FRAUD MAGAZINE

プライベートバンクの内部統制
PRIVATE-BANK INTERNAL CONTROLS
不正実行者が「教えてくれた」重要な教訓
FRAUDSTER ‘TEACHES’IMPORTANT LESSONS

ローレント・モレスキ (M.Sc.、CFE、CISA、CSSI)著
By Laurent Moreschi, M. Sc., CFE, CISA, CSSI



 スイスの富裕層向けプライベートバンクでアシスタントをしていたステラ・インメニーは、活動口座や不活動口座、休眠口座に無制限にアクセスできた。不幸にも、そのようなアクセス制限に関する些細なミスが、同行に60万米ドル以上の損害をもたらした。インメニーのような不正行為の再発防止策として、同行が内部統制をどう強化したかを考察する。


 スイスのプライベートバンクのアシスタントというインメニーの職務は信用に立脚していた。裕福な顧客は、個別の口座管理を彼女にまかせていた。しかしインメニーは信頼のおける人物でないことが後の監査で発覚した。

 インメニーは2006年9月から2007年10月の13ヶ月間ジュネーブのゼロン銀行で働き、その間に大口の不活動口座から60万米ドル以上を親戚の個人名義の他行口座に直接送金していた。ゼロン銀行は、インメニーが以前に勤務しいていた別の銀行が彼女を刑事告訴するまで、不正に気づかなかった。(本稿に記載された名称はすべて架空のものであり、日付もすべて変更されている。)

 プライベートバンクはリテールバンクと違い、富裕層の顧客に最高品質のサービスを提供する。そのターゲットは大口の預金を保有し、長期の資産運用管理を希望する顧客だ。プライベートバンクは住宅ローン事業や企業のM&A支援を中核業務とせず、当座預金口座も取り扱わない。

 プライベートバンクのアシスタントは銀行と特定の顧客間の取引関係を管理する責任を負う。送金、金融商品の売買、外国為替取引、信託業務、クレジットカード管理、口座の開設・解約などを主に担当する。プライベートバンクのアシスタントは通常、新規顧客の獲得や開拓、資金管理に注力するリレーションシップ・マネジャーに業務報告することになっている。

 リレーションシップ・マネジャーやアシスタントは顧客と個人的な面識や信頼関係があるため、プライベートバンク内部で不正を犯すことが多い。このような立場の従業員は、顧客に代わって投資業務や入金処理を行う全権を委ねられていることも多い。

 リレーションシップ・マネジャー、特に古株のマネジャーは銀行に大きな利益をもたらすため、プライベートバンクの役員ですら、彼らの仕事ぶりには口を挟みにくい。そのため、プライベートバンクは内部の不正事例を穏便に解決し、従業員にも伝えないことが多い。



プライベートバンクの不正リスク (FRAUD RISK IN PRIVATE BANKING)


プライベートバンクの顧客は全員が富裕層であるため、不正が起こりやすい。スイスのプライベートバンクのほとんどが50万米ドル以上の預金を口座開設条件としている。

顧客の中には、非常に高齢で家族にも口座の存在を知らせていない者もいる。本人が口座の存在を忘れてしまうことすらある。

多くの口座が不活動や休眠状態にある。休眠口座とは、取引が一切なく顧客の所在が不明になっている口座である。不活動口座の場合は少ない回数ながら取引があるので、顧客に連絡はとれる状態にある。

顧客はプライベートバンク側にポートフォリオ評価や口座明細書、支払通知などを銀行に留め置くよう依頼できる。

顧客のほとんどが海外におり、長期運用の貯蓄が多いため、めったに来行することはない。

1934年に制定されたスイス銀行秘密法が、同国の銀行に対して顧客の個人情報保護を義務づけているため、スイスのプライベートバンクは海外顧客にとって非常に魅力的である。顧客とスイスのプライベートバンクの関係は、患者と医師の関係に似ている。ほとんどのプライベートバンクは番号口座や名義等の顧客情報を一部の従業員しか入室できない厳重なセキュリティを施した場所に保管している。顧客の名義は重要な財産であり、その安全性を確保し守秘義務を遵守することが名声維持につながる。

 このような銀行業務の秘匿性が不正を招きやすいことは明らかである。スイスのプライベートバンク内部で頻繁に起きる不正の手口には以下のようなものがある。

資産横領: 顧客の現金および(または)有価証券を銀行内部にある不正実行者の個人口座や外部の他行口座に無断で振り替え、現金を違法に引き出す。

口座間の不正な資金移動: 顧客口座から着服を隠ぺいする手口として用いられる。「ピーターから盗んでポールに払う」のプライベートバンク版である。

小切手およびクレジットカードの不正: 従業員が、顧客が新規に申し込んだクレジットカードを本人に渡すまえに不正使用する。

不正な証券貸付ローン: 証券貸付部門で働く従業員は、顧客が保有する有価証券を無断で貸し付けることが容易にできる。不正実行者が貸付手数料を自分の口座に入金するのはいうまでもない。

フロントランニング: プライベートバンクで働くトレーダーが、顧客よりも自分の利益を優先する違法行為である。例えば、株式ブローカーは市場価格に影響を及ぼし得る重要な顧客注文を出す前に、自分の個人的な売買注文を出すことができる。非公開情報や機密情報に基づく取引もフロントランニングに該当する。

不正管理: 顧客と銀行の契約内容を遵守しない行為。例えば、不誠実なリレーションシップ・マネジャーが、顧客のポートフォリオに生じた損失や運用成績の低迷を隠ぺいするために、ハイリスクもしくは複雑な仕組みの金融商品を大量に売買する行為などが該当する。

 横領や不正送金、小切手およびレジットカード不正などにより顧客の資金を着服する事例は比較的頻繁に発生する。しかし、銀行、少なくともスイスのプライベートバンクは、悪評や銀行の名声への悪影響を恐れ、そのような不正事案をめったに公表しない。



内部統制の脆弱性 (INTERNAL-CONTROL WEAKNESSES)


 プライベートバンクのアシスタントをしていたステラ・インメニーはゼロン銀行で働き始めた当初から横領に手を染め、その不正行為は在職期間中続いた。入社から1年1ヵ月後、インメニーは海外で新しい経験がしたいと上司に申し出てゼロン銀行を退職した。銀行の内部統制はどれも機能せず、不正発見には至らなかった。(ゼロン銀行は最終的にインメニーを「機密漏洩」と「不正管理」で刑事告訴発した。インメニーには数ヶ月の懲役と横領金の賠償を命じる有罪判決が下された。)

 インメニーがゼロン銀行の管理をすり抜けて横領する機会を与えてしまった内部統制の脆弱性を詳しく検討する。

アシスタントの主な仕事の1つは、顧客から口頭や文書で注文を受けて送金することだ。顧客から電話で注文を受けたインメニーは、銀行の専用ソフトウェアを使って取引明細を入力し、承認のうえ送金処理を行った。このシステムにより、インメニーは架空注文を自由にねつ造することができた。

インメニーは20万米ドル以上の送金をする権限を持っていた。彼女は「郵便物留め置き」となっている不活動口座を選んで顧客の口座番号、送金額を入力し、他行にある自分の口座などを送金先として指定した。そして、入力内容を自己承認すれば、そのお金は消えてなくなった。簡単な職務分離を励行していれば、このような不正は防止できたであろう。

インメニーはシステムに無制限にアクセスできたため、自分の管理下にはない、リレーションシップ・マネジャー管理のすべての口座から送金することが可能だった。

送金取引リストが日次でインメニーに直接送られ、彼女はそのリストをリレーションシップ・マネジャーに提出して承認を受ける責任があった。当然のことだが、インメニーはリストを上司に回付する前に、不活動口座を使った不正取引が記載されたページを削除していた。

ゼロン銀行では休眠口座や不活動口座に特別な注意を促す管理体制を整備していなかった。50年間休眠状態だった口座が突然「目覚め」、多数の現金取引が行われても、不正を警告するシグナルを受けた行員は誰もいなかった。



得られた教訓 (LESSONS LEARNED)


 この不正事件が発覚した後、ゼロン銀行は内部統制システムを次のように改善した。

ダブルチェックによる統制手続を追加した。アシスタントもしくはリレーションシップ・マネジャーが入力する4万米ドル以上の取引は、別の者の承認を得なければならなくなった。

「知る必要性」と「処理する必要性」という情報システムセキュリティ原則に照らし、アシスタントのアクセス権限を見直した。顧客口座への無制限のアクセス権限は、当該顧客に直接責任を持ち、業務遂行上必要と判断された従業員にのみ付与された。

紙に印刷した取引リストを各部署に配布する手続を廃止し、パスワードで保護したPDFファイルを各リレーションシップ・マネジャーにEメールで直接送信することとした。これにより従業員がリストを改ざんして不正取引を隠ぺいできなくした。また、リストのコピーが暗号化されたPDFファイルとしてウィンドウズサーバー上に保管されるようになった。

ゼロン銀行が送金処理に使用していたソフトウェアを修正し、プロセスに埋め込まれた個々の統制を統合した。顧客の口座から従業員の口座への現金取引は全て自動的にブロックされ、内部勘定コードを入力しなければ取引を完了できないようになった。

リスク管理部門が利用する情報システムツールを改良した。財産管理業務における不正取引および不正管理が疑われる入力を検知するプログラムを開発した。ゼロン銀行は「データウェアハウス」の内容を分析し、顧客のポートフォリオにおけるあらゆる種類の異常な取引に関する指標とレポートを作成した。中でも、トレーディング取引、内外の送金、銀行窓口での現金引き出し、突出した投資成績には特に留意した。さらに、リスク管理部門は、休眠口座と不活動口座をモニタリングするための専用の指標、特に口座からの出金取引が「目覚めた」ことを示す指標を開発した。これらの指標の監視責任は、リスク管理部門が負っている。



インメニーさんに感謝? (W/MBE GRATITUDE TO MS. INMANY?)


 ある意味では、ゼロン銀行はインメニーに感謝しなければならない。なぜならば、彼女の不正行為により同行の内部統制の不備が明らかになったからだ。残念ながら多くの場合、自分のしたミスには高い代償を払うことになるが、他者の苦い経験を教訓として役立てることもできる。ゼロン銀行は、社外秘のシステム内で徐々に変更作業を進めているが、顧客に全面的な安全を保証できるようになるまでには時間を要する。



ローレント・モレスキ(M. Sc., CFE, CISA, CSSI)スイスの銀行で監査人を務め、不正の発見・調査の専門家である。



コラム1
不正事案の骨子
(CASE HISTORY ANATOMY)

不正行為:  プライベートバンキングのアシスタントが不活動口座から60万米ドル以上を着服した。

手口:  そのアシスタントは事実上、活動口座、不活動口座、休眠口座に無制限にアクセスできたため、他行にある親戚の個人口座へ容易に送金することができた。

不正検査:  銀行側が不正に気づいたのは、そのアシスタントが以前勤務していた別の銀行が、彼女を刑事告訴した後だった。監査の結果、1つの不活動口座から12の違法送金がなされたことが判明した。

得られた教訓:  銀行は、ダブルチェックの強化、アシスタントによる口座へのアクセス制限の厳格化、管理計表のPDFファイル化、IT統制手続の統合などの新たな内部統制を整備中である。


コラム2
特有のリスクを生む銀行の経営環境
(BANK ENVIRONMENTS PRESENT UNIQUE RISKS)

 ACFEの2008年版不正検査士マニュアル(1,901ページ)では、銀行の定義を、国内または海外において、資金の受領、回収、移動、支払、貸付、投資、ディーリング、為替、付帯サービス(貸金庫、有価証券保管、代理、信託)および資金の請求など多数の金融機能のいずれかもしくはすべてを担う組織としている。
 国際銀行の業務活動は複雑かつ多岐にわたり、多くの場合、巨額な資金を取り扱う。2004年のバーゼル銀行監督委員会の定義(バーゼル2としても知られる)によれば、銀行業務に関連するリスクには次の5種類がある。

1.市場リスク: 金融市場の変動により投資の価値が減少するリスク。
2.信用リスク: 融資その他の与信枠の債務者が返済を怠ることにより損失が生じるリスク。
3.流動性リスク: 資産の処分や十分な資金調達ができずに、支払い義務を履行できなくなるリスク。
4.評判リスク: 評判の低下により組織が損失を被るリスク。
5.オペレーショナルリスク: 内部プロセス、人員、システムの不備または機能不全、または外部の出来事により損失が生じるリスク。人事管理、会計・財務金融情報開示、技術、物理的セキュリティ、自然災害、環境、内部および外部不正、法的、政治的なリスクなどが含まれる。

 バーゼル2委員会は、銀行が金融リスクおよびオペレーショナルリスクから身を守るのに十分な自己資本の額を提示している。


コラム3
アメリカが税に関する情報交換をスイスに要請
(UNITED STATES URGES SWITZERLAND TO EXCHANGE TAX INFORMATION)

 米財務省によると、2003年1月23日、米国とスイスは「税金に関する2国間の情報交換を円滑且つより効果的に行う」ことで双方が合意した。

 この合意は1996年10月2日にスイス連邦とアメリカ合衆国間で調印された「所得税に関する情報交換協定」第26条を適用する必要性を強調した。第26条には両国が「同協定の主題である税金不正その他の税に関する不適切行為防止のため」必要に応じて情報交換するとある。

 当時、米財務省長官の代理を務めたケネス・W・ダム副長官は「この協定はスイスとアメリカ各国における税法の執行にとって重要であり、マネーロンダリングやテロリストの資金調達のような他の犯罪活動に対抗するための緊密な相互協力を補完するものである」と述べている。

 ダム氏は、上記の合意は「脱税を含む違法行為に絡む資金の安全な逃避地を世界から根絶するという我々の取り組みにおける重要なステップだ」と述べた。

 2008年11月12日付ニューヨークタイムズ・オンライン版に掲載されたリンレイ・ブラウニング氏の記事に、スイスの銀行大手UBSの幹部がアメリカ人の顧客が米国内国歳入庁(IRS)に未申告の海外預金口座に資産を隠匿し脱税することを容認した罪で起訴されたことが掲載された。

 米司法省は、スイスのチューリヒを拠点とするUBSは、2万人に及ぶアメリカ人のオフショア口座への資金隠しを幇助し、その額は200億ドルに上り、2000年から2007年までに1年あたり3億ドルの脱税につながったと主張している。

 上記記事によれば、被告弁護士は、起訴は「極めて不当であり事実無根だ」と述べ、被告人は「UBSの米国における国際業務において、違法行為を認識または容認したり、違法行為に関与したりしたことは一切ない」と容疑を否認していると語った。

出典
www.treas.gov/press/releases/kd3795.htm;
www.treas.gov/press/releases/dam.htm;
www.treas.gov/press/releases/mutual.htm;
www.nytimes.com/2008/11/13/business/worldbusiness/13ubs.html



メニューへバックナンバーへ