オペレーショナルレジリエンス ー 顧客視点でのリスク管理の在り方

オペレーショナルレジリエンスにおける重要なポイント

まず、オペレーショナルレジリエンスの考え方の特長ならびに重要なポイントとしては以下が挙げられます。

1．重要なビジネスサービス

BCPやBCMにおいては多くの場合、自社の業務を起点にリスク評価を行い、重要な業務を特定・優先順位付けすることがなされていると筆者は考えます。オペレーショナルレジリエンスにおいては、重要な業務ではなく「重要なサービス」という言い方をしています。これは視点を金融機関からではなく、より顧客の視点から捉えることを強調したものです。つまり、顧客にとって重要な業務を特定し、有事でもサービスを継続するための施策を考案する、というアプローチを採るのです。

2．インパクトトレランス

インパクトトレランス（impact tolerance）とはステークホルダーの視点から、企業の重要なサービスがリスク事象によって受ける影響をどの程度まで許容できるかを定めたものです。トレランスという言葉はリスクアペタイトフレームワークの中でもよく使用される言葉ですが、インパクトトレランスは顧客の視点でインパクトを捉えるものである点と、その発生の可能性については考慮しない点でリスクアペタイトとは異なります（リスクアペタイトは企業自体が自らの選好として取るリスクであり、その発生の可能性についても考慮するもの）。

3．End to Endでのプロセス、資源のマッピング

End to Endとは言葉の通り、サービスのプロセスやバリューチェーンを最初から最後までつなげて捉えるという意味です。オペレーショナルレジリエンスにおいては、顧客にサービスが提供されるところまでを含めて、発生し得るリスク事象を考えます。また自社だけではなく、委託先を含むサードパーティをも含めて捉える必要があり、サービス提供に要する資源（システム、データ、人、有形資産も含む）まで全て含めたリスク認識・対策を行う必要があります。

4．ストレステスト

一定の蓋然性を有するリスクシナリオを作成し、ストレス状況においてビジネスサービスの提供を継続できるか、またインパクトトレランスの範囲内で回復できるかを確認するストレステストも、オペレーショナルレジリエンスを測る上で重要な手段です。

顧客視点でのリスク管理の在り方

ここまで読んでいただいた方の中には、顧客視点でのリスク管理という点で、コンダクトリスク管理を想起された方もいらっしゃると思います。

オペレーショナルレジリエンスもコンダクトリスク管理も、金融機関自らが顧客やステークホルダーからの期待を捉え、それに対して能動的に行動・リスク管理をしていくことが重要です。

オペレーショナルレジリエンスはサイバーセキュリティやシステム導入・更改などITやサードパーティに係るリスク、またコンダクトリスクは市場取引やセールスプラクティスに係るリスクがその中心として語られることが多く、両者が焦点を当てているリスクは必ずしも同一でないのが実際ではあります。しかし、顧客やステークホルダーを両リスク管理において同一のものとして整合させ、リスク管理の枠組みを捉え直すことは、顧客目線でのリスク管理を実現する上で有用なものと筆者は考えます。特にコンダクトリスクについては、その管理の方法はまだ確立されているわけではなく、オペレーショナルレジリエンスの考え方を参考にできる点も多いです。

両者を一体的に捉える考え方がトレンドとしてあるわけではありませんが、両者について整合する形で検討する場合に考慮すべき事項を以下にあげ、コラムを終わりにします。

• 考慮するステークホルダーの範囲の整合
• リスクアペタイトとインパクトトレランスの関係整理
• インパクトについての顧客視点での評価基準の設定
• リスクカテゴリー（リスクタクソノミー）の整理
• End to Endによるリスク捕捉の範囲と仕組みの整理