バーゼル銀行監督委員会 「オペレーショナル・レジリエンスのための諸原則」「健全なオペレーショナル・リスク管理のための諸原則の改訂」を公表
こんにちは、丸山満彦です。
バーゼル銀行監督委員会が、「オペレーショナル・レジリエンスのための諸原則」と「健全なオペレーショナル・リスク管理のための諸原則の改訂」を公表していますね。。。オペレーショナル・レジリエンスの重要性がこれからは強調されていくでしょうね。。。銀行業界にはとっては重要となるでしょうね。。。
● Basel Committee on Banking Supervision
プレス
・2021.03.31 Basel Committee issues principles for operational resilience and risk
Basel Committee issues principles for operational resilience and risk | バーゼル委員会、オペレーショナル・レジリエンスとリスクに関する原則を発表 |
・Principles for operational resilience aim to increase banks' capacity to withstand disruptions due to potentially severe events. | ・オペレーショナル・レジリエンスに関する原則は、銀行が潜在的に深刻な事象による混乱に耐える能力を高めることを目的としている。 |
・Revised principles on operational risk focus on change management and information and communication technologies (ICT). | ・オペレーショナル・リスクに関する原則の改訂は、変更マネジメントと情報通信技術(ICT)に焦点を当てている。 |
・Covid-19 has made operational resilience and mitigating operational risk even more important. | ・Covid-19により、オペレーショナル・レジリエンスとオペレーショナル・リスクの軽減が一層重要になった。 |
The Basel Committee on Banking Supervision today issued Principles for operational resilience, which aim to make banks better able to withstand, adapt to and recover from severe adverse events. | バーゼル銀行監督委員会は本日、オペレーショナル・レジリエンスに関する原則を発表した。この原則は、銀行が深刻な不利事象に耐え、それに適応し、そこから回復する能力を高めることを目的としている。 |
In addition to the principles for operational resilience, the Committee is also issuing revisions to its Principles for the sound management of operational risk (PSMOR) reflecting the natural relationship between operational resilience and operational risk. This follows a consultation on both documents in August 2020. | 同委員会は、オペレーショナル・レジリエンスに関する原則に加えて、オペレーショナル・レジリエンスとオペレーショナル・リスクの自然な関係を反映したオペレーショナル・リスクの健全なマネジメントに関する原則(PSMOR)の改訂版も公表する。これは、2020年8月に行われた両文書に関するコンサルテーションを受けたものである。 |
Given the critical role played by banks in the global financial system, increasing banks' resilience to absorb shocks from operational risks, such as those arising from pandemics, cyber incidents, technology failures or natural disasters, will provide additional safeguards to the financial system as a whole. | 世界の金融システムにおいて銀行が果たす重要な役割を考えれば、パンデミック、サイバーインシデント、技術障害、自然災害などから生じるオペレーショナル・リスクによるショックを吸収するための銀行のレジリエンスを高めることは、金融システム全体にさらなる安全策を提供することになる。 |
In recent years, the growth of technology-related threats has increased the importance of banks' operational resilience. The Covid-19 pandemic has made the need to address these threats even more pressing. | 近年、テクノロジー関連の脅威が増大し、銀行の業務レジリエンスの重要性が高まっている。Covid-19のパンデミックは、こうした脅威に対処する必要性をより切迫したものにしている。 |
With respect to operational risk, the Committee has made a limited number of technical revisions to: | オペレーショナル・リスクに関して、委員会は以下のような技術的な修正を限定的に行った: |
・align the PSMOR with the recently finalised Basel III operational risk framework; | ・PSMORを最近最終化されたバーゼルIIIオペレーショナル・リスク・フレームワークと整合させる; |
・update the guidance where needed in the areas of change management and ICT; and | ・変更管理とICTの分野で必要なガイダンスを更新する。 |
・improve the overall clarity of the principles document. | ・原則文書の全体的な分かりやすさを改善する。 |
The principles for operational resilience build upon the PSMOR, and are largely derived and adapted from existing guidance on outsourcing-, business continuity- and risk management-related guidance issued by the Committee or national supervisors over a number of years. | オペレーショナル・レジリエンスの原則は、PSMORを基礎とし、委員会または各国監督当局が長年にわたり発行してきたアウトソーシング、事業継続、リスクマネジメント関連の既存ガイダンスから派生・適応したものである。 |
By building upon existing guidance and current practices, the Committee is seeking to develop a coherent framework and avoid duplication. The operational resilience principles focus on governance; operational risk management; business continuity planning and testing; mapping interconnections and interdependencies; third-party dependency management; incident management; and resilient cyber security and ICT. | 既存のガイダンスや現在の実務をベースにすることで、委員会は首尾一貫した枠組みを構築し、重複を避けようとしている。オペレーショナル・レジリエンスの原則は、ガバナンス、オペレーショナル・リスク管理、事業継続計画とテスト、相互接続と相互依存のマッピング、サードパーティ依存管理、インシデントマネジメント、レジリエントなサイバーセキュリティとICTに焦点を当てている。 |
・2023.03.31 Principles for operational resilience
Principles for operational resilience | オペレーショナル・レジリエンスのための諸原則 |
With this document, the Basel Committee seeks to promote a principles-based approach to improving operational resilience. The principles aim to strengthen banks' ability to withstand operational risk-related events that could cause significant operational failures or wide-scale disruptions in financial markets, such as pandemics, cyber incidents, technology failures or natural disasters. The approach builds on revisions to the Committee's Principles for the sound management of operational risk, and draws from previously issued principles on corporate governance for banks, as well as outsourcing-, business continuity- and relevant risk management-related guidance. | この文書により、バーゼル委員会は、オペレーショナル・レジリエンスを改善するための原則に基づくアプ ローチを推進しようとしている。本原則は、パンデミック、サイバーインシデント、技術障害、自然災害など、オペレーショナル・リスクに関連し、重大なオペレーションの失敗や金融市場における広範な混乱を引き起こす可能性のある事象に対する銀行の耐性を強化することを目的としている。このアプローチは、委員会の「オペレーショナル・リスクの健全なマネジメントのための原則」の改訂を基礎とし、以前に公表された銀行のコーポレート・ガバナンスに関する原則や、アウトソーシング、事業継続、関連するリスクマネジメント関連のガイダンスなどを参考にしている。 |
・[PDF]
・[HTML] 仮対訳
I. Introduction | I. 序文 |
II. An evolving operational risk landscape | II. 進化するオペレーショナル・リスクの状況 |
III. Essential elements of operational resilience | III. オペレーショナル・レジリエンスに不可欠な要素 |
IV. Definition of operational resilience | IV. オペレーショナル・レジリエンスの定義 |
V. Operational resilience principles | V. オペレーショナル・レジリエンスの原則 |
Governance | ガバナンス |
Principle 1: Banks should utilise their existing governance structure to establish, oversee and implement an effective operational resilience approach that enables them to respond and adapt to, as well as recover and learn from, disruptive events in order to minimise their impact on delivering critical operations through disruption. | 原則1:銀行は、既存のガバナンス構造を活用して、混乱による重要業務への影響を最小化するために、混乱的な事象への対応と適応、ならびに混乱的な事象からの回復と学習を可能にする効果的なオペレーショナル・レジリエンス・アプローチを確立し、監督し、実施すべきである。 |
Operational risk management | オペレーショナル・リスク管理 |
Principle 2: Banks should leverage their respective functions for the management of operational risk to identify external and internal threats and potential failures in people, processes and systems on an ongoing basis, promptly assess the vulnerabilities of critical operations and manage the resulting risks in accordance with their operational resilience approach. | 原則2:銀行は、オペレーショナル・リスク管理のためのそれぞれの機能を活用し、外部および内部の脅威や、人、プロセス、システムにおける潜在的な不具合を継続的に特定し、重要な業務の脆弱性を迅速に評価し、その結果生じるリスクをオペレーショナル・レジリエンス・アプローチに従って管理すべきである。 |
Business continuity planning and testing | 事業継続計画とテスト |
Principle 3: Banks should have business continuity plans in place and conduct business continuity exercises under a range of severe but plausible scenarios in order to test their ability to deliver critical operations through disruption. | 原則3:銀行は事業継続計画を策定すべきであり、業務が中断しても重要な業務を遂行できる能力をテストするために、様々な厳しいがもっともらしいシナリオの下で事業継続演習を実施すべきである。 |
Mapping interconnections and interdependencies | 相互接続と相互依存のマッピング |
Principle 4: Once a bank has identified its critical operations, the bank should map the internal and external interconnections and interdependencies that are necessary for the delivery of critical operations consistent with its approach to operational resilience. | 原則4:銀行が重要業務を特定した後は、銀行は、オペレーショナル・レジリエンスへのアプローチと整合するよう、重要業務の遂行に必要な内部および外部の相互接続と相互依存関係をマッピングすべきである。 |
Third-party dependency management | サードパーティ依存の管理 |
Principle 5: Banks should manage their dependencies on relationships, including those of, but not limited to, third parties or intragroup entities, for the delivery of critical operations. | 原則5:銀行は、重要な業務を提供するための、サードパーティやグループ内事業体を含む (ただしこれらに限定されない) 関係への依存を管理すべきである。 |
Incident management | インシデント管理 |
Principle 6: Banks should develop and implement response and recovery plans to manage incidents that could disrupt the delivery of critical operations in line with the bank’s risk appetite and tolerance for disruption. Banks should continuously improve their incident response and recovery plans by incorporating the lessons learned from previous incidents. | 原則6:銀行は、重要な業務の提供に支障をきたす可能性のあるインシデントを管理するための対応・復旧計画を、銀行のリスク選好度および支障許容度に沿って策定し、実施すべきである。銀行は、過去のインシデントから学んだ教訓を取り入れることにより、インシデント対応・復旧計画を継続的に改善すべきである。 |
ICT including cyber security | サイバーセキュリティを含むICT |
Principle 7: Banks should ensure resilient ICT including cyber security that is subject to protection, detection, response and recovery programmes that are regularly tested, incorporate appropriate situational awareness and convey relevant timely information for risk management and decision-making processes to fully support and facilitate the delivery of the bank’s critical operations. | 原則7:銀行は、定期的にテストされ、適切な状況認識を組み入れ、リスク管理と意思決定プロセスのために関連するタイムリーな情報を伝達する保護、検知、対応、復旧プログラムの対象となる、サイバーセキュリティを含むレジリエンシーICTを確保し、銀行の重要な業務の遂行を完全にサポートし、促進すべきである。 |
・2023.03.31 Revisions to the principles for the sound management of operational risk
Revisions to the principles for the sound management of operational risk | オペレーショナル・リスクの健全なマネジメントのための原則の改訂 |
The Basel Committee has revised its Principles for the sound management of operational risk to make technical revisions to: (i) align the principles with the recently finalised Basel III operational risk framework; (ii) update the guidance where needed in the areas of change management and information and communication technologies; and (iii) enhance the overall clarity of the principles. The principles were introduced in 2003, and subsequently revised in 2011 to incorporate the lessons from the Great Financial Crisis. In 2014, the Committee conducted a review of the implementation of the principles which indicated that several principles had not been adequately implemented, and that they did not sufficiently capture certain important sources of operational risk. | バーゼル委員会は、オペレーショナル・リスクの健全な管理のための原則を改訂し、(i)同原則を最近最終決定されたバーゼルIIIオペレーショナル・リスクのフレームワークと整合させること、(ii)変更マネジメントおよび情報通信技術の分野において必要な場合にはガイダンスを更新すること、(iii)同原則の全体的な明確性を高めること、のための技術的な改訂を行った。原則は2003年に導入され、その後2011年に大金融危機の教訓を取り入れるために改訂された。2014年、当委員会は原則の実施状況のレビューを実施したが、その結果、いくつかの原則が適切に実施されておらず、オペレーショナル・リスクの特定の重要な原因を十分に捉えていないことが指摘された。 |
・[PDF]
・[HTML] 仮対訳
Revisions to the Principles for the Sound Management of Operational Risk | 健全なオペレーショナル・リスク管理のための諸原則の改訂 |
1. Introduction | 1. 序文 |
2. Components of operational risk management | 2. オペレーショナル・リスク管理の構成要素 |
3. Operational risk management | 3. オペレーショナル・リスク管理 |
4. Principles for the sound management of operational risk | 4. 健全なオペレーショナル・リスク管理のための諸原則 |
Principle 1: The board of directors should take the lead in establishing a strong risk management culture, implemented by senior management. The board of directors and senior management should establish a corporate culture guided by strong risk management, set standards and incentives for professional and responsible behaviour, and ensure that staff receives appropriate risk management and ethics training. | 原則1:取締役会は、シニア・マネジメントが実施する強力なリスク管理文化の確立を主導すべきである。取締役会およびシニア・マネジメントは、強力なリスク管理に導かれた企業文化を確立し、専門的で責任ある行動のための標準とインセンティブを設定し、従業員が適切なリスク管理および倫理の研修を受けることを確保すべきである。 |
Principle 2: Banks should develop, implement and maintain an operational risk management framework that is fully integrated into the bank’s overall risk management processes. The ORMF adopted by an individual bank will depend on a range of factors, including the bank’s nature, size, complexity and risk profile. | 原則2:銀行は、銀行全体のリスク管理・プロセスに完全に統合されたオペレーショナル・リスク管理の枠組みを策定し、実施し、維持すべきである。個々の銀行が採用するオペレーショナル・リスク管理フレームワークは、その銀行の性質、規模、複雑性、リスクプロファイルを含む様々な要因によって決まる。 |
Governance | ガバナンス |
Board of directors | 取締役会 |
Principle 3: The board of directors should approve and periodically review the operational risk management framework, and ensure that senior management implements the policies, processes and systems of the operational risk management framework effectively at all decision levels. | 原則3:取締役会は、オペレーショナル・リスク管理の枠組みを承認し、定期的に見直すべきであり、シニア・マネジメントがオペレーショナル・リスク管理の枠組みの方針、プロセス、システムを全ての意思決定レベルで効果的に実施することを確保すべきである。 |
Principle 4: The board of directors should approve and periodically review a risk appetite and tolerance statement for operational risk that articulates the nature, types and levels of operational risk the bank is willing to assume. | 原則4:取締役会は、銀行が負うことをいとわないオペレーショナル・リスクの性質、種類、およびレベルを明確にしたオペレーショナル・リスクに関するリスク選好度および許容度声明書を承認し、定期的に見直すべきである。 |
Senior management | シニア・マネジメント |
Principle 5: Senior management should develop for approval by the board of directors a clear, effective and robust governance structure with well-defined, transparent and consistent lines of responsibility. Senior management is responsible for consistently implementing and maintaining throughout the organisation policies, processes and systems for managing operational risk in all of the bank’s material products, activities, processes and systems consistent with the bank’s risk appetite and tolerance statement. | 原則5:シニア・マネジメントは、取締役会の承認を得るために、明確に定義され、透明性が高く、一貫性のある責任系統を有する、明確かつ効果的で強固なガバナンス構造を構築すべきである。シニア・マネジメントは、銀行のリスク選好度および許容度声明に合致した、銀行の重要な商品、活動、プロセスおよびシステムのすべてにおいて、オペレーショナル・リスクを管理するための方針、プロセスおよびシステムを、組織全体にわたって一貫して実施し、維持する責任を負う。 |
Risk management environment | リスク統制環境 |
Identification and assessment | 識別と評価 |
Principle 6: Senior management should ensure the comprehensive identification and assessment of the operational risk inherent in all material products, activities, processes and systems to make sure the inherent risks and incentives are well understood. | 原則6:シニア・マネジメントは、すべての重要な製品、活動、プロセスおよびシステムに内在するオペレーショナル・リスクの包括的な識別とアセスメントを確実に行い、内在するリスクとインセンティブが十分に理解されていることを確認すべきである。 |
Principle 7: Senior management should ensure that the bank’s change management process is comprehensive, appropriately resourced and adequately articulated between the relevant lines of defence. | 原則7:シニア・マネジメントは、銀行の変更管理プロセスが包括的で、適切なリソースを有し、関連する防衛ライン間で適切に明確化されていることを確保すべきである。 |
Monitoring and reporting | モニタリングと報告 |
Principle 8: Senior management should implement a process to regularly monitor operational risk profiles and material operational exposures. Appropriate reporting mechanisms should be in place at the board of directors, senior management, and business unit levels to support proactive management of operational risk. | 原則8:シニア・マネジメントは、オペレーショナル・リスク・プロファイルと重要なオペレーショナル・エクスポージャーを定期的にモニタリングするプロセスを導入すべきである。オペレーショナル・リスクの積極的な管理を支援するため、取締役会、シニア・マネジメント及び事業部門レベルにおいて、適切な報告の仕組みが整備されるべきである。 |
Control and mitigation | コントロールと低減 |
Principle 9: Banks should have a strong control environment that utilises policies, processes and systems; appropriate internal controls; and appropriate risk mitigation and/or transfer strategies. | 原則9:銀行は、方針、プロセス、システム、適切な内部統制、適切なリスク軽減及び/又は移転戦略を活用した強力な統制環境を有するべきである。 |
Information and communication technology | 情報コミュニケーション技術 (ICT) |
Principle 10: Banks should implement a robust ICT risk management programme in alignment with their operational risk management framework. | 原則10:銀行は、オペレーショナル・リスク管理の枠組みに沿って、堅固な情報コミュニケーション技術 (ICT) リスク管理プログラムを実施すべきである。 |
Business continuity planning | 事業継続計画 |
Principle 11: Banks should have business continuity plans in place to ensure their ability to operate on an ongoing basis and limit losses in the event of a severe business disruption. Business continuity plans should be linked to the bank’s operational risk management framework. | 原則11:銀行は、継続的な業務遂行能力を確保し、深刻な事業中断の際の損失を限定するため、事業継続計画を策定すべきである。事業継続計画は、銀行のオペレーショナル・リスク管理のフレームワークと連動すべきである。 |
Role of disclosure | 情報開示の役割 |
Principle 12: A bank’s public disclosures should allow stakeholders to assess its approach to operational risk management and its operational risk exposure. | 原則12:銀行の公開情報により、利害関係者は、オペレーショナル・リスク管理に対するアプローチとオペレーショナル・リスク・エクスポージャーを評価できるようにすべきである。 |
Role of supervisors | 監督当局の役割 |
● 金融庁
・2023.04.02 バーゼル銀行監督委員会による「オペレーショナル・レジリエンスのための諸原則」及び「健全なオペレーショナル・リスク管理のための諸原則の改訂」の公表について
(2021.05.28 追記)
・[PDF] 「オペレーショナル・レジリエンスのための諸原則」の公表について
・[PDF] 「健全なオペレーショナル・リスク管理のための諸原則の改訂」の公表について
Comments