オペレーショナルリスクとは、組織の業務プロセスや役職員の活動、システムが不適切であること、または外的要因によって生じる損失のリスクを指します。
オペレーショナルの概要
オペレーショナルリスクは、組織が抱える主要なリスクの一つで、業務プロセスや従業員の活動、システムの不十分さによって引き起こされるものをいいます。主要なリスクはこれ以外に、戦略リスク、財務リスク、ハザードリスク(イベントリスク)があります。
銀行監督に関する共通の基準・指針を策定するバーゼル銀行監督委員会(BCBS)が、1998年9月に公表した「Framework for Internal Control Systems in Banking Organizations」の中で、初めてオペレーショナルリスクとして表現しました。BCBSは、オペレーショナルリスクを次のように定義しています。
「内部プロセス・人・システムが不適切であること、もしくは機能しないこと、外生的事象が生起することから生じる損失に係るリスク」
元々は、金融機関向けとされていた概念ですが、近年では、その対象は特定の業界に限らず、さまざまな組織・企業へも広がっています。
オペレーショナルリスクの種類
オペレーショナルリスクの種類は多岐にわたります。
- ● 施設・設備
- 施設・設備が経年劣化していたり適切に管理されていなかったりすると、企業の生産活動に大きな影響を及ぼします。具体的には、労災の発生、生産効率の低下、修理コストの負担が考えられます。
- ● 製品・原料・在庫
- 在庫管理が適切に行われず、例えば過剰在庫になってしまうと、廉価販売や廃棄になり収益悪化を招くだけでなく、品質の劣化によって商品価値が低下してしまう可能性もあります。
- ● 人的要因
- 従業員による不正行為のほか、不適切な労働環境やハラスメントなどの行為が原因となって働けなくなったり、人材流出が発生したりするなどの事象も考えられます。
- ● 外部サービス
- 外部サービスを利用すると、情報やプログラムを外部と共有するため、情報漏えいのリスクが高まります。また、依存度の高い外部サービスに障害が起きた場合、業務停止になる可能性もあります。
- ● 情報資産
- 情報と情報システムの安全性が損なわれることで損失を被るリスクがあります。具体的には、情報漏洩、改ざん、喪失、不正利用、システム不備などが挙げられます。
- ● 事務過誤
- 組織の従業員・役職員が正確な事務作業を怠る、あるいは事故・不正などを起こすことによりもたらされるものを指します。マニュアルが整備されていない、教育・研修が十分でない、作業負担が大きいなどの理由により発生しやすくなります。
- ● コンプライアンス
- 法令や条例への違反だけでなく、就業規則や道徳・倫理への違反も含まれます。ビジネスに大きなダメージを与えるものであり、経営目線で管理することが重要だとされています。
オペレーショナルリスクの管理
オペレーショナルリスクを管理する際には、リスク管理の基本フレームワークである「リスク特定、リスク分析、リスク評価、モニタリングおよび改善」を採用することが一般的です。
リスク特定を行うにあたっては、業種が異なっても大きく変わらない標準的なリスクカテゴリを起点として洗い出しを進めることが有効です。ただし、業務ごとに固有のリスクも存在するため、それらのリスクについては、業務フローを起点として具体的に特定していくことが望ましいでしょう。
このほか、リスクコミュニケーションを充実させることも重要です。オペレーショナルリスクに関する情報は多種多様であるため、組織全体のリスク情報を一元管理することで、問題点を共有しやすくし、状況把握を効率的に行うことができます。また、経営陣からの働きかけやリスク研修の実施も、リスクコミュニケーションを支え、オペレーショナルリスクの管理に有効な手段の一つとなり得るでしょう。
