このページの本文へ移動

金融機関業務のアウトソーシングに際してのリスク管理

2001年 4月17日
日本銀行

1.はじめに

 わが国の金融機関では、顧客ニーズの多様化・専門化や急速な技術革新等への対応、厳しさを増す収益環境を踏まえた経営の効率化、などを背景に、自らの業務の一部を他の企業に委託する「アウトソーシング」1の動きが広がりつつある。こうしたアウトソーシング化は、例えば、(1)専門性を有する企業に業務を委託することにより業務やリスク管理の高度化・効率化が期待できる、(2)業務運営コストが安価な企業に委託することにより経費を削減できる、などのメリットがある。

 しかしながら、アウトソーシングが進展する中で、これに伴うリスクも軽視できないものとなっており、その適切な管理は、今日の金融機関経営にとって重要な課題である。また、同一のアウトソーシング先が多数の金融機関にサービスを提供していたり、金融機関の基幹システムの運用を担っていることも少なくないだけに、金融・決済システムの安定性との観点からも、適切なリスク管理が望まれる。

 こうした観点から本稿では、最近の考査結果等を踏まえつつ、アウトソーシングを行うにあたってのリスク管理上のポイントを整理し、以下に例示する。

 なお、本稿の性格は金融機関に要求するミニマム・スタンダードといったものではない。もとより、金融機関の業務特性やリスク・プロファイルは区々であり、アウトソーシングに関するリスク管理も様々な対応が考えられる。従って、各金融機関においては、本稿の考え方を材料としつつ、自らの経営判断で、それぞれのリスク・プロファイル、業務上の重要度や対応能力を踏まえて、的確に対応していくことが望まれる。

 本稿は、アウトソーシングに関するリスク管理のあり方について金融機関内部や関係者との間で、また、考査等の場において、議論を深める際の材料との位置づけであり、今後の議論を踏まえて修正を加えていくことを想定している。

  1. 1 本稿においては、「アウトソーシング」という用語を、「他の企業に業務委託を行い当該企業の日常的な管理の下で業務執行が行われる」ケースを想定して使用している。
     一方、「派遣社員受入れ」のように、他の企業への業務委託(または人員の派遣依頼)は行われているものの、業務執行の日常的な管理を委託元金融機関自身が行っているケースについては、本稿で論じるアウトソーシングには含めないこととする。同様に、金融商品の時価評価等に際し外部ベンダーから市況データを購入するケース、あるいはパッケージソフトを購入するケースは、外部リソース活用の一環ではあるが、本稿の対象とは想定していない。

2.アウトソーシングに伴うリスク

 アウトソーシングに伴い、金融機関の業務活動に付随する各種リスクの発生源が委託元金融機関からアウトソーシング先に振り替わるなど、リスクの特性の変化が生じている。この結果、例えばアウトソーシング先におけるコンピューターの障害、顧客情報の流出等があった場合には、委託元金融機関やその顧客が不測の損失を被る可能性がある。従って、委託元金融機関としては、単にアウトソーシング先を信頼して任せるだけでは不十分であり、アウトソーシングに伴い発生し得るリスクを整理した上で、そのリスクを適切に管理するための仕組みを構築することが不可欠と言える。

 しかしながら、考査においてこうしたリスク管理の実情をみると、アウトソーシングのリスク管理手法、あるいはアウトソーシングに伴うリスクの所在について金融機関内で必ずしも十分認識・整理されていないケースも少なくない。とくに、アウトソーシング先が(1)グループ会社である、(2)専門家である、(3)永年の取引関係がある、等の理由でチェックする意識が希薄なケースもみられている。

 以下では、こうした点も踏まえて、アウトソーシングに伴うリスク管理の考え方について整理する。

3.アウトソーシングに伴うリスクの管理

 リスク管理の重要性は、業務がアウトソーシングされているか否かによって変わるものではない。従って、金融機関業務のアウトソーシングを行う場合、その対象業務につき、金融機関自らが行う業務と同程度のリスク管理レベルが確保されていることが重要である。そのためには、リスク管理の水準がアウトソーシングに伴い低下することを防ぐための手立てが必要であろう。この点は、アウトソーシング先が海外に存在する場合においても基本的に同様と考えられる。

 具体的には、(1)アウトソーシング開始時に然るべきリスク管理の枠組みを構築すること、(2)アウトソーシング開始後もその枠組みが機能しているかどうかを継続的にモニタリングすること(中間管理=通常時のリスク管理)、(3)万一事故等が発生した場合に影響を最小限に止めるための対応策(コンティンジェンシー・プラン)について十分に検討しておくこと、などが望まれる。以下では、これらのポイントについて、順番に説明する。

(1)アウトソーシング開始段階でのリスク管理の枠組み構築

 業務委託開始段階で、アウトソーシングに伴うリスクを経営陣の関与のもとで十分認識し、想定されるリスクを回避・縮小するための施策を予め講じておくことは、リスク管理の基本と考えられる。従って、(i)アウトソーシングに伴うリスクの評価、(ii) アウトソーシング先の選定、(iii)業務委託契約の締結、などを適切に行うことが重要である。別会社に業務を委託する場合、自ら当該業務を処理する場合と異なり、業務執行を直接コントロールすることが必ずしも容易ではない。こうしたリスクを十分に認識した上で、以下のような点に留意することが望まれる。

アウトソーシングに伴うリスクの評価

 アウトソーシングを実施する前に、発生し得るリスクとその管理方法について十分な評価を行う必要がある。その際のポイントとしては、金融機関が被り得る損失の大きさ、経営上のニーズやメリット、業務の重要度、アウトソーシング先に対する評価能力やモニタリング能力、問題が生じた場合のアウトソーシング先変更に必要なコスト・時間、等が考えられる。

アウトソーシング先の選定

 アウトソーシング先の選定にあたり、リスク管理の観点からは、とくに、(i)候補先の経営体力(資本構成や信用度等)、(ii)業界内での地位や今後の見通し(他社からのアウトソーシング受託状況等)、(iii)業務サポート体制・陣容やサービスの品質(事務ミスやシステムトラブル発生状況等)、(iv)内部管理体制(人材育成や検査・監査体制等)、(v)再委託先の管理方法(他社への再委託を想定している場合)、などの点について必要な情報を入手し、多面的な分析を行うことが重要である。こうした評価や選定に際しては、予め上記の諸点を踏まえた一定のルールを定めておくことも考えられる。

 また、アウトソーシング先の信用度が悪化した場合に備え、他社からの支援や業務引継ぎの体制が適切に整備されているか否か、といった点も、アウトソーシング先を選定する際の留意点となろう。

契約

 アウトソーシングの実施に伴い、日常業務の遂行は別法人の管理の下で行われることとなる。このため、業務委託契約により両者の権利義務関係を明確に定め、円滑な業務遂行や情報交換などを担保する体制を整備しておく必要がある。契約には、サービス内容(業務委託期間や品質目標、役割・責任分担など)、内部管理・リスク管理体制、業務執行状況に関する報告、管理を委ねるデータへのアクセス権限、重要事項についての協議、守秘義務、監査結果の入手(後述)、などの基本的事項について明記しておくことが望ましい。また、重要な業務のアウトソーシングに関する契約書の記載事項については、コンプライアンス部署や顧問弁護士によるチェックを行う体制としておくことが望まれる。

 また、アウトソーシング先における事務ミスやシステムトラブルが発生した場合の責任の所在や損害賠償責任範囲についても契約に記載しておくことが望ましい。

 なお、委託元金融機関では、契約の実効性を担保する観点からも、アウトソーシング先との事務手順等について規程やマニュアルを整備しておくことが望ましい。

(2)アウトソーシング実施後のモニタリング

 委託元金融機関は、アウトソーシング開始後も、継続的にアウトソーシング先の経営状況、サービスレベル、リスク管理体制などをモニターしていくことが大切である。仮に、当初の想定より事務ミスやシステムトラブルが多くなるなど、サービスやリスク管理のレベルが低下した場合などには、適切な対応を講じていく必要があろう2

 モニタリングの方法は、アウトソーシングの形態、対象業務の重要度、アウトソーシング先のリスク管理レベルなどに応じ様々なバリエーションがあるが、例えば、以下のような対応も考えられる。

  1. 2 コスト削減目的で金融機関自身の関連会社等にアウトソーシングを行ったケースにおいては、アウトソーシング先よりも委託元金融機関の方が業務ノウハウがあることも想定される。このような場合には、金融機関自身がアウトソーシング先に対しリスク管理面の改善指導を行うことも有効であろう。

報告

 委託した業務の事務量やシステムレスポンスなどの品質情報、異例な対応を行った処理の概要・件数などの情報につき、定期的に適切な頻度で報告を受け、分析することによって、委託した業務の遂行について適切に把握し、評価することができる。

 また、委託業務を遂行する過程で、アウトソーシング先において不祥事件や重大なトラブルが生じた場合には、その都度速やかに報告を受ける扱いとしておく必要がある。

 このほか、アウトソーシング先での業務処理体制に関する重要な事項の変更(例えば役員や主たる担当者の異動、業務再委託の実施、システム更新など)がある場合にも、速やかに報告を受ける体制としておくことが望ましい。

内部検査・外部監査

 委託元金融機関では、アウトソーシング先の業務レベルやリスク管理状況をより客観的に把握するため、アウトソーシング先での内部検査・外部監査結果を入手できるようにしておくことも検討に値しよう。

(3)事故等が発生した場合の対応

 アウトソーシング先で事務ミスやシステムトラブルが発生した場合、その影響はアウトソーシング先の内部に止まらず、委託元金融機関が行う銀行間決済や顧客との資金決済等に直接影響が及ぶ可能性がある。また、この場合委託元である金融機関自身の評価(レピュテーション)に少なからず影響を与える。もとより、こうしたトラブルの発生を防ぐための日々のリスク管理が重要ではあるが、これに加えて、トラブルが発生した場合の影響を最小限に食い止めるために、金融機関及びアウトソーシング先双方で緊急時対応計画(コンティンジェンシー・プラン)を整備しておくことが重要である。

 計画の策定にあたっては、主要なシナリオ(システムダウン、電算センター被災、決済データの違算・紛失、顧客情報の流出など)を想定し、連絡・協調体制や代替手段の確保、必要な事務フロー等を予め書面で整備しておくことなどが考えられる。

 緊急時対応計画は、その内容を金融機関とアウトソーシング先とで協議し、内容の整合性を確認しておくとともに、定期的に共同の実地訓練を行い、連絡体制や事務フローなどの検証および実務担当者の習熟を図っていくことが有用である。

 なお、実際にトラブルが発生した場合は、類似のトラブルの発生を防ぐため、アウトソーシング先とともに再発防止策を策定し、その実践状況を適切にモニタリングしていくことが必要と考えられる。

4.おわりに

 もとよりアウトソーシング化は、金融機関が経営革新を進め、サービスと生産性の向上を図っていく上で有効なツールである。金融機関としては、アウトソーシングを適切に活用し、そのメリットを享受すると同時に、適切なリスク管理を講じることが必要であろう。

 日本銀行では、金融機関業務のアウトソーシング化の状況およびそれに伴うリスク管理の考え方について、金融機関をはじめとする関係者との間で議論を深めていきたいと考えている。

以上

(参考)最近の金融機関のアウトソーシング対象業務

 営業店事務、システムなどの分野を中心に幅広くアウトソーシング化が進展しつつある。一方、預貸業務の営業推進や企業向け融資の審査といった分野についてアウトソーシングに踏み切っている例はみられない。

図

以上