Other parts of this series:
不確実性の増す経営環境において、金融機関のリスク管理機能に求められる役割は重要度を増している。
また、地政学リスク、サイバーセキュリティ、テクノロジー・AIリスク、サードパーティリスクのように等、経営影響が年々増加し、態勢強化を進めるべきリスク項目も広がり続けている。
一方で、現状をみると、規制対応に代表される目先の個別対策に追われており、「守り」から「価値創造」のリスク管理への変化は進んでいないと考察している。
本稿では、次世代リスク管理の再構築に向けて、欠かせざる3つの視点を紹介する。
今日、金融機関のリスク管理は明確な転換点に立っている。
経済の不確実性は高止まりし、地政学的緊張は長期化の様相を見せる。加えて、生成AIをはじめとするテクノロジーの急速な進化、サイバー脅威の高度化、外部委託・サードパーティ依存の拡大など、リスクの性質そのものが変化している。従来の延長線上の改善だけで対応することは困難である。
北米の金融機関では、過去5年間にわたり決算説明会での「リスク」関連言及が着実に増加し、リスクが経営アジェンダの中心に位置づけられてきた。これは日本でも同様であり、リスク管理を単なる「守りの機能」ではなく、「成長を支える経営機能」として再定義することが不可避となっている。
常態化する是正対応
多くの金融機関では、規制対応や新たなリスクへの対処に要するコストが年々増大している。金融犯罪対策、データ提出義務、モデルリスク管理、IT・サイバー関連統制など、対応領域は拡張し続けている。また、監督当局からの指摘や是正要請は減るどころか、複雑化・高度化している。
その結果として生じているのが、是正対応を繰り返す「トレッドミル」状態である。個別指摘への対応を優先するあまり、実務はパッチワーク的に複雑化し、統制は積み上がる。現場の負荷は増大し、人材は疲弊し、次のリスクを生む、こうした悪循環に陥っている金融機関は少なくない。
日本の金融機関でも、新たな規制や検査指摘への対応が目的化し、本来のリスク低減や価値創出につながらないケースが見られる。リスク管理を「是正の仕組み」として捉えてきたことの限界を示している。
次世代リスク管理とは何か:
再構築の3視点
先行事例や各種調査が示しているのは、次世代リスク管理が単なるIT刷新や業務効率化ではないという点である。
本質は、以下の視点を同時に変革することにある。
- リスク・バイ・デザイン
- データ・テクノロジー
- タレント(人材)
これらは個別に進めても効果は限定的であり、三位一体での再構築が求められる。
1.リスク・バイ・デザイン:
先手・全体俯瞰で実務に織込む
リスク・バイ・デザインとは、規制要件やリスク管理を、業務や商品、意思決定の「後付け」ではなく、「設計段階から」「全体を俯瞰して」組み込む考え方である。北米における調査では、多くの金融機関がコア業務プロセスにリスク管理機能を組み込んでいる一方、新商品やサービスの初期設計段階からリスク管理部門が関与しているとの回答は4割程度にとどまっている。
この傾向は日本でも共通している。商品企画やプロセス改革の終盤でリスク管理や監査部門がチェックに入り、手戻りや追加統制が発生し、コストと時間が増大している。
実業務(与信審査や顧客ライフサイクル管理など)では、リスク基準、証跡検証・保管、データ品質管理といった重要要素を個別・サイロに埋め込むのではなく、全体俯瞰して業務フローに埋め込むことが有効である。例えば、顧客口座開設で取得・登録するデータの定義や証跡の保管方法等を標準化することで、以後の定期モニタリングや不正検知の精度が向上し、結果としてコストとリスクの双方を低減できる。
2.データ・テクノロジー:
タイムリーに、判断につなげる
次世代リスク管理の第二の柱はデータとテクノロジーである。多拠点・多商品・多顧客を抱える金融機関では、データのサイロ化や品質ばらつきが、正確かつタイムリーなリスク把握の障壁となってきた。多くの金融機関が全社横断のデータ整備に着手しているものの、経営判断でリアルタイム性の高いデータが十分活用されているとは言い難い。
日本の金融機関でも、会議資料が月次・四半期の過去データに依存し、最新のリスク兆候が意思決定に反映しきれないケースは少なくない。「データの鮮度」を指標化し改善する視点が重要となる。
さらに、良質なデータも、継続的に維持・拡大できなければ棄損していく。実務とリスク管理・統制が乖離すると、手作業が増え、データ品質の劣化が懸念される。
弊社調査の結果では、データ整備とその維持・活用の間に大きな乖離があることを示している。
(図表1)
ここで注目されるのが、生成AI、クラウドの活用である。日常的なのモニタリングや規制要件確認などを自動化することで、リソースをより高度な判断業務へ再配分できる。
3.人材:
横断型人材が変革をリードする
次世代リスク管理では、3種類の人材が求められる。
(1)データやAIに精通したエンジニア
(2)リスク・コンプライアンスの深い専門家
(3)部門を横断して課題をつなぐ「リスクアスリート」
弊社調査では、AIリスク、サイバー、オペレーショナル・レジリエンスなど伝統的財務リスク以外の新たなリスクへのリテラシー向上を最優先課題と認識する一方で、自社人材が新たな脅威に十分対応できているとの回答割合は低位にとどまり、意識と実態のギャップは大きい。日本の金融機関にとっても、データ・テクノロジーAIを理解する人材と、伝統的なリスク専門性を持つ人材を統合し、変化をリードできる「次世代リスク人材」を計画的に確保・育成することが、新たなリスク管理機能実現のカギとなる。
(図表2)
まとめ
次世代リスク管理は構想ではなく実現し価値創出することが求められるフェーズにある。
守りを強化するにとどまらず、価値創出へとつなげるリスク管理機能の実現が、加速度的に変化する経営環境において最重要アクションの一つと考える。
FSアーキテクトは、金融業界のトレンド、最新のIT情報、コンサルティングおよび貴重なユーザー事例を紹介するアクセンチュア日本発のビジネス季刊誌です。過去のFSアーキテクトはこちらをご覧ください。
