新BIS規制(2006年度)やJ-SOX法（2008年度）の施行に見られるとおり，金融業界ではオペリスク管理や内部統制の高度化が求められています。従来から金融機関では，インシデント（事務事故や顧客からの苦情）が発生すると，報告書を収集し，原因分析や対応策を検討する試みなどが実施されていますが，実効的なオペリスク管理を達成するためには，下記のような問題点の解消が課題となります。

（１）問題点1　顕在化したリスク情報の収集

　オペリスク管理の第一歩として，どの業務プロセスで，どの程度の規模の事故が，どのくらいの頻度で起きているのかといった，業務全体でのオペリスク事象の発生状況を把握できる，網羅的で体系的なデータの収集が必須となります。 しかし従来の報告書の形式では，主観的な記述や報告者ごとに記載内容がばらつくことより，統一されたレベルのデータを収集できず，全体像の把握が難しくなります。その結果，事故報告と内部損失の整合性を確保するための集計や管理にも，ある程度の専門的な業務知識や経験が必要になり，多大な作業負荷を要しています。

（２）問題点2　収集したデータの分析

　インシデントが発生した根本的な原因を特定するためには，収集したデータの分析が不可欠ですが，「データは収集したものの，肝心の分析ができず有効に活用できない」といった事例が多く見られます。有効な分析ができなければ，改善策は個々のインシデントに対する対処療法的なものにとどまってしまいます。

（３）問題点3　潜在的なリスクの管理

　オペリスク管理では，顕在化したリスクだけでなく，潜在的なリスクを未然に防ぐための管理も求められます。潜在的なリスクの抽出方法や網羅性，抽出されたリスクおよびそれに対するコントロールへの評価の妥当性が課題となります。

　問題点1の解決策として，当社ではQualityGymの顕在リスク管理製品「事務品質アラーム^® インシデント登録」を提供しています。WEB画面から報告書形式でインシデント情報をサーバへ登録するシステムであり，お客様の課題を解決するため，下記のような機能を搭載しています。
　事務品質アラームでは，発生したインシデント情報を体系的かつ網羅的に収集するため，業務プロセスをマトリクス状に定義した「業務構造」を採用しています(図１)。事務事故情報，顧客からの苦情，システム障害などのオペリスク事象を，業務構造をベースとして蓄積し，一括で管理することを可能にします。当社では，これまでの導入実績をもとに整備された業務構造を，標準テンプレートとしてご提供することが可能です。この標準テンプレートをお客様それぞれの要件に合わせて調整いただくことで，従来は高負荷であった業務の構造化を容易にします。

　インシデントのデータとして蓄積すべき項目は，あらかじめ設定された選択肢から選択する方式になっており，報告者によらない均一なレベルのデータ収集および報告書の入力にかかる作業負荷の軽減を実現します。更に，報告書を目的の部署まで迅速に報告するワークフロー機能を搭載しており，承認や回覧もすべてオンライン，かつペーパーレスで行うことが可能です。また，データ集計機能により，管理部署は業務におけるインシデントの発生状況を容易に把握することが可能です。

図１　プロセスをマトリクス化した業務構造を採用
金融機関の業務を体系的に構造化して管理するために，QualityGym^®が採用している業務分類の仕組みです。

　問題点2の解決方法として，収集したインシデントデータを分析する製品「事務品質アラーム インシデント分析」を提供しています。「事務品質アラーム インシデント登録」により蓄積されたデータと，ホストなどから取得した事務量データとを連携させて自動分析し，結果を定型帳票として出力する機能を標準で搭載しています。リスクの高いプロセスを検出する際の指標となる重要リスク指標(Key Risk Indicator)も，標準的な64種類をパッケージとして準備しており，分析結果のモニタリングに利用することができます。 また，非定型の独自分析を行いたい場合，操作の容易なフリーOLAP^※2分析により自由な切り口で分析することも可能です。 オプションとして，改善が必要なプロセスに対して改善計画を策定し，定着するまでフォローする機能も提供しています。

　QualityGymの潜在リスク管理製品「MetroCube^®」では，問題点3の潜在的なオペリスク管理のためにRCSA^※3と呼ばれる手法を採用しています。RCSAとはRisk and Control Self Assessment（リスク管理自己評価）の略称で，想定される損失シナリオから，リスクの想定損失規模の算出と，それに対する現状のコントロール要因（リスク低減要因）の洗い出しを行い，想定損失規模とコントロールの達成度を比較して評価することで，潜在的なリスクを数値化してアウトプットする手法です。本製品では，業務構造に基づき，リスク管理の対象となる業務プロセスにおいて，網羅的にRCSAを実施できる仕組みを提供します。外部事故データおよび内部インシデントデータを取り込み，想定損失規模を算出する根拠とすることも可能です。
　RCSAを実施した結果，残存リスク値の高いプロセスについては是正策を策定し，担当部署に改善を促すとともに，本システムで実施状況を管理します。また，業務構造上で規定を管理する機能も提供しており，規定の改訂によるコントロールの強化や，リスクの低減といった連携を図ることも可能です。

図2　QualityGym^®の全体像
QualityGym^®を構成する各パッケージの機能と，パッケージ同士の関係を説明します。

　QualityGymは，顕在，潜在両面からのオペリスク管理のPDCAサイクル^※4により，統合的なオペリスク管理を実現します（図2）。
　営業店から経営層までをとおして，それぞれの利用者が必要とする機能を適切に提供し，業務プロセスにおけるオペリスク管理の高度化と事務の効率化を同時に実現します（図3）。

図3　QualityGym^®導入イメージ
QualityGym^®を導入した場合の，運用のイメージを説明します。

• 【特許】
  本文に記載の技術は，特許出願中です。

• 【注釈】
• ※1：事務事故や不正行為などにより損失を被るリスク。 詳しくは本誌「社会動向」を参照。
• ※2：蓄積したデータを様々な角度から多次元的に解析するシステム。 直接データを操作し，対話的に試行錯誤しつつ分析を行うことが可能。
• ※3：Risk and Control Self Assessment，リスク管理におけるコントロール(内部統制)の有効性を主観的に評価する手法。
• ※4：事業活動におけるPlan(計画)，Do(実施)，Check(監視)，Action(改善)の継続的改善サイクル。