システムリスク管理の基本

システムリスク管理の基本となる「システムリスクの管理プロセス」、「システムリスク管理規程」、「システムリスク管理組織」について、説明します。

システムリスクの管理プロセス

金融機関がシステムを利用する限り、システムリスクは避けることができません。
システム管理の目的は、自社の許容範囲内にシステムリスクを抑えることであり、まったくゼロにすることではありません。システムリスク管理とは、現状のシステムリスクを認識・評価し、達成すべきリスク・レベル(許容するリスクの程度)の目標値を定め、目標値を上回るリスク要因に対しては、低減させるリスク対策を行ってリスク・レベルを目標値に維持するような一連のプロセスを実施することを言います。こうしたシステムリスク管理の考え方は、基本的に他のリスクと同様です。

1.システムリスクの認識・評価

システムリスク管理を行っていくためには、最初に、組織に存在するリスクを認識し、そのリスクを適切に評価する必要があります。

  • 部門別のシステムリスク
    情報システム部門、本部各部門、利用部門の各部門についてリスクの認識・評価を行います。
  • 業務機能別システム
    システムリスクの認識・評価は、勘定系・情報系・対外系・証券系・国際系など主要な業務機能別システムについて、網羅的に実施します。
  • システムのライフサイクル
    システムの企画、開発、保守、運用、廃棄の各段階におけるシステムリスクを認識、評価します。

2.システムリスク対策

リスク評価を行っただけでは、そのリスクを管理したことにはなりません。リスク評価の結果に基づいて、リスク対策の方針を決定し、適切な対策を選択することが必要になります。
また、選択したリスク対策は、計画を立てて、効率的に実行しなければなりません。
そのために、権限と責任を持つ組織や担当者を任命するなど、効率的にリスク対策実行されるような体制を整えることも必要になります。

3.システムのリスクのモニタリング

さらに、実行したリスク対策によって、計画時に期待したような効果が得られているかどうかをモニタリングし、評価することが必要とされます。当初のリスク評価で、重要なリスクを見落としていた可能性もあり、また、金融機関が置かれている社会環境、ビジネス環境および技術環境の変化に応じて、システム構成や運用形態が変わっている可能性もあります。その結果、以前に実施したリスク評価やリスク対策では、有効ではなくなっているかもしれません。
リスクが顕在化してもそれに気づくのが遅れ、有効なリスク対策を実施できずに被害が大きくなることも考えられます。
また、リスクが顕在化する前に、適切なモニタリングによってその予兆を察知できればより被害を小さくすることもできます。

 

システムリスク管理規程

システムリスク管理を進めていくには、システムリスク管理規程が必要となります。
この規程には、次のような内容が含まれます。

  • システリスク管理に関する会社としての管理方針
  • 管理すべきシステムリスクの種類や範囲
  • リスク評価フレームワーク
  • 各リスクに対する管理戦略
  • システムリスク管理に関わるその他の規程等
  • 規程の見直し方法 等

システムリスク管理規程は、システムを取り巻く環境の変化などに応じて、時期や方法を定めて見直しを行わなければなりません。
システムリス管理規程は、その他のリスクの管理規程とともに金融機関全体のリスクを効率的かつ実効的に管理することを目標として策定されます。
そのため、システム管理規程は、自社のリスク・プロファイルに適合したリスク管理体系の一環として策定される必要があります。

【システムリスク管理規程の構成例】

 

システムリスク管理組織体制

システムリスク管理態勢の整備を行う上で中心となるのが、システムリスクの組織体制とシステムリスクの管理規程です。

システムリスクの管理組織体制は、金融機関のあらゆる関係者にシステムリスク管理プロセスに関わる役割を割り当て、リスク管理の実行責任を明確にし、リスク管理が適切に行われる体制を整えるために必要とされます。通常、システムリスク管理部門が定められ、その統括・指示のもと、システムリスクに関連する各部署の役割に従って実務が行われます。
どのようなシステムリスクの管理組織を構築するかは、各金融機関の経営方針、規模や業務内容に応じて、最も効果的にリスク管理することができる組織を構築すべきです。

システムリスクは、全社的なリスク管理における重要なリスク領域の1つとしてとらえる必要があります。
したがって、システムリスク管理の最終的な責任は、他のリスクと同様に取締役会にあると考えられます。システムリスクだけを他のリスクから切り離して特別に考えるべきではありません。
さらに、システムリスク管理を主体的に進める組織の活動を、客観的に評価する枠組みとして、システム監査を実施する体制を整えることが求められています。
このような全社的な組織の下に、システムリスクを専担で管理するシステムリスク管理部門を設置することが望まれます。

【システムリスク管理組織の例】

記事製作者

中小企業診断士 湯谷 一夫

コンサルティングのご依頼などサービスの詳細は、次のバナーをクリックしてください。  

コメントを残す