オペレーショナル・レジリエンスとは何か？

　金融庁によると、オペレーショナル・レジリエンスとは「システム障害、テロやサイバー攻撃、感染症、自然災害等を含む事象が発生しても、金融機関が重要な業務を、最低限維持すべき耐性度において、提供し続ける能力」であるとされている。

　金融機関では、フィンテックやクラウドサービスなど、テクノロジーの利用拡大による、オペレーショナルリスクの管理範囲が広がっている。また、大規模な自然災害のほか、パンデミック、サイバー攻撃など、考慮すべきリスク事象が増えている状況にある。

　こうした背景の下、金融機関はさまざまなリスクに対して、重要な業務を提供できるかどうか、その能力の確保が求められている。

オペレーショナル・レジリエンス「4つの基本動作」

　2021年3月にバーゼル銀行監督委員会によって策定された「オペレーショナル・レジリエンスのための諸原則」を受け、2023年4月に金融庁は、「オペレーショナル・レジリエンス確保に向けた基本的な考え方」（以下、「オペレジの考え方」）を公表し、オペレジの構築に向けた基本動作を4つのステップで整理している。（図1参照）


　「オペレジの考え方」を引用し、それぞれのステップについて対応の概要を記載する。

（1）重要な業務の特定
　重要な業務を「中断が金融システムの安定や利用者の日常生活に著しい悪影響を生じさせるおそれのある金融サービス」と定義されている。その上で、重要な業務の特定は、「当該業務の中断又は不具合が金融システムの機能の維持に与える影響や、当該金融機関の規模、サービスの市場シェア・利用者数・利用頻度、当該金融機関の収益や市場での信認、他の金融機関による代替可能性等を考慮する」とされている。

（2）「耐性度」の設定
　「耐性度」とは、「重要な業務と特定した金融サービスについて、未然防止策を尽くしてもなお、業務中断が必ず生じることを前提に最低限維持すべき水準」とされている。耐性度の設定指標としては、「業務中断時の目標復旧時間」のほか、「金融システムへの影響や利用者目線で生活への影響を一定の範囲内に収める観点から、業務中断が生じる範囲、影響を受ける取引数、取引額および利用者数」などが例示されている。

（3）相互連関性のマッピング・必要な経営資源の確保
　相互連関性のマッピングでは（1）、（2）をインプットに、「重要な業務の耐性度での提供に必要な社内外の経営資源（ヒト・モノ・カネ）を端から端まで（end to end の業務プロセス全体で）特定し、それらの相互連関性や相互依存度を」整理する。

　また、必要な経営資源の確保では、マッピングで整理した結果を踏まえ、重要な業務およびその耐性度を維持するために「必要なスキル・専門性を持った役職員を採用・配置し、適切な施設、システム、サードパーティ等を調達・確保し、保守・改善のための十分な投資を行う」とされている。

（4）適切性の検証・追加対応
　ここでは、（1）から（3）で実行したオペレーショナル・レジリエンス確保のための対応が適切か否かを確認するため、「経営陣のコミットメントの下、極端だが起こり得るシナリオを想定した分析や訓練等を通じて、リスク選好度、重要な業務、耐性度、必要な経営資源に関する設定および配分が適切であるかを定期的かつ組織横断的に検証」することが求められる。

　また検証結果を受けて、「必要に応じて見直しや追加的措置を講じる」ことが求められる。 【次ページ】BCP（事業継続計画）とオペレーショナル・レジリエンスの違いは何か