バーゼル銀行監督委員会「オペレーショナル・レジリエンスのための諸原則」「健全なオペレーショナル・リスク管理のための諸原則の改訂」の適用状況に関するニューズレター
こんにちは、丸山満彦です。
バーゼル銀行監督委員会が、「オペレーショナル・レジリエンスのための諸原則」、「健全なオペレーショナル・リスク管理のための諸原則の改訂」の適用状況に関するニューズレターを公表していますね。。。
2021年3月末に確定してから、2年弱の進捗についての報告です。。。
・マネジメントは進捗したが、取締役会によるガバナンスはこれから
・脅威と脆弱性は特定できているが、それに対する有効な対策の実施はこれから
・相互接続・依存関係も含めた業務、プロセス、システム等について全体を細かく把握できていない
・ICTリスクの枠組みにオペレーショナル・レジリエンスの組み込みはこれから
・サードパーティとの関係も含めたレジリエンスについては、これからやることもある
・オペレーショナルレジリエンスに関連する事象が増加しているが、対応は進んでいる。
という感じですかね。。。
- 銀行のオペレーショナル・リスクマネジメント・ガバナンス(PSMOR 3、4、5)は十分に確立されているが、取締役会メンバーの役割と責任、およびオペレーショナル・レジリエンスに関する能力(POR 1)はまだ発展途上である。
- 銀行は、リスクとコントロールの自己アセスメント(RCSA)を活用して、重要業務の遂行に対する脅威と脆弱性を特定している(POR 2)が、その能力と有効性にはギャップがある。
- ほとんどの法域において、銀行による相互接続と相互依存のマッピング(POR 4)は、重要な業務、その複雑性、それを支える人、プロセス、システムについて、エンド・ツー・エンドで十分にきめ細かい視点を提供していない。
- 事業継続の慣行と枠組みは、ほとんどの銀行で一般的に十分に確立されており、これは事業継続に関するPSMOR(PSMOR11)と情報通信技術(ICT)に関するPSMOR(PSMOR10)の採用度に反映されている。しかし、事業継続とテスト(POR3)およびICT(POR7)に対応するPORについては、銀行はまだ課題に直面している(重要業務のエンド・ツー・エンドの提供の検討、シナリオの確からしさと重大性など)。一部の銀行は、既存のICTリスクマネジメントの枠組みにオペレーショナル・レジリエンスを組み込み始めている。
- サードパーティとレジリエンスの管理に関する原則、およびサードパーティとレジリエンスへの期待 との整合性(POR 5 と PSMOR 9)は、銀行にとって最も重要な課題のひとつであると考えられる。一部の銀行では、サードパーティが重要な業務を提供している場合、適切な事業継続・危機管理計画や撤退手順の策定について、まだやるべきことがある。
- パンデミック、サイバーインシデント、技術障害、自然災害から生じるものなど)近年、オペレーショナル・リスクに関連し、重大な業務障害や広範なディスラプションを引き起こす可能性のある事象が継続的に増加しているため、銀行はこうしたインシデントや危機を特定し、それに対応する必要性が高まっており、その結果、ほぼすべての法域において、インシデントマネジメントの慣行(POR6)が一般的によく確立されている。
● Basel Committee on Banking Supervision
・2023.11.27 Supervisory newsletter on the adoption of POR and PSMOR
| Supervisory newsletter on the adoption of POR and PSMOR | PORおよびPSMORの採択に関する監督当局向けニュースレター |
| This newsletter provides information on the Committee's assessment of the adoption of the Principles for Operational Resilience and the revised Principles for the Sound Management of Operational Risk. The Committee believes the information provided may be useful for both supervisors and banks in their day-to-day activities. This document is for informational purposes only and does not constitute new supervisory guidance or expectations. | 本ニュースレターは、オペレーショナル・レジリエンス原則およびオペレーショナル・リスクの健全なマネジメントのための原則の改訂版の採用に関する当委員会のリスクアセスメントに関する情報を提供するものである。当委員会は、提供される情報が監督当局と銀行の双方にとって日々の活動に有用であると考えている。この文書は情報提供のみを目的としたものであり、新たな監督上のガイダンスや期待を構成するものではない。 |
| ・The Committee assessed the adoption of the Principles for Operational Resilience (POR) and the revised Principles for the Sound Management of Operational Risk (PSMOR, or collectively, "the Principles") published in March 2021. The assessment is meant to promote the adequate and timely adoption of the Principles. | ・当委員会は、2021年3月に公表されたオペレーショナル・レジリエンス原則(POR)およびオペレーショナル・リスクの健全なマネジメントのための原則(PSMOR)の改訂版(以下、総称して「本原則」)の採用を評価した。この評価は、諸原則の適切かつタイムリーな採用を促進することを目的としている。 |
| ・The assessment found that the effectiveness and maturity of POR and PSMOR adoption vary across banks and jurisdictions. | ・評価では、PORとPSMORの採用の有効性と成熟度は銀行や法域によって異なることが分かった。 |
| ・The mapping of interconnections and interdependencies for critical operations, and the definition of tolerances for disruption to these operations are the most common challenges that banks face when adopting the Principles. | ・重要業務の相互接続と相互依存のマッピング、およびこれらの業務が中断した場合の許容範囲の定義は、銀行が原則を採用する際に直面する最も一般的な課題である。 |
| ・Full adoption of the Principles will require adequate resourcing and prioritisation. The Committee strongly encourages full adoption and will continue to support adoption by carefully monitoring progress. | ・本原則の全面的な採用には、十分なリソースと優先順位付けが必要である。当委員会は全面的な採用を強く奨励し、進捗状況を注意深く監視することで、引き続き採用を支援していく。 |
| The Basel Committee published the POR and the revised PSMOR in March 2021 to promote banks' ability to withstand operational risk-related events that could cause significant operational failures or wide-scale disruptions in financial markets; and banks' effectiveness of operational risk management. To evaluate the adoption of the Principles, the Committee carried out an assessment among its members in early 2023. The results indicate that the effectiveness and maturity of POR and PSMOR1 adoption vary between banks: | バーゼル委員会は、2021年3月にPORとPSMORの改訂版を公表した。これは、重大なオペレーショナル・リスクの失敗や金融市場の広範な混乱を引き起こす可能性のあるオペレーショナル・リスク関連の事象に耐える銀行の能力、および銀行のオペレーショナル・リスクマネジメントの有効性を促進するためである。本原則の採用を評価するため、委員会は2023年初頭に加盟行を対象としたアセスメントを実施した。その結果、PORとPSMOR1の採用の有効性と成熟度は銀行によって異なることが示された: |
| ・While banks' operational risk management governance (PSMOR 3, 4, 5) is well established, board members' roles and responsibilities and capabilities for operational resilience are still under development (POR 1). | ・銀行のオペレーショナル・リスクマネジメント・ガバナンス(PSMOR 3、4、5)は十分に確立されているが、取締役会メンバーの役割と責任、およびオペレーショナル・レジリエンスに関する能力(POR 1)はまだ発展途上である。 |
| ・Banks have leveraged Risk and Control Self-Assessments (RCSAs) to identify threats and vulnerabilities to the delivery of critical operations (POR 2), but there are gaps in capabilities and effectiveness. | ・銀行は、リスクとコントロールの自己アセスメント(RCSA)を活用して、重要業務の遂行に対する脅威と脆弱性を特定している(POR 2)が、その能力と有効性にはギャップがある。 |
| ・In most jurisdictions, banks' mapping of interconnections and interdependencies (POR 4) does not provide a sufficiently granular end-to-end view of critical operations, their complexity, and supporting people, processes and systems. | ・ほとんどの法域において、銀行による相互接続と相互依存のマッピング(POR 4)は、重要な業務、その複雑性、それを支える人、プロセス、システムについて、エンド・ツー・エンドで十分にきめ細かい視点を提供していない。 |
| ・Business continuity practices and frameworks are generally well established in most banks, which is reflected in the level of adoption of the PSMOR on business continuity (PSMOR 11) and Information and Communication Technologies (ICT) (PSMOR 10). For the corresponding POR on business continuity and testing (POR 3) and ICT (POR 7), however, banks are still facing challenges (eg consideration of end-to-end delivery of critical operations, and the plausibility and severity of scenarios). Some banks have started to incorporate operational resilience into existing ICT risk management frameworks. | ・事業継続の慣行と枠組みは、ほとんどの銀行で一般的に十分に確立されており、これは事業継続に関するPSMOR(PSMOR11)と情報通信技術(ICT)に関するPSMOR(PSMOR10)の採用度に反映されている。しかし、事業継続とテスト(POR3)およびICT(POR7)に対応するPORについては、銀行はまだ課題に直面している(重要業務のエンド・ツー・エンドの提供の検討、シナリオの確からしさと重大性など)。一部の銀行は、既存のICTリスクマネジメントの枠組みにオペレーショナル・レジリエンスを組み込み始めている。 |
| ・The Principles on the management of third parties and dependencies, as well as the alignment of third parties with resilience expectations (POR 5 and PSMOR 9), are considered to be among the most significant challenges for banks. For some banks, there is still work to do on developing appropriate business continuity and contingency plans and exit procedures where third parties provide critical operations. | ・サードパーティとレジリエンスの管理に関する原則、およびサードパーティとレジリエンスへの期待 との整合性(POR 5 と PSMOR 9)は、銀行にとって最も重要な課題のひとつであると考えられる。一部の銀行では、サードパーティが重要な業務を提供している場合、適切な事 業継続・危機管理計画や撤退手順の策定について、まだやるべきことがある。 |
| ・The continuous growth of operational risk-related events that could cause significant operational failures or wide-scale disruptions in recent years (such as those arising from pandemics, cyber incidents, technology failures or natural disasters) has heightened the necessity for banks to identify and respond to these incidents and crises, resulting in generally well established incident management practices (POR 6) in nearly all jurisdictions. | ・パンデミック、サイバーインシデント、技術障害、自然災害から生じるものなど)近年、オペレーショナル・リスクに関連し、重大な業務障害や広範なディスラプションを引き起こす可能性のある事象が継続的に増加しているため、銀行はこうしたインシデントや危機を特定し、それに対応する必要性が高まっており、その結果、ほぼすべての法域において、インシデントマネジメントの慣行(POR6)が一般的によく確立されている。 |
| Despite progress in adopting the Principles, further effort is needed by banks to enhance practices, which will require adequate resourcing and prioritisation. In some jurisdictions, full adoption of the POR and revised PSMOR may take until at least 2025. The challenges that banks in all jurisdictions face when adopting the Principles include the mapping of interconnections and interdependencies for critical operations, and the definition of tolerances for disruption to these critical operations. If mapping and tolerances are not defined and implemented effectively, the reliability of other activities such as risk management and testing is called into question, potentially compromising operational resilience. This is further exacerbated by deficiencies in capturing, structuring and using data on critical operations that may have originally been collected for resolution and recovery planning, business continuity or some other purpose. | 原則の採用は進んでいるものの、銀行が実務を強化するためには更なる努力が必要であり、それには十分な資 源と優先順位付けが必要である。法域によっては、PORと改訂版PSMORの完全な採用は少なくとも2025年までかかるかもしれない。すべての国・地域の銀行がこの原則を採用する際に直面する課題には、重要な業務に関す る相互接続と相互依存のマッピング、およびこれらの重要な業務が中断した場合の 許容範囲の定義がある。マッピングと許容範囲が効果的に定義され、実施されなければ、リスクマネジメントやテストといった他の活動の信頼性が疑問視され、オペレーションのレジリエンスが損なわれる可能性がある。これは、もともと復旧・復興計画や事業継続、あるいはその他の目的のために収集された可能性のある、重要業務に関するデータの取得、構造化、利用の不備によって、さらに悪化する。 |
| The assessment also revealed several themes that have proved to be particularly relevant for the adoption of the Principles. First, it is crucial for banks to leverage all aspects of operational risk management to achieve operational resilience and to recognise its importance alongside financial resilience. Furthermore, banks should acknowledge that operational resilience is more than just business continuity. A key differentiator is the critical operations lens, in conjunction with the end-to-end view, the focus on impact, the use of the tolerance for disruption to drive decisions about resilience investment, and the consideration of third parties' resilience. Finally, banks should establish and maintain accurate data at an appropriate level of granularity on critical operations and recognise the foundational role of mapping interconnections and interdependencies for successfully adopting the Principles. | アセスメントでは、原則の採用に特に関連するいくつかのテーマも明らかになった。第一に、銀行はオペレーショナル・リスクマネジメントのあらゆる側面を活用してオペレーショナル・レジリエンスを達成し、財務レジリエンスと並んでその重要性を認識することが極めて重要である。さらに、銀行は、オペレーショナル・レジリエンスが単なる事業継続以上のものであることを認識すべきである。重要な差別化要因は、エンドツーエンドの視点、インパクトの重視、レジリエンス投資 に関する意思決定の推進に向けた混乱許容度の活用、およびサードパーティーのレジリエンスへの 配慮と併せて、クリティカルオペレーションレンズを活用することである。最後に、銀行は、重要な業務に関する正確なデータを適切な粒度で確立し、維持すべきであり、原 則の採用を成功させるためには、相互接続と相互依存関係をマッピングすることが基礎的な役 割を果たすことを認識すべきである。 |
| The Committee strongly encourages the full adoption of the POR and PSMOR into banks' operational risk management practices and regulatory and supervisory frameworks in order to strengthen their ability to withstand operational risk-related events and enhance operational resilience. New guidance and regulations issued by national authorities will contribute to the adoption of the Principles. The Committee will continue to support the adoption of the POR and PSMOR by carefully monitoring progress. | 当委員会は、オペレーショナル・リスクに関連する事象に耐える能力を強化し、オペレーショナル・レジリエンスを強化するため、PORとPSMORを銀行のオペレーショナル・リスク・マネジメントの実務や規制・監督の枠組みに全面的に採用することを強く推奨する。各国当局が発行する新たなガイダンスや規制は、本原則の採用に資するものである。当委員会は、進捗状況を注意深く監視することにより、PORとPSMORの採用を引き続き支援していく。 |
| 1 The assessment of banks' adoption of the revised PSMOR focused on Principles 9,10 and 11. | 1 改定PSMORの銀行による導入に関する評価は、原則9、10、11に焦点を当てた。 |
参考
「オペレーショナル・レジリエンスのための諸原則」「健全なオペレーショナル・リスク管理のための諸原則の改訂」
・2023.03.31 Principles for operational resilience
| Principles for operational resilience | オペレーショナル・レジリエンスのための諸原則 |
| With this document, the Basel Committee seeks to promote a principles-based approach to improving operational resilience. The principles aim to strengthen banks' ability to withstand operational risk-related events that could cause significant operational failures or wide-scale disruptions in financial markets, such as pandemics, cyber incidents, technology failures or natural disasters. The approach builds on revisions to the Committee's Principles for the sound management of operational risk, and draws from previously issued principles on corporate governance for banks, as well as outsourcing-, business continuity- and relevant risk management-related guidance. | この文書により、バーゼル委員会は、オペレーショナル・レジリエンスを改善するための原則に基づくアプ ローチを推進しようとしている。本原則は、パンデミック、サイバーインシデント、技術障害、自然災害など、オペレーショナル・リスクに関連し、重大なオペレーションの失敗や金融市場における広範な混乱を引き起こす可能性のある事象に対する銀行の耐性を強化することを目的としている。このアプローチは、委員会の「オペレーショナル・リスクの健全なマネジメントのための原則」の改訂を基礎とし、以前に公表された銀行のコーポレート・ガバナンスに関する原則や、アウトソーシング、事業継続、関連するリスクマネジメント関連のガイダンスなどを参考にしている。 |
・[PDF]
・[HTML] 仮対訳
| I. Introduction | I. 序文 |
| II. An evolving operational risk landscape | II. 進化するオペレーショナル・リスクの状況 |
| III. Essential elements of operational resilience | III. オペレーショナル・レジリエンスに不可欠な要素 |
| IV. Definition of operational resilience | IV. オペレーショナル・レジリエンスの定義 |
| V. Operational resilience principles | V. オペレーショナル・レジリエンスの原則 |
| Governance | ガバナンス |
| Principle 1: Banks should utilise their existing governance structure to establish, oversee and implement an effective operational resilience approach that enables them to respond and adapt to, as well as recover and learn from, disruptive events in order to minimise their impact on delivering critical operations through disruption. | 原則1:銀行は、既存のガバナンス構造を活用して、混乱による重要業務への影響を最小化するために、混乱的な事象への対応と適応、ならびに混乱的な事象からの回復と学習を可能にする効果的なオペレーショナル・レジリエンス・アプローチを確立し、監督し、実施すべきである。 |
| Operational risk management | オペレーショナル・リスク管理 |
| Principle 2: Banks should leverage their respective functions for the management of operational risk to identify external and internal threats and potential failures in people, processes and systems on an ongoing basis, promptly assess the vulnerabilities of critical operations and manage the resulting risks in accordance with their operational resilience approach. | 原則2:銀行は、オペレーショナル・リスク管理のためのそれぞれの機能を活用し、外部および内部の脅威や、人、プロセス、システムにおける潜在的な不具合を継続的に特定し、重要な業務の脆弱性を迅速に評価し、その結果生じるリスクをオペレーショナル・レジリエンス・アプローチに従って管理すべきである。 |
| Business continuity planning and testing | 事業継続計画とテスト |
| Principle 3: Banks should have business continuity plans in place and conduct business continuity exercises under a range of severe but plausible scenarios in order to test their ability to deliver critical operations through disruption. | 原則3:銀行は事業継続計画を策定すべきであり、業務が中断しても重要な業務を遂行できる能力をテストするために、様々な厳しいがもっともらしいシナリオの下で事業継続演習を実施すべきである。 |
| Mapping interconnections and interdependencies | 相互接続と相互依存のマッピング |
| Principle 4: Once a bank has identified its critical operations, the bank should map the internal and external interconnections and interdependencies that are necessary for the delivery of critical operations consistent with its approach to operational resilience. | 原則4:銀行が重要業務を特定した後は、銀行は、オペレーショナル・レジリエンスへのアプローチと整合するよう、重要業務の遂行に必要な内部および外部の相互接続と相互依存関係をマッピングすべきである。 |
| Third-party dependency management | サードパーティ依存の管理 |
| Principle 5: Banks should manage their dependencies on relationships, including those of, but not limited to, third parties or intragroup entities, for the delivery of critical operations. | 原則5:銀行は、重要な業務を提供するための、サードパーティやグループ内事業体を含む (ただしこれらに限定されない) 関係への依存を管理すべきである。 |
| Incident management | インシデント管理 |
| Principle 6: Banks should develop and implement response and recovery plans to manage incidents that could disrupt the delivery of critical operations in line with the bank’s risk appetite and tolerance for disruption. Banks should continuously improve their incident response and recovery plans by incorporating the lessons learned from previous incidents. | 原則6:銀行は、重要な業務の提供に支障をきたす可能性のあるインシデントを管理するための対応・復旧計画を、銀行のリスク選好度および支障許容度に沿って策定し、実施すべきである。銀行は、過去のインシデントから学んだ教訓を取り入れることにより、インシデント対応・復旧計画を継続的に改善すべきである。 |
| ICT including cyber security | サイバーセキュリティを含むICT |
| Principle 7: Banks should ensure resilient ICT including cyber security that is subject to protection, detection, response and recovery programmes that are regularly tested, incorporate appropriate situational awareness and convey relevant timely information for risk management and decision-making processes to fully support and facilitate the delivery of the bank’s critical operations. | 原則7:銀行は、定期的にテストされ、適切な状況認識を組み入れ、リスク管理と意思決定プロセスのために関連するタイムリーな情報を伝達する保護、検知、対応、復旧プログラムの対象となる、サイバーセキュリティを含むレジリエンシーICTを確保し、銀行の重要な業務の遂行を完全にサポートし、促進すべきである。 |
・2023.03.31 Revisions to the principles for the sound management of operational risk
| Revisions to the principles for the sound management of operational risk | オペレーショナル・リスクの健全なマネジメントのための原則の改訂 |
| The Basel Committee has revised its Principles for the sound management of operational risk to make technical revisions to: (i) align the principles with the recently finalised Basel III operational risk framework; (ii) update the guidance where needed in the areas of change management and information and communication technologies; and (iii) enhance the overall clarity of the principles. The principles were introduced in 2003, and subsequently revised in 2011 to incorporate the lessons from the Great Financial Crisis. In 2014, the Committee conducted a review of the implementation of the principles which indicated that several principles had not been adequately implemented, and that they did not sufficiently capture certain important sources of operational risk. | バーゼル委員会は、オペレーショナル・リスクの健全な管理のための原則を改訂し、(i)同原則を最近最終決定されたバーゼルIIIオペレーショナル・リスクのフレームワークと整合させること、(ii)変更マネジメントおよび情報通信技術の分野において必要な場合にはガイダンスを更新すること、(iii)同原則の全体的な明確性を高めること、のための技術的な改訂を行った。原則は2003年に導入され、その後2011年に大金融危機の教訓を取り入れるために改訂された。2014年、当委員会は原則の実施状況のレビューを実施したが、その結果、いくつかの原則が適切に実施されておらず、オペレーショナル・リスクの特定の重要な原因を十分に捉えていないことが指摘された。 |
・[PDF]
・[HTML] 仮対訳
| Revisions to the Principles for the Sound Management of Operational Risk | 健全なオペレーショナル・リスク管理のための諸原則の改訂 |
| 1. Introduction | 1. 序文 |
| 2. Components of operational risk management | 2. オペレーショナル・リスク管理の構成要素 |
| 3. Operational risk management | 3. オペレーショナル・リスク管理 |
| 4. Principles for the sound management of operational risk | 4. 健全なオペレーショナル・リスク管理のための諸原則 |
| Principle 1: The board of directors should take the lead in establishing a strong risk management culture, implemented by senior management. The board of directors and senior management should establish a corporate culture guided by strong risk management, set standards and incentives for professional and responsible behaviour, and ensure that staff receives appropriate risk management and ethics training. | 原則1:取締役会は、シニア・マネジメントが実施する強力なリスク管理文化の確立を主導すべきである。取締役会およびシニア・マネジメントは、強力なリスク管理に導かれた企業文化を確立し、専門的で責任ある行動のための標準とインセンティブを設定し、従業員が適切なリスク管理および倫理の研修を受けることを確保すべきである。 |
| Principle 2: Banks should develop, implement and maintain an operational risk management framework that is fully integrated into the bank’s overall risk management processes. The ORMF adopted by an individual bank will depend on a range of factors, including the bank’s nature, size, complexity and risk profile. | 原則2:銀行は、銀行全体のリスク管理・プロセスに完全に統合されたオペレーショナル・リスク管理の枠組みを策定し、実施し、維持すべきである。個々の銀行が採用するオペレーショナル・リスク管理フレームワークは、その銀行の性質、規模、複雑性、リスクプロファイルを含む様々な要因によって決まる。 |
| Governance | ガバナンス |
| Board of directors | 取締役会 |
| Principle 3: The board of directors should approve and periodically review the operational risk management framework, and ensure that senior management implements the policies, processes and systems of the operational risk management framework effectively at all decision levels. | 原則3:取締役会は、オペレーショナル・リスク管理の枠組みを承認し、定期的に見直すべきであり、シニア・マネジメントがオペレーショナル・リスク管理の枠組みの方針、プロセス、システムを全ての意思決定レベルで効果的に実施することを確保すべきである。 |
| Principle 4: The board of directors should approve and periodically review a risk appetite and tolerance statement for operational risk that articulates the nature, types and levels of operational risk the bank is willing to assume. | 原則4:取締役会は、銀行が負うことをいとわないオペレーショナル・リスクの性質、種類、およびレベルを明確にしたオペレーショナル・リスクに関するリスク選好度および許容度声明書を承認し、定期的に見直すべきである。 |
| Senior management | シニア・マネジメント |
| Principle 5: Senior management should develop for approval by the board of directors a clear, effective and robust governance structure with well-defined, transparent and consistent lines of responsibility. Senior management is responsible for consistently implementing and maintaining throughout the organisation policies, processes and systems for managing operational risk in all of the bank’s material products, activities, processes and systems consistent with the bank’s risk appetite and tolerance statement. | 原則5:シニア・マネジメントは、取締役会の承認を得るために、明確に定義され、透明性が高く、一貫性のある責任系統を有する、明確かつ効果的で強固なガバナンス構造を構築すべきである。シニア・マネジメントは、銀行のリスク選好度および許容度声明に合致した、銀行の重要な商品、活動、プロセスおよびシステムのすべてにおいて、オペレーショナル・リスクを管理するための方針、プロセスおよびシステムを、組織全体にわたって一貫して実施し、維持する責任を負う。 |
| Risk management environment | リスク統制環境 |
| Identification and assessment | 識別と評価 |
| Principle 6: Senior management should ensure the comprehensive identification and assessment of the operational risk inherent in all material products, activities, processes and systems to make sure the inherent risks and incentives are well understood. | 原則6:シニア・マネジメントは、すべての重要な製品、活動、プロセスおよびシステムに内在するオペレーショナル・リスクの包括的な識別とアセスメントを確実に行い、内在するリスクとインセンティブが十分に理解されていることを確認すべきである。 |
| Principle 7: Senior management should ensure that the bank’s change management process is comprehensive, appropriately resourced and adequately articulated between the relevant lines of defence. | 原則7:シニア・マネジメントは、銀行の変更管理プロセスが包括的で、適切なリソースを有し、関連する防衛ライン間で適切に明確化されていることを確保すべきである。 |
| Monitoring and reporting | モニタリングと報告 |
| Principle 8: Senior management should implement a process to regularly monitor operational risk profiles and material operational exposures. Appropriate reporting mechanisms should be in place at the board of directors, senior management, and business unit levels to support proactive management of operational risk. | 原則8:シニア・マネジメントは、オペレーショナル・リスク・プロファイルと重要なオペレーショナル・エクスポージャーを定期的にモニタリングするプロセスを導入すべきである。オペレーショナル・リスクの積極的な管理を支援するため、取締役会、シニア・マネジメント及び事業部門レベルにおいて、適切な報告の仕組みが整備されるべきである。 |
| Control and mitigation | コントロールと低減 |
| Principle 9: Banks should have a strong control environment that utilises policies, processes and systems; appropriate internal controls; and appropriate risk mitigation and/or transfer strategies. | 原則9:銀行は、方針、プロセス、システム、適切な内部統制、適切なリスク軽減及び/又は移転戦略を活用した強力な統制環境を有するべきである。 |
| Information and communication technology | 情報コミュニケーション技術 (ICT) |
| Principle 10: Banks should implement a robust ICT risk management programme in alignment with their operational risk management framework. | 原則10:銀行は、オペレーショナル・リスク管理の枠組みに沿って、堅固な情報コミュニケーション技術 (ICT) リスク管理プログラムを実施すべきである。 |
| Business continuity planning | 事業継続計画 |
| Principle 11: Banks should have business continuity plans in place to ensure their ability to operate on an ongoing basis and limit losses in the event of a severe business disruption. Business continuity plans should be linked to the bank’s operational risk management framework. | 原則11:銀行は、継続的な業務遂行能力を確保し、深刻な事業中断の際の損失を限定するため、事業継続計画を策定すべきである。事業継続計画は、銀行のオペレーショナル・リスク管理のフレームワークと連動すべきである。 |
| Role of disclosure | 情報開示の役割 |
| Principle 12: A bank’s public disclosures should allow stakeholders to assess its approach to operational risk management and its operational risk exposure. | 原則12:銀行の公開情報により、利害関係者は、オペレーショナル・リスク管理に対するアプローチとオペレーショナル・リスク・エクスポージャーを評価できるようにすべきである。 |
| Role of supervisors | 監督当局の役割 |
● 金融庁
・2023.12.01 バーゼル銀行監督委員会による「オペレーショナル・レジリエンスのための諸原則及び健全なオペレーショナル・リスク管理のための諸原則の改訂の適用状況に関するニューズレター」の公表について
● まるちゃんの情報セキュリティ気まぐれ日記
・2021.04.02 バーゼル銀行監督委員会 「オペレーショナル・レジリエンスのための諸原則」「健全なオペレーショナル・リスク管理のための諸原則の改訂」を公表
Comments