リスク管理最前線 第66回 〜オペレーショナルリスク〜
- 欧米金融機関の現場から
- リスク管理コラム
- リスク管理最前線
オペレーショナルリスク
オペレーショナルリスクとは、業務プロセス、役職員の行動、システムの不適切・不機能、または外生的な事象等により損失が生じるリスクのことです。過去に巨額の損失をもたらした事例も多く、多くの金融機関においては規制当局の要請からも管理態勢を強化しており、独立したオペレーショナルリスク管理部署が設けられています。今回はオペレーショナルリスク及びその管理手法の概要についてご紹介します。
オペレーショナルリスクの種類と特性
オペレーショナルリスクの種類は多岐に渡りますが、主なものを例示すると以下のとおりです。
- 不正:内部役職員及び外部からの不正行為、詐欺、盗難等
- システム:システム障害、通信障害、サイバー攻撃等
- 業務プロセス:事務ミス、個人情報の不適切な利用、未承認取引の実行等
- 自然災害:地震、火災、洪水等
- その他の外生的な事象:テロリズム、暴動等
- コンプライアンス(*):法令義務違反等
- 人的リスク:役職員の健康や安全に関する基準の抵触、報酬や差別、ハラスメントに関するクレイム等
(*)コンプライアンスリスクはその重要性から、金融機関では独立したリスク管理部署を設けているのが一般的です。また、人的リスクは人事あるいはコンプライアンスリスク管理部署の管轄になる場合があります。
オペレーショナルリスクは、市場リスクや信用リスクと比較して、有効なデータがほとんど無いため、定量化が非常に困難です。リスク事象が発生する可能性及び発生した際の損失額は、非常に予測が困難です。ただ発生することは稀でも、発生した際の影響は甚大な場合も多いため、重要なリスク要因の一つであることに変わりはありません。
オペレーショナルリスク見合いの規制リスク資本
国際的な金融機関の規制当局であるバーゼル委員会は、金融機関がオペレーショナルリスク見合いで最低限確保すべき規制リスク資本を算出する手法をいくつか定めました。
初期においては、「基礎的手法」(Basic Indicator Approach = BIA)が多くの金融機関で採用されました。この手法は金融機関全体の粗利益の3年間の平均値に15%を乗じてオペレーショナルリスク相当額とします。
次に、基礎的手法の発展形として、「粗利益配分手法」(The Standardized Approach = TSA)の採用が認められました。この手法は基礎的手法に似ていますが、ビジネスライン毎に定められた異なる一定率をビジネスライン毎の粗利益に乗じて、ビジネスライン毎にオペレーショナルリスク相当額を算出し、その総和を金融機関全体のオペレーショナルリスク相当額とします。
さらに、発展形として「先進的計測手法」(Advanced Measurement Approach = AMA)も認められ、いくつかの金融機関で導入されました。この手法は前回ご紹介した信用リスクの損失額分布のパーセンタイル値からリスク資本を求める手法と同様、オペレーショナルリスクの損失額分布のパーセンタイル値をオペレーショナルリスク相当額とする手法ですが、モデルの前提条件等、金融機関による数字のバラツキが大きく、結果的に異なるアプローチが必要とされました。
そこで2016年にバーゼル委員会は上記三手法を廃止し、新しい「標準的手法」(Standardized Measurement Approach = SMA)に一本化しました。この手法は「ビジネス規模」部分に「損失実績」部分を掛け合わせてオペレーショナルリスク相当額を求めるものです。詳細は割愛しますが、ビジネス規模部分とは、従来の手法の粗利益に変わるものとして、ビジネスライン毎にビジネスインディケーター(BI)と呼ばれる規模の指標を算出し、それにBIに応じた掛け目を乗じたものです。損失実績部分とは、過去10年間における平均オペ損失を15倍した値とビジネス規模との比率に応じて求められる調整係数です。
エコノミックキャピタルとストレスシナリオ分析
上記の規制リスク資本は金融機関にとって最低限確保すべきリスク見合いの資本ですが、多くの金融機関は別途独自の手法でエコノミックキャピタル(所要リスク資本)を算出しています。前回ご紹介した信用リスク定量化手法の一つであるクレジットメトリックス同様、モンテカルロシミュレーションにより損失分布を求める手法がオペレーショナルリスクにおいても用いられますが、オペレーショナルリスクは統計的手法の適用が困難であり、ストレスシナリオ分析が特に重要視されます。ストレスシナリオの作成にあたっては、過去に発生していなくとも、将来起こり得る仮想的なイベントも考慮することが重要です。またいくつかのイベントが同時期に発生する可能性も考慮する必要があります。各イベントの発生頻度や損失額は推定が困難であり、過去のイベントや専門家の意見を参考にしつつも、主観的な判断が必要となります。
オペレーショナルリスクの低減
オペレーショナルリスクを低減することは可能で、その方策はリスク要因により異なりますが、例としてはコンピューターシステムの更新、確認プロセスの追加、役職員の研修等が挙げられます。重要なポイントは、採択する方策はあくまでもコストと効果の兼ね合いで決定されるべきものであり、必ずしも低減策が講じられるわけでは無いということです。
オペレーショナルリスクを認識し、リスクに対する役職員の意識を高める方策として、「リスク統制自己評価」(Risk Control and Self Assessment = RCSA) と呼ばれるプロセスが金融機関では一般的に行われています。ここでのポイントは「自己評価」であり、リスク管理部署主導ではなく、各現場部署においてリスク要因を洗い出し、主要なリスク要因について発生頻度や潜在的損失額の評価が行われます。このプロセスは定期的(年度等)に行われ、オペレーショナルリスク管理部署が全体を取りまとめます。
リスクが顕在化する可能性が高まっていることを認識する手段として、「重要リスク指標」(Key Risk Indicators = KRI)をモニタリングする方策があります。例としては、離職率、取引エラー件数、派遣社員比率、連続休暇取得率等が挙げられ、その推移を定期的に観測することにより、対策が必要な状況になっていないかを判断します。なお、金融機関において連続休暇取得が義務化されていますが、これには不正取引の隠蔽等を防止する方策という側面があります。
役職員の研修は効果的なリスク低減手段であり、法令に関するもの、リスク管理における役職員の役割に関するもの、情報管理のルールに関するもの、電子メールやSNSの使用ルールに関するもの等、オンライン研修を含む多様な研修が必須のものとして、繰り返し受講することが多くの企業で義務付けられています。
保険の購入もリスク低減策の一つです。自然災害や盗難に対する保険の他、サイバー攻撃被害に対する保険等も考えられますが、やはり導入においてはコストと効果のバランスを考慮すべきです。
【参考文献】
・Valuation and Risk Models: Global Association of Risk Professionals
・金融庁/日本銀行 オペレーショナル・リスクに係る最低所要自己資本の概要 等
◇MRAフェロー 伊東啓介