オペレーショナルレジリエンス態勢の構築支援

オペレーショナルレジリエンスとは

オペレーショナルレジリエンスとは、地震などの自然災害やサイバー攻撃など、多岐にわたるリスク事案が生じた際に企業が重要な業務を遂行できる、もしくは速やかに業務を再開できる能力のことを指します。リスクの未然防止は必ずしも完璧ではなく、費用対効果や顧客の利便性を考えた場合に、過度なコントロールは正当化できません。そのためリスクの発生を前提として、リスクの発現に対して事業・サービスの回復に力点を置くという考え方に立ったものとなります。

金融庁は2023年4月に「オペレーショナル・レジリエンス確保に向けた基本的な考え方」を公表し、その内容は「主要行等向け監督指針」にも反映されました。これを受けて、国内においては銀行に限らず証券会社、保険会社、地域金融機関も含め、オペレーショナルレジリエンスの観点を踏まえた対応が加速していくことが予想されます。

また、経済安全保障の観点から重要インフラサービスに係るレジリエンス、重要サードパーティの管理強化(サードパーティリスクマネジメント)が求められており、オペレーショナルレジリエンスはそれらを包含したリスク管理フレームワークとなっています。

これらは金融機関に限らず重要インフラサービスを提供するシステム会社や通信会社などにとっても対応が求められるものと考えます。

オペレーショナルレジリエンスは具体的には次の3点に分解できます。

  • 脅威や潜在的な障害を識別して適応する能力
  • 破壊による重要な業務の遂行への影響を最小限に抑える能力
  • 破壊的なイベントから回復し、学習する能力

オペレーショナルレジリエンスに関する議論はこの数年、ますます活発化しています。その背景には以下の2点が挙げられます。

1. 外部脅威による業務中断のリスクの増大

外部脅威や破壊的イベントにより生じる業務中断としては、例えば自社のシステムを切り替える際の不備に起因するシステム障害によって長期間にわたりサービスを提供できなくなるケースや、サイバー攻撃による社内ネットワークシステムの障害のため生産や出荷を一時見合わせることになるケースなどが想定されます。このような業務中断のリスク要因としては、以下のようなものが挙げられます。

  • テクノロジーへの依存
  • ビジネスポートフォリオの複雑化
  • オペレーティングモデルの変化(外部委託、業務提携などの増加)
  • 自然災害の多発
  • 感染症(例:新型コロナウイルス感染症)の拡大

2. 非財務リスク管理の視点の変化(外部ステークホルダーに対する影響の観点)

外部脅威や破壊的イベントによる業務中断を実際に生じていることを受け、各国の監督当局はオペレーショナルレジリエンスの視点に基づいて原則や規制の改定を進めています。特に注目すべき動向としては、業務中断に際して「ステークホルダーおよび顧客に対する影響をいかに最小限に抑えるか」という観点が強調されています。

オペレーショナルレジリエンスの構成要素と重要な観点

これまで金融機関や各事業体は、主にシステムなどの自社機能や部門単位に基づいて、個別管理単位で回復プロセスを構築してきました。しかし、オペレーショナルレジリエンスの観点からは個別管理単位ではなく、統合的な枠組みで取り組む必要があります。その枠組みでは、ステークホルダー、顧客、市場全体にとって重要なビジネスサービスという視点から、サービスを支える業務プロセスとリソースを構成要素として整理できます。その際に重要な観点としては、以下の3つが挙げられます。

  • 重要なビジネスサービスの観点から、当該サービスを支える業務プロセスをエンドツーエンドで特定、把握
  • 業務プロセスを支えるリソースへの依存度(代替可能性)を適切に把握
  • 重要ビジネスサービスへの影響をリスクトレランス(インパクトトレランス、顧客アウトカム)の範囲内に制御
オペレーショナルレジリエンスの 構成要素

PwCの提供サービス

1. 現状のレジリエンス体制の評価

オペレーショナルレジリエンスの成熟度評価モデルに基づくアセスメント

PwCが策定した独自の枠組みによって、オペレーショナルレジリエンスの現状と成熟度を把握・評価することができます。

オペレーショナルレジリエンスの成熟度評価モデルに 基づくアセスメント

ベストプラクティスとのギャップ分析

現状、日本国内では各業態にオペレーショナルレジリエンスが浸透し、整備が進んでいるとは必ずしも言えません。しかし欧米ではその準備が確実に進んでおり、今後その流れは加速するものと思われます。PwCではグローバルネットワークを活用することで、英国・欧州・米国における各業態の成熟度をベンチマークとしたギャップ分析が可能です。下図は金融機関の種類別に成熟度評価を実施した結果です。

海外当局のガイダンスおよび海外金融機関のベストプラクティスとの ギャップ分析

2. オペレーショナルレジリエンス体制の設計、構築支援

ビジネス部門(1stライン)主導でレジリエンスを管理し、リスク管理部門(2ndライン)が監視・けん制を行い、さらには取締役会も監視・監督する体制の確立を支援します。

オペレーショナルレジリエンス体制の 構築支援

3. オペレーショナルレジリエンス管理プロセスの導入支援

オペレーショナルレジリエンスに係る管理サイクルの全体像として、以下のプロセスが必要と考えられます。

オペレーショナルレジリエンス管理プロセスの 導入支援

PwCの提供サービスメニュー 

  • 重要ビジネスサービスの選定およびインパクトトレランスの設定支援
  • シナリオラインアップの策定とストレステストの実行支援
  • プロセスおよび指標管理のためのシステム導入支援

4. オペレーショナルレジリエンス態勢構築のロードマップ策定支援

PwCは現状のレジリエンス体制を評価したうえで、インパクトトレランスなどの定量的指標管理の設定、1線(事業側)主導によるレジリエンス向上施策の能動的展開、それを監督するガバナンス体制の設計を下記ロードマップに従って支援します。

オペレーショナルレジリエンス態勢構築の ロードマップ

5. オペレーショナルレジリエンスを実現するためのインフラ整備および運用支援など

PwCはオペレーショナルレジリエンスを日常業務に組み込むためのデータ整備、システムインフラ整備を支援します。具体的には、オペレーショナルレジリエンス管理をサポートするためのGRCシステムや専用ツールの選定から導入までサポートします。

また、PwCグローバルネットワークを活用することで導入後の運用についても支援することが可能です。

PwCの提供サービスメニュー

  • オペレーショナルレジリエンスの態勢評価(ギャップ分析)
  • オペレーショナルレジリエンスフレームワーク、PDCAサイクルの策定
  • オペレーショナルレジリエンス管理プロセスの試行支援(サンプル試行)
  • 既存のBCP、BCMの見直し支援、オペレーショナルレジリエンスの観点からの訓練実施
  • 既存のオペレーショナルリスク管理フレームワーク(RCSA、シナリオ分析)の見直し、オペレーショナルレジリエンスへの統合・整合支援
  • オペレーショナルレジリエンス、サードパーティリスクマネジメント(TPRM)のデータ、システムインフラ(GRCシステム、専用ツール)整備支援
  • レジリエンスカルチャーの浸透支援

上記に加え、PwCでは組織のレジリエンスをより強固なものとするため、危機管理(クライシスマネジメント、重大インシデント)対応のための訓練の提供を行っています。

経営陣が参加するシナリオを基に訓練を行うことで、危機発生時の適時適切な対応を確認し、組織内に危機管理意識を浸透させます。

危機管理訓練のイメージ

  • 特定のテーマを基にした講義
  • 危機シナリオの作成
  • 経営陣参加による訓練のファシリテーション支援
  • 訓練結果レポートの作成

{{filterContent.facetedTitle}}

{{contentList.dataService.numberHits}} {{contentList.dataService.numberHits == 1 ? 'result' : 'results'}}
{{contentList.loadingText}}
{{contentList.loadingText}}
{{contentList.viewAllLabel}}

{{filterContent.facetedTitle}}

主要メンバー

辻田 弘志

パートナー, PwC Japan有限責任監査法人

Email

関連サービス