システムリスク管理 (金融庁が全金融機関に総点検を要請)


金融庁は平成23年7月8日付けで、システムリスクの総点検を要請する文書を関連団体向けに発出しました。かねて予定されていた総点検ですが、受け取る金融機関の中には提出期限の8月末にかけて暑い夏を過ごすところも多いことでしょう。お願いという形式をとってはいますが、何かシステム障害を起こせば、業法に基づいた命令を受けて、原因と経緯を報告しなくてはなりません。その時に、今回提出の報告と大きな齟齬でもあれば、報告義務違反を問われかねません。相当に神経を使った報告書作成となります。

http://www.fsa.go.jp/news/23/ginkou/20110708-4.html

みずほ障害が原因で、判りきったことを提出用にまとめ直さなくてはならない金融機関が気の毒だと思いながら、要請文書を読んでみました。よく練られた要請文です。不必要に些細な質問はしていません。それも丁寧なお願い調の言い回しです。しかし、外部に丸投げして、自社が使うシステムの状況を把握しきれていない金融機関にとっては、途方にくれそうな質問が組み込まれています。そして、報告様式は任意です。答える側には求められる範囲と深さが判りません。その結果、範囲とレベルが千差万別な報告書が出てきます。中には、集団カンニングのような殆ど同じ内容のものもあるでしょう。受け取る側からすれば、各社の差が歴然ですが、それが今後の検査等でベンチマーク・データとして使用されます。業界全体のシステム・サービスのレベルが向上していく筈です。規制当局による過干渉は、業界だけでなく利用者の進歩をも阻害する懸念はありますが、この程度のリスク管理要請であれば、その心配はありません。ただ、一律に形式的な適用をすれば、利用者保護を金科玉条とする金融全体主義になってしまうので注意は必要です。

報告を作る金融機関の立場で考えてみましょう。ガバナンスがしっかりしていて、システムリスク管理指針をも反映した管理体制ができているところは、一週間程度で、それなりの資料を揃えることができるでしょう。後は報告用に改善計画を策定して行内根回しと経営陣の承認を得ればすみます。問題は、基幹系もネットもコールセンターもATM管理も丸投げしている金融機関です。まして、それら業務委託に複数ベンダーを使っていたりすれば悲惨な作業となります。今回の要請は、各金融機関の経営陣や利用部門を含めた総合的なリスク管理に関して回答を求めています。各行で持っている筈の、実効性のある規定や組織態勢、スキルまで含みます。例えば、システムの誤操作や障害時の復旧対応を考慮した仕組みはあるかとの質問ですが。システムには、ホスト、ネットワーク、クライアント、提携先等が対象です。誤操作には営業店、事務集中センター、ホストのオペレーター、提携先オペレーター、顧客等があります。こうした関係エンティティをバラバラでしか管理できてない金融機関も多いことでしょう。

マルチベンダーが関連する場合は、PD(問題箇所特定)手順からして複雑となります。そんなスキルは自行にないと外部委託している場合は、なんとも報告書の書きようがありません。加えて連絡体制の規定はあるでしょうが、現実には複雑な順番経路となりますので、実効性がはなはだ疑問です。ある日、突然、金融庁か日銀に、擬似ストリート・テストでもやられたら、とんでもない結果となります。

勘定系共同化の場合は、この要請文をトップが協会経由で受け取り、システム部門に早急な作成を指示します。システム部門は、共同化ベンダーに材料となる資料提出を依頼します。そのベンダーは、技術的かつ既に規定化されているものに関しては、大至急で資料を作成・提示してくれるでしょうが、それ以外は、各行で作成してくれと回答する他ありません。各行は勝手に作れませんから、他の参加行との共同作成を求めます。日程調整して様々な地域から参加行が集まり、ミーティングしている間に、8月を過ぎてしまうのではないか。とはいえ、できてもいない、今後もできそうもないことを書き並べるわけにはいきません。下手なことを書いたら、同じ共同メンバー同士で足の引っ張り合いとなります。共同歩調を取るには時間がない。さりとて、本来あるべきものを出せばよいだけのことなので、金融庁に期限延期を頼む訳にもいきません。結局は、ベンダーにお願いするのでしょうか。

報告様式が指定されていないということは、以上のような問題を顕在化させます。加えて、嫌味な質問がいくつも組み込まれています。

・人材配置や人材教育を含めた、維持・改善投資は中長期的視点から計画的に行われているか。

・障害発生時に必要な人材の計画的育成・人材配置が行われているか。

・コンティンジェンシープラン実効性確保のために対応手順の整備・訓練ができているか。

・適切な内部管理体制や必要に応じた外部監査を有効活用しているか。

などです。できていない金融機関が多いことを承知の質問です。それも、最初に、経営陣は経営上の重大な課題として認識しているか、経営陣の果たすべき責任ややるべき対応について、平時から明確にしているかとの質問が設定されています。この質問に、頭取が、「システムなんぞは外部委託しているので経営陣の知ったことではない。まして責任もなすべきこともないと考える。」と本音を言い切れない限り、要請文(2)以降の質問に関連するリスク管理は、全て経営者の責任になってしまいます。知らぬが仏が通らなくなってきたというのが、この要請文の意味するところかと思います。経営陣向けのIT管理講座の塾が必要になります。これも共同化ベンダーが行なうとなれば、典型的アリ地獄です。

金融機関経営者は、ITコストの視点だけに執着して金融サービス提供者の視点を無視してはなりません。ITベンダーは、ITコストだけで金融機関経営者を惑わしてはならない。基幹業務システムの開発、運用を受託するのであれば、金融機関の事業免許を取得して自らが金融サービスを提供するくらいの覚悟がなくてはいけません。黎明期からアウトソーシングを見てきた筆者の、変らぬ考えです。