リスク管理態勢

オペレーショナルリスク管理

オペレーショナルリスクとは、内部手続き、役職員やシステムが適切に機能せず、またはまったく機能しないこと、または外生的事象により損失を被るリスクです。当行ではオペレーショナルリスク管理の重要性を十分認識し、取締役会が承認したリスク管理ポリシーに従って、適切な管理を行っています。

リスク管理ポリシーでは、オペレーショナルリスクの総合的な管理方針、オペレーショナルリスクを構成する事務リスク、システムリスク、法務コンプライアンスリスク、人的リスク、有形資産リスク、風評リスクや災害事態の管理方針を定めています。下図のとおり、各リスクに対して専門のリスク管理部署を設置するとともに、統合リスク管理部が顕在化事象の把握、リスクのアセスメント、計量化等、総合的な管理を所管しています。

オペレーショナルリスクの総合的な管理

当行は、事務リスク、システムリスクやその他のオペレーショナルリスクを、統一的な手法で総合的に管理しています。オペレーショナルリスク管理では、実際に損失が発生した事象に加え、今後損失が発生する可能性があるリスクを管理する必要があります。当行は顕在化した損失事象のモニタリングとリスクのアセスメントを軸にオペレーショナルリスクを管理しています。

実際に当行グループで発生した事務ミス、コンプライアンス違反、システムトラブル、災害や事故、物損、外部からの不正行為等の損失事象は、各リスク所管部署によってモニタリングされます。これらの損失事象は、システムで一元的に報告、管理され、適切に分析、対応策の実施が行われています。重要な損失事象については、経営への個別の報告がルール化されています。今後損失を発生させる可能性があるリスクについては、リスクマッピングとリスク・コントロール・セルフ・アセスメントにより、特定、評価されます。リスクマッピングは、業務部署へのヒアリングに基づき、リスク管理部署が当行グループの抱える重大なリスクおよびその管理強度を評価するトップダウン型のアセスメント手法です。

リスク・コントロール・セルフ・アセスメントは、すべての業務ユニットが対象で、各業務ユニットの抱える重要なリスクと管理体制を自ら特定、評価するボトムアップ型のアセスメント手法です。これらのアセスメントにより、継続的に業務運営体制の点検・見直しを行っています。

当行グループが抱えるオペレーショナルリスクの定量的な評価は、損失事象およびアセスメントにより策定したリスクシナリオに基づき、内部モデルによるシミュレーションにより推計されます。オペレーショナルリスクについては、規制資本も踏まえ、必要な自己資本を確保しています。

当行グループの新たな業務への取り組みや、外部環境の変化などにより、オペレーショナルリスクは変化します。外部の損失事例の情報を活用するなどの取り組みも進めながら、変化に対応できる適切な管理体制の維持に努めています。

事務リスク管理

当行では、事務リスク管理の方針・規則を明文化し、営業部門から独立した事務企画部が事務リスクへの対応を行っています。事務企画部においては、各業務に必要な事務手続きならびにマニュアル等を制定し、事務指導、研修等の実施による各事務処理レベルの一層の向上に努めるとともに、組織体制等のモニタリングを通じて、効率的な事務処理体制の構築に努めています。また各種事務処理の一層の合理化を検討・推進することで、人為的なミスの少ない事務処理体制の構築を目指しています。

システムリスク管理

当行では、システムリスク管理の方針・規則を明文化し、システムリスクの発生の未然防止やシステムトラブルへの適切な対応策を行いシステムの安定稼働に努めています。具体的にはシステム・インフラの二重化、バックアップセンターの整備、システム開発におけるテスト・レビュー体制の整備、システム運行状況の監視、障害時マニュアルの整備と訓練などを実施しています。
情報システムに関するリスク管理の責任者はチーフテクノロジーオフィサー、統括部署はITコントロール部となっています。情報システムに対するセキュリティ対策を実施するとともに、全従業員を対象に情報セキュリティ研修を年次で実施しています。
サイバーセキュリティについては、グループ会社を含めたサイバーセキュリティ対応協議会(あおぞらCSIRT)を設置しています。不正侵入防止の入口対策、情報漏えい防止の出口対策等、多層的な技術対策や他社との情報共有を行っています。また、情報漏えいを含めサイバー攻撃のシナリオ別手順を策定し演習を行っています。
なお、情報システムに関する内部監査を年数回実施しています。

その他のオペレーショナルリスクの管理

オペレーショナルリスクを統合的に管理していくために、事務リスク、システムリスク以外のオペレーショナルリスクについても、法務コンプライアンスリスク、人的リスク、有形資産リスク、風評リスクを定義して適切な管理に努めています。

法令等違反行為や内部ルール違反・訴訟等を原因として損失を被る法務コンプライアンスリスクについては、コンプライアンス統括部が一元的に把握・モニタリングし、調査・分析の上、予防措置・再発防止策等を講ずることにより、リスクの削減を図っています。

労務問題等により損失を被る人的リスクについては、人事部が人事制度を適切に運営するとともに、各部署の人的リスクの状況をモニタリングし、リスク削減策を講じています。

自然現象等の外的な要因や事故等により固定資産が毀損し損失を被る有形資産リスクについては、管理部が有形資産の有高や損失の状況をモニタリングし、防災・防犯対策等を実施してリスクの削減に努めています。

風評リスクについては、新規事業・新商品を計画する際の潜在的な風評リスクの分析や、日常的に起こりうる風評被害の把握や拡大防止のためにメディア等情報源の監視を行っています。役職員は当行グループの風評リスクを察知した際は経営企画部への通知を義務付けられており、必要に応じて経営層へ報告される態勢がとられています。

危機管理

危機管理は、オペレーショナルリスク管理の中に含まれます。ここでいう危機とは、自然災害、重大なシステム障害、サイバー攻撃、テロ、武力攻撃等の影響により、当行グループの業務のファシリティー、システム、インフラ、人的資源等に深刻な影響が及び、組織横断的な対応を必要とする事象を指します。

危機管理の目的は、迅速かつ組織的・効果的な危機への対応により、役職員等の安全確保および業務への影響回避を通じて金融システム等への影響を最小限に留めることです。

このため、あおぞら銀行各部室店および当行グループ各社は、主要な業務に関する特定のインフラ、システム、人員が利用不可能となった場合の影響を把握のうえ、危機発生時の対応、業務継続手順等を定めた業務継続計画(BCP)を作成します。
平時においては、危機管理室が、BCPの前提となるシナリオ、発生しうる事象を定義のうえ、BCPのテンプレートを提供し、各部室店および各社が策定するBCPの妥当性を検証します。

危機発生時においては、危機対策本部が設置され、BCPの発動、各種情報収集、復旧活動の実施等を一元管理します。危機対策本部は、執行役員以上の常勤役員、危機管理室長および関係各部店長で構成し、社長が危機対策本部長として意思決定を行います。

危機解消後、危機管理室は、危機への対応から得た教訓、資産の損失等について、マネジメントコミッティーおよび取締役会に報告します。また、BCPの内容が実際の状況に対応できていない部分について、危機管理室は、必要に応じて関係する各部室店、各社に対してBCPの改善を指示します。

  • ESG情報インデックス
  • ニュースリリースメール配信サービス
  • よくあるご質問
  • 金融円滑化管理体制