1. HOME
  2. 刊行物
  3. 金融ITフォーカス
  4. カテゴリから探す
  5. リスク管理
  6. 実効性のあるオペリスク管理に向けて

実効性のあるオペリスク管理に向けて

2011年2月号

ERMプロジェクト部 副主任コンサルタント

地方銀行を中心とする国内銀行は、オペレーショナル・リスク管理に関して様々な課題に直面している。この課題の解決に向けては、まずは、損失額の大きさに応じた情報収集、簡便な計量化を通したリスク影響度評価を行うことが第一歩となるのではないだろうか。

オペレーショナル・リスクの特徴

 オペレーショナル・リスク(以下、「オペリスク」)とは、銀行の業務の過程や役職員の活動、あるいはシステムが不適切であることや外生的な事象により損失が発生し得る可能性を指す(※1)。
 オペリスクは、バーゼルⅡにおいて、市場リスク・信用リスクに加え新たに自己資本比率計算の対象に含まれたが、他のリスクに比べ管理手法についても確立されていないことから、各行ともに試行錯誤の中、取り組んでいる状況であると言えよう。
 オペリスクには市場リスク・信用リスクとは異なる特徴がある。まず、オペリスク管理では、リスクを回避するため業務にブレーキをかける対応も必要となることから、リスク対応に関して行内関係者から理解を得にくい(※2)。経営層からの積極的なコミットメントが必要不可欠である。また、損失事象の発生が不定期で(※3)、業務プロセスのあらゆる箇所で発生し得る。そのためオペリスク関連データの範囲は幅広く(※4)、関連データの収集管理には業務知識と手間が必要である。そのうえ、損失事象と関連データの分析活用方法として広く認知されたものが今のところ存在していない。その中で、いかに効率的にデータを収集し、リスクの影響度分析を行っていくかが重要となる。

オペリスク管理における課題

 オペリスクを管理するため、銀行は、実際に行内で発生した損失事象データである「内部損失データ(※5)」の収集、行内のオペリスク管理状況を現場担当者が自ら評価する内部統制活動である「CSA(Control SelfAssessment)(※6)」の実施、今後発生が予想される影響度の高い(損失金額の大きい)損失事象を推計するための「シナリオ分析(※7)」等の業務を、各行のオペリスク管理レベルに応じて実施している(※8)。
 しかし、前述のようなオペリスク固有の特徴から、こうした管理業務の実施に課題を抱える銀行も少なくないようである。野村総合研究所では2010年秋、地方銀行を中心とする国内銀行のオペリスク管理の実態と課題を把握するために、アンケート調査を実施した(※9)。アンケートでは、オペリスク管理部門の立場から、収集データの活用状況、管理業務に関する負荷、行内関係者からの理解度について質問を行った。その結果からは、オペリスク管理として様々な取り組みがなされているが、かなりの銀行において、オペリスク管理部門の業務負担感が相当に高いこと、それにもかかわらず、収集データを上手く活用できておらず、行内関係者の理解を十分に得られていないことが明らかになった。
 アンケート調査と並行して行ったヒアリング調査でも、いくつかの課題が確認できている。例えば、①内部損失の損失金額が数円規模と数十万円規模の事象では報告内容の詳細度が異なってしかるべきなのに、すべてに対して詳細な報告を求められ現場に不要な負荷がかかっている、②システムリスク等、発生した場合の損失金額が大きいと考えられるリスクから対応すべきだが、リスクの影響度を評価できていないため、結局は金額の多寡に拘わらず実際に発生した損失事象への対応を優先してしまっている、といったものである。
 アンケート結果とヒアリング内容を勘案すれば、オペリスク管理の現状について、「オペリスク管理は多くの部署からデータを収集する必要があるが、リスク管理部門の人員は少なく業務負荷が大きい。そのため、なかなかリスク影響度の分析にまで手が回らず、データが上手く活用されていない。また、分析結果のフィードバック等も十分なされないまま現場はデータの提出を求められ、現場のオペリスク管理に対する理解は深まらない。更に、リスクの影響度評価がなされていないため、リスク対応の優先付けができていない」といった姿が想像される。

課題の解決に向けた第一歩を

 オペリスク管理を進展させるには、このような言わば「負の連鎖」をどこかで断ち切らなければならない。そのための第一歩を踏み出す必要がある。
 一つには、現場のデータ提出の負荷を軽減し、現場の理解を得ていくために、報告内容の詳細度を損失金額の大きさに応じて変えることが考えられる(※10)。本来は「重大なオペリスク事象」かどうかで閾値を決めるべきだが、例えば10万円以上の損失事象は重大なオペリスク事象と一旦決めて詳細な報告を求め、10万円未満については簡略化した報告で済ませるルールを導入する。その後はデータを見ながら検証を行う。
 さらに、リスク対応の優先順位を付け効果的なオペリスク管理を実施していくためには、リスク影響度評価を行い、リスクに対する行内関係者の共通認識を得ていくことが必要である。オペリスクとして管理すべき事象をすべて網羅し認識した上で、幅広いリスク事象の中から重要リスクを的確に把握するための重み付けを行うことが求められる。例えば、CSA評価項目に、リスク事象の損失金額・頻度を大まかなレベル(大中小など)で評価する項目を追加することが有効であろう。これにより、簡便な形ではあるがリスク事象の影響度に基づくレベル分けや順位付け等の計量化を図ることができる。リスク影響度の評価には精緻な計量化モデルが必要だと思いつつ、その構築に逡巡している先が多いと思われるが、この程度の計量化でも、影響度評価を行い優先的に対処すべき重要リスクを抽出することは可能である。
 本来、オペリスク管理においては、経営層がトップダウンで方針を策定し、行内の取り組み態勢を整えることが理想である。しかし、影響度評価等の情報がないため、経営層が率先してオペリスク管理に取り組むことが難しい状況の銀行も少なくないのではないだろうか。現状の課題を解決するためには、まずはオペリスク管理部門が比較的容易に着手できることから取り組むことが現実的であろう。前述のような取り組みに着手し、その後検証を繰り返すことで、オペリスク管理のレベルが向上し、将来的には、経営層が期毎のオペリスク管理の方針を策定したり、リスク対応に対して費やすべきコストを適正化する際に、必要となる情報をオペリスク管理部門から提供することも可能となるであろう。
 金融機関の多くは、オペリスク管理として改善すべき課題を認識していることから、今後、地道な対応を通し、着実に高度化が図られていくことを期待したい。

1) 例えば、窓口振り込みにおいてお釣りを払い間違うケースから、行員が外部者と結託し架空の預金証書を発行し不正に借入を行うケース、システム運用を委託している外部ベンダーから顧客個人情報が流出するケースなど、あらゆる現場で、様々な損失パターンが想定される。
2) 例えば、積極的に投資信託を販売したい営業部門に対して、コンプライアンス上、確認すべき項目が多い等。
3) 特に国内銀行は事務品質のレベルが高いため、損失事象件数が欧米と比較して1/10程度と言われている。
4) 業務内容の変更、法改正、内部統制評価の見直し等。
5) 銀行の内部で生じたオペリスク損失に関する情報をいう。
6) コントロール(内部統制)の有効性について、組織や業務の運営を担う人々が自らの活動を評価する手法をいう。
7) 重大なオペリスク損失の額および発生頻度について、専門的な知識及び経験ならびにオペリスクに関する情報に基づいて推計する手法をいう。
8) オペリスク管理においては、3つの計測手法(基礎的手法、粗利益配分手法、先進的計測手法)から各行の管理レベルに応じて独自に採用し、金融庁に対して自行のオペリスク管理のプロセスの有効性を示し、認可を得る必要がある。
9) 2010年9 ~10月、地方銀行、第二地方銀行を中心とする国内銀行112行に対して「金融機関のオペレーショナル・リスク管理態勢に関するアンケート調査」を実施し、67行から回答を得た。詳細は http://www.nri.co.jp/news/2010/101118_2.html参照。
10) 金融庁告示第315号3項五号二

※組織名、職名は掲載当時のものです。

印刷用PDF

このページを見た人はこんなページも見ています