1. HOME
  2. 刊行物
  3. 金融ITフォーカス
  4. カテゴリから探す
  5. リスク管理
  6. FinTechに戸惑うリスク管理

FinTechに戸惑うリスク管理

2017年7月号

金融システムリスク管理部長 能勢幸嗣

多くの金融機関が、様々な企業との提携や技術活用を通じて、ビジネスモデルを変革しようとしている。ビジネス側に寄り添うべきリスク管理部門、とくにシステムリスク管理は、この状況に戸惑い、出遅れているように感じる。消費者をリスクから守りつつ、FinTechを正常に進化・成長させるために、システムリスク管理は今変化しなければならない。

「動く境界線」に戸惑うシステムリスク管理

 AIだRPAだブロックチェーンだと、様々な企業との提携や技術活用を通じて、金融機関はビジネスモデルを変革しようとしている。ビジネス側の積極攻勢とは裏腹に、彼らに寄り添うべきリスク管理部門、とくにシステムリスク管理は、戸惑い出遅れているように感じる。顧客にサービス提供を行うためのプロセスにおいて「境界線が動いている」ことに戸惑いの原因があると考える。

 例えばRPA(Robotic Process Automation)導入を活用した業務改革を想像して欲しい。RPA導入により、人手による事務処理がシステム(RPA)に置き換わり、事務のミスによるオペレーショナルリスクは低減する。しかし一方で、RPAを導入することでRPA自体の改ざんリスクやセキュリティリスクを管理する必要が生じてくる。つまり、リスクの所在が事務からシステムにシフトし、リスク顕在化の頻度は下がるが、発生した場合の影響度は格段に大きくなる。このようにシステム処理と事務処理の境界線が動いている。

 外部委託も同様である。銀行法の改正に伴い、複数の銀行や金融機関がオープンAPIの検討を行っている。所有から利用への流れの中で、従前から委託契約に基づく「タテ(垂直)」の外部委託管理については対応がされてきた。オープンAPI化が進むと言うことは、委託契約に基づく「タテ」の関係だけでなく、パートナーを含む「ヨコ(水平)」の関係の管理も求められることになる。新たな境界線がヨコに出現するということである。

 このように、事務とシステム、社内と外部委託・パートナーと境界の「数」も「場所」も変化していく。しかも固定化することなく少しずつ変化していく。当局などから提示されたチェック項目をもとにした点検型リスク管理しか行ってこなかった金融機関は、こうした境界線の変化、それに伴うリスクの変化に戸惑い、適切に動くことができずにいるのではないだろうか。

ヒント1:機能での管理の必要性-システムリスク管理という特殊な括りの終焉

 2017年2月に、金融庁は有識者検討会で金融検査マニュアルを実質的に廃止する方向を示した。金融検査マニュアル廃止後の方向性は未だ見えないが、金融庁森長官の講演会(※1)における「Functionベース」という言葉が一つのヒントであると考えている。ここでは、今後アンバンドリング化が進むと、金融機関などの組織を単位とした「Entityベース」に規制をかけるのではなく、預金・決済といった「機能」のどこにリスクが存在するかを見極め規制していく必要があると述べられている。

 現状、金融機関のシステムリスク管理は、境界線で事務リスク管理と分断され、システムだけ分別して管理されている。そのため機能全体での管理が弱いと感じる。サービス・業務の設計時には、多くの金融機関で、顧客に対するサービス・業務プロセスについて、人手による事務処理やシステム処理、外部委託を一気通貫してオペレーション機能全体として把握し、その中で業務継続・情報漏洩等々のリスクの所在やそれらに対する統制をトータルな目線で検討している。しかし、一旦サービスの提供が開始されると、プロセスの中に境界線が構築され、システムリスク管理担当部門は「システムだけ」、あるいは「システム外部委託先だけ」を分別して管理している。サービス開始から数年経過すると、サービス・業務プロセス全体のリスクについて語れる人が少なくなってしまうというのが現状かと思われる。

 今後は、顧客にサービスを提供するオペレーションの「機能」を一体として、頭から尻尾まで定常的に管理する態勢に戻る必要を感じる。確かに、システムは専門性が高く特殊な知識が必要である。しかし、時代の変化・環境の変化を見ると、オペレーショナルリスクを事務リスクとシステムリスクとに二分し、システムリスクだけを特殊な括りで管理する時代は、終わりを迎えているのではないだろうか。

ヒント2:「リスクは残るもの」という考え方

 もう一点は、「リスクは残るもの」というスタンスでの管理への変更である。

 先述の森長官の講演の中に、もう一つ「インフォームドコンセント」という言葉がキーワードとして挙がっている。FinTechが加速するということは、利便性の高いサービスが低コストで利用可能になる、つまり消費者にとってのリターンが大きくなるということである。しかし、リターンが大きくなるということは、当然リスクが増える可能性も高くなるということになる。それを消費者にしっかりと知らせる、つまり「インフォームドコンセント」の重要性を挙げている。この単語自体は昔から存在する言葉だが、消費者は何かあれば国が守ってくれると信ずるあまり、銀行系サービスを利用する際に、ほとんどの人がそのサービスに関連するリスクを考えたこともないのではないだろうか。

 金融機関のシステムリスク管理も、当局などが定めた検査マニュアルやFISC安全対策基準に従った「統制チェック」となっている場合も多いようだ。つまり、それらの項目に「○」と回答することが重要であり、「○」とすることで、「すべて統制し対応しています。リスクはゼロです」と主張しているかのように見える。「リスクはない」ということが暗黙の前提となっているとも言える。しかし、現実には○と回答している項目に関しても、事務のミスやシステム障害などは発生している。今後、境界線が動き続けると、これまでの定型的なチェックリストだけではリスク管理は難しくなる。

 今後は、リスク・リターンのバランスを今まで以上に考慮し、良いサービスを低コストで提供するには、「リスクは残るもの」との意識を再確認すべきだと考える。「リスクは残るもの」という考え方と、「リスクが何かわからない」というのとは全く異なる。「機能」の観点からサービスオペレーション全体でどのようなリスクがあるかを抽出し、その変化を把握することが第一歩となる。その上で、当局が提示するチェックリストを待つのではなく、自らでどの程度までリスクを削減するのか、リスクを受容するのかを検討することが必要となる。すべてを事前防御的な統制に依存するのではなく、発見的な統制や事後対応の態勢整備に力を入れるべきと考える。

 FinTechを正常に進化・加速させるためにも、オペリスクとシステムリスク管理の組織を統合し、サービス・機能全体での残リスクの棚卸しを行い、ビジネス側と並走できる態勢を整備することが必要であると考える。

1) 平成29年5月25日 コロンビア大学ビジネススクール日本経済経営研究所東京コンファレンスにおける講演「Will FinTech create shared values?」

※組織名、職名は掲載当時のものです。

印刷用PDF

Writer’s Profile

能勢幸嗣

能勢幸嗣Koji Nose

金融システムリスク管理部
部長
専門:リスクマネジメント

この執筆者の他の記事

能勢幸嗣の他の記事一覧

注目ワード : 人工知能

人工知能に関する記事一覧

注目ワード : FinTech(フィンテック)

注目ワード : RPA(Robotic Process Automation)

注目ワード : ブロックチェーン

注目ワード : API

このページを見た人はこんなページも見ています