オペレーショナルリスク管理について
基本的な考え方
当社グループでは、オペレーショナルリスクを「内部プロセス・人・システムが不適切であることもしくは機能しないこと、または外生的事象が生起することから当社グループに生じる損失に係るリスク」と定義しています。
当社グループのオペレーショナルリスク管理は、当社が統括しています。具体的には、オペレーショナルリスクについて、システムリスク、事務リスク、法務リスク、人的リスク、有形資産リスク、規制・制度変更リスクの各リスクを含む幅広いリスクと考え、これらのリスクに関する当社グループの基本的な方針を定め、主要グループ会社の管理を行い、併せて、当社グループのオペレーショナルリスクの状況をモニタリングし管理する態勢となっています。
定義 | 主な管理手法 | ||
---|---|---|---|
システムリスク | コンピュータシステムのダウンもしくは誤作動等のシステムの不備またはコンピュータが不正に使用されること等により、お客さまへのサービスに混乱をきたす、または決済システムに重大な影響を及ぼす等、お客さまに損失が発生するリスクおよび当社グループが損失を被るリスク。 |
|
|
サイバー セキュリティ リスク |
サイバー攻撃により、電子データの漏えい・改ざん等や、期待されていたシステム等の機能が果たされないといった不具合が生じ、それによって、当社グループが損失を被るリスク。 | ||
事務リスク | 役員・社員の不正・過失・懈怠等または事務体制自体に起因して不適切な事務が行われることにより、お客さまへのサービスに混乱をきたす、または決済システムに重大な影響を及ぼす等、お客さまに損失が発生するリスクおよび当社グループが損失を被るリスク。 |
|
|
法務リスク | 法令や契約等に反すること、不適切な契約を締結すること、その他の法的要因により当社グループに損失が発生するリスク。 |
|
|
人的リスク | 人材の流出・喪失、士気の低下、不十分な人材育成、不適切な就労状況・職場・安全環境、人事運営上の不公平・不公正、差別的行為等により、当社グループに損失が発生するリスク。 |
|
|
有形資産リスク | 災害、犯罪または、資産管理の瑕疵等の結果、有形資産(動産・不動産・設備・備品等)の毀損や執務環境等の質の低下により、当社グループに損失が発生するリスク。 |
|
|
規制・制度変更リスク | 法律、税制、会計制度等の各種規制・制度が変更されることにより、当社グループに損失が発生するリスク。 |
|
- ※上記各リスクにまたがって構成される複合的なリスクである、「情報セキュリティに係るリスク」と「コンプライアンスリスク」についても、オペレーショナルリスクとして把握・管理しています。
オペレーショナルリスク管理態勢
当社では、取締役会がオペレーショナルリスク管理に関する基本的な事項を決定します。また、経営政策委員会(リスク管理委員会)で、オペレーショナルリスク管理に係る基本方針や運営・モニタリングに関する事項等、総合的に審議・調整等を行います。グループCROはオペレーショナルリスク管理の企画運営に関する事項を所管し、リスク統括部はオペレーショナルリスクのモニタリング・報告と分析・提言等を担い、オペレーショナルリスク管理に関する企画立案・推進を行います。
当社は、主要グループ会社のオペレーショナルリスク管理について各社からの報告等に基づいて、当社グループ全体のオペレーショナルリスクの状況を管理しています。特にオペレーショナルリスクの影響が大きいと判断される各社では、当社同様に基本方針を制定し、オペレーショナルリスク管理に関する重要な事項については各社の取締役会が決定します。
オペレーショナルリスク管理方法
オペレーショナルリスクの管理方法としては、データ収集ルールを制定し、グループ共通の各種データベースの整備を図るとともに、今後起こり得る損失事象や業務環境・内部管理上の変化を織り込んだ形で、オペレーショナルリスクの量をオペレーショナルVARとして定期的に把握しています。
当社グループでは、統制自己評価の実施や計量化手法の向上を通じて、金融業務の高度化・多様化、およびシステム化等の進展に伴い生じる様々なオペレーショナルリスクを、適切に特定、評価・計測、モニタリング、コントロールするための管理手法の整備・強化に取り組んでいます。
当社では、特定、評価・計測したオペレーショナルリスクの状況等を、定期的に経営政策委員会(リスク管理委員会)、経営会議および執行役社長等に報告しています。
統制自己評価(コントロールセルフアセスメント)
業務に内在するリスクを特定し、管理を行ってもなお残存するリスクを評価・把握したうえで、必要なリスク削減策を策定し実行していく自律的なリスク管理手法。
各リスクの定義と主な管理手法
当社グループでは、前ページの表に示した通り、オペレーショナルリスクとして取り扱う各リスクを定義し、各リスクの規模や性質に適した管理手法を策定し管理を行っています。
オペレーショナル・リスク相当額の算出
(1)先進的計測手法の採用
当社グループでは、バーゼル自己資本比率規制におけるオペレーショナル・リスク相当額を算出する手法として、先進的計測手法を採用しています。ただし、オペレーショナル・リスク相当額を算出するにあたって重要性が低いと判断した一部の法人単位については、基礎的手法を適用しています。
先進的計測手法による計測結果は、バーゼル自己資本比率規制におけるオペレーショナル・リスク相当額として使用するだけでなく、内部的な管理ではオペレーショナルVARと位置づけ、リスク削減策の策定等に活用しています。
(2)先進的計測手法の概要
計測態勢の概要
4つの要素(内部損失データ、外部損失データ、シナリオ分析、業務環境/内部統制要因)をすべて勘案した計測モデルを構築し、過去に自社で経験したオペレーショナルリスク事象である内部損失データだけでなく、今後発生する可能性のある未経験のオペレーショナルリスク事象を計測に取り込むためにシナリオデータを用い、信頼区間片側99.9%、保有期間1年で予想される最大のオペレーショナルリスク損失の額等を計測し、これをオペレーショナル・リスク相当額としています。
なお、2023年3月末基準のオペレーショナル・リスク相当額の計測に、期待損失の控除、保険によるリスク削減は行っていません。また、信用リスクとの境界事象については、オペレーショナルリスクでは計測対象外としています。
計測モデルの概要
オペレーショナル・リスク相当額は、金融庁の自己資本比率告示で定義された7つの損失事象種類ごとのリスク量、大規模自然災害のリスク量、および訴訟のリスク量を、単純に合算した値としています。なお、2023年3月末基準のオペレーショナル・リスク相当額の計測に、損失事象種類間の相関効果の反映は行っていません。
損失事象種類ごとのリスク量
オペレーショナルリスク事象の発生頻度はポアソン分布に従い、損失金額は別の分布によって表現されるという、損失分布手法(複合ポアソン分布)によりリスク量を計測しています。計測には、過去に自社で経験したオペレーショナルリスク事象である内部損失データとシナリオデータを使用し、計測単位は7つの損失事象種類ごととしています。シナリオデータは、今後発生する可能性のある未経験の(低頻度かつ高額な)オペレーショナルリスク事象について、外部損失データや業務環境/内部統制要因を勘案したうえで発生頻度の情報と損失金額の情報を数値化したものです。
上記の内部損失データとシナリオデータから「発生頻度の分布」と「損失金額の分布」を推定したうえで、これらの分布を用いてモンテカルロシミュレーションを行い、リスク量を計測しています。シナリオデータの作成方法については後記「シナリオ分析」をご参照ください。
「発生頻度の分布」と「損失金額の分布」の推定
「発生頻度の分布」は、内部損失データの発生頻度の情報とシナリオデータの発生頻度の情報を、ポアソン分布にあてはめて推定しています。「損失金額の分布」は、低額の損失部分について内部損失データに基づき求めた損失金額の実分布と、高額の損失部分についてシナリオデータに基づき求めた損失金額の分布(対数正規分布または一般化パレート分布)を、統計学的な分析手法(極値理論)に基づき合成し作成しています。
大規模自然災害のリスク量
「発生頻度の分布」や「損失金額の分布」を推定する方法ではなく、大規模自然災害の発生見込みと発生時の損失金額の組み合わせを作成し、モンテカルロシミュレーションによりリスク量を計測する方法を用いています。
訴訟のリスク量
「発生頻度の分布」や「損失金額の分布」を推定する方法ではなく、個別の訴訟の特性をデータ化し、モンテカルロシミュレーションによりリスク量を計測する方法を用いています。
- 計測モデルの概要
検証
計測モデルの適切性は、原則半期ごとに検証を実施のうえ確認しています。
(3)シナリオ分析
シナリオ分析の概要
シナリオ分析では、今後発生する可能性のある未経験の(低頻度かつ高額な)オペレーショナルリスク事象について、外部損失データや業務環境/内部統制要因を勘案したうえで発生頻度の情報と損失金額の情報を数値化し、シナリオデータを作成します。
外部損失データは、国内外のメディアで報道されたデータ等を使用しており、シナリオ分析における発生頻度の推定や損失金額分布の推定に際して活用しています。また、業務環境/内部統制要因は、シナリオ分析における発生頻度の調整や損失金額分布の調整に係る指標として活用しています。
シナリオ分析の手法は、各損失事象種類の特性やリスク管理態勢に応じて、以下の4つに分類しています。
分析手法 | 対象となる損失事象種類 |
---|---|
A | 内部不正、外部不正、取引慣行、プロセス管理 |
B | 労務慣行 |
C | 有形資産損傷 |
D | システム障害 |
当社グループでは、オペレーショナルリスク全体のリスク量に対し、分析手法Aを用いる損失事象種類のリスク量の比率が相応に大きくなっていることから、分析手法Aを例にシナリオ分析の手法について説明します。
シナリオ分析単位の設定
シナリオ分析単位は、網羅性や十分性を確保するため、先進的計測手法を適用するグループ各社(以下、グループ各社)の統制自己評価で認識されたリスクシナリオ、グループ各社の内部損失データ、外部損失データ等を参照のうえ類型化してグループ横断的に設定しています。グループ横断的に設定したシナリオ分析単位の中から、グループ各社は自社の業態・リスクプロファイルに応じてシナリオ分析を行う単位を選択する方法としています。
発生頻度の推定
シナリオ分析単位ごとに、一定の金額以上の内部損失データがある場合は当該データに基づき、ない場合は一定の金額未満の内部損失データや外部損失データの発生状況等を勘案して、基準となる頻度(一定の金額以上の損失の1年あたりの発生頻度)を算出しています。そのうえで、基準となる頻度に対してあらかじめ定めた範囲内で直近の業務環境/内部統制の変化を反映させるための調整を行い、最終的な頻度としています。
損失金額分布の推定
損失金額分布は、あらかじめ定めた複数の金額階層を用いて推定しています。シナリオ分析単位ごとに、各種取引金額データ、外部損失データ等を用いて、基準となる金額分布(一定の金額以上の損失が発生した場合の、それぞれの金額階層における発生比率)を算出しています。基準となる金額分布に対して、統計学的にデータを取り扱ううえでの各種調整を必要に応じて行い、最終的な金額分布としています。
シナリオデータの作成
シナリオ分析単位ごとに、最終的な頻度と最終的な金額分布から、それぞれの金額階層における1年あたりの発生頻度の組み合わせを作成し、これをシナリオデータとしています。
- シナリオデータの例