リスク管理は新領域へ

従来型リスク管理は限界に

金融機関において、コンダクトリスク、レピュテーションリスクなど、いわゆる「非財務リスク」への関心が高まっている。非財務リスクに対する関心の高まりの背景には、以下の四つがある。

第1に、金融市場におけるミスコンダクト（不正）の多発である。LIBOR不正操作などを発端に、大手米銀によるリテール口座の不適切な開設、外国為替市場における顧客情報の不適切な利用などが金融市場に大きな悪影響をもたらした。

第2に、従来型リスク管理の限界である。リスクアセットなど従来型の定量的リスク管理の手法は過去データを基に将来の内部損失を計測する仕組みにすぎず、金融機関のミスコンダクトなどフォワードルッキングな要素を必ずしも十分に把握できていない。折しも昨年末に最終合意されたバーゼルⅢ改革では、オペレーショナルリスクの先進的計測手法の廃止が決定されたことで、規制資本のフォワードルッキング性は後退する。

第3に、金融機関は自社損失のみならず顧客・株主・従業員・地域社会・環境など外部ステークホルダーの不利益もリスク管理の対象とすべきとの認識の広まりがある。顧客利益の最大化などの責任を負う金融機関は、自社損失以外のリスクも適切に管理する必要があろう。

第4に、ITの発達により、従来のリスク管理ではとらえきれない新たなリスクが現れたことである。サイバーセキュリティや仮想通貨取引に伴うリスクがこれに相当する。

多岐にわたる非財務リスク領域

非財務リスクの領域は、コンダクトリスク、レピュテーションリスク、サイバーセキュリティーリスク、モデルリスク、戦略リスクなど、多岐にわたる。

コンダクトリスクとは、金融機関の行為が外部ステークホルダーに不利益をもたらし、ひいては金融機関の企業価値を低下させるリスクのことである。LIBOR操作や不正口座の開設など、顧客に不利益をもたらす行為が代表例だが、他にも不正会計やデータ改竄など、幅広く外部ステークホルダーの利益を阻害する行為が含まれる。

レピュテーションリスクとは、ステークホルダーの期待から乖離した自社行動により自社の信用が低下するリスクというべきものである。その特徴は、行動が明らかな不正と言い切れない場合でも、顧客や市場の受け止め方により金融機関の信頼に結果的に影響を与えるケースがあることである。米国のダコタアクセスパイプラインへの大手金融機関の融資に対し、一部の団体による反対運動が拡大した例が挙げられる。

サイバーセキュリティーリスクは、ＩＴ進展に伴う新たなリスク分野である。サイバー攻撃の脅威はいうまでもなく、新たな事業分野であるフィンテックも、従来技術で捕捉できないリスクをはらんでいる。最近では、仮想通貨取引のリスク顕在化に鑑み、各国当局は監督の強化を急いでいる。

そのほか、「モデルリスク」とは、金融商品の公正価値やリスク管理に用いるモデルの不備により顧客や金融機関に想定外の損失をもたらすリスク、戦略リスクとは、環境変化等により金融機関のビジネス戦略が実現できないリスクのことである。

当局もコンダクトリスクへの関心が高い

監督当局も、非財務リスクについて強い関心を持っている。バーゼルⅢ改革がほぼ決着し、「第1の柱」の見直しが終わったことで、国際金融規制の重点は「第2の柱」や「監督」に向かうと考えられる。第2の柱は、定量的手法でとらえきれない分野のリスクをカバーする領域であり、非財務リスクは、今後の監督上の重点分野となろう。

特に、コンダクトリスクは監督当局の最も強い関心事である。国際規制レベルでは、金融安定理事会（FSB）が、15年に策定した「ミスコンダクト削減のための作業計画」に基づき、各国当局の監督進捗状況を定期的にモニタリングしている。最近では、特にコンダクトリスクと報酬との関係に監督の焦点が絞られつつある。FSBは今年5月に、「ミスコンダクトリスクに対処するための報酬ツールの利用に係るデータ当局報告に関する提言」を公表した。ミスコンダクトリスク監督・管理強化をより技術的なレベルに掘り下げるとともに、報酬制度に関する当局報告の開始を提言するなど、具体的監督手法にも踏み込んでいる。

7月には金融庁が「コンプライアンス・リスク」に関するディスカッションペーパー（案）を公表した。

金融機関は「第2の防衛線」の強化が重要

金融機関内で非財務リスク管理を高度化するためには、各種非財務リスクを金融機関内で定義し、所管部署を明確化することが必要である。定義と所管の決定にあたり、オペレーショナルリスクなど既存のリスク管理やコンプライアンスの枠組みとの関係を考慮する必要がある。

次に、具体的な管理手法を構築する必要がある。コンダクトリスク管理の手法としては、過去の自社内および外部コンダクト事象の分析、リスク軽減を重点的に実施する必要がある重要コンダクトリスク事象の選定などが考えられる。

さらに、非財務リスクにリスクアペタイトを適切に設定することが考えられる。非財務リスクは、その性質上定量化が困難だが、数値化したKRI（＝Key Risk Indicator. 重要リスク指標）を設定してモニタリングしていく方法が考えられる（コンダクトリスクでは「顧客苦情件数」、サイバーセキュリティーでは「サイバー攻撃件数」などがある）。

管理枠組みの構築にあたっては、従来「第1の防衛線」に任せる傾向にあったリスクに対して、リスク管理部門などの「第2の防衛線」が関与と牽制をより強める必要がある。例えばサイバーセキュリティーは、その専門性の高さゆえにIT部門がリスク管理をも担っているケースが少なくないと思われるが、リスク管理部門が適切な牽制を実施できるよう、人材・スキルの強化を図る必要がある。

リスク管理高度化が当面の優先課題に

多様な非財務リスクに共通する特徴は三つある。第1に、非財務リスクの管理手法は業界スタンダードとして確立しているわけではなく、各金融機関において開発途上であること。第2に、非財務リスクは顕在化した場合の影響度が極めて大きいこと。第3に、その顕在化の蓋然性が近年とみに高まっていることである。金融機関と監督当局は、当面のリスク管理上の重要課題として、非財務リスク管理高度化を進める必要があろう。
（なお、文中の意見にわたる部分は筆者の私見である）

*本記事では「非財務リスク」「ノンファイナンシャルリスク」「ノン・ファイナンシャル・リスク」「非ファイナンシャルリスク」等を、「非財務リスク」に表記を統一して使用しております。