このページの本文へ移動

バーゼル銀行監督委員会「オペレーショナル・リスクの管理と監督に関するサウンド・プラクティス」(仮訳)

2003年 2月
バーゼル銀行監督委員会

日本銀行から

 本報告書は、バーゼル銀行監督委員会が市中協議(2001年12月公表2002年 7月公表<改訂版>)を経て2003年 2月に公表した最終版です。

 全文は、こちら (bis0305a.pdf 78KB) から入手できます。

はじめに

  1. 以下のペーパーは、オペレーショナル・リスクの管理方針や実務を評価する際に、銀行と監督当局が使用できるように、オペレーショナル・リスクの効果的な管理と監督のための枠組みとなる諸原則を提示している。
  2. バーゼル銀行監督委員会(以下バーゼル委)は、オペレーショナル・リスク管理のために個々の銀行が選択する実際のアプローチは、銀行の規模、先進性、業務の性格、複雑性などを含む多くの要因に依存することを認識している。しかし、こうした違いにも拘わらず、取締役会および上級管理職による明確な戦略と監視、強いオペレーショナル・リスク管理文化1および内部統制文化(とりわけ責任の明確化と職責の分離)、効果的な内部報告体制、コンティンジェンシー・プランの策定は、いかなる規模や業務範囲の銀行にとっても効果的なオペレーショナル・リスク管理の重要な要素である。従って、バーゼル委はこのペーパーに要約されている諸原則はすべての銀行に関係があるサウンド・プラクティスを形作っていると考えている。バーゼル委が以前に公表したペーパー「銀行組織における内部管理体制のフレームワーク」(1998年9月)は、オペレーショナル・リスクの分野における現在の作業の基となっている。
  1. 内部のオペレーショナル・リスク管理文化とは、銀行のオペレーショナル・リスク管理への取り組みおよびスタイルを決定するような個人および企業の価値観、態度、能力、行動などを総合したものをここでは意味する。

背景

  1. 金融サービスに関する規制緩和とグローバル化は、金融技術の高度化とも相俟って、銀行の行動、ひいてはリスク・プロファイル(すなわち、銀行の活動全体あるいはリスクの諸カテゴリーを通じたリスクの水準)をより複雑なものにしている。銀行における業務の発展は、信用リスクや金利リスクや市場リスク以外のリスクも重大なものとなる可能性を示唆している。銀行が抱えるこれらの新しい、また増大しているリスクの例としては以下のようなものが含まれる。
  • グローバルに統合されたシステムに増々依存する中、より高度に自動化された技術の一層の利用は、適切に管理されない場合には、手作業による処理エラーのリスクをシステム障害リスクに変換する可能性がある。
  • eコマースの成長は未だ完全には理解されていない潜在的なリスクをもたらす(例えば、内部者および外部者による不正やシステムセキュリティ問題など)。
  • 大規模の買収、合併、分離、統合により、新しい、あるいは新しく統合されたシステムの有効性が試されている。
  • 大規模なサービスの提供者として活動する銀行が出現していることにより、高水準の内部統制とバックアップ・システムを継続的に維持する必要性が生まれている。
  • 銀行は市場リスクや信用リスクに対するエクスポージャーを最適化するためにリスク削減技術に携わるかもしれないが(例えば、担保、クレジット・デリバティブ、ネッティング契約、資産証券化など)、その代わりに、別の形態のリスク(例えば法務リスク)を生み出す可能性がある。
  • アウトソーシング取引の利用の進展および第三者が運営する決済システムへの参加は、一部のリスクを削減することになるかもしれないが、重大な「その他のリスク」を銀行に与える可能性がある。
  1. 上記の多様なリスクはバーゼル委が「内部プロセス・人・システムが不適切であること若しくは機能しないこと、又は外生的事象に起因する損失に係るリスク」2と定義しているオペレーショナル・リスクとしてグループ化することができよう。この定義には、法務リスクは含まれるが、戦略リスク、評判リスクは含まれない。
  1. 2この定義はオペレーショナル・リスクに対する最低自己資本賦課の開発を進めるバーゼル委の作業の一部として業界から採用された。このペーパーは自己資本フレームワークの正式な一部ではないが、バーゼル委はこのペーパーの中で提示されている健全なオペレーショナル・リスク管理フレームワークの基本的な要素は、例えば監督上の検証プロセスの中で銀行の自己資本の充実度を検証する際の監督上の期待を伝えているものと想定している。
  1. バーゼル委は、オペレーショナル・リスクという用語は銀行業界内で多様な意味を持ち、従って、内部的な目的(サウンド・プラクティス・ペーパーの適用を含む)のためには、銀行は独自のオペレーショナル・リスクの定義を採用することができると認識している。厳密な定義は何であれ、オペレーショナル・リスクが何を意味するかについての銀行の明確な理解はこのリスクカテゴリーの効果的な管理とコントロールにとって重要である。また、その定義は銀行が直面している重要なオペレーショナル・リスクの全ての範囲を考慮し、大きなオペレーショナル損失の最も重大な原因を捕捉していることが重要である。バーゼル委が業界と協力して識別した、大きな損失に繋がる可能性が高いオペレーショナル・リスク事象のタイプには次のようなものが含まれる。
  • 内部の不正行為:例としては、意図的なポジションの誤報告、職員による窃盗、職員の口座を使用したインサイダー取引など。
  • 外部の不正行為:例としては、窃盗、偽造、融通手形の発行、コンピュータのハッキングによる損害など。
  • 雇用慣行と職場の安全:例としては、労働者の補償請求、従業員の健康および安全性に関するルールの違反、組織的な労働運動、差別補償請求、一般的な賠償責任など。
  • 顧客、商品と取引実務:例としては、受託責任違反、顧客機密情報の悪用、銀行口座を利用した不適切な取引活動、マネー・ロンダリング、認可されていない商品の販売など。
  • 物的資産の損傷:例としては、テロリズム、破壊行為、地震、火災、洪水など。
  • 事業活動の中断とシステム障害:例としては、ハードおよびソフト障害、通信障害、電力供給の停止など。
  • 取引実行、デリバリー、プロセス管理:例としては、データ入力エラー、担保管理不全、不完全な法律文書、顧客口座への未承認のアクセス、顧客以外の取引相手の債務不履行、ベンダーとの争議など。

銀行業界の動向と実務

  1. オペレーショナル・リスクの監督に関する作業を進めるに当り、バーゼル委は、オペレーショナル・リスク管理に関する銀行業界の現在の動向と実務について理解を一層深めることを目指した。こうした作業は銀行団体との多くの会合、銀行業界の実務に関するサーベイ調査の実施、及びその結果の検討などを含んだ。これらの努力の下、バーゼル委は、銀行業界の現在の実務の範囲およびオペレーショナル・リスクの管理に関する手法を開発するための業界の努力について十分に理解していると考えている。
  2. バーゼル委は特定のオペレーショナル・リスクの管理は目新しい実務ではないと認識している。不正を防止し、内部コントロールの充実を維持し、取引処理のエラーを削減することなどは銀行にとって常に重要であった。しかし、比較的新しいことは、常に形に表れているとは言えないにしても、原則として、オペレーショナル・リスク管理を信用リスクや市場リスクの管理と比肩し得る包括的な実務であるとみなす見方である。このペーパーの「はじめに」で記述されている動向を踏まえ、大きなオペレーショナル損失事象の世界的な増加と相俟って、銀行と監督当局は、その他の多くの業界で既に見られるように、増々オペレーショナル・リスクの管理を総合的な規律として見るようになっている。
  3. 過去においては、銀行は、オペレーショナル・リスクの管理については、ほとんど例外なく、業務ライン内部における統制メカニズムと監査機能に依存してきた。これらは引き続き重要であるが、近年ではオペレーショナル・リスクの管理を目的とした特別な仕組み、プロセスが定着しつつある。この点に関して、より多くの組織が、オペレーショナル・リスク管理に関するプログラムは銀行に安全性と健全性を提供すると結論づけており、従って、オペレーショナル・リスクを信用リスクや市場リスクを取り扱うのと同様に、一つのリスク・エクスポージャーとして捉える方向で進んできている。バーゼル委は監督当局と銀行業界の積極的な意見交換が、オペレーショナル・リスクに関連するエクスポージャーの管理に係る適切なガイダンスを継続的に発展させるために重要であると考えている。
  4. このペーパーは以下の内容に沿って構成されている。適切なリスク管理環境の整備、リスク管理:識別、評価、モニタリング、コントロール/削減、監督当局の役割、ディスクロージャーの役割。

サウンド・プラクティス

  1. これらのサウンド・プラクティスを作るに当って、バーゼル委はその作業を、銀行業務に係るその他の重大なリスク(例えば信用リスクや金利リスクや流動性リスクなど)の管理に関する既存の作業の上に積み重ねている。そして、バーゼル委は同様の頑健性がオペレーショナル・リスクの管理にも適用されるべきであると考えている。もっとも、オペレーショナル・リスクは、期待収益の中に直接的には勘案されていない点で銀行業務に係るその他のリスクとは異なるが、通常の企業活動の中で生じるものであり、従ってリスク管理プロセスに影響を与えることは明らかである3。同時に、オペレーショナル・リスクを適切に管理しないことは、金融機関のリスク・プロファイルを誤って報告する結果になり、金融機関を重大な損失に晒すことになる。オペレーショナル・リスクの多様な性格を反映して、このペーパーの目的上、オペレーショナル・リスクの「管理」とはリスクの「識別、評価、モニタリング、コントロール/削減」を意味するとしている。この定義は、バーゼル委が以前に出したリスク管理に関するペーパーにおいて、リスクの「識別、測定、モニタリング、コントロール」とした定義と対比される。銀行業務に係るその他のリスクに対する作業と同様に、バーゼル委はこのサウンド・プラクティスに関するペーパーをいくつかの原則に沿って構成した。これらの諸原則は以下の通りである。
  1. 3 しかし、バーゼル委は、ごくわずかの信用リスクあるいは市場リスクしかない一部の業務ライン(例えば、資産管理、支払決済)においても、オペレーショナル・リスクを受容するか、あるいは、リスクの管理や効果的な価格設定の能力を基に対処するかの判断が、銀行がリスクとその見返りを計算する際の一要素であると認識している。