この記事は2023年3月5日に「The Finance」で公開された「3分で学ぶ2023年度のトップリスクとリスク管理、内部監査の対応ポイント」を一部編集し、転載したものです。


本稿では、金融機関を取り巻くリスク管理、内部監査にかかるトピックについて、2023年度に注目すべきキーワードをちりばめながら解説する。

目次

  1. 2023年の金融機関(預金取扱金融機関)を取巻くリスクの概観
    1. ~金利上昇、地政学リスク等トップリスク・シナリオは変わらず、今後は影響の波及範囲に注意が必要~
  2. 内外の規制・監督動向
    1. ~定性的リスク、非財務リスクの管理に注意が必要~
  3. コンダクト・リスク(顧客本位の業務運営を含む)
    1. ~形式ではなく、「顧客本位」の趣旨にそった本質的な対応を~
  4. オペレーショナル・レジリエンス、テクノロジー・リスク
    1. ~従前のBCP策定とは逆のアプローチも必要か~
  5. まとめ

2023年の金融機関(預金取扱金融機関)を取巻くリスクの概観

3分で学ぶ2023年度のトップリスクとリスク管理、内部監査の対応ポイント
(画像=MyCreative/stock.adobe.com)

~金利上昇、地政学リスク等トップリスク・シナリオは変わらず、今後は影響の波及範囲に注意が必要~

 2023年の金融機関を取り巻くトップリスクとしては、2022年に引き続き外部環境に起因するリスクが主だったものとなるだろう。まず最も影響が大きいと思われるのは、内外の金利上昇が挙げられる。金利上昇に伴う金融機関への影響は、既に外貨ALMや運用資産の評価など、主に市場性資産や外貨ポートフォリオを中心に影響が顕在化しているが、今後は国内債券の評価、住宅ローン等不動産系貸出における顧客行動の変化、貸出債権への適用金利の反映等、銀行勘定を中心とした複合的な影響が発生していくだろう。当然のことながら、中長期的には資金収益の改善など、金融機関の収益への望ましい影響も想定されるが、何より低金利環境に慣れ親しんだ金融機関にとっては金利の上昇という局面には不慣れであり、仮に今後金利が本格的に上昇していく場合には、その影響度をあらゆる角度で分析する必要があるだろう。
 地政学リスクも昨年に引き続き無視ができないだろう。ロシアによるウクライナ侵攻はまもなく2年目に突入するが、そこで浮き彫りとなった資源、エネルギーの調達やサプライチェーンの脆弱性は、メーカーを中心とした取引先に極めて強いネガティブ・インパクトをもたらした。今後は、為替要因等も含めた物価上昇圧力が、一般消費者やサービス業など広範に影響が及び、主に貸出先の耐性の見極めやサポートが必要な局面に入りつつある。また仮にウクライナ情勢が落ち着いたとしても、エネルギー情勢やサプライチェーンが極めて微妙なパワーバランスの上に成り立っていることに変わりはなく、経済安全保障含め東アジア地域の地政学リスクには引き続き注意が必要であろう。
 すでに3年が経過した新型コロナ・ウィルスについては、まもなくコロナ特例融資の利子補給が終了することや社会保険料延納分の支払要請が本格化することにより、貸出先の深度ある管理が必要になることが想定される。また顧客の行動変容や自社の役職員の働き方の変容も、コロナ禍の一過性的なものから、一部は恒常的なものになるだろう。そのため金融機関は、情報セキュリティ等のリスク管理だけでなく、組織文化の変容や顧客の金融機関に対するニーズ等への適切な対応など経営戦略上のリスクも十分に配慮する必要があるだろう。
 以上の様に、トップリスクとして、リスク・シナリオは昨年と大きく変わるものではないだろう。しかしながら、その影響が見込まれる分野はより広範になり、複雑になることが予想されることから、単なるトップリスク管理にとどまらず、ストレス・テストやリスク評価、リスク軽減策等について、深度ある分析と対応が必要な局面にあるといえるだろう。

3分で学ぶ2023年度のトップリスクとリスク管理、内部監査の対応ポイント
(画像=TheFinance)

内外の規制・監督動向

~定性的リスク、非財務リスクの管理に注意が必要~

 リスク管理や内部監査を巡る規制、監督の動向としては、今年は特に大きな新規制の適用はないことから、比較的落ち着いた一年と言えるだろう(バーゼルⅢ最終化の早期適用行を除く)。特に規制の性質として、健全性規制等のいわゆる定量的な規制は、国際的な議論も落ち着いている状況であり、国際基準行については2024年3月から、国内基準行には2025年3月から適用されるバーゼルⅢ最終化の国内施行を粛々と準備している局面だと言える。他方で足元では定性的ないしは非財務上のリスク管理に注意が必要だろう。特に、昨年から問題となっている仕組債問題を端緒とした顧客本位の業務運営や、昨年末にパブリックコメントに供されたオペレーショナル・レジリエンスについては、制度の趣旨を踏まえた本質的な対応が必要であろう。

コンダクト・リスク(顧客本位の業務運営を含む)

~形式ではなく、「顧客本位」の趣旨にそった本質的な対応を~

 昨年から巷を賑わせている仕組債に関する問題については、その商品性や販売方法を踏まえて、改めて金融機関の経営姿勢が問われる事態となっている。金融庁より「顧客本位の業務運営」の重視姿勢が示されて相当の時間が経過し、多くの金融機関がその方針やKPIを開示したことにより、一見すると積極的にフィデューシャリー・デューティーの実現に取組んでいるように見られたが、ここにきてその取り組みが本質的なものであったのか、真偽が問われる事態となっているといえよう。
 これは顧客本位の業務運営が、単に顧客に対するサービス提供範囲の拡充やチャネルの拡充といった外形的ニーズに対応していればよいと短絡的に解釈してしまった金融機関が多かった結果であるといえよう。むしろ顧客本位の業務運営とは、重要なステークホルダーである顧客の期待に公明正大に向き合っているかという点、もっと言えばハードローと呼ばれるような法令を外形的に遵守するだけでなく、重要なステークホルダーからの要請を具現化したようなガイドラインや社会規範などのソフトロー、そしてその前提となる原則(プリンシプル)を意識して金融機関が行動することが求められているにも関わらず、一部の金融機関がそれを見過ごしていた結果といえるだろう。
 かような問題は、リテール向けの金融商品販売のみならず、金利指標不正のようなマーケット・コンダクトに関する事案や、節税商品の組成・販売など社会経済に悪影響を与えうる事案など、各所で顕在化し、結果として金融機関に財務的な損失のみならずブランド価値の棄損など、間接的だが重大な損失を与えている。
 従来かかる分野はコンプライアンス部門が担当していた領域だが、金融機関の業務が拡大し、また関係するステーク・ホルダーが多様化した現在においては、営業部門等現場が自主的に認識しているステークホルダーの期待との不一致事象や、クレームなどの間もなく顕在化しかねない事象をボトムアップで抽出し、フォワードルッキングにミスコンダクト事象を管理する必要性があり、その管理の態様はオペリスク事案と類似するものである。そのため今後はリスク管理部門が積極的に、ミスコンダクト事案の把握、対応に関与する必要性が出てきている。またそのようにコンプライアンスとリスク管理のエアポケットに陥りがちな内容である一方、放っておくと金融機関の存在価値にも大きな影響を与えかねない場合もあることから、監査部門も積極的に当該分野の管理態勢のモニタリングを行っていくことが必要となるだろう。

オペレーショナル・レジリエンス、テクノロジー・リスク

~従前のBCP策定とは逆のアプローチも必要か~

 定性的なリスク管理として、2021年3月にバーゼル委員会が、それを受けて2022年12月に金融庁がディスカッション・ペーパーのパブリック・コメントを開始したオペレーショナル・レジリエンスについても、対応が求められるだろう。従前より本邦金融機関は、地震や台風などの天災等に対して比較的手厚いBCP態勢を構築してきた、そのため、オペレーショナル・レジリエンスについて改めて正面から対応していく必要性は低いともいえる。他方で、今回オペレーショナル・レジリエンスに関するディスカッション・ペーパーの中では、「重要な業務」を最低限維持すべき水準において提供し続けることを提唱しており、特に「最低限維持すべき水準」の見極めが必要な点がオペリスク管理上目新しい点だろう。またさらにサードパーティを含めた「相互連関性のマッピング」により最低限維持すべき水準への影響度とそれを踏まえたリソースの確保が求められている点はオペリスク管理のみならず外部委託先管理の観点からも対応が必要な点である。従前のBCPが極力金融機関の事業のすべてを提供するために、特定のリスク顕在化シナリオを起点として、その計画を定めていたのに対して、オペレーショナル・レジリエンスにおいては、予め「最低限維持すべき水準」を見極めて、外部委託業者等の業務遂行可能性を踏まえた相互連関性を明確にし、それらに各リスク・シナリオをぶつける必要があり、ある意味BCPの策定とは逆方向の整理が必要となる。
 また、テクノロジー・リスクについては、情報システムやネットワーク等の各種テクノロジーが金融機関経営、特に営業戦略とも大きく関係を持つことになってきていることから、単にシステム・リスクを管理するという観点だけではなく、より経営戦略に即したITガバナンス的な観点での管理が必要となってきている点に注意が必要である。特に金融機関の外部にある新たなテクノロジーについては、それが金融機関の経営戦略上どのような影響を与え、それらに対して金融機関がどのような接し方をしていくべきなのか、ITガバナンスからの整理がより重要となるだろう。

まとめ

 上記の通り、本年金融機関が注視すべきリスク管理上の論点、及び監査上の論点を示したが、改めて大きな視点で整理すると、
 ①リスクシナリオとしてエマージングなシナリオが増加しており、それらに対して機動的に対応する必要性があること、②規制面では定量的な規制から定性的なガイドラインに軸足が移りつつあり、単に技術的な対応だけではなく経営戦略等とも密接に紐づいた、組織横断的な対応を金融機関自身が考え答えを出す必要があることが挙げられる。そのため、リスク管理担当部署、内部監査部署共に、より経営戦略的な観点が必要になってきている点が大きなトレンドといえよう。

▼著者登壇のセミナー
<2023年総チェック>金融機関におけるリスク管理・内部監査上の重要テーマとそのアプローチ
~内外のリスク環境にもとづく重大テーマとリスク管理・内部監査上のポイント~

開催日時:2023-03-23(木) 13:30~16:30
     (会場またはオンライン受講/アーカイブ配信付き)

本セミナーにおいては、上記のポイントについてより詳細に解説し、具体的なベンチマーク例等を掲げると共に、より網羅的にリスク要因を把握するために、Politics(政治的要因)、Economics(経済的要因)、Society(社会的要因)、Technology(技術的要因)のいわゆるPEST分析により抽出したリスク要因についても解説する。


[寄稿]青木 洋 氏
アーク・フォー・コンサルティング株式会社
代表取締役社長
プロティビティLLC プリンシパル

東京三菱銀行(現三菱UFJ銀行)入社、オリックス株式会社、プロティビティLLC、3年間の金融庁監督局総務課健全性基準室出向。ユニゾン・キャピタルでのコンプライアンス・オフィサーを経て、2022年6月に独立。長年にわたり、リスク管理、コンプライアンス、内部監査業務及びそれらに関するコンサルティング業務に従事。特に銀行の健全性規制や金融機関各業態のリスク管理、コンプライアンス、内部監査に精通している。