本連載は、週刊 金融財政事情(2024年10月)に連載された記事の転載となります。以下の文章は原則連載時のままとし、場合によって若干の補足を加えて掲載しています。
銀行を取り巻くテクノロジーの発展や業務のデジタル化が進んでいますが、これらは銀行のみでは成り立たたず、いわゆるサードパーティの存在感が増しています。銀行においては、業務継続のためにもサードパーティの適切な管理が一層求められています。このようななか、バーゼル銀行監督委員会(以下、バーゼル委)は2024年7月9日、市中協議文書「健全なサードパーティリスク管理のための諸原則」を公表しました(意見募集期限は10月9日)。
本稿では、市中協議文書における諸原則のうち、特に銀行において課題となるものについて概説します。
目次
1.リスク管理の包括的アプローチを整理
バーゼル委は、効果的なサードパーティリスク管理(以下、TPRM)を通じて、銀行のオペレーショナルリスク管理やオペレーショナル・レジリエンス※1の改善を目指しています。そこでプリンシプルベースのアプローチを促進するために本諸原則が公表されました。本諸原則の背景には、銀行業務におけるデジタライゼーションの継続や、金融領域におけるテクノロジーの急速な発展があります。
近年、ITインフラの拡大や膨大なデータ管理などを理由に、銀行は多くの重要な業務をクラウド事業者などのサードパーティサービスプロバイダー(以下、TPSP)に委託しています。そのようななかでTPSPの業務が停止した場合、銀行業務への影響は甚大となります。そこで本諸原則は、TPSPへの依存によるリスクを軽減することに重点を置き、銀行がオペレーショナルリスクとサードパーティリスクを統合的に管理し、オペレーショナル・レジリエンスを確保するための統括的アプローチを示しています。
本諸原則は12の原則で構成されています(下表参照)。そのうち9つが銀行向けで、残り3つは監督当局に対してのものとなっています。以下で、銀行に対する主な原則について、その内容と実務的な対応に向けた検討ポイント等について解説します。
※1 システム障害やテロ、自然災害が発生しても重要業務を最低限維持すべき水準で提供し続ける能力。
2.経営陣に求められる体制整備と台帳管理
原則1はガバナンス面の原則を示しています。特に経営陣に求められているのが、組織全体のビジネス戦略やリスクマネジメント戦略、TPRM戦略に整合したリスク管理の枠組みを構築することです。TPRM戦略の範囲には、TPSPとのサービス・機能等の取決め基準や、TPRMに実施させる/実施させないサービスの基準、評価基準や契約解除に至る条件などが含まれます。
原則2ではリスク管理の枠組みに沿って、TPRMを確実に実施することを求めています。その1つとして、重要なNthパーティ※2を含むすべてのTPSPについて、網羅的かつ最新の情報を備えた台帳を維持する必要性を示しています。
銀行は台帳の情報を活用して、業務環境の変化に見合った頻度でリスクを特定し、モニタリングを実施します。最新の台帳を備えることは、集中リスクの特定を容易にすることにもつながります。仮にリスクの集中が回避できない場合、銀行はそのリスクを軽減するために、モニタリングやその他の措置を強化しなければなりません。さらに監督当局からの要請に備えて、台帳を監督当局と共有可能にしておくことも求められます。
※2 TPSPのサプライチェーンの一部(再委託先など)で、最終的に銀行へのサービスを提供するサービスプロバイダーを指す。
3.リスク管理の起点となるリスク評価
TPSPとの取引開始から終了までの一連のサイクルで求められる事項は、原則3から原則9で整理されています。そこで次に、そのうち特に課題になり得る項目として、リスク評価(原則3)、モニタリング(原則7)、事業継続(原則8)、終了(原則9)について解説します。
原則3のリスク評価は、リスク管理の深度を決めるための起点であり、提供されるサービスの重要性や内在するリスクを繰り返し評価することが求められます。評価に当たっては、リスクコントロールの適切性やリスクモニタリング・報告体制、リスク低減措置、自行の業務に対する潜在的な影響などを評価することになります。
実務的には、TPSPのサービス内容や関連する銀行業務の重要性、高リスク要素の有無、リスクの程度等を評価します。業務の重要性については、事業継続計画(BCP)やオペレーショナル・レジリエンスの取組みのなかで、継続復旧の優先的な対象業務になっているか等を考慮します。
評価方法はさまざまですが、コンプライアンスやITシステム、サイバーセキュリティ、情報管理、事業継続、財務等のリスク領域について、それぞれの観点でリスクの程度を測ったうえで、総合的にリスク格付けを付与する事例も見られます。いずれにしてもリスク評価の結果を、後続のデューデリジェンスやモニタリング等のステージにおいて活用可能なかたちで整理することが重要です。
4.KPIを設定し実効的なモニタリングを
原則7では、TPSPの業務遂行状況に加え、リスクやTPSPの重要性の変化等を継続的にモニタリングすることを求めています。従来、いわゆる外部委託先管理等のなかで、業務委託開始時のデューデリジェンスや、委託後のモニタリング等は行われています。しかし、変化するリスクを適時把握することには課題がありました。そこで、評価に当たっては、テクノロジーや商用データベース、第三者機関の評価結果等を活用しながら、効率的かつ効果的に確認することが有用です。TPSPからの報告や質問票でのモニタリングにとどまらない対応が求められます。
また、主要なパフォーマンス指標(KPI)を設定し、サービスレベルアグリーメント(SLA)や契約条項、監督当局の期待値等に沿った業務品質かどうかを継続的に確認することも求められています。KPIには、SLAの準拠状況やネガティブニュースの件数、財務的懸念、インシデント数などのさまざまな指標の設定が想定されます。
個別のTPSPの業務品質や運営状況の測定だけでなく、(1)銀行全体のTPSPに係るリスクの状況の測定や、(2)TPRMプログラム自体の有効性の検証のためにもKPIが必要です。KPIの例として、(1)では、重要なTPSP数や、高リスクのTPSP数、デューデリジェンスが未了のTPSP数、重篤なインシデントを起こしたTPSP数、複数の業務を提供する重要なTPSP数等がKPIとして挙げられます。(2)では、定期的なレビューや重要課題への対応、インシデント管理の遅延、当局からの指摘数等が考えられます。
5.TPSPとの業務終了に向けた備えも必要
原則8では、TPSPのサービス中断に備えて、事業継続体制を強化することを求めています。具体的には、TPSPのサービスへの依存度を管理し、それに応じたBCPの定期的な見直しやテスティングと、その結果に基づく改善を求めています。また、重要なTPSPについては、測定可能な目標復旧時間(RTO)と目標復旧時点(RPO)を含んだBCPを策定し、定期的に更新する必要があります。
実務においては、同一のTPSPにサービスを委託し続けるだけではなく、委託の終了や他のTPSPへの変更等の可能性も考慮する必要があります。そこで原則9では、TPSPとの取決めを計画的に終了する場合、または計画外で終了に至る場合の出口戦略を定めることを求めています。
計画的に委託を終了する場合は、リスク等に照らして比例的な出口計画を策定しなければなりません。その粒度はTPSPの重要性や代替可能性によって異なりますが、考慮すべき事項として移行期間や契約の完全な履行、予算配分、業務終了に向けた役割の特定などが挙げられます。
さらに、重要なTPSPについてはデータや知的財産等の非物理的資産や、ハードウェア等の物理的資産、人材、ノウハウの適切な移転が求められます。内外のステークホルダーとの調整に向けた準備も行うべきでしょう。計画外で委託を終了せざるを得ない場合は、提供業務の移転等が円滑にできないことが想定されます。
そこで、原則9ではすべてのTPSPについて、計画外の出口戦略を定めることを求めています。出口戦略の立案に当たっては、代替先の特定や代替先への移転に伴う追加コスト等の見積もり、移転が必要なデータ等の特定などを事前に検討しておくことが肝心です。なお、代替先がない場合は、内製化等も含めた検討も必要になります。その場合は、内製化に向けた業務フローや帳票の整理に加え、必要な人員等の確保などが求められます。
本諸原則は、銀行の規模やTPSPおよび業務の性質等に応じて、比例的に適用されることが念頭に置かれています。テクノロジーの進展等を背景に銀行のTPSPへの依存度が増し、管理が必要なリスク領域も拡大しているなかで、すべてのTPSPを一律に管理することは、リソースの観点からも困難と言えます。
銀行は積極的にテクノロジーなどの活用を進め、既存の外部委託先管理等枠組みを高度化することが重要になるでしょう。2024年6月には金融庁が「金融分野におけるサイバーセキュリティに関するガイドライン(案)」を公表しました。ガイドラインにおいても、リスク評価やデューデリジェンス、モニタリング、取引終了といったサードパーティリスク管理態勢が組織的に整備されていることを前提とした要件が多く見られます。本諸原則への対応は、ガイドラインへの対応にもつながると言えるでしょう。
【バーゼル委によるサードパーティリスク管理の12の原則】
| ガバナンス | 原則1 | 取締役会は、すべてのTPSPの監督に最終的な責任を持ち、銀行のリスク選好度と耐性度に応じた明確な戦略を承認する。また、その戦略が、銀行の全体的なリスク管理および事業戦略と整合していることを確認する。 |
| サードパーティリスク管理フレームワーク | 原則2 | 取締役会は、上級管理職が銀行のサードパーティ戦略に沿って、サードパーティリスク管理フレームワーク(TPRMF)の方針とプロセスを実施し、TPSPのパフォーマンスとリスクに関する報告および低減措置を講じていることを確認する。上級管理職は、TPRMFを実施し、定期的な報告をし、提言措置を実施する責任を負う。 |
| リスク評価 | 原則3 | TPSPとの契約前および全体のライフサイクルを通して、TPRMFの下で包括的なリスク評価を実施し、リスクを特定し、潜在的なリスクを評価し管理する。リスク評価は定期的に実施・管理する。 |
| デューデリジェンス | 原則4 | 契約前にデューデリジェンスを実施し、TPSPが銀行の要求を満たし、リスクを適切に管理できることを確認する。 |
| 契約管理 | 原則5 | すべての当事者の権利、義務、責任、および期待値を明確に記述した法的な拘束力のある契約を締結する。 |
| オンボーディング | 原則6 | 新しいTPSPのオンボーディングに際して、デューデリジェンスや契約交渉中に発生した問題に対処するために、十分なリソースを確保する。 |
| モニタリング | 原則7 | TPSPのパフォーマンスとリスクを継続的に評価およびモニタリングし、取締役会および上級管理職に報告する。 |
| 事業継続 | 原則8 | TPSPのサービスの中断に備えて、事業継続体制を強化する。 |
| 終了 | 原則9 | 計画的および計画外の契約終了に備えて、詳細な出口戦略を策定し、円滑な移行と最小限の中断を確保する。 |
| 監督当局による監督 | 原則10 | 監督当局は、銀行の定期的なアセスメントの一環としてTPRMを考慮に入れる。 |
| システミックリスクのモニタリング | 原則11 | 監督当局は、銀行セクターにおける単体もしくは複数のTPSPの集中・依存によって生じるシステミックリスクを評価し、モニタリングする。 |
| セクターおよび国境を越えた協調 | 原則12 | 監督当局は、銀行にサービスを提供する重要なTPSPによって引き起こされるシステミックリスクをモニタリングするために、セクターおよび国境を越えた協調と対話を推進する。 |
出所:バーゼル銀行監督委員会「健全なサードパーティリスク管理のための本諸原則」を基にKPMG作成。
週刊 金融財政事情 2024年10月1日掲載(一部加筆・修正しています)。この記事の掲載については、一般社団法人金融財政事情研究会の許諾を得ています。無断での複写・転載は禁じます。
