logo
Insight
経営研レポート

オペレーショナル・レジリエンスとは何か

2023.05.08
金融政策コンサルティングユニット
シニアマネージャー
田中 公義
heading-banner2-image

1.オペレーショナル・レジリエンスとは

2021年3月にバーゼル銀行監督委員会によって策定された「オペレーショナル・レジリエンスのための諸原則」を受け、2022年12月に金融庁は、「オペレーショナル・レジリエンス確保に向けた基本的な考え方(案)」(以下、「オペレジの考え方」)を公表した。

バーゼル委銀行委員会の文書では、オペレーショナル・レジリエンスについて、

「バンデミック、サイバー攻撃、システム障害、自然災害など、金融市場に重大な業務影響や広範な混乱をもたらす可能性のあるオペレーショナルリスク関連の事象に対する銀行の影響の吸収能力の強化」

であると記載している。

また、金融庁も文書において、「IT システムへの依存の高まり、大規模システム障害の発生、感染症の拡大、サイバーセキュリティ上の脅威の高まり、クラウドサービスの利用の広がり、FinTech 企業等との連携による相互依存度の高まりなど、リスク環境は複雑化する」中で、「既存のリスク管理(未然に事故や障害を防ぐための態勢整備)や、BCP(地震などの特定のリスク事象を想定した対応計画)だけでは、想定外の事象が生じた場合に、決済サービスなどの金融システムにとって重要な業務を提供し続けることができないおそれがある」と問題意識を公表している。

2.BCP(事業継続計画)とオペレーショナル・レジリエンスの違いは何か

金融庁のオペレジの考え方では、オペレーショナル・レジリエンスの構築に向けて4つのプロセスが記載されている。特徴的なこととして、業務にフォーカスしている点がこれまでのBCPの考え方とは一見異なる点が理解いただけるだろう。

content-image

(出典)金融庁「オペレーショナル・レジリエンス(オペレジ)の概要」より抜粋

これまで金融機関は、BCPなどで危機事象に対するリスク管理や危機事象発生時の管理態勢を構築してきた。

例えば、「営業地域で震度7相当の大震災が発生した場合」の影響を考慮のうえ、ATMが利用できないシーンや業務システムが利用できないシーンを想定し、対応策や実際の対応を想定していくことがこれまでの危機管理に係る対応である。

結果として金融機関は、リスク管理の観点から、ATMのネットワークの二重化、業務システムのバックアップシステムの準備・二重化などの対策を行ったうえで、BCPの観点から、実際に震度7相当の大規模震災が発災し、自行が罹災した場合の対応につき、職員の安否確認、バックアップシステムへの切り替え前後の手運用による顧客対応などを整備している。

一方でオペレジの考え方によると、「リスク環境が急速に変化する中で、極端だが起こり得る想定外の事象が発生したときに BCP だけでは十分な対応ができないおそれがある。このため、BCP を含めた既存の枠組みの機能度を組織横断的かつ総合的に検証し、必要に応じて態勢を強化する包括な枠組み(オペレジ)が求められている」とされる。

オペレジはどのような観点からBCPの態勢を強化する包含する枠組みなのか、これだけの記載では理解しにくい。

オペレジの考え方によると、「『重要な業務』の特定」「『耐性度』の設定」「相互関連性のマッピング、必要な経営資源の確保」では、重要な業務の分析・特定を入り口に、重要な業務の最低限維持すべき水準の検討、また重要な業務の提供にあたって必要な経営リソースをビジネスプロセス別に分解のうえ特定すること等が求められる。

要するにオペレジを導入すると、危機事象が発生した際の特定の経営リソースへの影響が高い解像度で理解できることに繋がる、といっているのではないか。また、この結果として、BCPにて想定する被害想定の精緻化や、被害想定を受けた対応の具体化も期待できると考えていると想定される。

このように個別の業務が分解され、投下する経営リソースや関連するサードパーティが分かることで、危機事象に対する影響が判断しやすくなり、危機事象に対する態勢が強化されると考えているのであろう。イメージは下図(図1)の通りである。

 

(図1)オペレジによる想定効果(弊社理解)

content-image

一方で、業務プロセスの分解、さらに構成する経営リソースの特定においては、確認できないリスクや影響も一定存在するのではないだろうか。弊社ではこれまで東日本大震災を契機に様々なBCPの対応を進めてきた。特に大規模な自然災害が発生した場合は、システムなど特定の機能が一瞬にして利用できない状況に陥るケースが多い。

そのため金融機関では、例えば、通信環境の被災時の想定、自家発電による電源の確保のために必要な準備、データセンターの事前の地盤調査による被害のシミュレーションなど、個々の危機事象に対する入念な調査や対策の検討を実施してきた。

金融機関ではこれらの調査結果を踏まえ、事前の被害拡大防止策やBCPの対応手順の検討を進めている。

そのため、オペレジの導入にあたっては、単に重要な業務の各業務プロセスには現れない、経営リソースの構成要素や構成要素の代替可能性までを含め、細かい粒度でマッピングが求められると考える。

金融庁は「オペレジの考え方」の最後に「それぞれの金融機関の規模・特性も踏まえつつ、サーベイの実施や経営陣等との対話を通して足もとの取組状況や問題意識を丁寧に把握し、国際的な議論の進展も見据えつつ更なる取組を進めていく上での課題を特定していく。その上で、課題の解決に向けた好事例集の共有等を通じて、金融機関におけるベストプラクティスの探求を実質的に促していく」としている。

冒頭に記載した通り、オペレーショナル・レジリエンスは「オペレーショナルリスク関連の事象に対する銀行の影響の吸収能力の強化」にフォーカスしているが、現時点でオペレジの枠組みの具体化は各金融機関に委ねられており、より実効的な検討を進めるにあたっては、記載粒度や検討のフレームワークの詳細化が求められるだろう。

本稿に関するご質問・お問い合わせは、下記の担当者までお願いいたします。

金融政策コンサルティングユニット

シニアマネージャー

田中 公義

E-mail:tanakata@nttdata-strategy.com

TOPInsights経営研レポートオペレーショナル・レジリエンスとは何か