデリスキングは、個別のリスク評価に基づかない極端な対応であり、金融包摂の観点やビジネス戦略上、必ずしも推奨されません。また、コントロールの不備を正すのではなく、現状に合わせてリスクアペタイト・ステートメントを修正して許容度を引き上げる行為は、リスク管理の本来の目的を逸脱しており、規制当局からの厳しい指摘を受ける原因となります。さらに、業務負担を理由に不十分なコントロールを維持し、頻度の低い定期レビューのみに頼ることは、金融犯罪リスクを放置することと同義であり、コンプライアンス違反のリスクを著しく高めます。
ポイント: 残存リスクがリスクアペタイトを超過した際は、コントロールの強化によるリスクの軽減と、経営陣への適切な報告を通じたガバナンスの維持が不可欠です。
-
Question 2 of 30
2. Question
ある中堅国際銀行のコンプライアンス担当者は、FATFによって「戦略的欠陥がある」と特定された(グレーリスト入りした)管轄区域にある小規模銀行に対し、コルレス銀行サービスを提供するかどうかの検討を行っています。当該銀行のリスク選好(リスクアペタイト)声明では、新興市場での成長を重視しつつも、AML/CFT基準の厳格な遵守が求められています。この状況において、銀行のリスク選好と規制上の期待を一致させるために最も適切なリスク管理戦略はどれですか。
Correct
正解: リスクベース・アプローチにおいて、リスク選好(リスクアペタイト)とビジネス目標を両立させるためには、リスクを単に回避するのではなく、適切に「扱う(Treat)」または「制御する(Control)」ことが求められます。FATFのグレーリストに含まれる管轄区域との取引は固有リスクが高いと見なされますが、強化された顧客デューデリジェンス(EDD)を通じて相手方の管理体制の有効性を検証し、取引モニタリングなどの追加的な緩和措置を講じることで、残留リスクを銀行の許容範囲内に抑えつつ業務を継続することが、国際的な指針に沿った適切な対応です。
不正解: 個別のリスク評価を行わずに一律に取引を拒絶するアプローチは、過度なデリスキング(リスク回避)につながり、銀行の成長戦略を阻害するだけでなく、金融包摂の観点からも望ましくありません。また、管轄区域がブラックリストではないという理由だけで追加措置を講じずにリスクを受け入れることは、既知の高リスク要因を無視しており、リスク選好の境界を逸脱する可能性があります。さらに、標準的なKYCや自己申告のみに依拠する手法は、高リスクな状況における緩和策として不十分であり、規制当局が求める「リスクに応じた管理」を満たしていません。
ポイント: 効果的なリスク管理とは、リスクを完全に排除することではなく、適切なデューデリジェンスと緩和措置を通じて、残留リスクを組織のリスク選好の範囲内に制御することです。
Incorrect
正解: リスクベース・アプローチにおいて、リスク選好(リスクアペタイト)とビジネス目標を両立させるためには、リスクを単に回避するのではなく、適切に「扱う(Treat)」または「制御する(Control)」ことが求められます。FATFのグレーリストに含まれる管轄区域との取引は固有リスクが高いと見なされますが、強化された顧客デューデリジェンス(EDD)を通じて相手方の管理体制の有効性を検証し、取引モニタリングなどの追加的な緩和措置を講じることで、残留リスクを銀行の許容範囲内に抑えつつ業務を継続することが、国際的な指針に沿った適切な対応です。
不正解: 個別のリスク評価を行わずに一律に取引を拒絶するアプローチは、過度なデリスキング(リスク回避)につながり、銀行の成長戦略を阻害するだけでなく、金融包摂の観点からも望ましくありません。また、管轄区域がブラックリストではないという理由だけで追加措置を講じずにリスクを受け入れることは、既知の高リスク要因を無視しており、リスク選好の境界を逸脱する可能性があります。さらに、標準的なKYCや自己申告のみに依拠する手法は、高リスクな状況における緩和策として不十分であり、規制当局が求める「リスクに応じた管理」を満たしていません。
ポイント: 効果的なリスク管理とは、リスクを完全に排除することではなく、適切なデューデリジェンスと緩和措置を通じて、残留リスクを組織のリスク選好の範囲内に制御することです。
-
Question 3 of 30
3. Question
ある多国籍銀行が、汚職リスクが高いと評価されている管轄区域において、現地のフィンテック企業と提携し、新しいモバイル決済サービスを開始する計画を立てています。コンプライアンス・チームは詳細なリスク評価を実施し、製品固有のリスクや地理的リスクを特定しました。既存の顧客管理(KYC)および取引モニタリングの枠組みを適用した結果、一定の残留リスクが特定されました。この新事業を正式に承認するかどうかを決定する際、コンプライアンス責任者が最も優先して確認すべき事項はどれですか。
Correct
正解: リスクベース・アプローチの核心は、固有リスクに対して適切な内部統制を適用した後に残る「残留リスク」を、組織が定義した「リスク許容度(リスク・アペタイト)」と比較することにあります。取締役会が承認したリスク許容度は、その機関が戦略的目標を達成するために受け入れ可能なリスクの質と量を規定したものであり、残留リスクがこの範囲を超えている場合は、事業の承認を見送るか、さらなる緩和措置を講じる必要があります。これは、ガバナンスとリスク管理の整合性を確保するための基本的なプロセスです。
不正解: 営業ライセンスの確認や法令遵守の保証書の取得は、基本的なデューデリジェンスの一部ですが、それだけでAML上のリスクが適切に管理されていると判断することはできません。また、国際的な標準類型を網羅したシステムを導入することは有益ですが、特定の地域や製品(汚職リスクの高い地域でのモバイル決済)に固有のリスクに適合していなければ、リスクベースの原則を十分に満たしているとは言えません。さらに、予想される制裁金と収益を比較して事業の可否を判断する手法は、コンプライアンスを単なるコストと見なす不適切な企業文化を示しており、規制当局の期待や倫理的基準に著しく反します。
ポイント: 金融犯罪リスク管理において、事業継続の最終的な判断基準は、残留リスクが組織の定義したリスク許容度(リスク・アペタイト)の範囲内に収まっているかどうかであるべきです。
Incorrect
正解: リスクベース・アプローチの核心は、固有リスクに対して適切な内部統制を適用した後に残る「残留リスク」を、組織が定義した「リスク許容度(リスク・アペタイト)」と比較することにあります。取締役会が承認したリスク許容度は、その機関が戦略的目標を達成するために受け入れ可能なリスクの質と量を規定したものであり、残留リスクがこの範囲を超えている場合は、事業の承認を見送るか、さらなる緩和措置を講じる必要があります。これは、ガバナンスとリスク管理の整合性を確保するための基本的なプロセスです。
不正解: 営業ライセンスの確認や法令遵守の保証書の取得は、基本的なデューデリジェンスの一部ですが、それだけでAML上のリスクが適切に管理されていると判断することはできません。また、国際的な標準類型を網羅したシステムを導入することは有益ですが、特定の地域や製品(汚職リスクの高い地域でのモバイル決済)に固有のリスクに適合していなければ、リスクベースの原則を十分に満たしているとは言えません。さらに、予想される制裁金と収益を比較して事業の可否を判断する手法は、コンプライアンスを単なるコストと見なす不適切な企業文化を示しており、規制当局の期待や倫理的基準に著しく反します。
ポイント: 金融犯罪リスク管理において、事業継続の最終的な判断基準は、残留リスクが組織の定義したリスク許容度(リスク・アペタイト)の範囲内に収まっているかどうかであるべきです。
-
Question 4 of 30
4. Question
ある多国籍金融機関が、東南アジアの新興市場において、現地のフィンテック企業と提携し、モバイルウォレットサービスを開始することを計画しています。この地域は規制環境が急速に変化しており、テロ資金供与のリスクが比較的高いと評価されています。コンプライアンス担当者が、この新製品の導入にあたって全社的なリスク評価(EWRA)を更新する際、最も適切かつ優先すべき行動はどれですか。
Correct
正解: リスクベース・アプローチの核心は、新製品や新市場に伴う固有リスクを特定し、それに対する内部統制(コントロール)の有効性を評価することにあります。その結果として算出される残留リスクが、組織があらかじめ定義したリスク・アペタイト(リスク許容度)の範囲内に収まっているかを確認することは、経営戦略とコンプライアンスを整合させるために不可欠なプロセスです。これはFATF勧告や各国の規制当局が求める、リスクに応じた適切な資源配分と管理態勢の構築という原則に合致しています。
不正解: 現地の最低限の規制遵守やコスト効率を優先する手法は、組織全体の整合性を欠き、グループ基準に満たない脆弱な管理態勢を招く恐れがあります。また、高リスク顧客を一律に排除する戦略は、リスクを適切に「管理」するのではなく「回避」しているだけであり、金融包摂の観点やビジネスの成長機会を損なう可能性があります。さらに、提携先の管理体制に全面的に依拠することは、自社のデューデリジェンス義務を怠るものであり、サードパーティリスク管理の観点から重大な欠陥とみなされます。
ポイント: 新製品導入時のリスク評価では、固有リスクとコントロールの有効性を分析し、残留リスクを組織のリスク・アペタイト内に収めることが重要である。
Incorrect
正解: リスクベース・アプローチの核心は、新製品や新市場に伴う固有リスクを特定し、それに対する内部統制(コントロール)の有効性を評価することにあります。その結果として算出される残留リスクが、組織があらかじめ定義したリスク・アペタイト(リスク許容度)の範囲内に収まっているかを確認することは、経営戦略とコンプライアンスを整合させるために不可欠なプロセスです。これはFATF勧告や各国の規制当局が求める、リスクに応じた適切な資源配分と管理態勢の構築という原則に合致しています。
不正解: 現地の最低限の規制遵守やコスト効率を優先する手法は、組織全体の整合性を欠き、グループ基準に満たない脆弱な管理態勢を招く恐れがあります。また、高リスク顧客を一律に排除する戦略は、リスクを適切に「管理」するのではなく「回避」しているだけであり、金融包摂の観点やビジネスの成長機会を損なう可能性があります。さらに、提携先の管理体制に全面的に依拠することは、自社のデューデリジェンス義務を怠るものであり、サードパーティリスク管理の観点から重大な欠陥とみなされます。
ポイント: 新製品導入時のリスク評価では、固有リスクとコントロールの有効性を分析し、残留リスクを組織のリスク・アペタイト内に収めることが重要である。
-
Question 5 of 30
5. Question
あなたは多国籍銀行のコンプライアンス責任者として、EUおよび米国でクロスボーダー決済を展開するフィンテック企業との新たな提携案を検討しています。この企業は、銀行の既存のリスク・アペタイトの境界線上に位置する顧客層をターゲットにしており、取締役会は収益拡大のために提携を強く望んでいますが、同時に規制当局による制裁リスクも懸念しています。リスク管理コンポーネントに基づき、残留リスクを許容可能なレベルまで管理するために、コンプライアンス部門が取るべき最も適切な行動はどれですか。
Correct
正解: リスクベース・アプローチの核心は、特定された固有リスクに対して適切なコントロール(緩和策)を適用し、最終的な残留リスクを組織のリスク・アペタイト(リスク許容度)の範囲内に収めることにあります。このシナリオでは、フィンテック企業のコンプライアンス体制を詳細に評価し、必要に応じて取引モニタリングの強化や追加のデューデリジェンス(EDD)を実施することで、リスクを能動的に管理し、ビジネスの成長と規制遵守を両立させることが求められます。これは、国際的な指針やリスク管理コンポーネントの原則に合致した対応です。
不正解: 標準的なプロセスをそのまま受け入れるというアプローチは、高リスクな特性を持つ提携先に対して不十分な管理しか行っておらず、規制当局が求める「リスクに応じた管理」を怠っています。また、リスクを精査せずに即座に拒否するアプローチは、リスク回避に偏りすぎており、リスク・アペタイトに基づいた戦略的な意思決定を欠いています。さらに、契約上の免責条項によって法的・規制上の責任を完全に転嫁することは不可能であり、これを理由に内部統制を省略することは、重大なコンプライアンス違反を招く極めて危険な判断です。
ポイント: リスクベース・アプローチでは、固有リスクを特定した上で適切な緩和策を講じ、残留リスクを組織のリスク・アペタイト内に管理することが不可欠である。
Incorrect
正解: リスクベース・アプローチの核心は、特定された固有リスクに対して適切なコントロール(緩和策)を適用し、最終的な残留リスクを組織のリスク・アペタイト(リスク許容度)の範囲内に収めることにあります。このシナリオでは、フィンテック企業のコンプライアンス体制を詳細に評価し、必要に応じて取引モニタリングの強化や追加のデューデリジェンス(EDD)を実施することで、リスクを能動的に管理し、ビジネスの成長と規制遵守を両立させることが求められます。これは、国際的な指針やリスク管理コンポーネントの原則に合致した対応です。
不正解: 標準的なプロセスをそのまま受け入れるというアプローチは、高リスクな特性を持つ提携先に対して不十分な管理しか行っておらず、規制当局が求める「リスクに応じた管理」を怠っています。また、リスクを精査せずに即座に拒否するアプローチは、リスク回避に偏りすぎており、リスク・アペタイトに基づいた戦略的な意思決定を欠いています。さらに、契約上の免責条項によって法的・規制上の責任を完全に転嫁することは不可能であり、これを理由に内部統制を省略することは、重大なコンプライアンス違反を招く極めて危険な判断です。
ポイント: リスクベース・アプローチでは、固有リスクを特定した上で適切な緩和策を講じ、残留リスクを組織のリスク・アペタイト内に管理することが不可欠である。
-
Question 6 of 30
6. Question
ある多国籍金融機関のコンプライアンス部門は、新しく導入予定の暗号資産関連の決済サービスに関するリスク評価を実施しました。初期評価の結果、このサービスには高い固有リスクが認められましたが、既存の監視システムと強化されたデューデリジェンス(EDD)を適用することで、一定の緩和措置を講じることが可能です。しかし、緩和措置を適用した後の残留リスクが、取締役会で承認された現在のリスク・アペタイト(リスク許容度)の閾値を依然として上回っていることが判明しました。この状況において、リスクベース・アプローチに基づき、ポリシー策定担当者が取るべき最も適切な対応はどれですか。
Correct
正解: リスク・アペタイトは、組織が許容できるリスクの境界線であり、残留リスクがこれを超える場合は、追加のコントロールによってリスクを許容範囲内に抑え込むか、あるいはリスクそのものを回避(事業の中止や延期)するという意思決定が必要です。これは、リスクベース・アプローチにおける健全なガバナンスの根幹であり、経営陣が設定したリスク許容範囲を遵守することを意味します。
不正解: リスク・アペタイトの閾値をビジネスの都合に合わせて一時的に変更したり、事後報告で済ませることは、コンプライアンス文化の欠如と見なされ、重大な規制リスクを招きます。また、残留リスクを許容範囲内に収めるために評価モデルや数値を操作することは、リスク管理の客観性と信頼性を著しく損なう行為です。特定の顧客層を除外するだけでは、製品固有の脆弱性やシステム上のリスクが解消されたことにはならず、組織全体のリスク・アペタイトとの整合性は保てません。
ポイント: 残留リスクがリスク・アペタイトを超過した場合は、追加の緩和措置を講じるか、リスクを回避するための戦略的判断を下す必要がある。
Incorrect
正解: リスク・アペタイトは、組織が許容できるリスクの境界線であり、残留リスクがこれを超える場合は、追加のコントロールによってリスクを許容範囲内に抑え込むか、あるいはリスクそのものを回避(事業の中止や延期)するという意思決定が必要です。これは、リスクベース・アプローチにおける健全なガバナンスの根幹であり、経営陣が設定したリスク許容範囲を遵守することを意味します。
不正解: リスク・アペタイトの閾値をビジネスの都合に合わせて一時的に変更したり、事後報告で済ませることは、コンプライアンス文化の欠如と見なされ、重大な規制リスクを招きます。また、残留リスクを許容範囲内に収めるために評価モデルや数値を操作することは、リスク管理の客観性と信頼性を著しく損なう行為です。特定の顧客層を除外するだけでは、製品固有の脆弱性やシステム上のリスクが解消されたことにはならず、組織全体のリスク・アペタイトとの整合性は保てません。
ポイント: 残留リスクがリスク・アペタイトを超過した場合は、追加の緩和措置を講じるか、リスクを回避するための戦略的判断を下す必要がある。
-
Question 7 of 30
7. Question
あなたはグローバル金融機関のコンプライアンス責任者として、東南アジアの新興市場への事業拡大に伴うリスク評価を担当しています。取締役会は、この地域における「中程度の汚職リスク」を許容するリスク選好度を定義しましたが、同時に高リスク取引に対する厳格な管理態勢を求めています。現地の有力な政治的公的人物(PEP)が実質的支配者として関与する、複雑な階層構造を持つ法人顧客から口座開設の申請がありました。この状況において、組織のリスク選好度とリスク管理戦略を整合させるための最も適切な対応はどれですか。
Correct
正解: リスクベース・アプローチにおいて、リスク選好度(リスク・アペタイト)は組織がビジネス目標を達成するために受け入れる準備のあるリスクの質と量を示します。PEP(政治的公的人物)や複雑な法人構造は高い固有リスクを伴いますが、強化されたデューデリジェンス(EDD)を実施し、資金源(SoW)や資産の源泉(SoF)を詳細に検証することで、リスクを緩和できます。最終的な残留リスクが取締役会の設定した許容範囲内に収まることを確認し、上級管理職による承認を得るプロセスは、リスク選好度と管理態勢を整合させるための標準的かつ適切な手順です。
不正解: 標準的なデューデリジェンス(CDD)のみを適用する手法は、高リスク顧客に対する規制上の要求事項を満たしておらず、リスク選好度で求められている「厳格な管理」を軽視しています。また、リスクを完全に回避するために一律に申請を拒否する手法は、定義されたリスク選好度(中程度のリスクを許容)を戦略的に活用できておらず、ビジネス機会を不当に制限しています。外部委託の結果に基づく自動承認は、金融機関自体の最終的な説明責任を放棄しており、ガバナンスおよびモデルリスク管理の観点から不適切です。
ポイント: リスク選好度は、適切なコントロールと強化されたデューデリジェンスを通じて残留リスクを許容範囲内に管理し、ビジネスとコンプライアンスのバランスを取るための指針として機能する。
Incorrect
正解: リスクベース・アプローチにおいて、リスク選好度(リスク・アペタイト)は組織がビジネス目標を達成するために受け入れる準備のあるリスクの質と量を示します。PEP(政治的公的人物)や複雑な法人構造は高い固有リスクを伴いますが、強化されたデューデリジェンス(EDD)を実施し、資金源(SoW)や資産の源泉(SoF)を詳細に検証することで、リスクを緩和できます。最終的な残留リスクが取締役会の設定した許容範囲内に収まることを確認し、上級管理職による承認を得るプロセスは、リスク選好度と管理態勢を整合させるための標準的かつ適切な手順です。
不正解: 標準的なデューデリジェンス(CDD)のみを適用する手法は、高リスク顧客に対する規制上の要求事項を満たしておらず、リスク選好度で求められている「厳格な管理」を軽視しています。また、リスクを完全に回避するために一律に申請を拒否する手法は、定義されたリスク選好度(中程度のリスクを許容)を戦略的に活用できておらず、ビジネス機会を不当に制限しています。外部委託の結果に基づく自動承認は、金融機関自体の最終的な説明責任を放棄しており、ガバナンスおよびモデルリスク管理の観点から不適切です。
ポイント: リスク選好度は、適切なコントロールと強化されたデューデリジェンスを通じて残留リスクを許容範囲内に管理し、ビジネスとコンプライアンスのバランスを取るための指針として機能する。
-
Question 8 of 30
8. Question
ある多国籍金融機関のKYCアナリストが、汚職リスクが高いと評価されている管轄区域に居住する重要な公的地位を有する者(PEP)からの法人口座開設申請をレビューしています。この法人は複雑な所有構造を持っており、複数のオフショア拠点にまたがる実質的支配者が存在します。機関の内部リスク評価システムは、この事案を「高リスク」としてアラートを発出しました。この状況において、リスクベース・アプローチに基づきアナリストが取るべき最も適切な対応はどれですか。
Correct
正解: 高リスクのPEP(重要な公的地位を有する者)や複雑な実質的支配構造を持つ顧客に対しては、国際的な基準に基づき強化された顧客デューデリジェンス(EDD)を実施することが義務付けられています。これには、単なる身元確認だけでなく、資産の源泉(SOW)および資金の源泉(SOF)の妥当性を公的書類や信頼できる情報源から検証することが含まれます。また、高リスク顧客の受け入れは、機関の定義したリスク許容度(リスク・アペタイト)に合致している必要があり、最終的な承認は適切な権限を持つ上級管理職が行うことが、リスクベース・アプローチにおける標準的な内部統制です。
不正解: 自動化されたリスクスコアや顧客の自己申告のみに依拠する手法は、高リスク事案に必要な深度の検証を欠いており、規制上の期待を満たしません。また、リスクを特定した直後に調査を行わず一律に拒絶する行為は、適切なリスク評価を放棄した「デリスキング」とみなされる可能性があり、リスクベース・アプローチの原則に反します。さらに、現地の基準のみに合わせる手法は、多国籍金融機関が遵守すべきより厳格なグローバル基準やグループ内ポリシーを無視することになり、管轄区域を越えた規制リスクを増大させるため不適切です。
ポイント: 高リスク顧客の管理では、EDDによる資産・資金源泉の徹底した検証と、リスク許容度に基づく上級管理職の承認プロセスが不可欠である。
Incorrect
正解: 高リスクのPEP(重要な公的地位を有する者)や複雑な実質的支配構造を持つ顧客に対しては、国際的な基準に基づき強化された顧客デューデリジェンス(EDD)を実施することが義務付けられています。これには、単なる身元確認だけでなく、資産の源泉(SOW)および資金の源泉(SOF)の妥当性を公的書類や信頼できる情報源から検証することが含まれます。また、高リスク顧客の受け入れは、機関の定義したリスク許容度(リスク・アペタイト)に合致している必要があり、最終的な承認は適切な権限を持つ上級管理職が行うことが、リスクベース・アプローチにおける標準的な内部統制です。
不正解: 自動化されたリスクスコアや顧客の自己申告のみに依拠する手法は、高リスク事案に必要な深度の検証を欠いており、規制上の期待を満たしません。また、リスクを特定した直後に調査を行わず一律に拒絶する行為は、適切なリスク評価を放棄した「デリスキング」とみなされる可能性があり、リスクベース・アプローチの原則に反します。さらに、現地の基準のみに合わせる手法は、多国籍金融機関が遵守すべきより厳格なグローバル基準やグループ内ポリシーを無視することになり、管轄区域を越えた規制リスクを増大させるため不適切です。
ポイント: 高リスク顧客の管理では、EDDによる資産・資金源泉の徹底した検証と、リスク許容度に基づく上級管理職の承認プロセスが不可欠である。
-
Question 9 of 30
9. Question
ある多国籍金融機関が、高い地政学的リスクとマネーロンダリングのリスクを抱える新興市場への進出を検討しています。この機関のリスク選好(リスク・アペタイト)は中程度に設定されていますが、初期のリスク評価の結果、当該市場における固有リスクがその許容範囲を大幅に超えていることが判明しました。コンプライアンス部門が、リスクベース・アプローチに基づき、残留リスクを許容可能なレベルまで下げるために取るべき最も適切な戦略はどれですか。
Correct
正解: リスクベース・アプローチの核心は、特定された固有リスクの高さに応じて、適切な緩和策を講じることにあります。固有リスクが組織のリスク選好を超えている場合、強化されたデューデリジェンス(EDD)や高度な取引モニタリングなどの強力な内部統制を導入することで、コントロールの有効性を高める必要があります。これにより、最終的な残留リスクをリスク選好の範囲内に抑えることが可能となり、ビジネスの継続と規制遵守を両立させることができます。これはリスク管理戦略における「リスクを扱う(Treat)」または「軽減する(Mitigate)」という手法に該当します。
不正解: リスク軽減策を検討せずに直ちに市場から撤退する手法は、リスクベース・アプローチの柔軟性を欠いており、適切なリスク管理とは言えません。また、収益性を優先してリスク選好を恣意的に引き上げ、高いリスクをそのまま受け入れる手法は、組織のガバナンスを損ない、重大な規制違反を招く恐れがあります。さらに、リスク管理の責任を外部の提携先に完全に委託して自行の管理外とする手法は、金融機関が負うべき最終的な説明責任を放棄しており、FATFなどの国際基準においても認められない不適切な対応です。
ポイント: リスクベース・アプローチにおいては、強力なコントロールを適用して残留リスクをリスク選好の範囲内に制御することが、健全なリスク管理の基本である。
Incorrect
正解: リスクベース・アプローチの核心は、特定された固有リスクの高さに応じて、適切な緩和策を講じることにあります。固有リスクが組織のリスク選好を超えている場合、強化されたデューデリジェンス(EDD)や高度な取引モニタリングなどの強力な内部統制を導入することで、コントロールの有効性を高める必要があります。これにより、最終的な残留リスクをリスク選好の範囲内に抑えることが可能となり、ビジネスの継続と規制遵守を両立させることができます。これはリスク管理戦略における「リスクを扱う(Treat)」または「軽減する(Mitigate)」という手法に該当します。
不正解: リスク軽減策を検討せずに直ちに市場から撤退する手法は、リスクベース・アプローチの柔軟性を欠いており、適切なリスク管理とは言えません。また、収益性を優先してリスク選好を恣意的に引き上げ、高いリスクをそのまま受け入れる手法は、組織のガバナンスを損ない、重大な規制違反を招く恐れがあります。さらに、リスク管理の責任を外部の提携先に完全に委託して自行の管理外とする手法は、金融機関が負うべき最終的な説明責任を放棄しており、FATFなどの国際基準においても認められない不適切な対応です。
ポイント: リスクベース・アプローチにおいては、強力なコントロールを適用して残留リスクをリスク選好の範囲内に制御することが、健全なリスク管理の基本である。
-
Question 10 of 30
10. Question
ある多国籍金融機関が、汚職リスクが高いと評価されている管轄区域への新規進出を計画しています。この機関の取締役会は、全体的なリスク選好を「中程度」と定めていますが、当該地域での事業展開は戦略的に重要視されています。この状況において、国際的な基準に準拠しつつ、金融犯罪リスクを適切に管理するための最も妥当な戦略はどれですか。
Correct
正解: リスクベース・アプローチ(RBA)の原則に基づき、高い固有リスクに対しては、強化されたデューデリジェンス(EDD)や厳格な取引モニタリングなどの強力な内部統制を適用する必要があります。これにより、最終的な残留リスクを、取締役会が設定したリスク選好の範囲内に抑えることが可能となります。このプロセスは、単にリスクを回避するのではなく、適切に管理しながらビジネスを継続するための国際的な標準手法です。
不正解: 現地の規制のみに従い、本国の厳格な基準を緩和するアプローチは、グローバルなコンプライアンス体制の脆弱性を生み、規制当局からの制裁リスクを高めます。また、リスクを精査せずに一律に顧客を排除するデリスキングは、リスクベース・アプローチの適切な運用とは言えず、ビジネス機会の不当な喪失を招きます。さらに、コントロールの有効性を検証せずにリスク選好を拡大することは、組織の許容範囲を超えた損失を招く危険性があり、ガバナンスの欠如を示唆します。
ポイント: リスク管理の要諦は、固有リスクに対して適切なコントロールを設計・運用し、残留リスクを組織のリスク選好と一致させることにあります。
Incorrect
正解: リスクベース・アプローチ(RBA)の原則に基づき、高い固有リスクに対しては、強化されたデューデリジェンス(EDD)や厳格な取引モニタリングなどの強力な内部統制を適用する必要があります。これにより、最終的な残留リスクを、取締役会が設定したリスク選好の範囲内に抑えることが可能となります。このプロセスは、単にリスクを回避するのではなく、適切に管理しながらビジネスを継続するための国際的な標準手法です。
不正解: 現地の規制のみに従い、本国の厳格な基準を緩和するアプローチは、グローバルなコンプライアンス体制の脆弱性を生み、規制当局からの制裁リスクを高めます。また、リスクを精査せずに一律に顧客を排除するデリスキングは、リスクベース・アプローチの適切な運用とは言えず、ビジネス機会の不当な喪失を招きます。さらに、コントロールの有効性を検証せずにリスク選好を拡大することは、組織の許容範囲を超えた損失を招く危険性があり、ガバナンスの欠如を示唆します。
ポイント: リスク管理の要諦は、固有リスクに対して適切なコントロールを設計・運用し、残留リスクを組織のリスク選好と一致させることにあります。
-
Question 11 of 30
11. Question
ある多国籍金融機関が、厳格なデータ保護法(GDPR等)を施行している一方で、金融犯罪リスクが高いと評価されている新たな管轄区域への進出を計画しています。この機関のグローバルなAML/KYCポリシーでは、高リスク顧客の詳細な情報をグループ内で共有し、一元的なモニタリングを行うことが義務付けられていますが、現地の法律では個人データの国外移転が厳しく制限されています。このような規制の衝突が発生している状況において、コンプライアンス担当者が取るべき最も適切な対応はどれですか。
Correct
正解: 多国籍金融機関において、異なる管轄区域の規制が衝突する場合、リスクベース・アプローチ(RBA)に基づき、現地の法的制約(データ保護法など)とグループ全体のコンプライアンス基準の双方を満たす解決策を模索する必要があります。データ保護影響評価(DPIA)を実施することで、どのデータが共有可能で、どのデータに制限があるかを明確に特定できます。その上で、法的に許容される範囲内でリスクを緩和するための代替的なコントロールや、現地に特化したリスク評価フレームワークを構築することは、規制遵守とリスク管理の整合性を図る上で最も適切な実務的対応です。
不正解: グループのAML基準を現地の法律より優先させるアプローチは、進出先の管轄区域における重大な法的違反を招き、業務停止や巨額の罰金につながるリスクがあるため不適切です。また、高リスク顧客を一律に排除する「デリスキング」に近い対応は、リスクを適切に評価・管理するというRBAの原則に反し、正当なビジネス機会を不当に制限することになります。現地の最低限の要件のみに依拠し、グローバルなリスク評価基準を放棄するアプローチは、グループ全体のリスク許容度(リスクアペタイト)を無視することになり、組織全体の残留リスクを許容できないレベルまで高める危険性があります。
ポイント: 管轄区域間で規制の衝突が生じる場合は、データ保護影響評価等を通じて、現地の法的遵守とグローバルなリスク管理基準を両立させるカスタマイズされた管理態勢の構築が不可欠です。
Incorrect
正解: 多国籍金融機関において、異なる管轄区域の規制が衝突する場合、リスクベース・アプローチ(RBA)に基づき、現地の法的制約(データ保護法など)とグループ全体のコンプライアンス基準の双方を満たす解決策を模索する必要があります。データ保護影響評価(DPIA)を実施することで、どのデータが共有可能で、どのデータに制限があるかを明確に特定できます。その上で、法的に許容される範囲内でリスクを緩和するための代替的なコントロールや、現地に特化したリスク評価フレームワークを構築することは、規制遵守とリスク管理の整合性を図る上で最も適切な実務的対応です。
不正解: グループのAML基準を現地の法律より優先させるアプローチは、進出先の管轄区域における重大な法的違反を招き、業務停止や巨額の罰金につながるリスクがあるため不適切です。また、高リスク顧客を一律に排除する「デリスキング」に近い対応は、リスクを適切に評価・管理するというRBAの原則に反し、正当なビジネス機会を不当に制限することになります。現地の最低限の要件のみに依拠し、グローバルなリスク評価基準を放棄するアプローチは、グループ全体のリスク許容度(リスクアペタイト)を無視することになり、組織全体の残留リスクを許容できないレベルまで高める危険性があります。
ポイント: 管轄区域間で規制の衝突が生じる場合は、データ保護影響評価等を通じて、現地の法的遵守とグローバルなリスク管理基準を両立させるカスタマイズされた管理態勢の構築が不可欠です。
-
Question 12 of 30
12. Question
ある多国籍金融機関のコンプライアンス部門は、規制当局による年次審査において、特定の高リスク地域におけるコルレス銀行業務のポートフォリオが、現在の「リスク選好(リスク・アペタイト)」の枠組みを逸脱しているとの指摘を受けました。この機関は、当該地域でのビジネスを継続する方針ですが、現在の管理体制では規制上の期待に応えるためのコントロールが不十分であることが判明しています。この状況において、リスクベース・アプローチに基づき、残留リスクを許容可能なレベルまで下げるために最も適切な対応はどれですか。
Correct
正解: リスク選好(リスク・アペタイト)を超えたリスクに直面した場合、金融機関はリスクを単に無視したり受け入れたりするのではなく、適切なコントロールを適用してリスクを許容可能なレベルまで軽減する必要があります。これをリスクの「処置(トリート)」と呼びます。強化されたデューデリジェンス(EDD)の実施や、取引モニタリングの閾値をより厳格に設定することは、固有リスクに対して直接的な緩和措置を講じることであり、結果として残留リスクを組織の定義したリスク選好の範囲内に収めるための正当なリスク管理手法です。
不正解: 当該地域との取引を即座に停止する「回避」という選択肢は、リスクをゼロにしますが、金融包摂の観点やビジネス戦略の観点からは極端な措置であり、リスクベース・アプローチの本来の目的である「リスクの適切な管理」とは異なります。また、十分な緩和策を講じずにリスクをそのまま「受容」することは、規制当局からの制裁や法的リスクを招く可能性が高く、コンプライアンス上不適切です。さらに、リスク管理の責任を外部の提携銀行に全面的に委託することは、自行の監督責任を放棄することになり、規制上の要件を満たしません。
ポイント: リスク選好を超えるリスクに対しては、適切なコントロールを適用して残留リスクを許容範囲内に抑える「リスクの処置」が、リスクベース・アプローチにおける基本的な戦略である。
Incorrect
正解: リスク選好(リスク・アペタイト)を超えたリスクに直面した場合、金融機関はリスクを単に無視したり受け入れたりするのではなく、適切なコントロールを適用してリスクを許容可能なレベルまで軽減する必要があります。これをリスクの「処置(トリート)」と呼びます。強化されたデューデリジェンス(EDD)の実施や、取引モニタリングの閾値をより厳格に設定することは、固有リスクに対して直接的な緩和措置を講じることであり、結果として残留リスクを組織の定義したリスク選好の範囲内に収めるための正当なリスク管理手法です。
不正解: 当該地域との取引を即座に停止する「回避」という選択肢は、リスクをゼロにしますが、金融包摂の観点やビジネス戦略の観点からは極端な措置であり、リスクベース・アプローチの本来の目的である「リスクの適切な管理」とは異なります。また、十分な緩和策を講じずにリスクをそのまま「受容」することは、規制当局からの制裁や法的リスクを招く可能性が高く、コンプライアンス上不適切です。さらに、リスク管理の責任を外部の提携銀行に全面的に委託することは、自行の監督責任を放棄することになり、規制上の要件を満たしません。
ポイント: リスク選好を超えるリスクに対しては、適切なコントロールを適用して残留リスクを許容範囲内に抑える「リスクの処置」が、リスクベース・アプローチにおける基本的な戦略である。
-
Question 13 of 30
13. Question
ある多国籍金融機関が、高い地政学的リスクを抱える新興市場への進出を計画しています。コンプライアンス部門は、標準的な顧客デューデリジェンス(CDD)および取引モニタリングを導入した後も、依然として許容できないレベルの「残留リスク」が残ると予測しています。この状況において、リスクベース・アプローチに基づき、リスク選好度(リスク・アペタイト)を考慮した上で、コンプライアンス・ポリシーに盛り込むべき最も適切な対応策はどれですか。
Correct
正解: 残留リスクとは、内部統制(コントロール)を適用した後に依然として残るリスクを指します。リスクベース・アプローチにおいて、この残留リスクが組織のあらかじめ定義されたリスク選好度(リスク・アペタイト)を超えている場合、組織は追加の緩和策を導入してリスクを許容範囲内まで下げる(Treat)か、あるいはその業務自体を行わないことでリスクを回避する(Avoid)という意思決定を行う必要があります。これは、リスク管理のフレームワークにおける健全なガバナンスの根幹を成すプロセスです。
不正解: 標準的な内部統制が有効であっても、固有リスクが極めて高い場合には残留リスクが許容範囲を超えてしまう可能性があるため、評価を省略して事業を継続することは不適切です。また、すべての高リスク顧客を一律に排除する手法(デリスキング)は、個別のリスク評価に基づくリスクベース・アプローチの原則に反しており、金融包摂の観点からも推奨されません。さらに、収益性がコンプライアンス・コストを上回るという理由だけでリスク選好度を無視してリスクを受け入れることは、法的・規制的リスクを増大させ、企業のコンプライアンス文化を著しく損なう判断です。
ポイント: 残留リスクが組織のリスク選好度を超える場合は、追加の緩和措置を講じるか、あるいはリスクそのものを回避する意思決定を行わなければならない。
Incorrect
正解: 残留リスクとは、内部統制(コントロール)を適用した後に依然として残るリスクを指します。リスクベース・アプローチにおいて、この残留リスクが組織のあらかじめ定義されたリスク選好度(リスク・アペタイト)を超えている場合、組織は追加の緩和策を導入してリスクを許容範囲内まで下げる(Treat)か、あるいはその業務自体を行わないことでリスクを回避する(Avoid)という意思決定を行う必要があります。これは、リスク管理のフレームワークにおける健全なガバナンスの根幹を成すプロセスです。
不正解: 標準的な内部統制が有効であっても、固有リスクが極めて高い場合には残留リスクが許容範囲を超えてしまう可能性があるため、評価を省略して事業を継続することは不適切です。また、すべての高リスク顧客を一律に排除する手法(デリスキング)は、個別のリスク評価に基づくリスクベース・アプローチの原則に反しており、金融包摂の観点からも推奨されません。さらに、収益性がコンプライアンス・コストを上回るという理由だけでリスク選好度を無視してリスクを受け入れることは、法的・規制的リスクを増大させ、企業のコンプライアンス文化を著しく損なう判断です。
ポイント: 残留リスクが組織のリスク選好度を超える場合は、追加の緩和措置を講じるか、あるいはリスクそのものを回避する意思決定を行わなければならない。
-
Question 14 of 30
14. Question
あなたはグローバル金融機関のコンプライアンス・マネージャーです。当行は来月、東南アジアの新興市場において、現地のフィンテック企業と提携した新しいクロスボーダー決済サービスの導入を計画しています。初期のリスク評価では、当該地域の規制環境の不透明さと提携先のKYC基準の差異により、高い固有リスクが特定されました。経営陣は、このプロジェクトが当行の戦略的目標に不可欠であると強調していますが、同時にリスク許容度の範囲内での運用を求めています。この状況において、リスクベース・アプローチに基づき、残留リスクを許容可能なレベルまで下げるために最も適切な対応はどれですか。
Correct
正解: リスクベース・アプローチにおいて、高い固有リスクが特定された場合、組織はリスクを単に回避するのではなく、適切な緩和措置(コントロール)を講じて残留リスクを許容可能なレベルまで低減させる必要があります。追加のデューデリジェンスの実施や取引監視の強化は、リスクを「扱う(Treat)」または「制御する(Control)」戦略の核心であり、これによりビジネスの目的を達成しつつ、コンプライアンス上の安全性を確保することが可能になります。これは、国際的な指針やFATFの勧告にも合致する実務的な対応です。
不正解: プロジェクトの無期限延期はリスクを完全に「回避」する選択肢ですが、経営陣の戦略的目標を無視しており、ビジネスの成長を阻害する過度な対応となります。また、標準的なコントロールのみを適用し事後対応に頼る手法は、高い固有リスクを適切に管理できておらず、残留リスクがリスク許容度を超過する可能性が極めて高いため不適切です。さらに、リスクの低い市場へ直ちにリソースを再配分する判断は、リスク評価に基づく緩和策の検討を放棄しており、戦略的なリスク管理の観点から欠陥があります。
ポイント: リスク管理の要諦は、特定された固有リスクに対して適切な緩和策を適用し、残留リスクを組織のリスク許容度内に収めるプロセスを確立することにある。
Incorrect
正解: リスクベース・アプローチにおいて、高い固有リスクが特定された場合、組織はリスクを単に回避するのではなく、適切な緩和措置(コントロール)を講じて残留リスクを許容可能なレベルまで低減させる必要があります。追加のデューデリジェンスの実施や取引監視の強化は、リスクを「扱う(Treat)」または「制御する(Control)」戦略の核心であり、これによりビジネスの目的を達成しつつ、コンプライアンス上の安全性を確保することが可能になります。これは、国際的な指針やFATFの勧告にも合致する実務的な対応です。
不正解: プロジェクトの無期限延期はリスクを完全に「回避」する選択肢ですが、経営陣の戦略的目標を無視しており、ビジネスの成長を阻害する過度な対応となります。また、標準的なコントロールのみを適用し事後対応に頼る手法は、高い固有リスクを適切に管理できておらず、残留リスクがリスク許容度を超過する可能性が極めて高いため不適切です。さらに、リスクの低い市場へ直ちにリソースを再配分する判断は、リスク評価に基づく緩和策の検討を放棄しており、戦略的なリスク管理の観点から欠陥があります。
ポイント: リスク管理の要諦は、特定された固有リスクに対して適切な緩和策を適用し、残留リスクを組織のリスク許容度内に収めるプロセスを確立することにある。
-
Question 15 of 30
15. Question
ある多国籍金融機関のKYCアナリストが、汚職リスクが高いと評価されている管轄区域に居住する重要な公的地位を有する者(PEP)からの法人口座開設申請をレビューしています。この法人は複雑な所有構造を持っており、複数のオフショア拠点にまたがる実質的支配者が存在します。機関の内部リスク評価システムは、この事案を「高リスク」としてアラートを発出しました。この状況において、リスクベース・アプローチに基づきアナリストが取るべき最も適切な対応はどれですか。
Correct
正解: 高リスクのPEP(重要な公的地位を有する者)や複雑な実質的支配構造を持つ顧客に対しては、国際的な基準に基づき強化された顧客デューデリジェンス(EDD)を実施することが義務付けられています。これには、単なる身元確認だけでなく、資産の源泉(SOW)および資金の源泉(SOF)の妥当性を公的書類や信頼できる情報源から検証することが含まれます。また、高リスク顧客の受け入れは、機関の定義したリスク許容度(リスク・アペタイト)に合致している必要があり、最終的な承認は適切な権限を持つ上級管理職が行うことが、リスクベース・アプローチにおける標準的な内部統制です。
不正解: 自動化されたリスクスコアや顧客の自己申告のみに依拠する手法は、高リスク事案に必要な深度の検証を欠いており、規制上の期待を満たしません。また、リスクを特定した直後に調査を行わず一律に拒絶する行為は、適切なリスク評価を放棄した「デリスキング」とみなされる可能性があり、リスクベース・アプローチの原則に反します。さらに、現地の基準のみに合わせる手法は、多国籍金融機関が遵守すべきより厳格なグローバル基準やグループ内ポリシーを無視することになり、管轄区域を越えた規制リスクを増大させるため不適切です。
ポイント: 高リスク顧客の管理では、EDDによる資産・資金源泉の徹底した検証と、リスク許容度に基づく上級管理職の承認プロセスが不可欠である。
Incorrect
正解: 高リスクのPEP(重要な公的地位を有する者)や複雑な実質的支配構造を持つ顧客に対しては、国際的な基準に基づき強化された顧客デューデリジェンス(EDD)を実施することが義務付けられています。これには、単なる身元確認だけでなく、資産の源泉(SOW)および資金の源泉(SOF)の妥当性を公的書類や信頼できる情報源から検証することが含まれます。また、高リスク顧客の受け入れは、機関の定義したリスク許容度(リスク・アペタイト)に合致している必要があり、最終的な承認は適切な権限を持つ上級管理職が行うことが、リスクベース・アプローチにおける標準的な内部統制です。
不正解: 自動化されたリスクスコアや顧客の自己申告のみに依拠する手法は、高リスク事案に必要な深度の検証を欠いており、規制上の期待を満たしません。また、リスクを特定した直後に調査を行わず一律に拒絶する行為は、適切なリスク評価を放棄した「デリスキング」とみなされる可能性があり、リスクベース・アプローチの原則に反します。さらに、現地の基準のみに合わせる手法は、多国籍金融機関が遵守すべきより厳格なグローバル基準やグループ内ポリシーを無視することになり、管轄区域を越えた規制リスクを増大させるため不適切です。
ポイント: 高リスク顧客の管理では、EDDによる資産・資金源泉の徹底した検証と、リスク許容度に基づく上級管理職の承認プロセスが不可欠である。
-
Question 16 of 30
16. Question
ある多国籍銀行が、高リスクと見なされる管轄区域に拠点を置くフィンテック企業向けに、新しいクロスボーダー決済サービスの提供を検討しています。初期のリスク評価を実施した結果、このプロジェクトの固有リスクは、銀行が定義したリスク許容度(リスク・アペタイト)を大幅に上回っていることが判明しました。この状況において、リスクベース・アプローチに基づき、コンプライアンス担当者が推奨すべき最も適切な対応はどれですか。
Correct
正解: リスクベース・アプローチの基本原則は、特定されたリスクのレベルに応じてリソースを配分し、適切な緩和策を講じることです。固有リスクが組織のリスク許容度を超えている場合、直ちに取引を拒絶するのではなく、強化されたデューデリジェンス(EDD)の実施や、より厳格な取引モニタリング・コントロールの導入を通じて、リスクを許容可能なレベル(残留リスク)まで低減させるアプローチが、国際的な指針(FATF勧告など)において推奨される標準的な実務です。
不正解: リスクを完全に回避するために事業計画を即座に中止する手法は、リスク管理戦略の一つではありますが、ビジネスの機会を不必要に損なう可能性があり、緩和策の検討を飛び越えた極端な判断と見なされます。また、追加の対策を講じることなく高い固有リスクをそのまま受け入れることは、規制当局からの制裁や重大な金融犯罪に巻き込まれる可能性を高めるため、不適切です。さらに、コンプライアンス業務を外部に委託したとしても、最終的な法的責任や管理責任は金融機関自身に留まるため、アウトソーシングによってリスクや責任を完全に免除させることはできません。
ポイント: 効果的なリスク管理とは、固有リスクに対して適切な内部統制を適用し、残留リスクを組織のリスク許容度内に収めるプロセスを指します。
Incorrect
正解: リスクベース・アプローチの基本原則は、特定されたリスクのレベルに応じてリソースを配分し、適切な緩和策を講じることです。固有リスクが組織のリスク許容度を超えている場合、直ちに取引を拒絶するのではなく、強化されたデューデリジェンス(EDD)の実施や、より厳格な取引モニタリング・コントロールの導入を通じて、リスクを許容可能なレベル(残留リスク)まで低減させるアプローチが、国際的な指針(FATF勧告など)において推奨される標準的な実務です。
不正解: リスクを完全に回避するために事業計画を即座に中止する手法は、リスク管理戦略の一つではありますが、ビジネスの機会を不必要に損なう可能性があり、緩和策の検討を飛び越えた極端な判断と見なされます。また、追加の対策を講じることなく高い固有リスクをそのまま受け入れることは、規制当局からの制裁や重大な金融犯罪に巻き込まれる可能性を高めるため、不適切です。さらに、コンプライアンス業務を外部に委託したとしても、最終的な法的責任や管理責任は金融機関自身に留まるため、アウトソーシングによってリスクや責任を完全に免除させることはできません。
ポイント: 効果的なリスク管理とは、固有リスクに対して適切な内部統制を適用し、残留リスクを組織のリスク許容度内に収めるプロセスを指します。
-
Question 17 of 30
17. Question
ある多国籍金融機関のコンプライアンス担当者は、当行のリスク許容度(リスク・アペタイト)を再評価する過程で、特定の高リスク国に居住する顧客ポートフォリオの扱いについて検討しています。最近、その国はFATFの「監視対象国(グレーリスト)」に追加されました。この状況において、リスクベース・アプローチに基づき、当行の金融犯罪コンプライアンス・プログラムを調整する最も適切な方法はどれですか。
Correct
正解: リスクベース・アプローチ(RBA)の核心は、特定されたリスクのレベルに応じてリソースを配分し、管理策を調整することにあります。FATFのグレーリスト入りという外部環境の変化は、地理的リスクの上昇を意味します。この場合、リスク許容度(リスク・アペタイト)を再確認した上で、強化された顧客デューデリジェンス(EDD)を適用し、必要に応じて高リスクな製品提供を制限することで、残留リスクを組織が許容できる水準まで低減させることが、規制上の期待に沿った適切な対応となります。
不正解: すべての取引を直ちに停止し口座を閉鎖するアプローチは、リスクの評価や緩和を伴わない「デリスキング」に該当し、FATFも推奨していません。また、リスクが上昇しているにもかかわらず標準的なCDDを維持することは、不適切なリスク管理であり、重大なコンプライアンス違反を招く可能性があります。さらに、外部環境に重大な変化が生じた際に、次回の定期的な全社的リスク評価(EWRA)まで対応を遅らせることは、動的なリスク管理の原則に反し、組織を過度なリスクにさらすことになります。
ポイント: リスクベース・アプローチにおいては、外部環境の変化に応じてリスク評価を適宜更新し、残留リスクをリスク許容度内に収めるための動的な管理策の調整が不可欠である。
Incorrect
正解: リスクベース・アプローチ(RBA)の核心は、特定されたリスクのレベルに応じてリソースを配分し、管理策を調整することにあります。FATFのグレーリスト入りという外部環境の変化は、地理的リスクの上昇を意味します。この場合、リスク許容度(リスク・アペタイト)を再確認した上で、強化された顧客デューデリジェンス(EDD)を適用し、必要に応じて高リスクな製品提供を制限することで、残留リスクを組織が許容できる水準まで低減させることが、規制上の期待に沿った適切な対応となります。
不正解: すべての取引を直ちに停止し口座を閉鎖するアプローチは、リスクの評価や緩和を伴わない「デリスキング」に該当し、FATFも推奨していません。また、リスクが上昇しているにもかかわらず標準的なCDDを維持することは、不適切なリスク管理であり、重大なコンプライアンス違反を招く可能性があります。さらに、外部環境に重大な変化が生じた際に、次回の定期的な全社的リスク評価(EWRA)まで対応を遅らせることは、動的なリスク管理の原則に反し、組織を過度なリスクにさらすことになります。
ポイント: リスクベース・アプローチにおいては、外部環境の変化に応じてリスク評価を適宜更新し、残留リスクをリスク許容度内に収めるための動的な管理策の調整が不可欠である。
-
Question 18 of 30
18. Question
あるグローバル金融機関の内部監査において、特定の高リスク管轄区域における残留リスクが、取締役会で承認されたリスク許容度(リスク・アペタイト)を継続的に上回っていることが判明しました。当行の基本方針は、これらのリスクを「軽減(Treat)」することですが、現在の管理態勢では目標とするリスク水準を維持できていないと指摘されています。コンプライアンス担当者が、組織のリスク許容度と現状のリスクプロファイルを一致させるために取るべき最も適切な行動はどれですか。
Correct
正解: リスク管理戦略において「軽減(Treat)」を選択している場合、固有リスクに対して内部統制を適用した後の「残留リスク」を、組織が定義したリスク許容度(リスク・アペタイト)の範囲内に収める必要があります。内部監査により残留リスクが許容度を超えていると特定された場合、コンプライアンス担当者は既存のコントロールの有効性を再評価し、不足している管理策を補うための追加措置(強化されたデューデリジェンスの実施や監視頻度の向上など)を講じることで、リスクを許容可能な水準まで引き下げる義務があります。これはリスクベース・アプローチの核心的なプロセスです。
不正解: 特定の管轄区域からの全面的な撤退は「回避(Avoid)」という別の戦略であり、当初の「軽減」という方針と矛盾するだけでなく、正当な理由のない「デ・リスキング」として規制当局から批判される可能性があります。また、現状のリスク水準に合わせてリスク許容度を事後的に変更することは、ガバナンスの枠組みを無効化する行為であり、根本的なリスク解決にはなりません。さらに、既存のモニタリングシステムにのみ依存し続けることは、監査で指摘された「管理態勢の不十分さ」という事実を無視しており、残留リスクを低減させるための能動的な対策とは言えません。
ポイント: 残留リスクがリスク許容度を超過した際は、リスク管理戦略に基づき、内部統制の強化を通じてリスクを許容範囲内に収めるための具体的な是正措置を講じなければならない。
Incorrect
正解: リスク管理戦略において「軽減(Treat)」を選択している場合、固有リスクに対して内部統制を適用した後の「残留リスク」を、組織が定義したリスク許容度(リスク・アペタイト)の範囲内に収める必要があります。内部監査により残留リスクが許容度を超えていると特定された場合、コンプライアンス担当者は既存のコントロールの有効性を再評価し、不足している管理策を補うための追加措置(強化されたデューデリジェンスの実施や監視頻度の向上など)を講じることで、リスクを許容可能な水準まで引き下げる義務があります。これはリスクベース・アプローチの核心的なプロセスです。
不正解: 特定の管轄区域からの全面的な撤退は「回避(Avoid)」という別の戦略であり、当初の「軽減」という方針と矛盾するだけでなく、正当な理由のない「デ・リスキング」として規制当局から批判される可能性があります。また、現状のリスク水準に合わせてリスク許容度を事後的に変更することは、ガバナンスの枠組みを無効化する行為であり、根本的なリスク解決にはなりません。さらに、既存のモニタリングシステムにのみ依存し続けることは、監査で指摘された「管理態勢の不十分さ」という事実を無視しており、残留リスクを低減させるための能動的な対策とは言えません。
ポイント: 残留リスクがリスク許容度を超過した際は、リスク管理戦略に基づき、内部統制の強化を通じてリスクを許容範囲内に収めるための具体的な是正措置を講じなければならない。
-
Question 19 of 30
19. Question
ある多国籍金融機関の内部監査において、欧州連合(EU)圏内の新拠点におけるトランザクション監視モデルの運用に関する指摘事項が上がりました。本国のコンプライアンス部門は、全社的なリスク評価モデルの精度を維持するために、現地の高リスク顧客に関する詳細な取引データと個人情報を本国の集中管理システムへ転送し、モデル検証を行うことを求めています。しかし、現地の法務担当者は、一般データ保護規則(GDPR)に基づき、適切な法的根拠や顧客の同意なしに詳細な個人データを域外へ転送することに強い懸念を示しています。この状況において、リスク管理の有効性と規制遵守を両立させるための最も適切な対応はどれですか。
Correct
正解: リスクベース・アプローチ(RBA)においては、各管轄区域の固有の法的制約、特にデータ保護やプライバシーに関する規制を十分に考慮する必要があります。グローバルなモデルの有効性を維持するためには、詳細な個人データの直接的な共有が制限されている場合でも、データの匿名化や集計、あるいは現地での分散型検証といった代替手法を用いてモデルの妥当性を確認することが求められます。これにより、現地の法律を遵守しつつ、グループ全体のリスク管理フレームワークとの整合性を保ち、必要に応じて現地のコントロールを強化することで残留リスクを適切に管理できます。
不正解: グローバルなリスク選好を優先して現地の法規制を無視するアプローチは、重大な法的制裁やレピュテーションリスクを招くため、コンプライアンスの観点から許容されません。また、データ共有が困難であることを理由に特定の管轄区域をモデル検証の対象から完全に除外することは、グループ全体のガバナンスの欠如を意味し、規制当局による「監督不備」の指摘対象となります。さらに、リスクを精査せずに直ちに事業や商品の提供を停止するデリスキング(リスク回避)は、リスク管理の本来の目的である「リスクの制御と緩和」を放棄するものであり、まずは代替的な緩和策を検討すべきです。
ポイント: 国際的なAMLプログラムの運用では、現地のデータプライバシー法とグローバルな監視要件の対立を理解し、法遵守とリスク管理の有効性を両立させる代替的なコントロールの構築が不可欠です。
Incorrect
正解: リスクベース・アプローチ(RBA)においては、各管轄区域の固有の法的制約、特にデータ保護やプライバシーに関する規制を十分に考慮する必要があります。グローバルなモデルの有効性を維持するためには、詳細な個人データの直接的な共有が制限されている場合でも、データの匿名化や集計、あるいは現地での分散型検証といった代替手法を用いてモデルの妥当性を確認することが求められます。これにより、現地の法律を遵守しつつ、グループ全体のリスク管理フレームワークとの整合性を保ち、必要に応じて現地のコントロールを強化することで残留リスクを適切に管理できます。
不正解: グローバルなリスク選好を優先して現地の法規制を無視するアプローチは、重大な法的制裁やレピュテーションリスクを招くため、コンプライアンスの観点から許容されません。また、データ共有が困難であることを理由に特定の管轄区域をモデル検証の対象から完全に除外することは、グループ全体のガバナンスの欠如を意味し、規制当局による「監督不備」の指摘対象となります。さらに、リスクを精査せずに直ちに事業や商品の提供を停止するデリスキング(リスク回避)は、リスク管理の本来の目的である「リスクの制御と緩和」を放棄するものであり、まずは代替的な緩和策を検討すべきです。
ポイント: 国際的なAMLプログラムの運用では、現地のデータプライバシー法とグローバルな監視要件の対立を理解し、法遵守とリスク管理の有効性を両立させる代替的なコントロールの構築が不可欠です。
-
Question 20 of 30
20. Question
ある多国籍金融機関が、汚職リスクが高いと評価されている新興市場への進出を計画しています。この機関の「リスク選好(リスク・アペタイト)」では、高リスクな政治的公職者(PEP)との取引は原則として制限されていますが、現地の戦略的パートナーシップを維持するためには、一部の特定の顧客との取引が不可欠であると判断されました。この状況において、リスクベース・アプローチに基づき、残留リスクを許容可能なレベルまで抑えるための最も適切な対応はどれですか。
Correct
正解: リスクベース・アプローチにおいて、固有リスクが組織の定義するリスク選好(リスク・アペタイト)を超えている場合、適切な緩和措置(コントロール)を講じることで、残留リスクを許容可能なレベルまで下げる「軽減(Treat)」という戦略が最も適切です。強化された顧客デューデリジェンス(EDD)や取引モニタリングの強化は、高リスクな顧客属性に伴う脅威を効果的に管理し、規制遵守とビジネス目標の両立を可能にします。
不正解: 戦略的重要性を理由にリスクをそのまま「受容」するアプローチは、適切なコントロールが欠如している場合、重大な規制違反や制裁のリスクを招くため不適切です。また、リスクを完全に「回避」することは、リスクベース・アプローチの本来の目的である「リスクに応じた管理」ではなく、過度なデリスキング(取引排除)につながり、ビジネス機会を不当に損なう可能性があります。さらに、コンプライアンスの最終的な責任は常に金融機関自身にあり、外部委託によって法的責任やリスクを完全に「転嫁」することは制度上不可能です。
ポイント: リスク管理の核心は、適切なコントロールを適用して残留リスクをリスク選好の範囲内に収め、ビジネスの継続性と規制遵守のバランスを維持することにあります。
Incorrect
正解: リスクベース・アプローチにおいて、固有リスクが組織の定義するリスク選好(リスク・アペタイト)を超えている場合、適切な緩和措置(コントロール)を講じることで、残留リスクを許容可能なレベルまで下げる「軽減(Treat)」という戦略が最も適切です。強化された顧客デューデリジェンス(EDD)や取引モニタリングの強化は、高リスクな顧客属性に伴う脅威を効果的に管理し、規制遵守とビジネス目標の両立を可能にします。
不正解: 戦略的重要性を理由にリスクをそのまま「受容」するアプローチは、適切なコントロールが欠如している場合、重大な規制違反や制裁のリスクを招くため不適切です。また、リスクを完全に「回避」することは、リスクベース・アプローチの本来の目的である「リスクに応じた管理」ではなく、過度なデリスキング(取引排除)につながり、ビジネス機会を不当に損なう可能性があります。さらに、コンプライアンスの最終的な責任は常に金融機関自身にあり、外部委託によって法的責任やリスクを完全に「転嫁」することは制度上不可能です。
ポイント: リスク管理の核心は、適切なコントロールを適用して残留リスクをリスク選好の範囲内に収め、ビジネスの継続性と規制遵守のバランスを維持することにあります。
-
Question 21 of 30
21. Question
チーフ・リスク・オフィサー(CRO)からコンプライアンス部門に対し、以下の指示がありました。「我が行は汚職リスクが高いとされる新市場への進出を決定した。グループのリスク許容度声明(RAS)では、中程度以上のリスクを伴う取引には厳格な管理を求めている。残留リスクを許容範囲内に維持しつつ、この新市場でビジネスを展開するための管理体制を構築せよ。」この要請に対し、リスクベース・アプローチの観点から取るべき最も適切な行動はどれですか。
Correct
正解: リスクベース・アプローチ(RBA)の核心は、特定された固有リスクに対して適切なコントロールを適用し、残留リスクを組織が定義したリスク許容度(リスク・アペタイト)の範囲内に収めることです。汚職リスクが高い管轄区域においては、強化された顧客デューデリジェンス(EDD)や取引モニタリングの頻度向上といった追加的なコントロールを導入することで、リスクを「扱う(Treat)」ことが、ビジネス目標とコンプライアンスのバランスを保つ上で最も適切です。
不正解: 標準的なCDDのみを適用し異常検知に依存する手法は、高リスク環境における予防的コントロールとして不十分であり、残留リスクが許容範囲を超える可能性が高いため不適切です。現地のビジネス慣行を優先してグループ方針を緩和することは、組織全体のコンプライアンス文化を損ない、重大な規制違反を招く恐れがあります。また、高リスク顧客を一律に排除する手法は、リスクの「回避(Avoid)」に該当しますが、これはリスク管理の戦略の一つではあるものの、リスク許容度に基づきビジネスを推進するという今回の要請に対しては、戦略的な柔軟性を欠いた過度な対応となります。
ポイント: リスクベース・アプローチの本質は、固有リスクに対して有効なコントロールを設計・運用し、残留リスクを組織のリスク許容度の範囲内に管理することにあります。
Incorrect
正解: リスクベース・アプローチ(RBA)の核心は、特定された固有リスクに対して適切なコントロールを適用し、残留リスクを組織が定義したリスク許容度(リスク・アペタイト)の範囲内に収めることです。汚職リスクが高い管轄区域においては、強化された顧客デューデリジェンス(EDD)や取引モニタリングの頻度向上といった追加的なコントロールを導入することで、リスクを「扱う(Treat)」ことが、ビジネス目標とコンプライアンスのバランスを保つ上で最も適切です。
不正解: 標準的なCDDのみを適用し異常検知に依存する手法は、高リスク環境における予防的コントロールとして不十分であり、残留リスクが許容範囲を超える可能性が高いため不適切です。現地のビジネス慣行を優先してグループ方針を緩和することは、組織全体のコンプライアンス文化を損ない、重大な規制違反を招く恐れがあります。また、高リスク顧客を一律に排除する手法は、リスクの「回避(Avoid)」に該当しますが、これはリスク管理の戦略の一つではあるものの、リスク許容度に基づきビジネスを推進するという今回の要請に対しては、戦略的な柔軟性を欠いた過度な対応となります。
ポイント: リスクベース・アプローチの本質は、固有リスクに対して有効なコントロールを設計・運用し、残留リスクを組織のリスク許容度の範囲内に管理することにあります。
-
Question 22 of 30
22. Question
内部監査報告書の抜粋によると、あるグローバル金融機関が半年前に導入したフィンテック企業との提携製品において、固有のリスク評価が不十分であったことが指摘されました。この製品はパススルー型の決済構造を持っていますが、導入時の評価では既存の汎用的なリスク評価テンプレートが流用されており、この特殊な資金の流れに伴う匿名性や不透明な資金源のリスクが十分に考慮されていませんでした。当行のリスク選好(リスク・アペタイト)声明では、監視が不十分な高リスク・チャネルの利用を厳格に制限しています。この状況において、リスク管理担当者がコンプライアンス・プログラムをリスク選好に適合させるためにとるべき最も適切な対応はどれですか。
Correct
正解: リスクベース・アプローチにおいて、リスク評価は製品の特性(この場合はパススルー構造)を正確に反映していなければなりません。固有リスクを正しく特定し、それに対するコントロール(緩和策)の有効性を評価することで、最終的な残留リスクを算出する必要があります。これが組織のリスク選好(リスク・アペタイト)内に収まっているかを確認することが、規制上の期待に応える適切なプロセスです。適切なリスク管理には、評価、緩和、そして残留リスクの検証という一連のサイクルが不可欠です。
不正解: 提携の即時解消は、リスク管理戦略における「回避」に該当しますが、まずは適切な評価と緩和が可能かを確認するのが先決であり、ビジネス上の合理性を欠く過剰な対応となる場合があります。テンプレートの改訂のみを行い、現在のリスクスコアを修正しないことは、現存するリスクを放置することになり、監査指摘への根本的な対応とは言えません。また、リスク評価を修正せずにモニタリングのみを強化することは、リスク評価の結果が管理態勢を決定するというリスクベースの原則に反しており、評価と運用の整合性が取れなくなります。
ポイント: リスク評価は製品固有の性質を反映したものである必要があり、残留リスクが組織のリスク選好と一致していることを継続的に検証しなければなりません。
Incorrect
正解: リスクベース・アプローチにおいて、リスク評価は製品の特性(この場合はパススルー構造)を正確に反映していなければなりません。固有リスクを正しく特定し、それに対するコントロール(緩和策)の有効性を評価することで、最終的な残留リスクを算出する必要があります。これが組織のリスク選好(リスク・アペタイト)内に収まっているかを確認することが、規制上の期待に応える適切なプロセスです。適切なリスク管理には、評価、緩和、そして残留リスクの検証という一連のサイクルが不可欠です。
不正解: 提携の即時解消は、リスク管理戦略における「回避」に該当しますが、まずは適切な評価と緩和が可能かを確認するのが先決であり、ビジネス上の合理性を欠く過剰な対応となる場合があります。テンプレートの改訂のみを行い、現在のリスクスコアを修正しないことは、現存するリスクを放置することになり、監査指摘への根本的な対応とは言えません。また、リスク評価を修正せずにモニタリングのみを強化することは、リスク評価の結果が管理態勢を決定するというリスクベースの原則に反しており、評価と運用の整合性が取れなくなります。
ポイント: リスク評価は製品固有の性質を反映したものである必要があり、残留リスクが組織のリスク選好と一致していることを継続的に検証しなければなりません。
-
Question 23 of 30
23. Question
ある多国籍銀行が、高い金融犯罪リスクを抱えつつも厳格なデータ保護規制を施行している新たな法域への進出を計画しています。この銀行のコンプライアンス責任者は、全社的なリスク評価(EWRA)を更新し、現地の規制要件とグループ全体の基準を整合させる必要があります。この状況において、リスクベース・アプローチ(RBA)に基づき、残留リスクを許容可能なレベルまで管理するための最も適切な対応はどれですか。
Correct
正解: 残留リスクを適切に管理するためには、まず対象となる法域や顧客、製品に伴う固有のリスクを正確に把握する必要があります。その上で、既存の内部統制がどの程度機能しているか、つまりコントロールの有効性を評価し、固有リスクからコントロールによる軽減分を差し引いた残留リスクを算出します。この残留リスクが組織のリスク許容度を超えている場合にのみ、追加の緩和策を講じるのがリスクベース・アプローチ(RBA)の基本原則です。この手法により、限られたリソースを最もリスクの高い領域に効率的に配分することが可能になります。
不正解: グループ基準を一律に適用する手法は、現地のデータ保護法との法的抵触を招く恐れがあり、コンプライアンスリスクを増大させます。また、高リスクセグメントを無差別に排除するデリスキングは、リスクベース・アプローチの本質から外れ、金融包摂の観点からも推奨されません。さらに、過去のデータのみに依存し、モデルの検証やデータの完全性を軽視するアプローチは、新たな金融犯罪の手口に対応できず、モデルリスクを著しく高めるため不適切です。
ポイント: 効果的なリスク管理には、固有リスクと内部統制の有効性を分析し、残留リスクを組織のリスク許容度内に収めるための動的なプロセスが不可欠です。
Incorrect
正解: 残留リスクを適切に管理するためには、まず対象となる法域や顧客、製品に伴う固有のリスクを正確に把握する必要があります。その上で、既存の内部統制がどの程度機能しているか、つまりコントロールの有効性を評価し、固有リスクからコントロールによる軽減分を差し引いた残留リスクを算出します。この残留リスクが組織のリスク許容度を超えている場合にのみ、追加の緩和策を講じるのがリスクベース・アプローチ(RBA)の基本原則です。この手法により、限られたリソースを最もリスクの高い領域に効率的に配分することが可能になります。
不正解: グループ基準を一律に適用する手法は、現地のデータ保護法との法的抵触を招く恐れがあり、コンプライアンスリスクを増大させます。また、高リスクセグメントを無差別に排除するデリスキングは、リスクベース・アプローチの本質から外れ、金融包摂の観点からも推奨されません。さらに、過去のデータのみに依存し、モデルの検証やデータの完全性を軽視するアプローチは、新たな金融犯罪の手口に対応できず、モデルリスクを著しく高めるため不適切です。
ポイント: 効果的なリスク管理には、固有リスクと内部統制の有効性を分析し、残留リスクを組織のリスク許容度内に収めるための動的なプロセスが不可欠です。
-
Question 24 of 30
24. Question
ある中堅国際銀行のコンプライアンス担当者は、FATFによって「戦略的欠陥がある」と特定された(グレーリスト入りした)管轄区域にある小規模銀行に対し、コルレス銀行サービスを提供するかどうかの検討を行っています。当該銀行のリスク選好(リスクアペタイト)声明では、新興市場での成長を重視しつつも、AML/CFT基準の厳格な遵守が求められています。この状況において、銀行のリスク選好と規制上の期待を一致させるために最も適切なリスク管理戦略はどれですか。
Correct
正解: リスクベース・アプローチにおいて、リスク選好(リスクアペタイト)とビジネス目標を両立させるためには、リスクを単に回避するのではなく、適切に「扱う(Treat)」または「制御する(Control)」ことが求められます。FATFのグレーリストに含まれる管轄区域との取引は固有リスクが高いと見なされますが、強化された顧客デューデリジェンス(EDD)を通じて相手方の管理体制の有効性を検証し、取引モニタリングなどの追加的な緩和措置を講じることで、残留リスクを銀行の許容範囲内に抑えつつ業務を継続することが、国際的な指針に沿った適切な対応です。
不正解: 個別のリスク評価を行わずに一律に取引を拒絶するアプローチは、過度なデリスキング(リスク回避)につながり、銀行の成長戦略を阻害するだけでなく、金融包摂の観点からも望ましくありません。また、管轄区域がブラックリストではないという理由だけで追加措置を講じずにリスクを受け入れることは、既知の高リスク要因を無視しており、リスク選好の境界を逸脱する可能性があります。さらに、標準的なKYCや自己申告のみに依拠する手法は、高リスクな状況における緩和策として不十分であり、規制当局が求める「リスクに応じた管理」を満たしていません。
ポイント: 効果的なリスク管理とは、リスクを完全に排除することではなく、適切なデューデリジェンスと緩和措置を通じて、残留リスクを組織のリスク選好の範囲内に制御することです。
Incorrect
正解: リスクベース・アプローチにおいて、リスク選好(リスクアペタイト)とビジネス目標を両立させるためには、リスクを単に回避するのではなく、適切に「扱う(Treat)」または「制御する(Control)」ことが求められます。FATFのグレーリストに含まれる管轄区域との取引は固有リスクが高いと見なされますが、強化された顧客デューデリジェンス(EDD)を通じて相手方の管理体制の有効性を検証し、取引モニタリングなどの追加的な緩和措置を講じることで、残留リスクを銀行の許容範囲内に抑えつつ業務を継続することが、国際的な指針に沿った適切な対応です。
不正解: 個別のリスク評価を行わずに一律に取引を拒絶するアプローチは、過度なデリスキング(リスク回避)につながり、銀行の成長戦略を阻害するだけでなく、金融包摂の観点からも望ましくありません。また、管轄区域がブラックリストではないという理由だけで追加措置を講じずにリスクを受け入れることは、既知の高リスク要因を無視しており、リスク選好の境界を逸脱する可能性があります。さらに、標準的なKYCや自己申告のみに依拠する手法は、高リスクな状況における緩和策として不十分であり、規制当局が求める「リスクに応じた管理」を満たしていません。
ポイント: 効果的なリスク管理とは、リスクを完全に排除することではなく、適切なデューデリジェンスと緩和措置を通じて、残留リスクを組織のリスク選好の範囲内に制御することです。
-
Question 25 of 30
25. Question
ある多国籍金融機関が、自社のリスク選好度(Risk Appetite)に基づき、高リスクと見なされる特定の業種との取引を制限するグローバルポリシーを策定しました。しかし、新たに展開した特定の管轄区域では、現地の規制により、正当な理由なくその業種との取引を拒否することが禁じられています。この状況において、リスクベース・アプローチに基づき、残留リスク(Residual Risk)を適切に管理するための最も適切な対応はどれですか。
Correct
正解: 現地の法的義務を遵守しながら、組織のグローバルなリスク選好度とのギャップを埋めるために追加の緩和策を講じることは、リスクベース・アプローチの核心です。固有リスクに対して適切なコントロール(内部統制)を適用し、最終的な残留リスクを許容可能なレベルまで低減させるプロセスが、健全なリスク管理において求められます。
不正解: 現地の規制を無視して取引を一方的に停止するアプローチは、現地の法的リスクやレピュテーションリスクを増大させるため不適切です。また、グローバルな基準を完全に排除して現地基準のみを適用することは、グループ全体の一貫したリスク評価を妨げます。さらに、具体的な緩和策を検討せずにリスクを単に受け入れることは、管理放棄と見なされ、残留リスクが許容範囲を逸脱する原因となります。
ポイント: 法的制約によりリスク回避が困難な場合は、追加のコントロールを導入して残留リスクを組織の許容範囲内に収めることが重要です。
Incorrect
正解: 現地の法的義務を遵守しながら、組織のグローバルなリスク選好度とのギャップを埋めるために追加の緩和策を講じることは、リスクベース・アプローチの核心です。固有リスクに対して適切なコントロール(内部統制)を適用し、最終的な残留リスクを許容可能なレベルまで低減させるプロセスが、健全なリスク管理において求められます。
不正解: 現地の規制を無視して取引を一方的に停止するアプローチは、現地の法的リスクやレピュテーションリスクを増大させるため不適切です。また、グローバルな基準を完全に排除して現地基準のみを適用することは、グループ全体の一貫したリスク評価を妨げます。さらに、具体的な緩和策を検討せずにリスクを単に受け入れることは、管理放棄と見なされ、残留リスクが許容範囲を逸脱する原因となります。
ポイント: 法的制約によりリスク回避が困難な場合は、追加のコントロールを導入して残留リスクを組織の許容範囲内に収めることが重要です。
-
Question 26 of 30
26. Question
ある多国籍金融機関が、新しいフィンテック決済プラットフォームを導入し、複数の管轄区域でサービスを開始することを計画しています。このプラットフォームは、非対面取引が中心であり、既存の伝統的な銀行業務とは異なるリスクプロファイルを持っています。コンプライアンス担当者が、全社的なリスク評価(EWRA)を更新し、機関のリスク許容度(リスク・アペタイト)との整合性を保つために取るべき、最も適切な次のステップは何ですか。
Correct
正解: リスクベース・アプローチ(RBA)の原則に基づき、新しい製品やサービスを導入する際には、まずその固有リスクを特定し、既存の内部統制がそれらのリスクをどの程度効果的に緩和できるかを評価する「ギャップ分析」を行う必要があります。このプロセスを通じて算出される「残留リスク」が、組織の定義したリスク許容度(リスク・アペタイト)の範囲内にあるかを確認し、必要に応じてリスクスコアリングモデルを調整することが、効果的なコンプライアンス・プログラムの維持に不可欠です。これはFATF勧告や各国の規制当局が求める、動的なリスク評価プロセスに合致しています。
不正解: 最も厳格な規制を一律に適用するアプローチは、一見安全に見えますが、リソースをリスクの低い領域に過剰に割り当てることになり、リスクベース・アプローチの効率性を損なう可能性があります。また、実際の取引データが蓄積されるまで評価を待つという手法は、予防的なリスク管理の観点から不適切であり、重大な脆弱性を見逃すリスクがあります。外部のフィンテック・パートナーのリスク評価に全面的に依拠することは、自社の法的・規制上の説明責任を放棄することになり、監督当局からの重大な指摘事項となる可能性が高いです。
ポイント: 新製品の導入時には、固有リスクと既存コントロールのギャップ分析を通じて残留リスクを特定し、リスクスコアリングモデルを動的に更新することが重要です。
Incorrect
正解: リスクベース・アプローチ(RBA)の原則に基づき、新しい製品やサービスを導入する際には、まずその固有リスクを特定し、既存の内部統制がそれらのリスクをどの程度効果的に緩和できるかを評価する「ギャップ分析」を行う必要があります。このプロセスを通じて算出される「残留リスク」が、組織の定義したリスク許容度(リスク・アペタイト)の範囲内にあるかを確認し、必要に応じてリスクスコアリングモデルを調整することが、効果的なコンプライアンス・プログラムの維持に不可欠です。これはFATF勧告や各国の規制当局が求める、動的なリスク評価プロセスに合致しています。
不正解: 最も厳格な規制を一律に適用するアプローチは、一見安全に見えますが、リソースをリスクの低い領域に過剰に割り当てることになり、リスクベース・アプローチの効率性を損なう可能性があります。また、実際の取引データが蓄積されるまで評価を待つという手法は、予防的なリスク管理の観点から不適切であり、重大な脆弱性を見逃すリスクがあります。外部のフィンテック・パートナーのリスク評価に全面的に依拠することは、自社の法的・規制上の説明責任を放棄することになり、監督当局からの重大な指摘事項となる可能性が高いです。
ポイント: 新製品の導入時には、固有リスクと既存コントロールのギャップ分析を通じて残留リスクを特定し、リスクスコアリングモデルを動的に更新することが重要です。
-
Question 27 of 30
27. Question
ある多国籍金融機関が、新たに欧州連合(EU)域内の管轄区域に事業を拡大することを計画しています。この機関はすでに米国で強力なAMLプログラムを運用しており、FinCENの基準に基づいた全社的なリスク評価(EWRA)を実施しています。しかし、新しい管轄区域の規制当局は、現地のデータ保護規則(GDPR)およびEUマネーロンダリング防止指令に基づき、より厳格な顧客デューデリジェンス(CDD)と特定の報告義務を求めています。この状況において、全社的なリスク管理フレームワークの整合性を維持しつつ、現地の規制遵守を確実にするための最も適切なアプローチはどれですか。
Correct
正解: 多国籍金融機関において、異なる管轄区域の規制に対応する際は、グループ全体の最低基準(グローバル・スタンダード)を最も厳格な規制要件に合わせて設定することが国際的なベストプラクティスとされています。これにより、規制の緩い地域が犯罪者に悪用されるリスクを防ぎ、全社的なリスク評価(EWRA)の整合性を保つことができます。同時に、GDPRのようなデータ保護規則や現地の固有の法律を考慮し、リスクベースのアプローチを通じてコントロールを調整することで、全社的なリスク選好度と現地のコンプライアンスを両立させることが可能になります。
不正解: 米国の基準をそのまま適用し、現地の規制との乖離を例外処理で対応する手法は、管理が煩雑になるだけでなく、現地の法的要件を見落とす重大なリスクを伴います。また、現地のプログラムを全社的なフレームワークから完全に独立させるアプローチは、グループ全体でのリスクの可視性を損ない、一貫したリスク管理を不可能にします。規制当局からの指摘を待つ受動的な姿勢は、コンプライアンス文化の欠如を示唆し、制裁金やレピュテーション・リスクを増大させるため、リスク管理戦略として不適切です。
ポイント: 多国籍機関は、最も厳格な規制をベースラインとしたグローバル基準を策定し、現地の法的制約を反映させたリスクベースのコントロールを適用すべきである。
Incorrect
正解: 多国籍金融機関において、異なる管轄区域の規制に対応する際は、グループ全体の最低基準(グローバル・スタンダード)を最も厳格な規制要件に合わせて設定することが国際的なベストプラクティスとされています。これにより、規制の緩い地域が犯罪者に悪用されるリスクを防ぎ、全社的なリスク評価(EWRA)の整合性を保つことができます。同時に、GDPRのようなデータ保護規則や現地の固有の法律を考慮し、リスクベースのアプローチを通じてコントロールを調整することで、全社的なリスク選好度と現地のコンプライアンスを両立させることが可能になります。
不正解: 米国の基準をそのまま適用し、現地の規制との乖離を例外処理で対応する手法は、管理が煩雑になるだけでなく、現地の法的要件を見落とす重大なリスクを伴います。また、現地のプログラムを全社的なフレームワークから完全に独立させるアプローチは、グループ全体でのリスクの可視性を損ない、一貫したリスク管理を不可能にします。規制当局からの指摘を待つ受動的な姿勢は、コンプライアンス文化の欠如を示唆し、制裁金やレピュテーション・リスクを増大させるため、リスク管理戦略として不適切です。
ポイント: 多国籍機関は、最も厳格な規制をベースラインとしたグローバル基準を策定し、現地の法的制約を反映させたリスクベースのコントロールを適用すべきである。
-
Question 28 of 30
28. Question
ある多国籍金融機関のコンプライアンス担当者は、新たに展開した管轄区域において、現地のデータ保護法と本社のグローバルAMLポリシーとの間に不一致があることを発見しました。この管轄区域の重要な顧客である政治的公職者(PEP)に関連する高額取引のアラートが発生しましたが、現地のプライバシー規制により、詳細な資金源の調査が制限される可能性があります。この状況において、リスクベース・アプローチに基づいた最も適切な対応はどれですか。
Correct
正解: 多国籍金融機関において、現地の規制とグローバルな内部ポリシーが矛盾する場合、一般的にはより厳格な基準(最高水準の共通分母)を適用することがリスク管理上のベストプラクティスです。リスクベース・アプローチでは、特定の管轄区域における法的制約(データ保護法など)を考慮しつつ、機関全体の「リスク選好度」を維持する必要があります。実施した緩和策や、なぜその判断に至ったかの論理的根拠を詳細に文書化することは、規制当局に対する説明責任を果たす上で不可欠です。
不正解: 現地のビジネス成長を優先してグローバルポリシーの適用を延期するアプローチは、機関全体に許容できないコンプライアンス・リスクをもたらす可能性があります。また、自動化されたモデルの結果のみに依存することは、高リスクなPEP顧客に対する「強化されたデューデリジェンス(EDD)」の要件を満たしておらず、定性的な判断を欠いています。さらに、リスクを評価せずに直ちに取引を解消する(デ・リスキング)行為は、リスクベース・アプローチの本来の趣旨に反し、不必要なビジネス機会の損失を招くため、まずは適切な緩和策を検討すべきです。
ポイント: グローバルなAMLプログラムでは、現地の法的制約と本社のポリシーが衝突する場合、より厳格な基準を採用し、その意思決定プロセスを明確に文書化することが求められます。
Incorrect
正解: 多国籍金融機関において、現地の規制とグローバルな内部ポリシーが矛盾する場合、一般的にはより厳格な基準(最高水準の共通分母)を適用することがリスク管理上のベストプラクティスです。リスクベース・アプローチでは、特定の管轄区域における法的制約(データ保護法など)を考慮しつつ、機関全体の「リスク選好度」を維持する必要があります。実施した緩和策や、なぜその判断に至ったかの論理的根拠を詳細に文書化することは、規制当局に対する説明責任を果たす上で不可欠です。
不正解: 現地のビジネス成長を優先してグローバルポリシーの適用を延期するアプローチは、機関全体に許容できないコンプライアンス・リスクをもたらす可能性があります。また、自動化されたモデルの結果のみに依存することは、高リスクなPEP顧客に対する「強化されたデューデリジェンス(EDD)」の要件を満たしておらず、定性的な判断を欠いています。さらに、リスクを評価せずに直ちに取引を解消する(デ・リスキング)行為は、リスクベース・アプローチの本来の趣旨に反し、不必要なビジネス機会の損失を招くため、まずは適切な緩和策を検討すべきです。
ポイント: グローバルなAMLプログラムでは、現地の法的制約と本社のポリシーが衝突する場合、より厳格な基準を採用し、その意思決定プロセスを明確に文書化することが求められます。
-
Question 29 of 30
29. Question
あなたはグローバル金融機関のコンプライアンス責任者として、東南アジアの新興市場への事業拡大に伴うリスク評価を担当しています。取締役会は、この地域における「中程度の汚職リスク」を許容するリスク選好度を定義しましたが、同時に高リスク取引に対する厳格な管理態勢を求めています。現地の有力な政治的公的人物(PEP)が実質的支配者として関与する、複雑な階層構造を持つ法人顧客から口座開設の申請がありました。この状況において、組織のリスク選好度とリスク管理戦略を整合させるための最も適切な対応はどれですか。
Correct
正解: リスクベース・アプローチにおいて、リスク選好度(リスク・アペタイト)は組織がビジネス目標を達成するために受け入れる準備のあるリスクの質と量を示します。PEP(政治的公的人物)や複雑な法人構造は高い固有リスクを伴いますが、強化されたデューデリジェンス(EDD)を実施し、資金源(SoW)や資産の源泉(SoF)を詳細に検証することで、リスクを緩和できます。最終的な残留リスクが取締役会の設定した許容範囲内に収まることを確認し、上級管理職による承認を得るプロセスは、リスク選好度と管理態勢を整合させるための標準的かつ適切な手順です。
不正解: 標準的なデューデリジェンス(CDD)のみを適用する手法は、高リスク顧客に対する規制上の要求事項を満たしておらず、リスク選好度で求められている「厳格な管理」を軽視しています。また、リスクを完全に回避するために一律に申請を拒否する手法は、定義されたリスク選好度(中程度のリスクを許容)を戦略的に活用できておらず、ビジネス機会を不当に制限しています。外部委託の結果に基づく自動承認は、金融機関自体の最終的な説明責任を放棄しており、ガバナンスおよびモデルリスク管理の観点から不適切です。
ポイント: リスク選好度は、適切なコントロールと強化されたデューデリジェンスを通じて残留リスクを許容範囲内に管理し、ビジネスとコンプライアンスのバランスを取るための指針として機能する。
Incorrect
正解: リスクベース・アプローチにおいて、リスク選好度(リスク・アペタイト)は組織がビジネス目標を達成するために受け入れる準備のあるリスクの質と量を示します。PEP(政治的公的人物)や複雑な法人構造は高い固有リスクを伴いますが、強化されたデューデリジェンス(EDD)を実施し、資金源(SoW)や資産の源泉(SoF)を詳細に検証することで、リスクを緩和できます。最終的な残留リスクが取締役会の設定した許容範囲内に収まることを確認し、上級管理職による承認を得るプロセスは、リスク選好度と管理態勢を整合させるための標準的かつ適切な手順です。
不正解: 標準的なデューデリジェンス(CDD)のみを適用する手法は、高リスク顧客に対する規制上の要求事項を満たしておらず、リスク選好度で求められている「厳格な管理」を軽視しています。また、リスクを完全に回避するために一律に申請を拒否する手法は、定義されたリスク選好度(中程度のリスクを許容)を戦略的に活用できておらず、ビジネス機会を不当に制限しています。外部委託の結果に基づく自動承認は、金融機関自体の最終的な説明責任を放棄しており、ガバナンスおよびモデルリスク管理の観点から不適切です。
ポイント: リスク選好度は、適切なコントロールと強化されたデューデリジェンスを通じて残留リスクを許容範囲内に管理し、ビジネスとコンプライアンスのバランスを取るための指針として機能する。
-
Question 30 of 30
30. Question
ある多国籍銀行が、汚職リスクが高いと評価されている管轄区域において、現地のフィンテック企業と提携し、新しいモバイル決済サービスを開始する計画を立てています。コンプライアンス・チームは詳細なリスク評価を実施し、製品固有のリスクや地理的リスクを特定しました。既存の顧客管理(KYC)および取引モニタリングの枠組みを適用した結果、一定の残留リスクが特定されました。この新事業を正式に承認するかどうかを決定する際、コンプライアンス責任者が最も優先して確認すべき事項はどれですか。
Correct
正解: リスクベース・アプローチの核心は、固有リスクに対して適切な内部統制を適用した後に残る「残留リスク」を、組織が定義した「リスク許容度(リスク・アペタイト)」と比較することにあります。取締役会が承認したリスク許容度は、その機関が戦略的目標を達成するために受け入れ可能なリスクの質と量を規定したものであり、残留リスクがこの範囲を超えている場合は、事業の承認を見送るか、さらなる緩和措置を講じる必要があります。これは、ガバナンスとリスク管理の整合性を確保するための基本的なプロセスです。
不正解: 営業ライセンスの確認や法令遵守の保証書の取得は、基本的なデューデリジェンスの一部ですが、それだけでAML上のリスクが適切に管理されていると判断することはできません。また、国際的な標準類型を網羅したシステムを導入することは有益ですが、特定の地域や製品(汚職リスクの高い地域でのモバイル決済)に固有のリスクに適合していなければ、リスクベースの原則を十分に満たしているとは言えません。さらに、予想される制裁金と収益を比較して事業の可否を判断する手法は、コンプライアンスを単なるコストと見なす不適切な企業文化を示しており、規制当局の期待や倫理的基準に著しく反します。
ポイント: 金融犯罪リスク管理において、事業継続の最終的な判断基準は、残留リスクが組織の定義したリスク許容度(リスク・アペタイト)の範囲内に収まっているかどうかであるべきです。
Incorrect
正解: リスクベース・アプローチの核心は、固有リスクに対して適切な内部統制を適用した後に残る「残留リスク」を、組織が定義した「リスク許容度(リスク・アペタイト)」と比較することにあります。取締役会が承認したリスク許容度は、その機関が戦略的目標を達成するために受け入れ可能なリスクの質と量を規定したものであり、残留リスクがこの範囲を超えている場合は、事業の承認を見送るか、さらなる緩和措置を講じる必要があります。これは、ガバナンスとリスク管理の整合性を確保するための基本的なプロセスです。
不正解: 営業ライセンスの確認や法令遵守の保証書の取得は、基本的なデューデリジェンスの一部ですが、それだけでAML上のリスクが適切に管理されていると判断することはできません。また、国際的な標準類型を網羅したシステムを導入することは有益ですが、特定の地域や製品(汚職リスクの高い地域でのモバイル決済)に固有のリスクに適合していなければ、リスクベースの原則を十分に満たしているとは言えません。さらに、予想される制裁金と収益を比較して事業の可否を判断する手法は、コンプライアンスを単なるコストと見なす不適切な企業文化を示しており、規制当局の期待や倫理的基準に著しく反します。
ポイント: 金融犯罪リスク管理において、事業継続の最終的な判断基準は、残留リスクが組織の定義したリスク許容度(リスク・アペタイト)の範囲内に収まっているかどうかであるべきです。
