・(上)から読む
金融機関のシステムリスク
動向とその管理について
金融機関が抱えるリスクは、近年どのように多様化しているのか ――そもそも金融機関が管理すべき「リスク」は、システムリスク以外にどのようなものがありますか。
富永 金融機関の管理すべきリスクは、大きく三つに分類されます。最も知られているのは「信用リスク」でしょう。「不良債権問題」と言うとさらにイメージが湧きやすいかもしれません。これは、例えば金融機関が企業に貸したお金が返ってこないリスクです。次に「市場リスク」というものがあります。これは、金融機関がマーケットで投資した有価証券の価格変動等によって損失を抱えるリスクです。そして最後が「オペレーショナルリスク」です。事務リスクやシステムリスクが代表的なものですが、「信用・市場以外のリスクの全て」という定義もあるほどで、この場合には法務・風評等、幅広い範囲のリスクを含んだものになります。
――システムトラブルなどは、「オペレーショナルリスク」に分類される訳ですね。金融機関では、これをどのように管理しているのですか。
富永 オペレーショナルリスクは、ちょっと想像してみて頂ければお分かりになるかと思いますが、先の信用リスクや市場リスクと比べてなかなかつかみにくく、管理することも難しいリスクであり、その管理は発展途上にあると言えるでしょう。
具体的に申し上げると、プログラムのバグがいつ(どういう条件下で)発覚するか、コンピュータの部品がどんなタイミングで故障するかといった確率は、なかなか算定(計量化)することが困難です。「シナリオ分析」といって、予見される事態とその影響をある程度見込んでおくことはできますが、限界はあります。そうは言いつつも、大手金融機関では、過去の内部損失データの蓄積に努めるなど、オペレーショナルリスクの計量化に向け、試行錯誤を繰り返しながら、徐々に目標に近づく工夫をしている最中です。
また、計量化とはやや観点が異なりますが、各金融機関では、「セキュリティポリシー」と呼ばれるシステムリスク管理の基本方針等を策定し、これに基づく各種の対策を実施して、管理レベルを向上させるべく努めています(セキュリティポリシーの体系は図参照)。既に一通りの枠組みは整備されており、これから定着と向上に向かう段階と認識しています。
さらに、地域金融機関では、今後「共同化やアウトソーシングへの流れ」の中で、共同センターやシステムベンダーとの適切な牽制関係をいかに構築し、「自社のコントロールを確保」していくかが、最大のテーマとなるでしょう。
――オペレーショナルリスクの管理に向けて、世界的にはどのような取り組みが進められていますか。
富永 オペレーショナルリスクの管理については、バーゼル銀行監督委員会において、各種の検討や協議が続けられており、例えば、現在完成に向けた作業が進められている「自己資本に関する新しいバーゼル合意」(いわゆる「新BIS規制」)においては、新たに独立したリスクとしてオペレーショナルリスクを捉え、これを適切に管理するフレームワークの構築や所要自己資本への賦課が盛り込まれる予定です。
詳しい内容は、日本銀行ホームページ上のBIS論文や考査局ディスカッション・ペーパーなどを参照して頂ければと思いますが、こうした世界的な取り組みは、計量化し難いと言われるオペレーショナルリスクについても、いわゆる自己資本の算出に用いる先進的計測手法の選択肢を拡大するなど、各種のアプローチを提示し、定量化した上で管理のプロセスに組み入れていくことを求めるものです。
――昨年9月、ニューヨークの金融経済の中心地がテロの標的にされましたが、こうしたケースも、「オペレーショナルリスク」に分類されるのですか。
富永 確かに、昨年のNYテロのような事件も、「拠点被災対応」としてオペレーショナルリスク管理に組み入れておくべき内容の一つです。
実は私は、偶然にも事件当日にニューヨークに出張していて現場を目撃し、終生消せない記憶となりました(同行していたコンピュータ・ニュース社の奥田社長が撮影した写真を参照)。
その後、私自身も、その時の体験をベースにして様々な場で緊急時対応計画(コンティンジェンシー・プラン)を整備・拡充することの重要性などを訴えてきました。
――同様の事態に備えて、金融機関は対応を進めていますか。
富永 内外の金融関係者は、今回の事件からコンティンジェンシー・プランのあり方やバックアップ・サイトの重要性等につき、多くの貴重な教訓を得て、各種の対応を進めています。
ただ、少し気掛かりな点としては、社会的背景に基づくリスク認識の違いからか、日本の金融機関の対応は必ずしも十分でないような感じも受けております。尊い犠牲となられた方のためにも、事件が風化し一過性のテーマで終わることのないように心掛けたいものです。
→(下)に続く
(聴き手 日本銀行情報サービス局)
「にちぎんクオータリー(2002年夏号)」より転載【富永 新】
日本銀行 考査局企画役(システムリスク分析グループ長)
(とみなが あらた)1980年日本銀行に入行。システム情報局、業務局、情報サービス局等を経て、98年以降考査局。大半をIT分野に籍をおき、日銀ネットの基盤構築、新電算センターの設計、各種AP開発のプロジェクト管理、日銀Webサイトの開設等に取り組む。システム監査技術者。
