添付一覧
取引相手先の選択に当たっては、取引相手先の信用リスク等を十分検討しているか。
積極的な市場取引を行う共済事業実施組合にあっては、少なくとも年1回以上、取引先の信用リスクを分析しているか。また、頻繁・継続的に取引が行われている場合は、予めクレジット・リミットを設定しているか。
クレジット・リミットの設定、見直し等の管理は、市場関連部門から独立した部門(リスク管理部門等)で行っているか。
ニ.クレジット・リミットに係る規程の整備及びクレジット・リミットの適切な管理
クレジット・リミットに接近した際の管理方針(信用リスク補完策等)やクレジット・リミットを超えた際の管理者への報告体制、権限、手続等の規程を明確に定めているか。
また、規程に従って適切にクレジット・リミットを管理しているか。
積極的な市場取引を行う共済事業実施組合にあっては、信用リスク額がクレジット・リミットに達した場合には、信用リスクが増すような取引を停止し、規程に従い管理者(必要に応じて代表理事及び理事会)へ報告の上、クレジット・リミットの見直し等の対応方針を管理者(必要に応じて代表理事及び理事会)の承認を得た上で決定し、実施しているか。また、既存取引についても担保の追加徴求等のリスク軽減策を講じていることが望ましい。
なお、取引先に対する信用リスク額が上限に達する前の段階に適切なアラーム・ポイントを設け、アラーム・ポイントに達した場合に、取引先と信用リスクの補完策に対する協議を開始するなどの規程を設け、クレジット・リミットを管理することも有効である。
ホ.リスク軽減措置の活用
信用リスクの軽減のため、契約の法的有効性を確認した上で、ネッティング契約、担保徴求、保証等を活用していることが望ましい。
ヘ.信用リスクを踏まえた投資基準の設定
有価証券の投資について、特定業種、特定発行体(外貨建て有価証券については、発行体の属する国を含む。)に偏重しないような銘柄設定基準の設定を行うなど、信用リスクを踏まえた基準を設定しているか。また、特にハイリスク商品への投資については厳重に管理できる基準を設定しているか。
3.職責の分離
(1) 相互けん制体制の構築
リスク管理部門は、市場部門、事務管理部門が複数のシステムで運営している場合には、ポジション情報等を市場部門と事務管理部門の双方から取り、両者に齟齬が無いことを確認し、リミットの管理規程の遵守状況をモニターするほか、リスク管理に係る体制の整備・運営、情報を収集・加工し理事会等へ報告する等の役割を適切に実施しているか。また、リスク管理部門には取引のモニターに必要な人員を確保しているか。
リスク管理部門では、期中損益(評価損益を含む。)の出方に異常がないことを定期的に精査・分析を行っているか。
また、積極的に市場取引を行う共済事業実施組合にあっては、市場取引及びリスク管理手法の専門家を集めた独立のリスク管理部門を設置しているか。そうでない場合でも、市場取引及びリスク管理手法の専門家を集めた独立のリスク管理部門を設置していることが望ましいが、少なくとも、例えば、計理部門の中にリスク管理グループ等を設置していることなどにより対応しているか。
(2) 相互けん制体制に係る留意点
① チーフ・ディーラーと事務管理部門担当者との馴れ合い等により、ディーラーが直接勘定系の操作をしたり、指示したりし得る立場になっていないか。
② 経験年数や知識の豊富なディーラーであることから、上司(担当理事等)から個人的にも信頼が厚く、他の職員から聖域化されていないか。特定の人材に依存する場合には、人的リスクが高くなることを認識し、注意深く管理しているか。
③ 市場部門の責任者の下にコンファーメーション班を置いたり、同一人が市場部門と事務管理部門の責任者を兼務するなど、組織上の分離が機能しないような運用になっていないか。
④ すべての情報が迅速、かつ正確にリスク管理部門に伝達されているか。リスク管理上、何か問題が発生した場合には、担当者又は部門内で処理されず、リスク管理部門等へ迅速、かつ正確に伝達されているか。
⑤ 独立したリスク管理部門を設置し、また、専門性を持ったスタッフを配置しているなど、リスク管理情報が市場部門からの影響を受けることなく、担当理事等に報告される体制となっているか。
⑥ ディーラーの取引状況については、常に録音され、定期的に抽出等の方法により録音内容と取引記録の照合等を行っているか。
録音済みのテープは一定期間保管されているか。テープの保管・管理は、市場部門、事務管理部門から分離されたセクション(リスク管理部門等)又は職責が分離された事務管理部門の他のセクションが担当しているか。なお、事務管理部門の電話も後日の確認のために、録音していることが望ましい。
なお、ディーラーの取引状況の録音内容とディーリング・チケット(取引記録)との照合を行う際には、ディーリング・チケットを録音内容によりチェックしていくのではなく、録音内容に該当するディーリング・チケットがすべてあることをチェックしているか。
⑦ ディーラーの取引状況の録音内容は、定期的にディーリング・チケットと照合することをディーラーに周知徹底しているか。
4.情報伝達
(1) リスク管理部門の情報へのアクセス
リスク管理部門は、各市場部門から直接、適切かつ包括的な取引情報等の内部データ及び市場データが入手できる体制となっているか。また、リスク管理部門は、各部門のミドル・オフィス等に対し直接、指揮・監督を行える態勢となっているか。
(2) ディーリング・サポート・システム等の整備
携わっているすべての主要商品について、ディーラー(又はユニット)ごと、拠点ごとのポジションについて、少なくとも日次ベースで時価評価できるディーリング・サポート・システムを確保しているか。
積極的な市場取引を行う共済事業実施組合にあっては、携わっているすべての主要商品について、ディーラー(又はユニット)ごと、拠点ごとのポジションがリアルタイム又は日次ベースで時価評価できるディーリング・サポート・システムを確保しているか。
(3) 事務処理等に対応したコンピュータシステムの整備
携わっているすべての取引に係る基本的な事務処理、決済及び管理に十分対応できる勘定系・情報系のコンピュータシステムを確保し運用・管理しているか。
(4) 情報のリスク管理部門への伝達
市場部門等は、すべての情報を、迅速、かつ、正確にリスク管理部門に伝達しているか。リスク管理上、何か問題が発生した場合には、担当者又は部門内で処理されず、リスク管理部門等へ迅速、かつ、正確に伝達されているか。
【オペレーショナル・リスク等管理態勢の確認検査用チェックリスト】
(1) 「事務リスク」とは、役職員等が正確な事務を怠る、あるいは事故・不正等を起こすことにより共済事業実施組合が損失を被るリスクである。
(2) 「システムリスク」とは、コンピュータシステムのダウン又は誤作動等、システムの不備等に伴い共済事業実施組合が損失を被るリスク、さらにコンピュータが不正に使用されることにより共済事業実施組合が損失を被るリスクである。
(3) 「流動性リスク」とは、共済事業実施組合の財務内容の悪化等による新契約の減少に伴う共済掛金収入の減少、大量ないし大口解約に伴う解約返戻金支出の増加、巨大災害での資金流出により資金繰りが悪化し、資金の確保に通常よりも著しく低い価格での資産売却を余儀なくされることにより損失を被るリスク(資金繰りリスク)と、市場の混乱等により市場において取引ができなかったり、通常よりも著しく不利な価格での取引を余儀なくされることにより損失を被るリスク等(市場流動性リスク)からなる。
(4) 危機管理態勢の「危機」とは、例えば、(i)大口取引先の倒産など、そのまま放置すると回復困難になりかねないほど、財務内容が悪化するような事態、(ii)風評等により共済契約の解約が急増する等により、対応が困難なほど流動性に問題が生じるような事態、(iii)システムトラブルや不祥事件等により信用を著しく失いかねないような事態、のほか、(iv)大規模自然災害や大規模テロなどの災害・事故等により損害を被り、業務の継続的遂行が困難となるような事態などである。
(5) 検査官は、「内部管理態勢の確認検査用チェックリスト」、「法令等遵守態勢の確認検査用チェックリスト」、「共済募集管理態勢の確認検査用チェックリスト」、「利用者保護等管理態勢の確認検査用チェックリスト」及び本チェックリストにより、オペレーショナル・リスク等管理態勢の検査を行うものとする。資金繰りリスクについては本チェックリストにより、市場流動性リスクについては「資産運用リスク管理態勢の確認検査用チェックリスト」により検査を行うものとする。また、共済事業実施組合が保持する保護すべき情報が役職員又は部外者等により、改ざん、削除又は外部に漏えいするリスクについても本チェックリストに基づき行うこととする。なお、本チェックリストにより具体的事例を検証する際には、生協法等の関係法令及び生協共済監督指針等の規定とその趣旨を踏まえる必要があることに留意する。
(6) システムリスクの管理態勢の確認検査を行うに当たっては、個別システムの重要度及び性格に検査官は十分留意することとする。この場合、「システムの重要度」とは、当該システムの利用者取引又は経営判断への影響の大きさを表す。また、「システムの性格」とは、コンピューターセンターにおける中央集中型の汎用機システム、クライアントサーバーシステム等の分散系システム、ユーザー部門設置の単体システム等を表し、それぞれに適した管理手法がある。
Ⅰ.事務リスク管理態勢
1.事務リスク管理態勢の整備・確立状況
(1) 事務リスク管理の基本方針
理事は、すべての業務に事務リスクが所在していることを理解し、事務リスクを軽減することの重要性を認識し、理事会において、事務リスク管理の基本方針を定めているか。
(2) 管理者の役割
管理者は、事務リスクを軽減することの重要性を自覚し、各部門の担当者に事務リスク軽減の重要性及び軽減のための方策を認識させ適切な方策を講じているか。
また、事務リスクを把握するに当たっては、業務上の損失の潜在的規模と業務上の損失の発生可能性との観点等から分析し、例えば、予想損失額を計量化するなど、リスクを適切に評価していることが望ましい。
(3) 事務部門の組織整備
① 事務規程を整備する部門を明確化しているか。
② 事務指導及び研修を行う部門を明確化し、その機能を十分発揮できる体制を整備しているか。
③ 事務部門では、事務処理に係る事業拠点等及び共済募集人からの問い合わせ等に迅速かつ正確に対応できる体制を整備しているか。
④ 事務部門は、例えば事業推進部門から独立するなど、十分にけん制機能が発揮される体制を整備しているか。
(4) 事務規程の整備
① 事務規程は、網羅的でかつ法令等に則ったものとなっているか。
また、規程外の取扱い及び規程の解釈に意見の相違があった場合の処理手続を明確化しているか。
② 事務部門は、業務内容についての分析を行い、事務リスクの所在を確定し、そのリスクが生じないような規程を、理事会等の承認を得た上で整備しているか。
③ 事務規程を、内部監査結果、不祥事件、苦情・問い合わせ等で把握した問題点を踏まえ、必要に応じて見直し、改善しているか。また、法令等の外部環境が変化した場合等についても、必要に応じて見直し、改善しているか。
④ 郵便・電話・インターネット等を利用した非対面の募集形態を採っている場合において、募集形態の特性を踏まえた事務規程を定めているか。
⑤ 事務規程は、特に、以下の事務について明確に定めているか。
イ.共済募集(禁止行為等)
ロ.現金・現物・重要書類(共済掛金領収証)・便宜扱い等異例扱い
2.事務リスク管理部門の役割
(1) 事業拠点等の事務管理態勢を常時チェックする措置を講じているか。
(2) 事業拠点長等が不正なことを隠蔽しないような体制を整備しているか。
(3) 内部監査部門及び共済募集管理部門等と連携して事業拠点等の事務水準の向上を図っているか。
(4) 事務を代行・代理する場合は、事務リスクの観点から代行・代理先を管理しているか。
3.外部委託管理
共済事業実施組合は、その業務を外部に委託する場合には、当該業務の内容に応じ、以下の方策を講じているか。
① 外部委託業務の計画・実行
外部委託業務の計画・実行に当たっては、外部委託を行う範囲の決定及びリスク管理の具体策を策定しているか。
② 外部委託先の選定
外部委託先の選定に当たっては、外部委託先の選定基準を定め、経営の健全性、受託実績等による信用度、委託業務の実施体制等について確認しているか。
③ 外部委託業務のリスク管理体制
イ.外部に委託している業務を適切に管理する管理者を設置しているか。
ロ.外部に委託している業務についてリスク管理が十分できるような体制(リスクの認識・評価体制、是正等)を契約等によって構築しているか。
ハ.委託先と守秘義務契約を締結しているか。
ニ.外部委託先が再委託を行う場合、外部委託先との委託契約書において再委託先に係る契約上の義務や責任等の条項が整備されているか。
ホ.委託先社員等が接することができるデータには、必要に応じて一定の制限を設けているか。
ヘ.外部委託した業務及び業者について定期的に評価を行っているか。なお、外部委託した業務について、業務の内容等に応じ、第三者機関の評価を受けていることが望ましい。
④ 問題点の報告及び是正
認識された問題点については、外部委託先と連携して速やかに是正しているか。
(注)外部委託とは、共済事業実施組合が、その業務を営むために必要な事務の一部又は全部を、当該共済事業実施組合以外(代理店に該当しないものを指す。)に委託することをいう。
Ⅱ.システムリスク管理態勢
1.システムリスク管理態勢の整備・確立状況
(1) リスク管理体制の整備
理事会は、コンピュータシステムのネットワーク化の進展等により、リスクが顕在化した場合、その影響が連鎖し、広域化・深刻化する傾向にあるなど、経営に重大な影響を与える可能性があるということを十分踏まえ、リスク管理体制を整備しているか。
(2) 共済事業実施組合全体の経営方針に沿った戦略目標の明確化
理事会は、情報技術革新を踏まえ、経営戦略の一環としてシステムを捉えるシステム戦略方針を定めているか。
システム戦略方針には、①システム開発の優先順位、②情報化推進計画、③システムに対する投資計画等を含めているか。
(3) リスク管理の方針の確立
理事会は、リスク管理の基本方針を定めているか。リスク管理の基本方針には、セキュリティポリシー(組織の情報資産を適切に保護するための基本方針)及び外部委託に関する方針を含んでいるか。
セキュリティポリシーには、①保護されるべき情報資産、②保護を行うべき理由、③それらについての責任の所在等を定めているか。
外部委託に関する方針は、委託業務に関する事故であっても、利用者に対しては責任を免れないことが十分認識された上で定められているか。
(4) リスクの認識と評価
管理すべきリスクの所在、種類の特定
① 勘定系・情報系・対外系といった業務機能別システムのリスクの評価を含め、システム全般に通じるリスクを認識・評価しているか。
② システム部門以外において独自にシステムを構築する場合においても該当システムのリスクを認識・評価しているか。
③ ネットワークの拡充(インターネット、電子メール)及びPC(パソコン)の普及等によりリスクが多様化・増加していることを認識・評価しているか。
(5) 相互けん制体制の構築
個人のミス及び悪意を持った行為を排除するため、システム開発部門と運用部門の分離分担を行っているか。ただし、要員数の制約から業務部門を開発部門と運用部門に明確に分離することが困難な場合には、開発担当と運用担当を定期的にローテーションすること等により相互けん制を図っているか。
なお、上記に関わらず、EUC(エンドユーザーコンピューティング)等開発と運用の組織的分離が困難なシステムについては、内部監査部門等によりけん制を図っているか。
(6) 内部監査
① 内部監査部門の体制整備
システム部門から独立した内部監査部門が定期的にシステム監査を行っているか。
内部監査部門は、システム関係に精通した要員を確保しているか。
また、必要に応じてシステム監査とシステム以外の監査を連携して行うことができる体制となっているか。
システム監査の結果は、適切に理事会等に報告されているか。
② 内部監査部門の監査の手法及び内容
イ.監査対象は、システムリスクに関する業務全体をカバーしているか。
ロ.システム部門及び独自にシステムを構築している部門におけるリスクの管理状況を把握した上、リスクの種類・程度に応じて、定期的に内部監査を行っているか。
ハ.事業拠点等システム部門以外でのコンピュータ機器の使用に関する手続は、システムリスクの観点からのチェックをしているか。
ニ.内部監査を行うに当たっては、監査証跡(処理内容の履歴を跡付けることができるジャーナル等の記録)の確認等、システムの稼動内容について裏付けをとっておくことが望ましい。
(7) 外部監査の活用
システムリスクについては、定期的に公認会計士やシステム監査人等による外部監査の活用を図ることが望ましい。
2.情報セキュリティ管理態勢
(1) セキュリティ管理体制
① 定められた方針、基準及び手順に従ってセキュリティが守られているかを適正に管理するセキュリティ管理者を設置しているか。
セキュリティは、例えば以下の観点から確保しているか。
イ.フィジカルセキュリティ
・ 物理的侵入防止策
・ 防犯設備
・ コンピュータ稼働環境の整備
・ 機器の保守
・ 点検体制 等
ロ.ロジカルセキュリティ
・ 開発・運用の各組織間・組織内の相互けん制体制
・ 開発管理体制
・ 電子的侵入防止策
・ プログラムの管理
・ 障害発生時の対応策
・ 外部ソフトウェアパッケージ導入時の評価・管理
・ オペレーション面の安全管理 等
② セキュリティ管理者は、システム、データ、ネットワーク管理体制を統括しているか。
(2) システム管理体制
① システムの安全かつ円滑な運用と不正防止のため、システムの管理手順を定め、適正に管理するシステム管理者を設置しているか。
② システム管理者は、システム単位あるいは業務単位で設置されていることが望ましい。
③ それぞれシステムの資産調査は定期的に行い、適正なスクラップアンドビルドを行っているか。
④ 本部・事業拠点等について、それぞれの設備・機器を適切かつ十分に管理する体制を整備しているか。
⑤ 共済事業実施組合外に持ち出すコンピュータに対する適切かつ十分な管理体制を整備しているか。
⑥ システム部門以外で独自にシステムを構築しているシステムについても、システム管理者を定めているか。
(3) データ管理体制
① データについて機密性、完全性、可用性の確保を行うためにデータ管理者を設置しているか。
② データの管理手順及び利用承認手続等を規程・マニュアルとして定め、関係者に周知徹底させることにより、データの安全で円滑な運用を行っているか。
③ データ保護、データ不正使用防止、不正プログラム防止策について適切かつ十分な管理体制を整備しているか。
(4) ネットワーク管理体制
① ネットワーク稼動状況の管理、アクセスコントロール及びモニタリング等を適切に管理するために、ネットワーク管理者を設置しているか。
② ネットワークの管理手順及び利用承認手続等を規程・マニュアルとして定め、関係者に周知徹底させることにより、ネットワークの適切かつ効率的で安全な運用を行っているか。
③ ネットワークがダウンした際の代替手続を考慮しているか。
(5) インターネットを利用した業務の管理体制
① 苦情・相談等を受ける体制を構築しているか。
② システムのダウン又は不具合により、適正な処理がなされなかった場合、それを補完する体制を整えているか。また、システムダウン等が発生した場合の責任分担のあり方について、明確に示しているか。
③ リンクによって生じうるサービス提供主体についての誤認を防止するための対策を講じているか。
④ 共済事業実施組合の財務や業務の内容に関する情報を提供するサービスの内容について、例えばホームページにおいて開示しているか。
⑤ モラルリスク回避等の観点から本人確認を行うシステム上の体制を構築しているか。
⑥ 利用者情報の漏えい、外部侵入者及び内部の不正利用による利用者データの改ざん、書き換え等を防止する体制を整えているか。
3.システム企画・開発態勢
(1) 企画・開発体制等
① 企画・開発体制
イ.信頼性が高く、かつ、効率的なシステム導入を図る企画・開発のための規程を整備しているか。
ロ.機械化委員会等の横断的な審議機関を設置していることが望ましい。
ハ.中長期の開発計画を策定しているか。
ニ.システムへの投資効果を検討し、システムの重要度及び性格を踏まえ、必要に応じ(システム部門全体の投資効果については必ず)、理事会に報告しているか。
ホ.開発案件の検討・承認ルールが明確になっているか。
ヘ.本番システムの変更案件も承認の上で実施しているか。
ト.共済仕組の開発、改定時におけるプログラムミスの発生を防止するために、ユーザー部門及びシステム部門の連携が十分に図られる体制となっているか。特に、共済掛金・割戻金等の重要な事項に関する計算結果についてのシステム機能の検証に、ユーザー部門が主体的に関与する体制となっているか。
② 開発管理
イ.開発にかかわる書類やプログラムの作成方式は、標準化されているか。
ロ.開発プロジェクトごとに責任者を定め、システムの重要度及び性格を踏まえ理事会等が進捗状況をチェックしているか。
ハ.システム部門及びユーザー部門が連携して進捗状況を適切に管理しているか。
③ 規程・マニュアルの整備
イ.設計、開発、運用に関する規程・マニュアルが存在しているか。
ロ.業務実態に即した見直しを実施しているか。
ハ.設計書等は開発にかかわる書類作成の標準規約を制定し、それに準拠して作成していることが望ましい。
ニ.開発に当たっては、監査証跡(処理内容の履歴を跡付けることができるジャーナル等の記録)を残すようなシステムとすることが望ましい。
ホ.マニュアル及び開発にかかわる書類等は、専門知識のある第三者に分かりやすいものとなっているか。
④ テスト等
イ.テストは適切かつ十分に行われているか。
ロ.テストやレビュー不足が原因で、長期間利用者に影響が及ぶような障害や経営判断に利用されるリスク管理用資料等の重大な誤算が発生しないようなテスト実施体制を整備しているか。
ハ.テスト計画を作成しているか。
ニ.総合テストには、必要に応じてユーザー部門も参加しているか。特に、共済掛金・割戻金等の重要な事項に関するテストには、ユーザー部門が参加し、テスト結果の確認を行っているか。
ホ.検証に当たっては、十分な検証能力を有する者によって実施されているか。
⑤ システム導入後の検証
新しい仕組みの導入後、ユーザー部門は、必要に応じてサンプルチェック等を実施しているか。
⑥ 人材の養成
イ.人材の養成に当たっては、開発技術の養成だけではなく、開発対象とする業務に精通した人材の養成を行っているか。
ロ.デリバティブ業務、電子決済、電子取引等、専門性の高い業務分野や新技術について、精通した開発要員を養成していることが望ましい。
(2) 新規分野への進出
新規分野・新技術について、情報収集・研究等が行われ、経営戦略上の位置付けについて検討していることが望ましい。
4.システム運用態勢
(1) 職務分担の明確化
① データ受付、オペレーション、作業結果確認、データやプログラムの保管の職務分担は明確になっているか。
② 運用担当者が担当外のデータやプログラムにアクセスすることを禁じているか。
(2) システムオペレーション管理
① 所定の作業は、スケジュール表、指示表などに基づいてオペレーションを実施しているか。
② 承認を受けた作業スケジュール表、作業指示書に基づいてオペレーションを実施しているか。
③ オペレーションは、すべて記録され、かつ管理者は、チェック項目を定め点検しているか。
④ 重要なオペレーションは、複数名による実施が可能となることが望ましく、また、可能な限り自動化することが望ましい。
⑤ オペレーションの処理結果を管理者がチェックするためのレポート出力機能や、作業履歴を取得し、保存する機能を備えているか。
⑥ 開発担当者によるオペレーションへのアクセスを原則として禁じているか。障害発生時等でやむを得ず開発担当者がアクセスする場合には、当該オペレーションの管理者による開発担当者の本人確認及びアクセス内容の事後点検を行っているか。
(3) システム障害の管理
① システム障害が発生した場合には、記録簿等に記入し、必要に応じ本部に報告が行われる体制を整備しているか。
② システム障害の内容の定期的な分析を行い、それに応じた対応策をとっているか。
③ 経営に重大な影響を与えるような重要なシステム障害の場合には、速やかに本部と連携し、問題の解決を図るとともに理事会に報告しているか。
④ システムの運用を外部委託している場合、委託先において発生したシステム障害について、報告される体制となっているか。
(4) 利用者のデータ等保護
① 利用者データの取扱いについては、管理責任者、管理方法及び取扱方法を定め、適切に管理しているか。
② 利用者データへの不正なアクセス又は利用者データの紛失、破壊、改ざん、漏えい等の危険に対して、適切な安全措置を講じているか。
③ 利用者データ以外の重要な情報についても、管理責任者、管理方法等を定め、適切に管理しているか。
(5) 不正使用防止
① 不正使用防止のため、業務内容や接続方法に応じ、接続相手先が本人若しくは正当な端末であることを確認する体制を整備しているか。
② 不正アクセス状況を管理するため、システムの操作履歴を監査証跡として取得し、事後の監査を可能とするとともに、定期的にチェックしているか。
③ 端末機の使用及びデータやファイルのアクセス等の権限については、その重要度に応じた設定・管理方法を明確にしているか。
④ 代理店が使用するシステムについては、廃業後にアクセスを行うことができないよう適正にアクセス権限の廃止を行っているか。
(6) コンピュータウィルス等
コンピュータウィルス等の不正なプログラムの侵入を防止する方策を取っているとともに、万が一侵入があった場合速やかに発見・除去する体制を整備しているか。
① コンピュータウィルスへの感染
② 正規の手続を経ていないプログラムの登録
③ 正規プログラムの意図的な改ざん 等
5.外部委託管理
(1) 外部委託業務の計画・実行
システムに係る外部委託業務の計画・実行に当たっては、外部委託を行う範囲の決定及びリスク管理の具体策を策定しているか。
(2) 外部委託先の選定
外部委託先の選定に当たっては、外部委託先の選定基準を定め、経営の健全性、受託実績等による信用度、委託業務の実施体制等について確認しているか。
(3) 外部委託業務のリスク管理体制
① 外部に委託しているシステム及び業務を適切に管理する管理者を設置しているか。
② 外部に委託している業務についてリスク管理が十分できるような体制(リスクの認識・評価体制、是正等)を契約等によって構築しているか。
③ 委託先と守秘義務契約を締結しているか。
④ 外部委託先が再委託を行う場合、外部委託先との委託契約書において再委託先に係る契約上の義務や責任等の条項が整備されているか。
⑤ 委託先社員等が接することができるデータには、必要に応じて一定の制限を設けているか。
⑥ 外部委託した業務及び業者について定期的に評価を行っているか。
なお、外部委託した業務について、業務の内容等に応じ、第三者機関の評価を受けていることが望ましい。
(4) 問題点の是正
認識された問題点については、外部委託先と連携して速やかに是正しているか。
6.非常時等への対応
(1) 防犯対策
① 犯罪を防止するため、防犯組織を整備し、責任者を明確にしているか。
② コンピュータシステムの安全性を脅かす行為を防止するため、入退室管理・重要鍵管理等、適切かつ十分な管理を行っているか。
(2) コンピュータ犯罪・事故等
コンピュータ犯罪及びコンピュータ事故(ウィルス等不正プログラムの侵入、外部者による情報の盗難、内部者による情報の漏えい、ハードウェアのトラブル、ソフトウェアのトラブル、オペレーションミス、通信回線の故障、停電、外部コンピュータの故障等)に対して、十分に留意した体制を整備し、点検等の事後チェック体制を整備しているか。
(3) 防災対策
① 災害時に備え、被災軽減及び業務の継続のための防災組織を整備し、責任者を明確にしているか。
② 防災組織の整備に際しては、業務組織に即した組織とし、役割分担ごとに責任者を明確にしているか。
③ 防火・地震・出水に対する対策を確保しているか。
④ 重要データ等の避難場所をあらかじめ確保しているか。
(4) バックアップ
① 重要なデータファイルやプログラムの破損、障害等への対応のため、バックアップを取得し、管理方法を明確にしているか。
② バックアップを取得するに当たっては、分散保管、隔地保管等保管場所に留意しているか。
③ 重要なシステムについてはオフサイトバックアップシステムを保有しているか。
④ バックアップ取得の周期を文書化しているか。
⑤ バックアップデータを使用してデータ修復を行う際の手順が整備されているか。
(5) コンティンジェンシープランの策定
① 災害等によりコンピュータシステムが正常に機能しなくなった場合に備えたコンティンジェンシープランを整備しているか。
② コンティンジェンシープランの策定及び重要な見直しを行うに当たっては、理事会による承認を受けているか。(上記以外の見直しを行うに当たっては、理事会等の承認を受けているか。)
③ コンティンジェンシープランの整備に当たっては、災害による緊急事態を想定するだけではなく、共済事業実施組合の内部に起因するものや共済事業実施組合の外部に起因するものも想定しているか。
④ コンティンジェンシープランの整備に当たっては、利用者に与える被害等を分析しているか。
⑤ コンティンジェンシープランを使用した訓練を定期的に行っているか。また、訓練は、当該共済事業実施組合全体レベルで行い、必要に応じて委託先等が参加しているか。
Ⅲ.流動性リスク管理態勢
1.流動性リスク管理態勢の整備・確立状況
(1) 資金繰りリスクを考慮した戦略目標
理事は、資金繰りに支障を来せば、場合によっては経営破綻に直結するおそれがあることを理解し、理事会において、戦略目標を定めるに当たり、資金繰りリスクを考慮しているか。
(2) リスク管理のための組織の整備
理事会は、資金繰りリスクの管理に当たり、例えば、資金繰り管理部門とリスク管理部門を分離するなど、適切な資金繰りリスク管理を行うため、けん制機能が十分発揮される体制を整備しているか。
なお、資金繰り管理部門が、リスクの状況に応じて直接代表理事に流動性確保のための方策を申し立てることができる体制となっているか。
(注) 「資金繰り管理部門」とは、日々の資金繰りの管理・運営を行っている部門をいい、「リスク管理部門」とは、資金繰りに関する内部基準等の遵守状況等のモニターを行っている部門をいう。以下同じ。
(3) リミットの設定及び見直し
代表理事は、適切な資金繰り管理を行うため、資産運用の内容等により、必要に応じ、市場のない、もしくは非常に流動性の低い資産の運用上の限度額等のリミットの設定及び見直しを行い理事会に対して報告を行っているか。
また、理事会は、報告を受けた内容が流動性リスク管理方針を遵守したものであることを検証しているか。
(4) 資金繰りに関する規程の整備
資金繰り管理部門及びリスク管理部門の管理者は、資金繰りの状況をその資金繰りの逼迫度に応じて区分(例えば、平常時、懸念時、危機時、巨大災害時等)し、各区分時における管理手法、報告方法、決裁方法等の規程を理事会等の承認を得た上で整備しているか。
(5) 適切な資金繰り管理の実行
資金繰り管理部門の管理者は、流動性リスク管理方針及びリスク管理の規程に従い、資金繰りを適切に管理しているか。
2.資金繰り管理部門及びリスク管理部門の役割
(1) リスクの認識と評価
① 資金繰りリスクに関する要因分析及び対応策の整備
資金繰り管理部門は、新規契約、解約又は積立共済等の満期時の更改に影響を及ぼすと思われる風評等の情報を収集、分析し、対応策を策定しているか。
また、円貨・外貨別に資金繰り管理部門が分かれている場合は、それぞれの資金繰りリスクを統合して管理しているか。
② 連結対象子法人等の流動性の状況把握
資金繰りリスクの管理に当たっては、連結対象子法人等が資金繰り悪化により破綻した場合においても、当該共済事業実施組合に影響を与える可能性が大きいことから、その状況を把握・考慮した対応を行っているか。
③ 出再共済・出再保険の管理
資金繰りリスクの管理に当たっては、受再共済組合・受再保険会社の財務状況によっては、出再共済金・出再保険金を受領できなくなるおそれがあることを十分考慮しているか。
(2) 資金繰りリスク管理
① 流動性評価の実施及び資産・負債両面からのリスク管理
資金繰り管理部門は、資産・負債両面から流動性についての評価を行うとともに、共済金等に対する支払準備が可能となる時点と金額などの流動性の確保状況を把握しているか。
② 資金繰り管理の適切性
イ.資金繰り管理部門は、下記の項目について必要に応じ管理し、資金繰りに対する影響を早期に把握した上で、円貨・外貨について、日次の資金繰り表、週次、月次及び向こう四半期の資金繰り見通しを作成しているか。
・ 共済掛金と共済金等の集中管理
・ 運用の商品別、期間別構成の管理
・ キャッシュの管理
・ 各国通貨ごとの資金繰りの管理
・ 各国通貨間の融通も考慮した資金繰りの管理 等
ロ.リスク管理部門は、下記の項目について必要に応じ管理し、資金繰りに対する影響を早期に把握した上で、理事会等及び資金繰り管理部門に情報を提供するとともに、資金繰り管理部門をけん制しているか。
・ 新規契約及び解約見込みの計画と実績の管理並びにその分析
・ 資金ギャップ枠の管理
・ 契約上の借入枠及び貸付枠の残高管理並びにその分析 等
③ 資金繰りリスクの管理方法の適切性
資金繰り管理部門は、各業務部門等の報告等を基に、運用予定額(有価証券・貸付等)を把握しているか。
また、運用予定額を把握するに当たっては下記の項目について考慮しているか。
イ.オフバランス取引(通貨スワップ等含む。)
ロ.実態に応じた運用期間の把握(例えば、形式的には短期の運用となっているが、実態は長期の運用となっているものなど)
(注) 「業務部門等」とは、業務部門、事業拠点をいう。以下同じ。
④ 流動性リスクを考慮した業務運営等
各業務部門は、資金繰り管理部門が把握した資金繰りの状況に応じて、流動性リスクを考慮した業務運営を行っているか。
3.危機管理体制の確立
(1) 流動性危機時の対応策の整備
資金繰り管理部門及びリスク管理部門は、流動性危機時の対応策の策定、重要な見直しに当たっては、理事会の承認を受けているか(上記以外の見直しに当たっては、理事会等の承認を受けているか。)。
対応策の内容としては、連絡・報告体制(直接代表理事に報告される体制等)、対処方法(調達手段の確保)、決裁権限・命令系統等を含んでいるか。
また、適時対応策を見直し、常時対応可能なものとしているか。
(2) 調達手段の確保
資金繰り管理部門は、危機時・巨大災害時等において、有価証券の処分など、資金調達のための資産の流動化が円滑に行えるよう、常時、取引環境等に配意しているか。
4.情報伝達
(1) 各業務部門等の資金繰り管理部門、リスク管理部門に対する報告
各業務部門等は、資金繰り管理部門、リスク管理部門との連携を密にし、共済掛金及び共済金等の資金移動等の報告を迅速・的確に行っているか。
なお、リスク管理部門は随時直接情報を入手できる権限、システム等を装備していることが望ましい。
(2) リスク管理部門の理事会等に対する報告
リスク管理部門は、2(2)②ロにより把握した情報を定期的に及び状況に応じ随時、代表理事及び担当理事に報告し、理事会等に対しても定期的に及び状況に応じて随時報告しているか。
(3) 資金繰り管理部門の理事会等に対する報告
資金繰り管理部門は、資金繰りの現状及び予測について、定期的に及び逼迫度の状況に応じ随時、代表理事、担当理事に報告し、理事会等に対しても定期的に(状況に応じ随時)報告しているか。
(4) 資金繰りリスク管理のためのシステムの装備
資金繰り管理部門及びリスク管理部門は、適切な状況把握及びリスク管理を行うためのシステムを装備していることが望ましい。
Ⅳ.危機管理態勢
危機管理態勢の整備・確立状況
(1) 平時における対応
① 何が危機であるかを認識し、可能な限りその回避に努める(不可避なものは予防策を講じる)よう、平時より、定期的な点検・訓練を行うなど未然防止に向けた取組に努めているか。
② 危機管理マニュアルを策定しているか。また、危機管理マニュアルは、自らの業務の実態やリスク管理の状況等に応じ、不断の見直しが行われているか。
なお、危機管理マニュアルの策定に当たっては、客観的な水準が判定されるものを根拠として設計されていることが望ましい。
【参考】想定される危機の事例
イ.自然災害(地震、風水害、異常気象、伝染病等)
ロ.テロ・戦争
ハ.事故(大規模停電、コンピュータ事故等)
ニ.風評(口コミ、インターネット、電子メール等)
ホ.対企業犯罪(脅迫、反社会的勢力の介入、データ盗難等)
ヘ.事業推進上のトラブル(苦情・相談対応、データ入力ミス等)
ト.人事上のトラブル(内紛、セクシャルハラスメント等)
チ.労務上のトラブル(内部告発、過労死、人材流出等)
③ 危機管理マニュアルには、危機発生の初期段階における的確な状況把握や客観的な状況判断を行うことの重要性や情報発信の重要性など、初期対応の重要性が盛り込まれているか。
④ 危機発生時における責任体制が明確化され、危機発生時の組織内及び関係者(関係行政庁を含む。)への連絡体制等が整備されているか。危機発生時の体制整備は、危機のレベル・類型に応じて、組織全体を統括する対策本部の下、部門別・支所等の事業拠点別に想定していることが望ましい。
⑤ 業務継続計画(BCP)においては、大規模な災害やテロ等の事態においても早期に被害の復旧を図り、共済契約者等の保護上、必要最低限の業務の継続が可能となっているか。また、業務の実態等に応じ、国際的な広がりを持つ業務中断に対応する計画となっているか。
例えば、
イ.災害等に備えたコンピューターシステム、利用者データ等の安全対策(紙情報の電子化、電子化されたデータファイルやプログラムのバックアップ等)は講じられているか。
ロ.これらのバックアップ体制は、地理的集中を避けているか。
ハ.共済契約に基づく共済金等の適切な支払いなど共済契約者等の保護の観点から重要な業務を、暫定的な手段(バックアップデータに基づく手作業等)で対応する準備が整っているか。
ニ.業務継続計画の策定及び重要な見直しを行うに当たっては、理事会による承認を受けているか。また、業務継続体制が、内部監査、外部監査など独立した主体による検証を受けているか。
⑥ 大規模自然災害等の危機発生時において、共済金支払業務を継続・復旧させていくべき機能と明確に位置付けた上で、日頃から、災害発生時に支払業務の継続・復旧が図られるような態勢が整備されているか。また、共済契約者等に対して、共済金等の支払等について便宜措置(生協共済監督指針「Ⅲ―1―3災害における金融に関する措置」参照)が図られるような態勢が整備されているか。
⑦ 日頃からきめ細かな情報発信及び情報の収集に努めているか。また、危機発生時においては、危機のレベル・類型に応じて、情報発信体制・収集体制が十分なものとなっているか。
(2) 危機発生時における対応
危機的状況の発生又はその可能性が認められる場合において、危機対応の状況(危機管理体制の整備状況、関係者への連絡状況、情報発信の状況等)が危機のレベル・類型に応じて十分なものになっているか。
(3) 事態の沈静化後における対応
危機的状況が沈静化した後、発生原因分析及び再発防止に向けた取組を行っているか。
(4) 風評に関する危機管理態勢
① 風評リスクへの対応に係る態勢が整備されているか。また、風評発生時における本部各部及び支所等の事業拠点の対応方法に関する規程を設けているか。なお、他の共済事業実施組合や保険会社、又は取引先等に関する風評が発生した場合の対応方法についても、検討しておくことが望ましい。
② 風評が伝達される媒体(例えば、インターネット、憶測記事等)に応じて、定期的に風評のチェックを行っているか。
③ 風評が共済契約の解約に結びついた場合の対応方法について、支所等の事業拠点の状況把握、利用者対応、対外説明等、初動対応に関する規程を設けているか。
④ 上記③のような状況になった場合、行政庁担当課室、提携先、警備会社等へ、速やかに連絡を行う体制になっているか。
【実地調査用チェックリスト】
(1) 本チェックリストは、共済事業実施組合の事業拠点等、共済募集人及び代理店について、検査官が実地調査を行う際に活用するための例示として掲げたものである。検査官が本チェックリストを利用する際には、単なる軽微な不備事項や事務ミスのみを指摘することが目的ではなく、適正な法令等遵守態勢、共済募集管理態勢、利用者保護等管理態勢等が確立されているかを確認することを目的としていることに留意する。
(2) 検査に当たっては、実際の事務管理態勢のチェックは、基本的に共済事業実施組合の内部監査部門が負っていることに留意する。内部監査部門等各部門が有効に機能していることが確認できれば、例示事項のすべてについてまで、実地調査を行う必要はなく、逆に各部門が有効に機能していないようであれば、さらに深くチェックを行う必要がある。
(3) 本チェックリストの各項目はあくまで例示であり、ここに掲げられていない事項についても、現物検査の対象となし得ることに留意する。
1.共済募集の適正
(1) 生協法第12条の2第3項において準用する保険業法第300条第1項各号に定める禁止行為や同法第307条第1項第3号の「共済募集に関し著しく不適当な行為」その他の不適切な行為が行われていないか。特に、以下の不適切な行為が行われていないか。
① 共済掛金の横領・流用等
② 印鑑不正使用
③ 作成契約(架空契約)・借名契約・無断借名契約
④ 付績行為(成績の計上操作)・不正な勤務実態の作出
(2) 契約の内容及びそのリスク等を、利用者に対し適切かつ十分に説明しているか。
(3) 共済契約の内容のうち重要な事項について、当該事項を記載した書面を利用者に交付するなど適切な方法で説明しているか。
(4) 予定解約率を用い、かつ解約返戻金を支払わない共済契約の募集に際して、解約返戻金がないことを記載した書面を利用者に交付しているか。
(5) 契約のしおりなど契約内容の理解に資するための書面、約款等は適切に配付されているか。
(6) 共済契約に関する表示を行う場合、利用者の十分な理解が得られるような措置が講じられているか。仕組みの特性に応じた表示となっているか。
(7) 比較表示を行う場合、適切かつ正確な表示となっているか。
(8) 予想契約者割戻し表示を行う場合、生協共済監督指針の要件を満たした書面が作成、交付されているか。
(9) 転換契約に際して、利用者に不利益になる可能性があることを必ず説明しているか。また、転換契約に際して、既契約と新契約を対比して記載した書面及び既契約を継続したまま保障内容を見直すことが可能である旨記載した書面を共済契約者に交付しているか。
(10) 奨励金等を目的とした自己契約等の共済募集を行っていないか。また、代理店において、自己契約等の禁止(生協法第12条の2第3項において準用する保険業法第295条)違反を防止する適切な方策が講じられているか。
(11) クーリング・オフ制度は利用者に周知徹底され、かつ適正に実施されているか。
2.適正な募集事務管理
(1) 共済募集人に対する指導、管理は適切なものとなっているか。特に、代理店に関しては、収受した共済掛金を自己の財産と明確に区分し収支を明らかにする書類等を備え置かせるとともに、受領した共済掛金等を受領後遅滞なく共済事業実施組合に送金するか精算するよう指導、管理しているか。
(2) 団体扱契約
① 団体性は適切なものとなっているか。定められた団体区分に合致しているか。
② 共済金額及び被共済者数、契約(協約)内容は適切なものとなっているか。
③ 共済掛金率、集金手数料は適切なものとなっているか。
④ いわゆる団体取扱い外契約を防止するための方策を講じているか。
⑤ 団体性の変化に応じて、共済掛金率は適切に見直されるものとなっているか。
(3) 他人の生命の共済契約及び未成年者を被共済者とする生命共済契約に関し、共済契約の不正な利用の防止等による被共済者等の保護の確保の観点から、目的・趣旨に沿った共済契約を確保するための取組を行っているか。
(4) 超過共済(共済価額を上回る共済金額の設定)を防止するための確認すべき項目及び手続や体制は整備されているか。
(5) アフロス契約(共済事故が発生した後に締結される共済契約)を防止するための確認すべき項目及び手続や体制は整備されているか。
(6) 内部監査は十分な頻度で適切に実施されているか。
(7) 第一回共済掛金充当金領収証の交付、回収及び保管は適正に行われているか。
(8) 次回後共済掛金集金のための共済掛金集金カード、収納個表セット、領収証等の管理及び未入金契約の管理は適正に行われているか。
(9) 現金残高の不突合が生じないよう方策を講じているか。
(10) 募集経費等の支出は適切なものとなっているか。
(11) その他事務管理は適正に行われているか。例えば以下の点の回避、是正に努めているか。
① 共済掛金領収証綴、自賠責証明書、自賠責収納済印、自賠責共済標章
・ 残数不一致
・ 交付管理簿の記載不備
・ 預り証、要回収証明書の回収遅延及び未回収
・ 保管方法不備
② 契約者貸付関係
・ 契約者貸付申込書、借用書の徴求遅延及び未徴求
・ 契約者貸付申込書、借用書、請求書類の記載不備
3.代理店の採用・委託・届出
(1) 代理店の採用、委託は、その適格性を審査するための審査基準(共済募集に関する法令、共済契約に関する知識、共済募集の業務遂行能力、本来業務の事業内容、事業目的等)に則って行われているか。
(2) 無届出募集、届出前募集が行われていないか。
(3) 代理店廃止届出等、必要事項の届出を遅滞なく処理しているか。
4.苦情等への対応
(1) 利用者からの苦情等(不祥事件につながるおそれのある問合せ等も含む。)の内容は、処理結果を含めて、記録簿等により記録・保存しているか。
(2) 利用者からの苦情等のうち、本部へ報告すべきものを放置していないか。また、適切な再発防止策を講じているか。
(3) 共済契約者等、事故の被害者、遺族等に対する不適切な対応を行っていないか。
5.利用者情報管理
利用者情報は無施錠管理、机上放置などが行われないよう、適切に管理しているか。