金融機関のITリスク管理

日経新聞11月25日号が、KPMGビジネスアシュアランスの調査結果を紹介しています。BCPを策定(計画中を含む)している企業は米国の96%に対して日本では、わずか21%だということです。BCPとは、ビジネス・コンチュィニテイ・プランの略で、事故・災害・犯罪等により情報システムが停止した場合のバックアップ策のことです。

金融機関しか知らない私としては、全く意外な結果で、一般企業は殆ど何もしていないということになります。確かに金融以外の経営者の話を聞きますと、ベンダーとの間でハードのバックアップ契約をしているとか、データのバックアップを他の場所に保管しているとかは聞きますが、オペレーターの手配やプログラムやデータのバージョン統一をしたり、定期的な訓練をしているということはありません。要するに対策をとったつもりでも、何の実効性もないことが多いのです。その点は、金融機関は一般産業より大分進んでいると言えましょう。

2006年にBIS規制が拡大されて、オペレーショナル・リスクも自己資本規制の対象となる予定です。つまり、事務リスクとシステム・リスクから発生する可能性のある損害に応じた自己資本を準備する必要が出てきます。十数年前にBISの自己資本規制が邦銀の経営を縛ると警鐘を鳴らした方がいましたが、今日、これほどまでに厳しい状況になると予想した人は何人いたでしょう。次の規制に対しては、大手銀行が理論的検討を開始した程度で、多くの金融機関は手つかずの状態と言って良いでしょう。

春先のみずほ銀行のシステム障害以来、金融界ではプロジェクト・リスクに対する意識が大分高まりました。数多くの講演会や勉強会が開催され、毎回、盛況です。私も、月に2回程度の講演を依頼されます。皆さん、熱心に聞いてくださるのですが、どうも、単なる情報収集をしているだけという様子なのです。明日からでも具体的な行動を起こそうという顔つきの方は滅多におられません。私の主張が「リスク管理は、CROを任命して済む話ではない、経営トップそのもののミッションだ」という話なので、自分のことではないと思ってしまうのでしょうか?経営者の方は、「建前はそうでも、実際は専門家に委ねたり、組織体制を作って任せるしかない。」と思っておられるのかもしれません。

私のスピーチの趣旨は、何時も、概略以下のようなことです。

@ITリスクによる被害は、障害に伴う直接的な損失に止まらず、ブランド価値の低下や、格付けの引き下げなどにも波及するケースが増している。

Aリスク管理の対策には際限がなく、適当な投資目安はない。

Bリスクのタイプと発生頻度、損害額の推定が必要である。損害額には、額を推測できるものと、額は条件によって級数的に上昇するものとがある。

これらを数理によって、エクスポージャー予測することになる。

その為には、日常的にデータの収集が必要であるが、一企業内のデータには限界がある。

Cリスクは単独で表面化することは稀である。通常は複合的に他のタイプのリスクに波及する。ついては、シナリオ分析などによって発生パターンを整理しておくことが重要となる。

Dリスク管理は、予防・被害最小化・早期復旧・再発防止のプロセスから構成される。

E各プロセスへの対策費用は予測エクスポージャーとのバランスで決定されるが、多くの場合は業務への重大な支障を覚悟する必要がある。その判断は、経営者がすべきあり、現場に対する事前のディスクロージャーも重要である。

F最悪の場合に備えて、クライシス管理も必要となる。コンティンジェンシー・プランには業務のフェイルアウトも考慮する必要がある。

G顧客や社会、マスコミ、投資家、協業企業、監督官庁へのディスククローズが重要である。

特に初動段階で、正確かつ正直に判りやすい説明が不可欠である。IT関連の知識を持たない内外への説明を前提として、IT・業務の双方に精通して、かつ説明力のある要員の育成が緊急に必要である。

H各リスク・タイプに対しては、極めて専門的な対応が必要となるので、組織的にも専門特化する必要がある。一方、リスクの複合的波及を考えれば、シナリオ分析に基づいたクロス組織も必要である。その指揮者は、CROでは権限面での限界から無理である。CEOの仕事である。

Iリスク管理の所管部門には、万全の情報体制を確保しておくことと、定期的な訓練リハーサルが欠かせない。

我が国のリスク管理は、一部の専門家に下駄を預けてしまい、極めて技術的な対策、それもハード的な対策に矮小化している傾向があります。リスク管理を日常のプロセスと権限・責務の中に組み込んでおくことが重要です。特に、金融機関はリスク管理が本業そのものなのですから。