1. HOME
  2. 刊行物
  3. 金融ITフォーカス
  4. カテゴリから探す
  5. リスク管理
  6. リスク評価が生む「違和感」の正体

リスク評価が生む「違和感」の正体

2017年8月号

金融システムリスク管理部 グループマネージャー 玉川哲司

金融アンバンドリング等、様々な業務の転換点である昨今、リスク評価の網羅性を担保するはずの「評価の枠組」は、その網羅性を失いつつある。リスク評価における「違和感」とは、業務と管理の不整合と言える。リスク管理部門は、この「違和感」を掘り下げ、新ビジネスの課題を是々非々で議論し、将来のビジネス持続性に向けた議論を行うべきである。

リスク評価の「違和感」

 FinTechの活用が叫ばれて久しい。読者も、規模の大小はあれ、その導入検討に取り組まれたことがあるのではないだろうか。金融機関では、このような新サービスの導入には事前の「リスク評価」が前提となっている。導入による顧客への影響はもとより、「事務処理」「システム」「法令等遵守」「情報セキュリティ」等、想定されるリスクを漏れなく検討し、対応を決める必要がある。

 こうしたリスクを想定・検討するにあたって、議論すべきリスクを網羅的に洗い出すため、検討すべき“項目”と“評価の手続き”からなる「リスク評価の枠組」が定められているのが一般的である。この「リスク評価の枠組」に従ってどのようなリスクがあるかを洗い上げていく訳だが、この枠組に「違和感」を持ったことはないだろうか。特に、FinTechの活用等、新しい分野・領域への進出是非を論じるに際して、どうだろうか。

 リスク管理部門は、「管理すべきリスクの全体像」を経営に示し、適切な許容水準の承認を得た上で、水準からの逸脱に対する改善/例外処理を行い、管理・報告するのが役割である。新サービスの導入に際しては、導入による「利益発生の可能性」と「損失の発生可能性」を勘案し機関決定がなされるなか、リスク管理部門には「損失の発生可能性」の提示が求められる。

 ここで経営から特に求められるのはリスクの「全体像」による網羅性である。それを示すためリスク管理部門は、各種機関が示す指針やマニュアル、先任者から続く解釈等を踏襲し、リスク評価の体系を定めている。これらは“お城のように”構築され、指標等によって効率的、俯瞰的に「評価」できるようになっている。先達の“叡智”である。

 しかし、その「リスク評価の枠組」は、変化の激しい現在でも適切なものだろうか。業務の変質や外部環境の変化に追随し、整合がとれているだろうか。そこに「違和感」はないだろうか。

業務と管理の「不整合」

 業務の変質や外部環境変化の一例として「所有から利用へ」の流れがある。特定のシステムや業務をアウトソーシングした場合、当該システムや業務が「直接管理」から「間接管理」に切り替わる。間接管理には当然直接管理とは異なるところがあり、業務・システムの重要度等に応じて「適切な落としどころ」を探し、管理の設計を行う必要がある。にもかかわらず、「管理の設計」を行わず、「直接管理」と同じリスク評価を行っているケースも少なくない。

 たとえば、「所有」の時に業務部門に配布していた評価様式を、そのまま「利用」先であるところの委託先に配布する例が少なからずある。これでは正しく実態を反映した評価結果とはならない。

 具体的に述べれば、評価様式は「直接管理」の時のままであるため「規程遵守」「自主点検」「未決管理」に関する項目が含まれている。「規程遵守」について見ると、業務が参照する規程とは具体的にどれを指すのか。委託先の規程なのか、委託元の規程なのかは、合意されていない限り不明確であり、評価の結果にばらつきが生じる。また「自主点検」については、この「規程」に紐付くことが多いため、ここも不明確である。加えて、「自主点検」を委託先の自主的な内部監査と読み替えるか、委託元の委託先監査を待つ形と理解するか、解釈にブレが生じる。「未決管理」についても、外形的な未決管理運用の有無を確認したところで、その管理の水準が異なれば、リスクの度合いは異なることとなる。

 これは、業務と管理の「不整合」による「スキマ」である。この弊害がすぐに表面化するとは限らないが、中長期的には、サービス・統制のゆるやかな劣化、非明文化ルールの陳腐化・消失、管理の遺漏・不在を招くことは想像に難くない。何より、「リスク評価」が、外形的には機能しつつも、実効性を失っていくこととなる。

現在価値から、将来価値ベースのリスク管理へ

 「評価の枠組」に対し、冒頭に述べた「違和感」を感じた場合、どうしているだろうか。起案する側であれ、管理する側であれ、「スキマ」には気づくはずである。それを是々非々で議論する態勢や文化があるだろうか。

 「違和感」は業務と管理の不整合である。すべての不整合が是正の対象であるとは限らないが、それをどのように解釈するのか、業務と管理、評価の枠組みに改善すべき点はないか、議論が尽くされるべきである。

 新しい領域のビジネスに取り組む際、リスク管理部門は、リスク評価を通じて、様々な「損失の可能性」を排除することを求められる。これは、「機会の可能性」を獲得することが求められる企画部門と表裏一体の関係であり、経営の意思決定を支える両輪である。このとき、新しい領域のビジネスは、これまでのリスク評価の枠組の中におさまらないと考えるのが妥当である。

 リスク評価の枠組は手段にすぎない。先達は、リスクに関するゼロベースからの議論を経て枠組を作り、業務効率化の観点から様式と手続きを作ってきた。組織と業務が継承されるなか、手段が目的にすり替わるケースは珍しくないが、「リスク評価の枠組」も、今その段階に来ていると感じる。ゼロベースの立ち位置に戻り、リスク評価とともに評価の枠組についても議論すべきである。「違和感」と向き合い、是々非々を論じることもまたリスク管理の「本業」であろう。

 「評価の枠組」や「前任者の解釈」「前年度評価」は“叡智”として一定の価値を持っている。連続性に棹をさす評価の手法や結果については、内部で物議を醸すことも多々あるが、まさしくここに陥穽があると断言する。今、我々を取り巻く状況は「非連続」なのである。連続性の否定に対する挑戦と許容が、当然必要である。

 金融庁が、その「行政方針」において「過去から将来へ」と宣言している。ここには、過去の価値観に縛られることなく、将来に向けた持続可能性の観点から、ゼロベース評価を行うことに対しての奨励が込められているものと思料する。

 最後になるが、本稿は、過去に作られたものの価値を否定することを意図したものではない。過去の価値で測れない「違和感」を放置し続けた結果、新しいビジネスの評価にも違和感が生じ、判断が遅れることこそ、最大のリスク(機会喪失)であると主張するものである。

※組織名、職名は掲載当時のものです。

印刷用PDF

Writer’s Profile

玉川 哲司

玉川哲司Tetsuji Tamagawa

金融システムリスク管理部
グループマネージャー
専門:リスクマネジメント

このページを見た人はこんなページも見ています