オペレーショナル・リスク管理の諸原則

オペレーショナル・リスク管理に推奨されるサウンド・プラクティス「10の諸原則」の内容を説明します。

サウンド・プラクティス・ペーパーの概要

2003(平成15)年2月、バーゼル銀行監督委員会は、「オペレーショナル・リスクの管理と監督に関するサウンド・プラクティス」(以下、「サウンド・プラクティス・ペーパー」という。)という報告書を公表しました。この報告書は、G10諸国の金融監督当局において話し合われた金融機関のオペレーショナル・リスク管理に推奨される枠組みを10の原則として示したものであり、金融機関の内部監査担当者にとっても、オペレーショナル・リスク管理態勢に関する内部監査を行う上で重要な資料になっています。

バーゼル銀行監督委員会は、オペレーショナル・リスクという用語は銀行業界内で多様な意味を持つことを認識しており、各金融機関がそれぞれ独自のオペレーショナル・リスクの定義を採用することを認めるとともに、押さえておくべきポイントとして、「その定義は、銀行が直面している重要なオペレーショナル・リスクのすべての範囲を考慮し、大きなオペレーショナル損失の最も重大な原因を捕捉していることが重要である」ことを挙げています。
このサウンド・プラクティス・ペーパーの内容は、バーゼル銀行監督委員会による以前の報告書「銀行組織における内部管理態勢のフレームワーク」(1988(平成10)年9月)に基づいたものであることが明示されており、10の原則の構成もCOSOの内部統制のフレームワークを反映したものとなっています。

【サウンド・プラクティスの4つの柱】

  • 適切なリスク環境の整備
  • リスク管理:識別、評価、モニタリング、削減/コントロール
  • 監督当局の役割
  • ディスクロージャーの役割

 

適切なリスク環境の整備

オペレーショナル・リスク管理に果たす取締役会、上級管理職の役割・責任に関わる3つの原則があります。

原則1 取締役会は、銀行のオペレーショナル・リスクの主要な側面を、管理が必要な明確なリスクカテゴリーとして認識し、また、銀行のオペレーショナル・リスク管理のフレームワークを承認し、定期的に見直すべきである。
フレームワークは、金融機関全体にわたるオペレーショナル・リスクの定義を提示し、どのようにオペレーショナル・リスクが識別され、評価され、モニターされ、コントロール/削減されるかについての原則を示す必要がある。
原則2 取締役会は、銀行オペレーショナル・リスク管理フレームワークが、業務遂行上独立していて適切に訓練された能力の高い職員による効果的で包括的な内部監査の対象となることを確実にすべきである。内部監査部署は、直接的には、オペレーショナル・リスク管理に責任を持つべきではない。
原則3 上級管理職は、取締役会で承認されたオペレーショナル・リスク管理フレームワークの実施に関して責任を持つべきである。フレームワークは、銀行組織全体で整合的に実施され、すべての職員がオペレーショナル・リスク管理に関する各自の責任を理解すべきである。
また、上級管理職は、銀行のすべての重要な商品、業務、プロセス、システムについて、オペレーショナル・リスク管理のための方針、プロセス、手順を開発する責任を負うべきである。

ほとんどすべての銀行取引と業務に存在するオペレーショナル・リスクを理解し、管理することを怠ると、重大なリスクが見過ごされ、コントロールされない可能性が非常に高くなります
取締役会及び上級管理職には、効果的なオペレーショナル・リスク管理に高い優先順位を置いて、健全な業務コントロールに徹する組織文化を築く責任があります。
オペレーショナル・リスク管理は、銀行のすべてのレベルにおいて、銀行の風土が高い倫理行動基準に重点を置いているときに最も効果を発揮するものとされています。
原則2では、オペレーショナル・リスク管理態勢における内部監査部門の位置づけが明示されている点に注目する必要があります。

 

リスク管理:識別、評価、モニタリング、削減/コントロール

オペレーショナル・リスクの多様な性格を反映し、本ペーパーでは、オペレーショナル・リスクの「管理」とは、リスクの「識別、評価、モニタリング、削減/コントロール」を意味するとしています。この定義は、バーゼル銀行監督委員会の既存のリスク管理に関するペーパーと比較すると、「測定」の代わりに「評価」の用語を用いている点に特徴があります。すなわち、厳密な意味での定量的な計測を必ずしも要求していないということです。
また、「モニタリングの頻度は、関連するリスク及び業務環境変化の頻度と性質を反映すべきである」とされています。

原則4 銀行は、すべての重要な商品、業務、プロセス、システムに内在するオペレーショナル・リスクを識別し、評価すべきである。
また、銀行は、新しい商品、業務、プロセス、システムが導入、あるいは実施される前に、これらに内在するオペレーショナル・リスクの適切な評価手順を経ることを確実にすべきである。
原則5 銀行は、オペレーショナル・リスクのプロファイル及び損失に対する重要なエクスポージャーを恒常的にモニタするプロセスを導入すべきである。オペレーショナル・リスクの積極的な管理をするため、上級管理職及び取締役会に対する適切な情報の報告が恒常的に存在すべきである。
原則6 銀行は、重要なオペレーショナル・リスクをコントロールし、削減するための方針、プロセス、手順を持つべきである。銀行は、定期的にリスクの限定及びコントロール戦略を見直し、それに対応して、銀行の全体的なリスク選好性及びリスク・プロファイルに照らして適切な戦略を用いて、オペレーショナル・リスク・プロファイルを調整するべきである。
原則7 銀行は、継続的に業務を遂行する能力を確実にし、重大な事業中断が発生した場合の損失を限定するために、コンティンジェンシー及び事業継続の計画を策定しておくべきである。

 

監督当局の役割

金融監督当局は、本ペーパーの内容と整合的で、金融機関の規模、複雑性、リスク・プロファイルに見合ったオペレーショナル・リスク管理のフレームワークを開発することを金融機関に対して求めるべきであるとしています。

原則8 銀行監督当局は、規模にかかわらずすべての銀行が、リスク管理の全体的な取り組みの一部として、重要なオペレーショナル・リスクの識別、評価、モニタリング、コントロール/削減のための効果的なフレームワークを導入することを求めるべきである。
原則9 銀行監督当局は、オペレーショナル・リスクに関する銀行の方針、手順又は実務について、直接的あるいは間接的に、恒常的かつ独立した評価を実施すべきである。銀行監督当局は、銀行における進捗状況が常に把握できるための適切なメカニズムを確保するべきである。

 

金融監督当局は、本ペーパーの内容と整合的で、金融機関の規模、複雑性、リスク・プロファイルに見合ったオペレーショナル・リスク管理のフレームワークを開発することを金融機関に対して求めるべきであるとしています。

金融監督当局がオペレーショナル・リスクに対する独立した評価において検証すべきことがらには、例えば、次の点が含まれているべきです。

  • オペレーショナル・リスクに関連する銀行のリスク管理プロセス及び全体的なコントロール環境の有効性
  • オペレーショナル損失や潜在的なオペレーショナル・リスクのその他の指標を含めた、銀行のオペレーショナル・リスク・プロファイルに関するモニタリング報告の方法
  • オペレーショナル・リスク損失事象と脆弱性を適時かつ効果的に解消するための手順
  • オペレーショナル・リスクの全体的な管理プロセスの信頼性を確保するための内部統制、検証及び監査のプロセス
  • 保険の利用など銀行のオペレーショナル・リスク削減努力の有効性
  • 銀行の災害復旧及び事業継続計画の質及び包括性
  • 銀行のリスク・プロファイル及び適切な場合には、内部的な自己資本の目標との関連において、オペレーショナル・リスクに対する全体的な自己資本充実度を評価するプロセス

 

ディスクロジャーの役割

金融機関が適時適切にディスクロジャーを行うことを通じて市場規律を強化し、ひいては、金融機関にとってより効果的なリスク管理をもたらす効果を期待しています。

原則10 銀行は、市場参加者がオペレーショナル・リスク管理に対する取り組みを評価できるように、十分な情報公開を行うべきである。

記事製作者

中小企業診断士 湯谷 一夫

コンサルティングのご依頼などサービスの詳細は、次のバナーをクリックしてください。  

コメントを残す