グローバル リスクマネジメント サーベイ第11版

エグゼクティブ・サマリー

世界経済は比較的落ち着いていますが、今日のリスクマネジメントは、金融サービス企業に従来のアプローチの見直しを余儀なくさせるような、迫り来る重大なリスクの数々に直面しています。世界経済はこれまでのところ堅調ですが、米国、中国、欧州連合（EU）、その他の法域間の貿易摩擦によって世界の貿易量が減少する恐れもあり、先行きは依然として不透明です。欧州の成長の低迷や、債務水準の高まりが重荷となっている中国経済の減速を受け、世界経済の成長は減速しています。EUと英国はEU離脱の最終条件で合意に至っておらず、多くの企業に対する影響は依然として著しく不透明です。

金融危機を契機とする規制改革の大波はピークを越えたようですが、金融サービス企業はこれから最終決定を迎える数々の規制要件への備えを固め、また最近決定された規制要件の実施が与える影響の全体像を評価しているところです。一方で、グローバルな金融機関は、法域ごとに内容の多様化が進む規制環境に直面しています。バーゼル銀行監督委員会（バーゼル委員会）によるバーゼルIIIの自己資本規制およびその他の要件の改定は最終決着したものの、各国の規制当局による導入はこれからであり、また修正適用の可能性もあります。保険監督者国際機構（IAIS）はグローバルな保険資本基準（ICS）の策定に取り組んでいますが、資本要件を決定する際の評価基準の定義や内部モデルの役割の明確化など、いまだ数多くの論点が未解決のままです。英国のEU離脱に向けた最終離脱協定は今もなお交渉段階にあり、英国・欧州を拠点とする市場や金融機関の監督、さらには投資銀行業務における取引計上実務や契約モデルに重要な影響を及ぼすでしょう。2018年5月に発効したEU一般データ保護規則（GDPR）では、数々の要件の中でもとりわけ、EU市民のデータを保有するすべての金融機関に対して、消費者からデータ利用の同意を得ることが新たに義務付けられます。データの機密性向上に向けた取り組みは、インドや中国でも進められています。コンダクトリスクは多くの法域でますます重視されるようになっており、特に顕著なのがオーストラリアで設置された金融業界の不正行為を調査する王立委員会（Royal Commission into Misconduct in the Banking, Superannuation, and Financial Services Industry）です。

金融機関は近年、市場リスク、信用リスク、流動性リスクなどの従来型のリスクを管理するため、リスクマネジメントプログラムの対応力を高めてきました。現在は、規制当局と金融機関双方にとってノン・ファイナンシャル・リスクの管理がより重要になりつつあります。数多くのノン・ファイナンシャル・リスクの中でも、個人や国家によるサイバー攻撃の高度化を受け、サイバーセキュリティリスクが最大の懸念事項となっています。大手金融機関による不適切な行動が広く報道され、コンダクトリスク管理の重要性も浮き彫りになりました。金融機関の業務委託先で生じたリスクイベントが、多額の金銭的損失や風評被害につながる可能性もあります。

金融機関は、リスクマネジメントプログラムを再構築し、これらの課題への対応力を高めることを検討する必要があります。一部の金融機関はすでにこれらのプログラム強化に取り組んでいます。三つの防衛線によるリスクガバナンスモデルについてはこれを再検討することにより、各防衛線、特に第一の防衛線を構成するビジネスユニットや事業部門の責務を明確化すべきです。多くの金融機関では、リスクデータガバナンスを強化することにより、ストレステスト、オペレーショナルリスク管理、その他のアプリケーションで必要とされるアクセス可能で高品質のデータを適時に得られるようにする必要があるでしょう。

また、リスクマネジメントの効率性や有効性を高めるには、ロボティック・プロセス・オートメーション（RPA）、機械学習、コグニティブアナリティクス、クラウドコンピューティング、自然言語処理など、デジタルテクノロジーの力を活用することも検討するべきです。これらのツールを使えば、リスク報告の作成やトランザクションのレビューなどの手作業が自動化され、コストを削減できます。加えて、内外にある多種多様なデータを自動スキャンすることにより、新たなリスク、出現しつつある脅威、そして攻撃者を特定し対応することもできます。

最後に、金融機関はリスクマネジメントを戦略に織り込むことにより、戦略的計画や戦略目標の策定プロセスにおいてリスクアペタイトとリスクテイクを主要な検討事項にしなければなりません。

継続的に実施しているサーベイシリーズの最新版であるデロイトの「グローバルリスクマネジメントサーベイ第11版」では、金融業界におけるリスクマネジメント実務や業界が直面している課題を検討します。本サーベイは2018年3月から7月にかけて実施され、世界各国の幅広い金融業界で事業を展開する金融サービス企業94社が参加しており、参加企業の総資産は合計29兆1,000億米ドルに上ります。

高まり続けるサイバーセキュリティリスクの重要性

リスクタイプの中ではサイバーセキュリティの重要性が最も高まっているという点で、幅広い回答が一致しました。今後2年間で自社にとって最も重要性が高まるリスクを三つ挙げてもらったところ、67％がサイバーセキュリティを挙げ、他のリスクを大きく引き離しました。しかし、サイバーセキュリティリスクの管理において自社が「極めて効果的」または「非常に効果的」との回答はわずか半数に留まりました。特定の種類のサイバーセキュリティリスクのうち、自社の管理が「極めて効果的」または「非常に効果的」との回答が多かったのは、妨害型（disruptive）攻撃（58％）、金銭的損失または不正行為リスク（57％）、顧客に起因するサイバーセキュリティリスク（ 5 4 ％ ）、機密性の高いデータの損失（54％）、破壊型（destructive）攻撃53％）でした。国家（政府）の関与する脅威（37％）や外部提携企業に起因するサイバーセキュリティリスク（31％）に対して「極めて効果的」または「非常に効果的」との回答は少なくなりました。サイバーセキュリティリスクの管理について「極めて難しい」または「非常に難しい」課題として多く挙げられたのは、変化するビジネスニーズの一歩先を行くこと（社会的、モバイル、アナリティクス、クラウドなど）（58％）、高度の技術を有する攻撃者の脅威への対応（国家や熟練のハクティビストなど）（58％）でした。サイバーセキュリティリスクへの認識の高まりを受け、これに関連するガバナンス上の複数の課題で「極めて難しい」または「非常に難しい」とする回答が前回の調査よりも減少しました。サイバーセキュリティリスクにおける役割を各ビジネスに理解してもらうこと（47％から31％に低下）、複数年にわたる効果的なサイバーセキュリティリスク戦略の策定と取締役会からの承認取得（53％から31％に低下）、継続的な資金／投資の確保（38％から18％に低下）となっています。

ノン・ファイナンシャル・リスクへの注目度の高まり

従来の財務リスクの管理については、ほぼすべての回答者が自社の管理は「極めて効果的」または「非常に効果的」と評価しており、例としては市場リスク（92％）、信用リスク（89％）、ALMリスク（87％）、流動性リスク（87％）が挙げられます。これに対し、ノン・ファイナンシャル・リスクの管理において、「極めて効果的」または「非常に効果的」との回答は半数程度に留まり、風評リスク（57％）、オペレーショナルリスク（56％）、ビジネスレジリエンスリスク（54％）、モデルリスク（51％）、コンダクト・企業文化リスク（50％）、戦略リスク（46％）、第三者リスク（40％）、地政学リスク（35％）、データの完全性リスク（34％）となりました。金融機関はノン・ファイナンシャル・リスクの管理について包括的なアプローチの採用を検討する必要があります。

リスクデータやITシステムへの対応は最優先課題

リスクデータやITシステムを強化することの重要性が、調査結果全体に共通するテーマとなっています。これは金融機関や金融サービス業界にとってかねてからの継続的な課題であり、数多くのシステムやプロセスを経由したソースから質の高いデータを最終ユーザーに提供することには根深い困難さがあることが示唆されています。自社における今後2年間のリスクマネジメント上の優先順位を尋ねたところ、「優先順位が極めて高い」または「非常に高い」との回答が多かったのは、リスクデータの品質、可用性、迅速性の向上（79％）と、リスク情報システムと技術インフラの強化（68％）でした。この結果は、データガバナンス（34％）とデータの統制／検証（33％）において自社は「極めて効果的」または非常に効果的」との回答が約3分の1に留まったことと一致しています。自社のオペレーショナルリスクデータの様々な側面が「極めて発達している」または「非常に発達している」との回答はやや少数に留まり、内部損失データの十分な期間の蓄積（39％）、損失データ事象の完全性（37％）、様々な組織単位にわたる損失事象捕捉の一貫性（36％）、法的な損失データ情報の十分性と精度（34％）、損失データ情報の品質（34％）となりました。ストレステスト上の課題について尋ねると、資本ストレステスト（42％）と流動性ストレステスト（30％）の両方で、データ品質とストレステストの算定管理が「極めて難しい」または「非常に難しい」とする回答が最も多くなりました。

デジタルリスクマネジメントが持つ潜在力

様々な新テクノロジーの高度化が続いており、リスクマネジメントの効率性や有効性を劇的に変える大きな機会が生まれています。これらの機会の多くはまだ実現には至っておらず、こういった最新テクノロジーをリスクマネジメントに適用していると答えた金融機関は比較的少数に留まりました。
自社で活用しているとの回答が最も多かったのは、クラウドコンピューティング（48％）、ビッグデータとアナリティクス（40％）、ビジネスプロセスモデリング（BPM）ツール（38％）でした。反復性のある手作業を人が関与することなく自動化することによってコストを削減し正確性を向上させるという点でRPAに多くの注目が集まっていますが、現在これを活用しているとの回答はわずか29％でした。RPAが最もよく活用されている分野としては、リスクデータ（25％）、リスク報告（21％）、規制当局への報告（20％）が挙げられました。これ以外のツールを活用しているとの回答はさらに少数に留まり、機械学習（25％）、ビジネス上の意思決定モデリング（BDM）ツール（24％）、コグニティブアナリティクス（自然言語処理／自然言語生成を含む）（19％）となりました。
今のところ採用率はかなり低いものの、回答者は最新テクノロジーが多くの分野で「非常に大きなメリット」または「大きなメリット」をもたらすと考えており、例を挙げると、業務効率の向上／エラー率の低減（68％）、リスクの分析や発見の強化（67％）、適時の報告の向上（60％）となりました。また、ほぼ半数の回答者から挙げられたのは、サンプルテストと異なり、例外処理を通してリスクマネジメント範囲と対象を拡大できること（54％）、コスト削減（45％）でした。

三つの防衛線によるリスクガバナンスモデル上の課題への取り組み

ほぼ全企業（97％）が三つの防衛線によるリスクガバナンスモデルを適用していましたが、重大な課題に直面しているとの回答が得られました。最も多く挙げられたのは第一の防衛線（ビジネスユニット）の役割に関するもので、第一の防衛線（ビジネスユニット）と第二の防衛線（リスクマネジメント担当部署）の役割と責任の明確化（50％）、第一の防衛線（ビジネスユニット）の賛同確保（44％）、三つの防衛線の役割における重複の排除（38％）、第一の防衛線における熟練した人材の十分な確保（33％）、第一の防衛線の責務の遂行（33％）となりました。多くの金融機関は、第一および第二の防衛線の役割の明確化や、三つの防衛線モデルの効率性および有効性の向上に向けて継続的に取り組んできたか、またはそのプロセスの最中にあり、これらの課題はデロイトが金融機関と接して経験してきたことと一致しています。

ストレステストへの高まる依存

資本ストレステストを活用している金融機関は90％、流動性ストレステストは87％とほぼすべての金融機関に及んでおり、ストレステストへの依存度が高まっています。ストレステストの活用方法で最も一般的だったのは、自社のリスクプロファイルの把握（資本ストレステストで99％、流動性ストレステストで100％）、取締役会への報告（資本ストレステストで97％、流動性ストレステストで95％）、上級幹部への報告（資本ストレステストで97％、流動性ストレステストで100％）でした。規制要件への対応がストレステストの活用を主に促進しており、ストレステストの使用目的としてほぼすべての回答者から挙げられたのは、規制要件および期待事項の充足（資本ストレステストと流動性ストレステストの両方で95％）、自己資本比率の十分性の評価（95％）、規制で求められている流動性比率および流動性バッファーの適切性の評価（96％）でした。
資本ストレステストは取締役会や経営幹部向けの主要ツールとして使われることが多くなっており、様々な領域で「広範に活用している」との回答が前回の調査よりも多くなりました。その用途としては、取締役会への報告（46％から64％に上昇）、上級幹部への報告（49％から61％に上昇）、リスクに係る資本キャパシティ要件の定義／更新（24％から47％に上昇）、戦略および事業計画の策定（26％から38％に上昇）などがあります。
流動性ストレステストも複数の領域でより広範に活用されるようになっており、その用途は余剰流動性の適切性の評価（39％から57％に上昇）、規制要件および期待事項の充足（52％から65％に上昇）、流動性のリミットの設定（44％から56％に上昇）となりました。

取締役会による監督の強化

規制改革のペースが緩やかになっていることを受け、取締役会がリスクマネジメントに費やす時間が2年前より大幅に増えたとの回答は28％に留まり、前回の44％から低下しました。多くの金融機関は取締役会による監視においてリーディングプラクティスを採用しており、リスク監督の主たる責任は取締役会内のリスク委員会が担っているとの回答は61％に上りました。また、リスク委員会の全員または過半数が社外取締役との回答は70％（全員が35％、過半数が35％）、社外取締役が取締役会内のリスク委員会の委員長を務めているとの回答は84％に達しました。

CRO職位の設置が拡大

調査を実施してきた中で最高リスク責任者（CRO）の職位は広く浸透し続けており、今では95％の金融機関がCRO職を設置しています。しかし、CROの指揮系統については、CROが最高経営責任者（CEO）と取締役会の両方に報告するようになっていないなど改善の余地が残されています。CROがCEOに報告していないとの回答は4分の1、取締役会または取締役会内の委員会に報告していないとの回答は約半数に上りました。

ERM導入の継続的な拡大

エンタープライズリスクマネジメント（ERM）プログラムを導入しているとの回答は83％に上り、前回の73％から上昇しました。現在導入を進めているとの回答も9％となりました。ERMプログラムにおいて「優先順位が極めて高い」または「非常に高い」課題であるとの回答が最も多かったのは、前述のデータやITシステムへの対応に加え、ビジネスユニットとリスクマネジメント担当部署間の連携（66％）、規制要件と期待事項の増加への対応（61％）、全社的にリスクカルチャーを確立し定着させること（55％）でした。