2010年10月12日

新しいステージを迎えたオペレーショナルリスク管理の高度化

―　注目が集まるデータ・コンソーシアムの活用

１． 地域銀行が主導したデータコンソーシアムの設立

　海外の主要な金融機関が集まり、オペレーショナルリスク事象に係る情報を共有するデータ・コンソーシアムORX （＝Operational Riskdata eXchange Association）を設立したのは2002年のことだ。ORXには、現在、欧米を中心に54金融機関が参加しており、損失データ（2万ユーロ以上）の登録数は16万4千件を超えている。ORXは、当初、リスク計量化を目的に設立されたが、オペレーショナルリスクの定性的な管理にも役立てるため、登録データの項目、記載内容の充実を検討している。
　わが国においても、本年10月以降、２つのデータ・コンソーシアムがサービスを開始する。１つは、日本リスク・データ・バンク�鰍ｪ新たなデータベース事業とし て立ち上げるコンソーシアムであり、もう１つは、東芝ソリューション�鰍ｪ提供するシステムの利用者によるコンソーシアムである。いよいよ、わが国でもデータ・コン ソーシアムが本格稼働し、オペレーショナルリスク管理の高度化は新しいステージを迎えた。

　わが国では、オペレーショナルリスク管理の高度化に熱心な地域銀行が主導して、データ・コンソーシアムの設立が進んだのが大きな特徴である。いくつかの地域銀 行が自発的に集まり、オペレーショナルリスクに係る損失データやシナリオの交換を始めた。他行で実際に起きたリスク事象を自行の業務プロセスにあてはめて、発生可 能性の検証や防止策の検討を行うことを主な目的としていた。
　データ交換を行った地域銀行に聞くと、事件事故、事務ミス、顧客トラブルという機微に触れるリスク事象について、店舗・個人などが特定されないようにマスキングす るとはいえ、内部報告書ベースで詳細な情報を交換することになるため、データ交換の可否に関して、当然、組織内で議論になった。しかし、大きな影響が出た事件事 故、顧客トラブルに関しては既にマスコミ公表していることや、それ以外の事務ミス・レベルのものは、どの金融機関でも生じ得るものでデータ提供をためらうほどのも のではないとの結論にいたったようだ。
　実際に、データ交換をしてみると、他行で起きているリスク事象の多くは、いつ自行で起きてもおかしくないことが分かったほか、収集基準の違いから報告がなされてい ないものがあることも判明した。いずれも早急に対応策を打つ必要性があると判断されるものであった。データ交換をして、どんな効果があるのか、コスト・パフォーマ ンスが上がるのか、延々と議論を重ねても結論は得られない。「データ交換の実践によってはじめて、経営に対して、その意義を理解してもらうことができた」というの がデータ交換を試みた地域銀行の声だ。そして、こうした試みが、オペレーショナル・リスクの削減のためにリスク事象をデータベース化して共有するニーズがあること を関係者に実感させ、複数の事業者がデータ・コンソーシアムを設立する原動力となったといっても決して過言ではない。

　最近、不正事件の発生や金融庁検査の指摘などを契機にして、総額数億円をかけて、全営業店に監視カメラを設置する金融機関をよくみかける。監視カメラの設置によ る不正事件の抑止効果を否定するものではない。しかし、若干のコストを払えば、データ・コンソーシアムから他行の事件事故等に関する情報を取得することができ、そ れぞれに対して確実に対応策を打つことが可能となる。費用対効果という点では、オペレーショナルリスクの削減に確実な効果があるのがどちらかは明らかであろう。

２．データ・コンソーシアムを活用して、高度化への取り組みを促進

　多くの金融機関がデータ・コンソーシアムに参加し、共有データの蓄積が進めば、これらを活用して、�@重要なリスク事象を網羅的に把握し、客観的に評価すること が可能となるほか、�A他行データの集計値・傾向値と比較して、自らのリスクプロファイルや内部統制上の強み・弱みの分析も可能となる。そして、�B他行データを自ら の業務プロセスにあてはめて、未然防止策などの対応策を立てることができるようになるなど、さまざまなメリットが得られると考えられる。


（１）重要なリスク事象の網羅的な把握、客観的な評価
まず、データ蓄積が進めば、以下のようなリスク事象を容易に把握することができるようになるものと考えられる。

�@　発生件数の多いリスク事象
�A　発生時の損失金額の大きいリスク事象
�B　他の金融機関で実際に起きたリスク事象
�C　最近、新たに発生し始めたリスク事象

　また、同一のリスク事象の発生可能性や影響度（損失予想）を客観的に評価することも可能となる。 たとえば、１００の金融機関が参加し、10年間のデータ蓄 積が進んだとすると、過去に１回だけ発生したリスク事象の発生可能性は0.1％程度と見積もることができる。損失金額についても、スケーリング規模の調整 等を行う必要はあるが、客観的事実にもとづいて、どれくらいの損失が発生する可能性があるのかを評価することが可能となる。 リスク事象の網羅性が高まり、発生可能性、影響度の評価に関して客観性が向上すると、オペリスクVaRなどの計測値は、その信頼性が増すため、経営判断の重要情 報として今よりも活用しやすくなるだろう。

（２）リスクプロファイル、内部統制の強み、弱みの把握

　データ・コンソーシアムを活用すると、「リスク事象の発生件数」の推移を他の金融機関の集計値・傾向値と比較ができるので、自らのリスクプロファイルの特徴を的 確につかむことが可能となる。
　自らの発生件数が安定しているようにみえても、他の金融機関では減少傾向がはっきりしているときは、何らかの対策が打てていない、あるいは、遅れているのかもしれ ない。一方、自らリスク削減に取り組み、相当、発生件数を下げた積もりでも、全体の中では、水準的にみて、なお劣位にあるようなケースもあるときは、実は根本原 因が別にあって、実効性のある別の対策を打つ必要があるのかもしれない。
また、リスクカテゴリ別、業務別、リスク事象別に発生件数・割合の多いところを詳細分析（ドリル・ダウン）することにより、問題の所在を明らかにすることもできる ようになるかもしれない。
　さらには、事故者の属性、発見・発覚の端緒などの情報がデータベース化されれば 他行比較を通じて、自らの業務プロセスの統制面の｢強み・弱み」を把握することも できるようになるかもしれない。


（３）業務プロセスの検証、発生防止策の策定

　共有データから重要なリスク事象の内容の詳細を把握できるようになれば、自らの業務プロセスにあてはめてみて、同じように発生する可能性があるか否かを検証するこ とができる。予め対応策を検討して、重要なリスク事象の発生を未然に防止することができるようにもなる。
　データ・コンソーシアムに登録されたデータは、他の金融機関で実際に起きた事象なので、シナリオの想定とは違ってリアリティがある。他の金融機関で千万円単位の損 失が発生したという「事実」があると、自分のところでも起きるかどうか、その検討も自ずと真剣味を帯びてくる。経営陣や業務所管部署などを含め、関係者間でリス ク・コミュニケーションを行うときの「事例」として活用することが可能となる。


（４）享受するメリットが大きいのは誰か

　意外に思うかもしれないが、データ・コンソーシアムへの参加はAMA、TSA承認行よりも、これまで高度化への取り組みが遅れていた金融機関に対して、より大きな メリットをもたらすものと考えられる。
　なぜなら、データ・コンソーシアムの定義に合わせて、内部損失データを収集したり、他行の損失データ・シナリオをみながらRCSA評価を行えばよいため、高度化へ の取り組みが極めて容易になるからだ。もし、自行が、オペレーショナルリスク管理の高度化への取り組みが遅れているというのであれば、データ・コンソーシアムの活 用を選択肢の１つとして検討すべき時期を迎えていることに早く気付くことが重要だ。

　また、データ・コンソーシアムは、参加者数が多いほど、享受できるメリットは大きい。複数のデータ・コンソーシアムの存在は、「網羅性」を半減させ、その価 値を低めると指摘する向きもある。しかし、今後、有力な金融機関が「網羅性」を追求して、複数のデータ・コンソーシアムに参加することを検討する可能性もある。そ うなれば、どちらのデータ・コンソーシアムも「網羅性」が高まり、他の参加者もメリットを得ることができる。また、複数のデータ・コンソーシアムが相互に切磋琢 磨して、データの標準化、分析サービスの高度化が実現していくという点でもプラスに作用するはずだ。

３．共有データの標準化とデータ・カストディアンの果たす役割

　管理目的の違いや技術的な問題などから、金融機関のリスク事象データの定義や収集基準は異なっている。直接損失の生じた重大な事件事故のみを収集・登録している金 融機関もあれば、軽微な事務ミス等も含めて収集・登録している金融機関もある。多くの金融機関から多くのデータをただ集めればよいと、単純に考えることはできな い。
　リスク事象の収集・登録基準の違いは、共有データを集計・加工し、自行データと集計値・傾向値などを比較するときに問題になる。共有データの登録基準を統一する か、あるいは、すべてのリスク事象を登録するとしても、たとえば、直接損失が発生したリスク事象、金融当局に報告したリスク事象など、少なくとも、標準化された データにフラグを付けて管理する必要がある。「標準化」されたデータで分析を行わないと、正しい分析結果が得られず、ミスリードしてしまう可能性がある。
　また、リスク事象の登録の正確性の確保も重要だ。同一のリスク事象であっても、金融機関によって、あるいは、店舗・担当者によって、その認識や登録コード が区々となる可能性がある。ある金融機関では、住宅ローンの返済に係る処理ミスと登録しているが、別の金融機関では証書貸付の返済に係る処理ミスと登録すること も起き得る。
　このようなとき、データ・カストディアンの機能度が重要になる。多くの金融機関が登録する膨大なリスク事象データを「共通」の仕分けを行って、正確な登 録を行う必要がある。金融機関への問い合わせなども必要になる。データベースを常に使える状態に保つのがデータ・カストディアンの責務である。 　また、データ・カストディアンは、多くのリスク情報が集積されるようになると、これらを分析し、参加金融機関のオペリスク管理を支援するようになることも期待さ れる。将来的には、すべての参加者に向けて、あるいは、特定の金融機関に向けてアラームを鳴らすようになるかもしれない。 　将来、データ・カストディアンが具体的にどのような機能を担うかは、参加金融機関のニーズに応じて変わり得るが、データ・カストディアンの機能度が、データ・コ ンソーシアムの利用価値を左右することは間違いない。

４．データ・コンソーシアムへの参加は　“Share　for Progress”　の精神で！

　最後に、データ・コンソーシアムへの参加は　“Share　for Progress”　の精神で行うものであるということを強調しておきたい。実は、データ・コ ンソーシアムへの参加にあたり、最も重要なポイントになるが、まだ、この点が十分に理解されていないように思う。 たとえば、「他の参加者が詳細なデータ提供を行わないのではないか」、「自分だけがデータを提供すると損をするのではないか」との疑念をいだき、参加を躊躇する気 持ちは理解できる。しかし、まず、自らが積極的にデータを提供しなければ、データ・コンソーシアムは成立しない。データ・コンソーシアムとは、文字どおり、データ を共有する「共同体」を意味している。
　データ・コンソーシアムの参加者全員が　“Share　for Progress”　の精神を持って、1人1人の参加者が積極的にデータの開示を行うことが、参加 者全員の利益に繋がるのだということを理解する必要がある。
　金利、株価、為替などの相場情報がデータベース化され、リアルタイムで取得できるようになって以降、VaRをはじめとする様々なリスク管理指標が開発され、市場リ スク管理は飛躍的な発展をみた。また、信用リスク管理に関しても、企業の財務情報等が蓄積され、個別企業の格付、デフォルト確率などが容易に入手・把握できるよう になり、与信ポートフォリオの管理や審査管理に活用されるようになった。オペレーショナルリスク管理も、事件事故のデータベースが整備・蓄積されれば、その活 用が進むことは間違いない。他のリスクカテゴリと同様、現時点では予想できないような活用方法が考案され、オペレーショナルリスク管理の高度化が更に進んでいくこ とを期待したい。

以　上