Revisions to the Principles for the Sound Management of Operational Risk

健全なオペレーショナル・リスク管理のための諸原則の改訂

Contents

目次

Revisions to the Principles for the Sound Management of Operational Risk

健全なオペレーショナル・リスク管理のための諸原則の改訂

1. Introduction

1. 序文

2. Components of operational risk management

2. オペレーショナル・リスク管理の構成要素

3. Operational risk management

3. オペレーショナル・リスク管理

4. Principles for the sound management of operational risk

4. 健全なオペレーショナル・リスク管理のための諸原則

Governance

ガバナンス

The Board of Directors

取締役会

Senior Management

シニア・マネジメント

Risk Management Environment

リスク統制環境

Identification and Assessment

リスクの特定と評価

Monitoring and Reporting

モニタリングと報告

Control and Mitigation

コントロールと低減

Information and communication technology

情報コミュニケーション技術

Business continuity planning

事業継続計画

Role of Disclosure

情報開示の役割

Role of supervisors

監督当局の役割

Revisions to the Principles for the Sound Management of Operational Risk

健全なオペレーショナル・リスク管理のための諸原則の改訂

1. Introduction

1. 序文

The Basel Committee on Banking Supervision (the Committee) introduced its Principles for the Sound Management of Operational Risk (the Principles) in 2003, and subsequently revised them in 2011 to incorporate the lessons from the Great Financial Crisis of 200709. In 2014, the Committee conducted a review of the implementation of the Principles. The purpose of this review was to (i) assess the extent to which banks had implemented the Principles; (ii) identify significant gaps in implementation; and (iii) highlight emerging and noteworthy operational risk management practices at banks not currently addressed by the Principles.

バーゼル銀行監督委員会 (「委員会」) は、2003年に「健全なオペレーショナル・リスク管理のための諸原則」 (「原則」) を導入し、その後、200709年の大金融危機からの教訓を取り入れるため、2011年に同原則を改訂した。2014年、委員会は原則の実施状況のレビューを実施した。このレビューの目的は、 (i) 銀行が原則をどの程度実施しているかを評価すること、 (ii) 実施における重大なギャップを特定すること、 (iii) 現在、原則で取り上げられていない銀行における新たなオペレーショナル・リスク管理慣行や注目すべき慣行を強調することであった。

The 2014 review identified that several principles had not been adequately implemented, and further guidance would be needed to facilitate their implementation in the following areas:

2014年のレビューでは、いくつかの原則が十分に実施されておらず、以下の分野での実施を促進するために更なるガイダンスが必要であることが確認された:

a) Risk identification and assessment tools, including risk and control self-assessments (RCSAs), key risk indicators, external loss data, business process mapping, comparative analysis, and the monitoring of action plans generated from various operational risk management tools.

a) リスクの識別とアセスメントツール (リスクとコントロールの自己評価 (RCSA) 、主要リスク指標、外部損失データ、ビジネスプロセスのマッピング、比較分析、様々なオペレーショナル・リスク管理ツールから作成されるアクションプランのモニタリングなど)

b) Change management programmes and processes (and their effective monitoring).

b) 変更管理プログラムとプロセス (およびその効果的なモニタリング)

c) Implementation of the three lines of defence, especially by refining the assignment of roles and responsibilities.

c) 特に役割と責任の分担を精緻化することによる、3つの防衛ラインの実施。

d) Board of directors and senior management oversight.

d) 取締役会及びシニア・マネジメントによる監督

e) Articulation of operational risk appetite and tolerance statements.

e) オペレーショナル・リスクの選好度と許容度の明確化

f) Risk disclosures.

f) リスクの開示

The Committee also recognised that the 2011 Principles did not sufficiently capture certain important sources of operational risk, such as those arising from information and communication technology (ICT) risk, thus warranting the introduction of a specific principle on ICT risk management. Other revisions were made to ensure consistency with the new operational risk framework in the Basel III reforms.

委員会はまた、2011年原則が、情報コミュニケーション技術 (ICT) リスクから生じるものなど、オペレーショナル・リスクの特定の重要な原因を十分に捉えていないことを認識し、ICTリスク管理に関する特定の原則の導入を正当化した。その他の改訂は、バーゼルIII改革における新たなオペレーショナル・リスクの枠組みとの整合性を確保するために行われた。

Recognising the increased potential for significant disruptions to bank operations from pandemics, natural disasters, destructive cyber security incidents or technology failures, the Committee has also developed principles for operational resilience, which reflect several of the principles contained in this document.

パンデミック、自然災害、破壊的なサイバー・セキュリティ・インシデントや技術障害から銀行業務に重大な混乱が生じる可能性が高まっていることを認識し、委員会はオペレーショナル・レジリエンスの原則も策定した。

2. Components of operational risk management

2. オペレーショナル・リスク管理の構成要素

The Principles in this document for banks cover governance; the risk management environment; information and communication technology; business continuity planning; and the role of disclosure. These elements should not be viewed in isolation; rather, they are integrated components of the operational risk management framework (ORMF) and the overall risk management framework (including operational resilience) of the group.

本文書の銀行向け原則は、ガバナンス、リスク統制環境、情報コミュニケーション技術、事業継続計画、情報開示の役割をカバーしている。これらの要素は単独で捉えるべきでなく、むしろオペレーショナル・リスク管理の枠組み (ORMF) およびグループ全体のリスク管理の枠組み (オペレーショナル・レジリエンスを含む) の統合された構成要素である。

Through the publication of this document, the Committee desires to promote the effectiveness of operational risk management throughout the banking system. The Committee believes that the Principles reflect sound practices relevant to all banks. Nonetheless, the Committee recommends that banks should take account of the nature, size, complexity and risk profile of their activities when implementing the Principles.

本原則の公表を通じて、当委員会は銀行システム全体を通じてオペレーショナル・リスク管理の有効性を促進することを望んでいる。委員会は、本原則が全ての銀行に関連する健全な慣行を反映していると考えている。しかしながら、当委員会は、銀行が本原則を実施する際には、銀行活動の性質、規模、複雑性、リスクプロファイルを考慮すべきであることを推奨する。

3. Operational risk management

3. オペレーショナル・リスク管理

1. Operational risk is defined in the capital framework as the risk of loss resulting from inadequate or failed internal processes, people and systems or from external events. This definition includes legal risk, but excludes strategic and reputational risk.

1. オペレーショナル・リスクとは、資本フレームワークでは、内部プロセス、人、システムの不備や機能不全、あるいは外部事象に起因する損失リスクと定義されている。この定義には法的リスクは含まれるが、戦略的リスクとリピュテーショナル・リスクは含まれない。

2. Operational risk is inherent in all banking products, activities, processes and systems, and the effective management of operational risk is a fundamental element of a banks risk management programme. Sound operational risk management is a reflection of the effectiveness of the board of directors and senior management in administering their portfolio of products, activities, processes and systems. Where appropriate, strategic and reputational risks should be considered by banks operational risk management.

2. オペレーショナル・リスクは、全ての銀行商品、業務、プロセス、システムに内在するものであり、オペレーショナル・リスクを効果的に管理することは、銀行のリスク管理プログラムの基本要素である。健全なオペレーショナル・リスク管理は、商品、業務、プロセス、システムのポートフォリオを管理する取締役会とシニア・マネジメントの有効性を反映するものである。適切な場合には、銀行のオペレーショナル・リスク管理は戦略的リスクとリピュテーショナル・リスクを考慮すべきである。

3. Although operational risk management and operational resilience address different goals, they are closely interconnected. An effective operational risk management system and a robust level of operational resilience work together to reduce the frequency and the impact of operational risk events.

3. オペレーショナル・リスク管理とオペレーショナル・レジリエンスは異なる目標に取り組んでいるが、両者は密接に関連している。効果的なオペレーショナル・リスク管理システムと強固なレベルのオペレーショナル・レジリエンスは、オペレーショナル・リスクの発生頻度とその影響を低減するために協働する。

4. Sound risk management allows the bank to better understand and mitigate its risk profile. Risk management encompasses identifying risks to the bank; measuring and assessing exposures to those risks (where possible); monitoring exposures and corresponding capital needs on an ongoing basis; taking steps to control or mitigate exposures; and reporting to senior management and the board of directors on the banks risk exposures and capital positions. Internal controls are typically embedded in a banks day-today business and are designed to ensure, to the extent possible, that the banks activities are efficient and effective; that information is reliable, timely and complete; and that the bank is compliant with applicable laws and regulations.

4. 健全なリスク管理は、銀行のリスクプロファイルをよりよく理解し、軽減することを可能にする。リスク管理は、銀行のリスクを特定すること、 (可能であれば) それらのリスクに対するエクスポージャーを測定・評価すること、エクスポージャーとそれに対応する資本ニーズを継続的にモニタリングすること、エクスポージャーをコントロールまたは軽減するための措置を講じること、銀行のリスク・エクスポージャーと資本ポジションについてシニア・マネジメントおよび取締役会に報告することを包含する。内部統制は通常、銀行の日常業務に組み込まれ、銀行の活動が効率的かつ効果的であること、情報が信頼でき、タイムリーで完全であること、銀行が適用法および規制に準拠していることを、可能な限り保証するように設計されている。

5. Sound internal governance forms the foundation of an effective ORMF. Governance of operational risk management has similarities but also differences relative to the management of credit or market risk. Banks operational risk governance function should be fully integrated into their overall risk management governance structure.

5. 健全な内部ガバナンスは、効果的なオペレーショナル・リスク管理の基礎を形成する。オペレーショナル・リスク管理のガバナンスには、信用リスク管理や市場リスク管理と類似点があるが、相違点もある。銀行のオペレーショナル・リスク・ガバナンス機能は、全体的なリスク管理・ガバナンス構造に完全に統合されるべきである。

6. Banks commonly rely on three lines of defence: (i) business unit management; (ii) an independent corporate operational risk management function (CORF); and (iii) independent assurance. Depending on the banks nature, size and complexity, and the risk profile of a banks activities, the degree of formality of how these three lines of defence are implemented will vary.

6. 銀行は一般的に、 (i) 事業部門マネジメント、 (ii) 独立したコーポレート・オペレーショナル・リスク管理機能 (CORF) (iii) 独立した保証という3つの防衛ラインに依存している。銀行の性質、規模、複雑性、及び銀行活動のリスクプロファイルによって、これら3つの防衛ラインがどのように実施されるかの形式的な程度は異なる。

7. Banks should ensure that each line of defence:

7. 銀行は、各防衛ラインが以下の通りであることを確保すべきである:

a) is adequately resourced in terms of budget, tools and staff;

a) 予算、ツール、スタッフの面で十分なリソースが確保されている;

b) has clearly defined roles and responsibilities;

b) 役割と責任が明確に定義されている;

c) is continuously and adequately trained;

c) 継続的かつ適切なトレーニングを受けている;

d) promotes a sound risk management culture across the organisation; and

d) 組織全体で健全なリスク管理の文化を促進する。

e) communicates with the other lines of defence to reinforce the ORMF.

e) ORMFを強化するために他の防衛ラインとコミュニケーションする。

If in one business unit there are functions of both the first and second line of defence, then banks should document and distinguish the responsibilities of such functions in the first and second line of defence, emphasising the independence of the second line of defence.

一つの事業部門に第一及び第二防衛ラインの機能がある場合、銀行は、第一及び第二防衛ラインの当該機能の責任を文書化し、区別し、第二防衛ラインの独立性を強調すべきである。

8. The Committee has highlighted that, despite the three lines of defence model being widely adopted by banks, confusion around roles and responsibilities sometimes hampers its effectiveness. Thus, the review of the Principles is also the opportunity to stress that this model should be adequately and proportionally used by financial institutions to manage every kind of operational risk subcategory, including ICT risk.

8. 委員会は、3線防衛モデルが銀行によって広く採用されているにもかかわらず、役割と責任に関する混乱が時としてその有効性を阻害していることを強調した。したがって、本原則の見直しは、ICTリスクを含むあらゆる種類のオペレーショナル・リスクのサブカテゴリーを管理するために、このモデルを金融機関が適切かつ比例的に使用すべきであることを強調する機会でもある。

9. In industry practice, the first line of defence is business unit management. Sound operational risk governance recognises that business unit management is responsible for identifying and managing the risks inherent in the products, activities, processes and systems for which it is accountable. Banks should have a policy that defines clear roles and responsibilities in relevant business units. The responsibilities of an effective first line of defence in promoting a sound operational risk management culture should include:

9. 業界の慣行では、第一防衛ラインは事業部門管理である。健全なオペレーショナル・リスク・ガバナンスは、事業部門マネジメントが、その責任を負う商品、活動、プロセス及びシステムに内在するリスクを識別し、管理する責任があることを認識している。銀行は、関連する事業部門における明確な役割と責任を定める方針を持つべきである。健全なオペレーショナル・リスク管理の文化を促進する効果的な第一線の責任には、以下が含まれるべきである:

a) identifying and assessing the materiality of operational risks inherent in their respective business units through the use of operational risk management tools;

a) オペレーショナル・リスク管理ツールの使用を通じて、各事業部門に内在するオペレーショナル・リスクの重要性を特定し、アセスメントする;

b) establishing appropriate controls to mitigate inherent operational risks, and assessing the design and effectiveness of these controls through the use of the operational risk management tools;

b) 固有のオペレーショナル・リスクを低減するための適切なコントロールを確立し、オペレーショナル・リスク管理・ツールを使用して、これらのコントロールの設計と有効性を評価する;

c) reporting whether the business units lack adequate resources, tools and training to ensure identification and assessment of operational risks;

c) 事業部門が、オペレーショナル・リスクの識別とアセスメントを確実に行うための適切なリソース、ツール、およびトレーニングを欠いているかどうかを報告する;

d) monitoring and reporting the business units operational risk profiles, and ensuring their adherence to the established operational risk appetite and tolerance statement; and

d) 事業部門のオペレーショナル・リスク・プロファイルをモニタリングし、報告し、確立されたオペレーショナル・リスク選好度および許容度声明への遵守を確保する。

e) reporting residual operational risks not mitigated by controls, including operational loss events, control deficiencies, process inadequacies, and non-compliance with operational risk tolerances.

e) 業務上の損失事象、コントロールの不備、プロセスの不備、オペレーショナル・リスク許容度の不遵守など、コントロールによって低減されない残余のオペレーショナル・リスクを報告する。

10. A functionally independent CORF is typically the second line of defence. The responsibilities of an effective second line of defence should include:

10. 機能的に独立したCORFは通常、第二防衛ラインである。効果的な第二防衛ラインの責任には以下が含まれる:

a) developing an independent view regarding business units (i) identified material operational risks, (ii) design and effectiveness of key controls, and (iii) risk tolerance;

a) 事業単位の (i) 識別された重要なオペレーショナル・リスク、 (ii) 主要なコントロールの設計及び有効性、並びに (iii) リスク許容度に関する独立した見解を策定すること;

b) challenging the relevance and consistency of the business units implementation of the operational risk management tools, measurement activities and reporting systems, and providing evidence of this effective challenge;

b) 事業部門によるオペレーショナル・リスク管理・ツール、測定活動及び報告システムの実施の妥当性及び一貫性に挑戦し、この効果的な挑戦の証拠を提供する;

c) developing and maintaining operational risk management and measurement policies, standards and guidelines;

c) オペレーショナル・リスク管理及び測定の方針、標準及びガイドラインを策定し、維持する;

d) reviewing and contributing to the monitoring and reporting of the operational risk profile; and

d) オペレーショナル・リスク・プロファイルのモニタリング及び報告を検討し、これに貢献する。

e) designing and providing operational risk training and instilling risk awareness.

e) オペレーショナル・リスク・トレーニングを設計・提供し、リスク意識を浸透させる。

11. The degree of independence of the CORF may differ among banks. At small banks, independence may be achieved through separation of duties and independent review of processes and functions. In larger banks, the CORF should have a reporting structure independent of the risk-generating business units and be responsible for the design, maintenance and ongoing development of the ORMF within the bank. The CORF typically engages relevant corporate control groups (eg Compliance, Legal, Finance and IT) to support its assessment of the operational risks and controls. Banks should have a policy which defines clear roles and responsibilities of the CORF, reflective of the size and complexity of the organisation.

11. CORFの独立性の程度は銀行によって異なる可能性がある。小規模銀行では、独立性は職務の分離やプロセス及び機能の独立したレビューを通じて達成されるかもしれない。大規模な銀行では、CORFはリスクを生み出す業務部門から独立した報告体制を有し、銀行内のORMFの設計、保守及び継続的な開発に責任を負うべきである。CORFは通常、関連する企業管理グループ (コンプライアンス、法務、財務、ITなど) を巻き込んで、オペレーショナル・リスクとコントロールのアセスメントをサポートする。銀行は、組織の規模及び複雑性を反映した、CORFの明確な役割と責任を定義した方針を持つべきである。

12. The third line of defence provides independent assurance to the board of the appropriateness of the banks ORMF. This functions staff should not be involved in the development, implementation and operation of operational risk management processes by the other two lines of defence. The third line of defence reviews generally are conducted by the banks internal and/or external audit, but may also involve other suitably qualified independent third parties. The scope and frequency of reviews should be sufficient to cover all activities and legal entities of a bank. An effective independent review should:

12. 第三防衛ラインは、銀行のORMFの適切性について取締役会に独立した保証を提供する。この機能のスタッフは、他の2つの防衛ラインによるオペレーショナル・リスク管理・プロセスの策定、実施及び運用に関与すべきではない。第3の防衛ラインのレビューは、一般的には銀行の内部監査及び/又は外部監査が行うが、他の適切な資格を有する独立したサードパーティが関与することもある。レビューの範囲と頻度は、銀行の全ての事業と事業体をカバーするのに十分であるべきである。効果的な独立したレビューは、以下を行うべきである:

a) review the design and implementation of the operational risk management systems and associated governance processes through the first and second lines of defence (including the independence of the second line of defence);

a) オペレーショナル・リスク管理システム及び関連するガバナンス・プロセスの設計と実施について、第一及び第二防衛ライン (第二防衛ラインの独立性を含む) を通じてレビューする;

b) review validation processes to ensure they are independent and implemented in a manner consistent with established bank policies;

b) 検証プロセスをレビューし、それが独立したものであり、確立された銀行方針と整合的な方法で実施されていることを確認する;

c) ensure that the quantification systems used by the bank are sufficiently robust as (i) they provide assurance of the integrity of inputs, assumptions, processes and methodology and (ii) result in assessments of operational risk that credibly reflect the operational risk profile of the bank;

c) 銀行が使用する定量化システムが、 (i) インプット、前提条件、プロセス及び方法論の完全性を保証し、 (ii) 銀行のオペレーショナル・リスク・プロファイルを信頼できる形で反映するオペレーショナル・リスクの評価につながるものとして、十分に頑健であることを確保する;

d) ensure that business units management promptly, accurately and adequately responds to the issues raised, and regularly reports to the board of directors or its relevant committees on pending and closed issues; and

d) 事業部門の経営陣が、提起された問題に迅速、正確かつ適切に対応し、取締役会またはその関連委員会に、懸案事項および終結した問題について定期的に報告することを確保する。

e) opine on the overall appropriateness and adequacy of the ORMF and the associated governance processes across the bank. Beyond checking compliance with policies and procedures approved by the board of directors, the independent review should also assess whether the ORMF meets organisational needs and expectations (such as respect of the corporate risk appetite and tolerance, and adjustment of the framework to changing operating circumstances) and complies with statutory and legislative provisions, contractual arrangements, internal rules and ethical conduct.

e) 銀行全体のORMFおよび関連ガバナンス・プロセスの全体的な適切性および妥当性について意見を述べる。独立したレビューでは、取締役会により承認された方針および手続きへの準拠をチェックするだけでなく、ORMFが組織のニーズおよび期待 (企業のリスク選好度および許容度の尊重、業務状況の変化に対する枠組みの調整など) を満たしているかどうか、また、法令および法令の規定、契約上の取決め、内部規則、倫理的行動に準拠しているかどうかも評価しなければならない。

13. Because operational risk management is evolving and the business environment is constantly changing, senior management should ensure that the ORMFs policies, processes and systems remain sufficiently robust to manage and ensure that operational losses are adequately addressed in a timely manner. Improvements in operational risk management depend heavily on senior managements willingness to be proactive and also act promptly and appropriately to address operational risk managers concerns.

13. オペレーショナル・リスク管理は進化しており、ビジネス環境は常に変化しているため、経営幹部は、ORMFの方針、プロセス及びシステムが、オペレーショナル・リスクを管理し、オペレーショナル・リスクに適時に適切に対処するために十分強固であることを確保すべきである。オペレーショナル・リスク管理の改善は、シニア・マネジメントが積極的に行動し、また、オペレーショナル・リスク・マネジャーの懸念に迅速かつ適切に対処する意欲に大きく依存する。

4. Principles for the sound management of operational risk

4. 健全なオペレーショナル・リスク管理のための諸原則

Principle 1: The board of directors should take the lead in establishing a strong risk management culture, implemented by senior management. The board of directors and senior management should establish a corporate culture guided by strong risk management, set standards and incentives for professional and responsible behaviour, and ensure that staff receives appropriate risk management and ethics training.

原則1:取締役会は、シニア・マネジメントが実施する強力なリスク管理文化の確立を主導すべきである。取締役会およびシニア・マネジメントは、強力なリスク管理に導かれた企業文化を確立し、専門的で責任ある行動のための標準とインセンティブを設定し、従業員が適切なリスク管理および倫理の研修を受けることを確保すべきである。

14. Banks with a strong culture of risk management and ethical business practices are less likely to experience damaging operational risk events and are better placed to effectively deal with those events that occur. The actions of the board of directors and senior management as well as the banks risk management policies, processes and systems provide the foundation for a sound risk management culture.

14. 強固なリスク管理と倫理的な業務慣行という企業文化を有する銀行は、オペレーショナル・リスクに関わる有害な事象を経験する可能性が低く、また、発生した事象に効果的に対処することができる。取締役会及びシニア・マネジメントの行動、並びに銀行のリスク管理方針、プロセス及びシステムは、健全なリスク管理文化の基礎を提供する。

15. The board of directors should establish a code of conduct or an ethics policy to address conduct risk. This code or policy should be applicable to both staff and board members, set clear expectations for integrity and ethical values of the highest standard, identify acceptable business practices, and prohibit conflicts of interest or the inappropriate provision of financial services (whether wilful or negligent). The code or policy should be regularly reviewed and approved by the board of directors and attested by employees; its implementation should be overseen by a senior ethics committee, or another board-level committee, and should be publicly available (eg on the banks website). A separate code of conduct may be established for specific positions in the bank (eg treasury dealers, senior management).

15. 取締役会は、行動リスクに対処するため、行動規範または倫理方針を定めるべきである。この行動規範または方針は、行員と取締役会メンバーの双方に適用され、最高水準の誠実性と倫理的価値観に対する明確な期待を設定し、許容される業務慣行を特定し、利益相反または不適切な金融サービスの提供 (故意か過失かを問わない) を禁止すべきである。行動規範または方針は、定期的に見直され、取締役会により承認され、従業員により証明されるべきである。その実施は、上級倫理委員会、または他の取締役会レベルの委員会により監督されるべきであり、一般に公開されるべきである (銀行のウェブサイトなど) 。銀行内の特定の役職 (例:トレジャリー・ディーラー、シニア・マネジメント) については、別個の行動規範を設けることもできる。

16. Management should set clear expectations and accountabilities to ensure bank staff understands their roles and responsibilities for risk management, as well as their authority to act.

16. リスク管理は、行員がリスク管理の役割と責任、及び行動する権限を理解するよう、明確な期待と認可を設定すべきである。

17. Compensation policies should be aligned to the banks statement of risk appetite and tolerance as well as overall safety and soundness, and appropriately balance risk and reward.

17.  報酬方針は、銀行のリスク選好度と許容度、及び全体的な安全性と健全性の声明に沿ったものであるべきであり、リスクと報酬のバランスを適切にとるべきである。

18. Senior management should ensure that an appropriate level of operational risk training is available at all levels throughout the organisation, such as heads of business units, heads of internal controls and senior managers. Training provided should reflect the seniority, role and responsibilities of the individuals for whom it is intended.

18. シニア・マネジメントは、適切なレベルのオペレーショナル・リスク・トレーニングが、事業部門の責任者、内部統制の責任者、シニア・マネジャーなど、組織全体のあらゆるレベルで受けられるようにすべきである。提供される研修は、研修の対象となる個人の上級職、役割、責任を反映したものでなければならない。

19. Strong and consistent board of directors and senior management support for operational risk management and ethical behaviour convincingly reinforces codes of conduct and ethics, compensation strategies, and training programmes.

19. オペレーショナル・リスク管理及び倫理的行動に対する取締役会及びシニア・マネジメントの強力かつ一貫した支援は、行動・倫理規範、報酬戦略及び研修プログラムを説得力を持って強化する。

Principle 2: Banks should develop, implement and maintain an operational risk management framework that is fully integrated into the banks overall risk management processes. The ORMF adopted by an individual bank will depend on a range of factors, including the banks nature, size, complexity and risk profile.

原則2:銀行は、銀行全体のリスク管理・プロセスに完全に統合されたオペレーショナル・リスク管理の枠組みを策定し、実施し、維持すべきである。個々の銀行が採用するオペレーショナル・リスク管理フレームワークは、その銀行の性質、規模、複雑性、リスクプロファイルを含む様々な要因によって決まる。

20. The board of directors and bank management should understand the nature and complexity of the risks inherent in the portfolio of bank products, services, activities, and systems, which is a fundamental premise of sound risk management. This is particularly important for operational risk, given operational risk is inherent in all business products, activities, processes and systems.

20. 取締役会および銀行経営陣は、健全なリスク管理の大前提である、銀行の商品、サービス、活動、システムのポートフォリオに内在するリスクの性質と複雑性を理解すべきである。これは、健全なリスク管理の基本的な前提である。オペレーショナル・リスクがすべての業務商品、業務活動、プロセス、システムに内在していることから、これはオペレーショナル・リスクにとって特に重要である。

21. The components of the ORMF should be fully integrated into the overall risk management processes of the bank by the first line of defence, adequately reviewed and challenged by the second line of defence, and independently reviewed by the third line of defence. The ORMF should be embedded across all levels of the organisation including group and business units as well as new business initiatives products, activities, processes and systems. In addition, results of the banks operational risk assessment should be incorporated into the banks overall business strategy development process.

21. ORMFの構成要素は、第一防衛ラインによって銀行のリスク管理プロセス全体に完全に統合され、第二防衛ラインによって適切にレビューされ、チャレンジされ、第三防衛ラインによって独立してレビューされるべきである。ORMFは、グループ、事業部門、新規事業イニシアチブの商品、活動、プロセス、システムを含む組織のあらゆるレベルに組み込まれるべきである。さらに、銀行のオペレーショナル・リスク・アセスメントの結果は、銀行の全体的な事業戦略策定プロセスに組み込まれるべきである。

22. The ORMF should be comprehensively and appropriately documented in board of directors approved policies and include definitions of operational risk and operational loss. Banks that do not adequately describe and classify operational risk and loss exposure may significantly reduce the effectiveness of their ORMF.

22. ORMFは、包括的かつ適切に取締役会承認の方針として文書化されるべきであり、オペレーショナル・リスクとオペレーショナルロスの定義を含むべきである。オペレーショナル・リスクとオペレーショナルロスエクスポージャーの説明と分類が適切に行われていない銀行は、ORMFの有効性を著しく低下させる可能性がある。

23. ORMF documentation should clearly:

23. ORMFの文書は、以下を明確にすべきである:

a) identify the governance structures used to manage operational risk, including reporting lines and accountabilities, and the mandates and membership of the operational risk governance committees;

a) 報告ラインと説明責任、オペレーショナル・リスク・ガバナンス委員会の任務と委員を含む、オペレーショナル・リスク管理に使用されるガバナンス構造を特定する;

b) reference the relevant operational risk management policies and procedures;

b) 関連するオペレーショナル・リスク管理方針及び手続を参照する;

c) describe the tools for risk and control identification and assessment and the role and responsibilities of the three lines of defence in using them;

c) リスクとコントロールの識別と評価のためのツール、およびそれらを使用する際の3つの防衛ラインの役割と責任を説明する;

d) describe the banks accepted operational risk appetite and tolerance; the thresholds, material activity triggers or limits for inherent and residual risk; and the approved risk mitigation strategies and instruments;

d) 銀行が承認したオペレーショナル・リスクの選好度と許容度、固有リスクと残余リスクの閾値、重要な活動のトリガーまたは限度額、承認されたリスク低減戦略と手段を記載する;

e) describe the banks approach to ensure controls are designed, implemented and operating effectively;

e) コントロールが設計され、実施され、効果的に運用されていることを確認するための、銀行のアプローチを記述する;

f) describe the banks approach to establishing and monitoring thresholds or limits for inherent and residual risk exposure;

f) 固有リスクおよび残余リスク・エクスポージャーの閾値または限度額を設定し、モニタリングするための銀行のアプローチを記述する;

g) inventory risks and controls implemented by all business units (eg in a control library);

g) すべての事業部門が実施するリスクとコントロールを目録化する (例えば、コントロール・ライブラリに記載する)

h) establish risk reporting and management information systems (MIS) producing timely, and accurate data;

h) タイムリーで正確なデータを作成するリスク報告及びマネジメント情報システム (MIS) を確立する;

i) provide for a common taxonomy of operational risk terms to ensure consistency of risk identification, exposure rating and risk management objectives across all business units. The taxonomy can distinguish operational risk exposures by event types, causes, materiality and business units where they occur; it can also flag those operational exposures that partially or entirely represent legal, conduct, model and ICT (including cyber) risks as well as exposures in the credit or market risk boundary;

i) オペレーショナル・リスクの用語について共通の分類法を提供し、リスクの識別、エクスポージャーの格付け、及びリスク管理の目標の全事業部門にわたる一貫性を確保する。この分類法では、オペレーショナル・リスク・エクスポージャーを、事象の種類、原因、重要性、発生する事業部門によって区別することができる。また、オペレーショナル・エクスポージャーの一部または全部が、信用リスクまたは市場リスクのバウンダリーにあるエクスポージャーだけでなく、法務、行動、モデル、ICT (サイバーも含む) リスクに相当するエクスポージャーにもフラグを立てることができる;

j) provide for appropriate independent review and challenge of the outcomes of the risk management process; and

j) リスク管理プロセスの結果について、適切な独立したレビューとチャレンジを提供する。

k) require the policies to be reviewed and revised as appropriate based on continued assessment of the quality of the control environment addressing internal and external environmental changes or whenever a material change in the operational risk profile of the bank occurs.

k) 内部および外部環境の変化に対応する統制環境の質の継続的なアセスメントに基づき、または銀行のオペレーショナル・リスク・プロファイルに重大な変化が生じる都度、ポリシーを適宜見直し、改訂することを要求する。

Governance

ガバナンス

Board of directors

取締役会

Principle 3: The board of directors should approve and periodically review the operational risk management framework, and ensure that senior management implements the policies, processes and systems of the operational risk management framework effectively at all decision levels.

原則3:取締役会は、オペレーショナル・リスク管理の枠組みを承認し、定期的に見直すべきであり、シニア・マネジメントがオペレーショナル・リスク管理の枠組みの方針、プロセス、システムを全ての意思決定レベルで効果的に実施することを確保すべきである。

24. The board of directors should:

24. 取締役会は以下を行うべきである:

a) establish a risk management culture and ensure that the bank has adequate processes for understanding the nature and scope of the operational risk inherent in the banks current and planned strategies and activities;

a) リスク管理の文化を確立し、銀行の現在および計画中の戦略や活動に内在するオペレーショナル・リスクの性質と範囲を理解するための適切なプロセスを確保する;

b) ensure that the operational risk management processes are subject to comprehensive and dynamic oversight and are fully integrated into, or coordinated with, the overall framework for managing all risks across the enterprise;

b) オペレーショナル・リスク管理・プロセスが包括的かつダイナミックな監視の対象であり、エンタープライズ全体のあらゆるリスクを管理するための全体的なフレームワークに完全に統合されているか、またはそれと協調していることを確保する;

c) provide senior management with clear guidance regarding the principles underlying the ORMF, and approve the corresponding policies developed by senior management to align with these principles;

c) シニア・マネジメントに、ORMFの基礎となる原則に関する明確なガイダンスを提供し、シニア・マネジメントがこれらの原則に沿うよう策定した対応方針を承認する;

d) regularly review and evaluate the effectiveness of, and approve the ORMF to ensure the bank has identified and is managing the operational risk arising from external market changes and other environmental factors, as well as those operational risks associated with new products, activities, processes or systems, including changes in risk profiles and priorities (eg changing business volumes);

d) 銀行が、外部市場の変化やその他の環境要因から生じるオペレーショナル・リスク、ならびにリスク・プロファイルや優先事項の変化 (業務量の変化など) を含む、新しい商品、活動、プロセス、システムに関連するオペレーショナル・リスクを特定し、マネジメントしていることを確認するために、ORMFを定期的に見直し、有効性を評価し、承認する;

e) ensure that the banks ORMF is subject to effective independent review by a third line of defence (audit or other appropriately trained independent third parties from external sources); and

e) 銀行のORMFが、第三防衛ライン (監査または外部の適切な訓練を受けた独立したサードパーティ) による効果的な独立したレビューの対象となるようにする。

f) ensure that, as best practice evolves, management is availing themselves of these advances.

f) ベストプラクティスが発展するにつれて、経営陣がこれらの進歩を利用していることを確認する。

25. Strong internal controls are a critical aspect of operational risk management. The board of directors should establish clear lines of management responsibility and accountability for implementing a strong control environment. Controls should be regularly reviewed, monitored, and tested to ensure ongoing effectiveness. The control environment should provide appropriate independence/separation of duties between operational risk management functions, business units and support functions.

25. 強固な内部統制は、オペレーショナル・リスク管理の重要な側面である。取締役会は、強力な統制環境を実施するための経営陣の責任とアカウンタビリティーの明確なラインを確立すべきである。継続的な有効性を確保するため、コントロールは定期的に見直し、監視し、テストすべきである。統制環境は、オペレーショナル・リスク管理機能、ビジネスユニット及びサポート機能間の適切な独立性/職務の分離を提供すべきである。

Principle 4: The board of directors should approve and periodically review a risk appetite and tolerance statement for operational risk that articulates the nature, types and levels of operational risk the bank is willing to assume.

原則4:取締役会は、銀行が負うことをいとわないオペレーショナル・リスクの性質、種類、およびレベルを明確にしたオペレーショナル・リスクに関するリスク選好度および許容度声明書を承認し、定期的に見直すべきである。

26. The risk appetite and tolerance statement for operational risk should be developed under the authority of the board of directors and linked to the banks short- and long-term strategic and financial plans. Taking into account the interests of the banks customers and shareholders as well as regulatory requirements, an effective risk appetite and tolerance statement should:

26. オペレーショナル・リスクに関するリスク選好度および許容度声明は、取締役会の認可の下で策定され、銀行の短期および長期の戦略・財務計画と関連付けられるべきである。銀行の顧客と株主の利益、および規制上の要件を考慮し、効果的なリスク選好度と許容度の声明は以下のものでなければならない:

a) be easy to communicate and therefore easy for all stakeholders to understand;

a) コミュニケーションが容易であり、従って全ての利害関係者が理解しやすい;

b) include key background information and assumptions that informed the banks business plans at the time it was approved;

b) それが承認された時点で、銀行の事業計画に反映された主要な背景情報や前提を含む;

c) include statements that clearly articulate the motivations for taking on or avoiding certain types of risk, and establish boundaries or indicators (which may be quantitative or not) to enable monitoring of these risks;

c) 特定の種類のリスクを引き受ける、または回避する動機を明確に説明する文言を含み、これらのリスクのモニタリングを可能にする境界線または指標 (定量的かどうかは問わない) を設定する;

d) ensure that the strategy and risk limits of business units and legal entities, as relevant, align with the bank-wide risk appetite statement; and

d) 事業部門及び事業体の戦略及びリスク限度額が、関連する場合には、銀行全体のリスク選好度声明と整合するようにすること。

e) be forward-looking and, where applicable, subject to scenario and stress testing to ensure that the bank understands what events might push it outside its risk appetite and tolerance statement.

e) 将来を見通したものであり、該当する場合には、銀行がどのような事象によってリスク選好度・許容度声明から外れる可能性があるかを理解するために、シナリオテストやストレステストの対象となる。

27. The board of directors should approve and regularly review the appropriateness of limits and the overall operational risk appetite and tolerance statement. This review should consider current and expected changes in the external environment (including the regulatory context across all jurisdictions where the institution provides services); ongoing or forthcoming material increases in business or activity volumes; the quality of the control environment; the effectiveness of risk management or mitigation strategies; loss experience; and the frequency, volume or nature of limit breaches. The board of directors should monitor management adherence to the risk appetite and tolerance statement and provide for timely detection and remediation of breaches.

27. 取締役会は、限度額及びオペレーショナル・リスクの全体的なアペタイト (選好度) 及びトレランス (許容度) ステートメントの適切性を承認し、定期的に見直すべきである。この見直しは、外部環境 (金融機関がサービスを提供するすべての法域における規制の状況を含む) における現在および予想される変化、ビジネスまたは業務量の継続中または今後の重大な増加、統制環境の質、リスク管理または低減戦略の有効性、損失経験、限度額違反の頻度、量または性質などを考慮すべきである。取締役会は、リスク選好度および許容度に関する声明に対するリスク管理の遵守を監視し、違反の適時の発見と是正を行うべきである。

Senior management

シニア・マネジメント

Principle 5: Senior management should develop for approval by the board of directors a clear, effective and robust governance structure with well-defined, transparent and consistent lines of responsibility. Senior management is responsible for consistently implementing and maintaining throughout the organisation policies, processes and systems for managing operational risk in all of the banks material products, activities, processes and systems consistent with the banks risk appetite and tolerance statement.

原則5:シニア・マネジメントは、取締役会の承認を得るために、明確に定義され、透明性が高く、一貫性のある責任系統を有する、明確かつ効果的で強固なガバナンス構造を構築すべきである。シニア・マネジメントは、銀行のリスク選好度および許容度声明に合致した、銀行の重要な商品、活動、プロセスおよびシステムのすべてにおいて、オペレーショナル・リスクを管理するための方針、プロセスおよびシステムを、組織全体にわたって一貫して実施し、維持する責任を負う。

28. Senior management is responsible for establishing and maintaining robust challenge mechanisms and effective issue resolution processes. These should include systems to report, track and, when necessary, escalate issues to ensure resolution. Banks should be able to demonstrate that the threelines-of-defence approach is operating satisfactorily and to explain how the board of directors, independent audit committee of the board, and senior management ensure that this approach is implemented and operating in an appropriate manner.

28. シニア・マネジメントは、強固なチャレンジ・メカニズムと効果的な問題解決プロセスを確立し、維持する責任がある。これらには、問題を確実に解決するために、報告、追跡、必要な場合にはエスカレーションを行うシステムを含むべきである。銀行は、3線防御アプローチが十分に運用されていることを実証し、取締役会、取締役会の独立監査委員会、及びシニア・マネジメントが、このアプローチが実施され、適切に運用されていることをどのように保証しているかを説明できなければならない。

29. Senior management should translate the ORMF approved by the board of directors into specific policies and procedures that can be implemented and verified within the different business units. Senior management should clearly assign authority, responsibility and reporting relationships to encourage and maintain accountability, and to ensure the necessary resources are available to manage operational risk in line with the banks risk appetite and tolerance statement. Moreover, senior management should ensure that the management oversight process is appropriate for the risks inherent in a business units activity.

29. シニア・マネジメントは、取締役会により承認されたORMFを、異なる事業部門内で実施・検証可能な具体的な方針・手続に翻訳すべきである。シニア・マネジメントは、銀行のリスク選好度および許容度声明に沿ってオペレーショナル・リスクを管理するために必要なリソースを確保し、説明責任を奨励・維持するために、認可、責任、報告関係を明確に割り当てるべきである。さらに、シニア・マネジメントは、経営陣の監督プロセスが、ビジネス・ユニットの活動に内在するリスクに対して適切であることを確保すべきである。

30. Senior management should ensure that staff responsible for managing operational risk coordinate and communicate effectively with staff responsible for managing credit, market, and other risks, as well as with those in the bank who are responsible for the procurement of external services such as insurance risk transfer and other third-party arrangements (including outsourcing). Failure to do so could result in significant gaps or overlaps in a banks overall risk management programme.

30. シニア・マネジメントは、オペレーショナル・リスクの管理を担当するスタッフが、信用リスク、市場リスク、その他のリスクの管理を担当するスタッフ、および保険リスクの移転やその他のサードパーティ・アレンジメント (アウトソーシングを含む) などの外部サービスの調達を担当する銀行内のスタッフと、効果的に連携し、コミュニケーションをとることを確保すべきである。これを怠ると、銀行の全体的なリスク管理プログラムにおいて、重大なギャップや重複が生じる可能性がある。

31. The managers of the CORF should be of sufficient stature within the bank to perform their duties effectively, ideally evidenced by a title that is commensurate with other risk management functions such as credit, market and liquidity risk.

31. CORFの管理者は、その職務を効果的に遂行するために銀行内で十分な地位にあるべきであり、理想的には、信用リスク、市場リスク、流動性リスクなどの他のリスク管理機能に見合った肩書きによって証明される。

32. Senior management should ensure that bank activities are conducted by staff with the necessary experience, technical capabilities and access to resources. Staff responsible for monitoring and enforcing compliance with the institutions risk policy should have authority independent from the units they oversee.

32. シニア・マネジメントは、銀行の活動が、必要な経験、技術的能力、資源へのアクセスを持つスタッフによって行われることを確保すべきである。機構のリスク・ポリシーの遵守を監視し、実施する責任を負うスタッフは、監督する部門から独立した権限を持つべきである。

33. A banks governance structure should be commensurate with the nature, size, complexity and risk profile of its activities. When designing the operational risk governance structure, a bank should take the following into consideration:

33. 銀行のガバナンス構造は、その活動の性質、規模、複雑性、リスクプロファイルに見合ったものであるべきである。オペレーショナル・リスクのガバナンス構造を設計する際、銀行は以下を考慮すべきである:

a) Committee structure Sound industry practice is for larger and more complex organisations with a central group function and separate business units to utilise a board-created enterprise-level risk committee for overseeing all risks, to which a management level operational risk committee reports. Depending on the nature, size and complexity of the bank, the enterprise-level risk committee may receive input from operational risk committees by country, business or functional area. Smaller and less complex organisations may utilise a flatter organisational structure that oversees operational risk directly within the boards risk management committee.

a) 委員会構造-業界の健全な慣行として、中央グループ機能と個別事業部門を有する大規模で複雑な組織では、取締役会が設置したエンタープライズ・レベルのリスク委員会を活用し、すべてのリスクを監督し、マネジメント・レベルのオペレーショナル・リスク委員会が報告する。銀行の性質、規模、複雑性に応じて、エンタープライズ・レベルのリスク委員会は、国別、事業別、機能別などのオペレーショナル・リスク委員会からのインプットを受けることができる。小規模で複雑でない組織は、取締役会のリスク管理委員会の中でオペレーショナル・リスクを直接監督する、よりフラットな組織構造を利用することができる。

b) Committee composition Sound industry practice is for operational risk committees (or the risk committee in smaller banks) to include members with a variety of expertise, which should cover expertise in business activities, financial activities, legal, technological and regulatory matters, and independent risk management.

b) 委員会の構成-健全な業界慣行として、オペレーショナル・リスク委員会 (中小銀行ではリスク委員会) には、事業活動、財務活動、法務、技術、規制事項、独立したリスク管理など、様々な専門知識を有する委員を含めるべきである。

c) Committee operation Committee meetings should be held at appropriate frequencies with adequate time and resources to permit productive discussion and decision-making. Records of committee operations should be adequate to permit review and evaluation of committee effectiveness.

c) 委員会の運営-委員会は、生産的な討議と意思決定を可能にするために、適切な頻度で、十分な時間とリソースを確保して開催されるべきである。委員会運営の記録は、委員会の有効性のレビューと評価を可能にする適切なものでなければならない。

Risk management environment

リスク統制環境

Identification and assessment

識別と評価

Principle 6: Senior management should ensure the comprehensive identification and assessment of the operational risk inherent in all material products, activities, processes and systems to make sure the inherent risks and incentives are well understood.

原則6:シニア・マネジメントは、すべての重要な製品、活動、プロセスおよびシステムに内在するオペレーショナル・リスクの包括的な識別とアセスメントを確実に行い、内在するリスクとインセンティブが十分に理解されていることを確認すべきである。

34. Risk identification and assessment are fundamental characteristics of an effective operational risk management system, and directly contribute to operational resilience capabilities. Effective risk identification considers both internal factors and external factors. Sound risk assessment allows the bank to better understand its risk profile and allocate risk management resources and strategies most effectively.

34. リスクの識別とアセスメントは、効果的なオペレーショナル・リスク管理システムの基本的な特徴であり、オペレーショナル・レジリエンス能力に直接貢献する。効果的なリスク識別は、内部要因と外部要因の両方を考慮する。健全なリスクアセスメントにより、銀行はリスクプロフィールをよりよく理解し、リスク管理資源と戦略を最も効果的に配分することができる。

35. Examples of tools used for identifying and assessing operational risk are:

35. オペレーショナル・リスクの識別と評価に使用されるツールの例は以下の通りである:

a) Event management When banks experience an operational risk event, the process of identification, analysis, end-to-end management and reporting of the event follows a predetermined set of protocols. A sound event management approach typically includes analysis of events to identify new operational risks, understanding the underlying causes and control weaknesses, and formulating an appropriate response to prevent recurrence of similar events. This information is an input to the self-assessment and, in particular, to the assessment of control effectiveness.

a) イベント・マネジメント-銀行がオペレーショナル・リスク・イベントを経験した場合、イベントの特定、分析、エンド・ツー・エンドのマネジメント、報告のプロセスは、予め決定された一連のプロトコルに従う。健全なイベントマネジメントのアプローチには、一般的に、新たなオペレーショナル・リスクを識別するためのイベントの分析、根本的な原因や管理上の弱点の理解、同様のイベントの再発を防止するための適切な対応の策定が含まれる。この情報は、自己評価、特にコントロールの有効性評価のインプットとなる。

b) Operational risk event data Banks often maintain a comprehensive operational risk event dataset that collects all material events experienced by the bank and serves as basis for operational risk assessments. The event dataset typically includes internal loss data, near misses, and, when feasible, external operational loss event data (as external data is informative of risks that common across the industry). Event data is typically classified according to a taxonomy defined in the ORMF policies and consistently applied across the bank. Event data typically include the date of the event (occurrence date, discovery date and accounting date) and, in the case of loss events, financial impact. When other root cause information for events is available, ideally it can also be included in the operational risk dataset. When feasible, banks are encouraged to also seek to gather external operational risk event data and use this data in their internal analysis, as it is often informative of risks that are common across the industry.

b) オペレーショナル・リスク・イベント・データ - 銀行は多くの場合、包括的なオペレーショナル・リスク・イベント・データセットを保持しており、銀行が経験した全ての重要なイベントを収集し、オペレーショナル・リスク・アセスメントの基礎としている。イベントデータセットには、通常、内部損失データ、ニアミス、そして可能であれば、外部のオペレーショナル・ロスイベント・データが含まれる (外部データは、業界全体に共通するリスクに関する情報であるため) 。イベントデータは通常、ORMF方針に定義された分類法に従って分類され、銀行全体で一貫して適用される。イベントデータには通常、イベントの発生日 (発生日、発見日、会計処理日) 、および損失イベントの場合は財務的影響が含まれる。イベントの他の根本原因情報が入手可能な場合には、理想的には、それもオペレーショナル・リスク・データセットに含めることができる。可能であれば、銀行は外部のオペレーショナル・リスクのイベント・データを収集し、内部分析に利用することが奨励される。

c) Self-assessments Banks often perform self-assessments of their operational risks and controls on various different levels. The assessments typically evaluate inherent risk (the risk before controls are considered), the effectiveness of the control environment, and residual risk (the risk exposure after controls are considered) and contain both quantitative and qualitative elements. The qualitative element reflects consideration of both the likelihood and consequence of the risk event in the banks determination of its inherent and residual risk ratings. The assessments may utilise business process mapping to identify key steps in business processes, activities, and organisational functions, as well as the associated risks and areas of control weakness.The assessments contain sufficiently detailed information on the business environment, operational risks, underlying causes, controls and evaluation of control effectiveness to enable an independent reviewer to determine how the bank reached its ratings. A risk register can be maintained to collate this information to form a meaningful view of the overall effectiveness of controls and facilitate oversight by senior management, risk committees, and the board of directors.

c) 自己アセスメント - 銀行は多くの場合、様々な異なるレベルでオペレーショナル・リスクとコントロールの自己アセスメントを実施している。アセスメントでは通常、固有リスク(コントロールを検討する前のリスク)、統制環境の有効性、 残存リスク(コントロールを検討した後のリスクエクスポージャー)を評価し、定量的要素と定性的要素の 両方を含む。定性的要素は、銀行が固有リスクと残余リスクの評価を決定する際に、リスク事象の可能性と結果の両方を考慮することを反映している。アセスメントには、ビジネス環境、オペレーショナルリスク、根本的な原因、コントロール、 コントロールの有効性の評価に関する十分詳細な情報が含まれており、独立したレビュ ーが、銀行がどのようにしてその格付けに至ったかを判断できるようになっている。リスク登録簿を整備することで、これらの情報を照合し、コントロールの全体的な有効性につ いて意味のある見解を形成し、シニア・マネジメント、リスク委員会、取締役会による監視を促進することができる。

d) Control monitoring and assurance framework Incorporating an appropriate control monitoring and assurance framework facilitates a structured approach to the evaluation, review and ongoing monitoring and testing of key controls. The analysis of controls ensures these are suitably designed for the identified risks and operating effectively. The analysis should also consider the sufficiency of control coverage, including adequate prevention, detection and response strategies. The control monitoring and testing should be appropriate for the different operational risks and key controls across business areas.

d) コントロールのモニタリングと保証の枠組み - 適切なコントロールのモニタリングと保証の枠組みを組み込むことにより、主要なコントロールの評価、レビュー、継続的なモニタリングとテストに対する構造的なアプローチが容易になる。コントロールの分析により、コントロールが識別されたリスクに対して適切に設計され、有効に機能していることを確認する。分析では、適切な予防、検知、対応戦略など、コントロールの適用範囲の十分性も検討する。コントロールのモニタリングとテストは、事業領域にわたる様々なオペレーショナル・リスクと主要なコントロールに適切でなければならない。

e) Metrics Using operational risk event data and risk and control assessments, banks often develop metrics to assess and monitor their operational risk exposure. These metrics may be simple indicators, such as event counts, or result from more sophisticated exposure models when appropriate. Metrics provide early warning information to monitor ongoing performance of the business and the control environment, and to report the operational risk profile. Effective metrics clearly link to the associated operational risks and controls. Monitoring metrics and related trends through time against agreed thresholds or limits provides valuable information for risk management and reporting purposes.

e) 指標 - オペレーショナル・リスクのイベント・データ及びリスクとコントロールのアセスメントを用いて、銀行はオペレーショナル・リスク・エクスポージャーを評価・モニタリングするための指標を開発することが多い。これらの指標は、イベント数のような単純な指標である場合もあれば、適切な場合には、より高度なエクスポージャー・モデルの結果である場合もある。メトリックスは、ビジネスと統制環境の継続的なパフォーマンスを監視し、オペレーショナル・リスク・プロファイルを報告するための早期警告情報を提供する。効果的な指標は、関連するオペレーショナル・リスク及びコントロールと明確にリンクしている。合意されたしきい値や限度値に照らして、メトリックスと関連する傾向を経時的にモニタリングすることで、リスク管理と報告目的のための貴重な情報が得られる。

f) Scenario analysis Scenario analysis is a method to identify, analyse and measure a range of scenarios, including low probability and high severity events, some of which could result in severe operational risk losses. Scenario analysis typically involves workshop meetings of subject matter experts including senior management, business management and senior operational risk staff and other functional areas such as compliance, human resources and IT risk management, to develop and analyse the drivers and range of consequences of potential events. Inputs to the scenario analysis would typically include relevant internal and external loss data, information from self-assessments, the control monitoring and assurance framework, forward-looking metrics, root-cause analyses and the process framework, where used. The scenario analysis process could be used to develop a range of consequences of potential events, including impact assessments for risk management purposes, supplementing other tools based on historical data or current risk assessments. It could also be integrated with disaster recovery and business continuity plans, for use within testing of operational resilience. Given the subjectivity of the scenario process, a robust governance framework and independent review are important to ensure the integrity and consistency of the process.

f) シナリオ分析-シナリオ分析は、低確率で重大性の高い事象を含む様々なシナリオを特定、分析、測定するための手法であり、その中には深刻なオペレーショナル・リスク損失をもたらす可能性のあるものも含まれる。シナリオ分析には通常、シニア・マネジメント、ビジネスマネジメント、オペレーショナル・リスクの上級スタッフ、及びコンプライアンス、人事、ITリスク管理などの他の機能分野を含む専門家によるワークショップ会議が含まれ、潜在的な事象の推進要因と結果の範囲を策定し、分析する。シナリオ分析のインプットには、通常、関連する内部及び外部の損失データ、自己評価からの情報、コントロールのモニタリング及び保証の枠組み、フォワード・ルッキング・メトリクス、根本原因分析及びプロセスの枠組み (使用されている場合) が含まれる。シナリオ分析プロセスは、過去のデータや現在のリスクアセスメントに基づく他のツールを補完し、リスク管理の目的のために、影響アセスメントを含む潜在的な事象の結果の範囲を開発するために使用することができる。また、災害復旧計画や事業継続計画と統合し、オペレーショナル・レジリエンスのテストに使用することもできる。シナリオプロセスの主観性を考慮すると、プロセスの完全性と一貫性を確保するためには、強固なガバナンスの枠組みと独立したレビューが重要である。

g) Benchmarking and comparative analysis Benchmarking and comparative analysis are comparisons of the outcomes of different risk measurement and management tools deployed within the bank, as well as comparisons of metrics from the bank to other firms in the industry. Such comparisons can be performed to enhance understanding of the banks operational risk profile. For example, comparing the frequency and severity of internal losses with selfassessments can help the bank determine whether its self-assessment processes are functioning effectively. Scenario data can be compared to internal and external loss data to gain a better understanding of the severity of the banks exposure to potential risk events.

g) ベンチマーキングと比較分析-ベンチマーキングと比較分析とは、行内で導入された様々なリスク測定・マネジメントツールの結果の比較や、行内の指標と業界内の他の企業との比較を行うことである。このような比較は、銀行のオペレーショナル・リスク・プロファイルの理解を深めるために行うことができる。例えば、内部損失の頻度や深刻度を自己評価と比較することで、自己評価プロセスが効果的に機能しているかどうかを判断することができる。シナリオ・データは、潜在的なリスク事象に対する銀行のエクスポージャーの深刻度をよりよく理解するために、内部および外部の損失データと比較することができる。

36. Banks should ensure that the operational risk assessment tools outputs are:

36. 銀行は、オペレーショナル・リスク・アセスメント・ツールのアウトプットが以下の通りであることを確認すべきである:

a) based on accurate data, whose integrity is ensured by strong governance and robust verification and validation procedures;

a) 正確なデータに基づいており、その完全性は強力なガバナンスと強固な検証・妥当性確認手続きによって確保されている;

b) adequately taken into account in the internal pricing and performance measurement mechanisms as well as for business opportunities assessments; and

b) 内部プライシング及びパフォーマンス測定メカニズム並びに事業機会評価に適切に考慮される。

c) subject to CORF-monitored action plans or remediation plans when necessary.

c) 必要な場合には、CORFが監視する行動計画又は改善計画の対象となる。

37. These operational risk assessment tools can also directly contribute to a banks operational resilience approach, in particular event management, self assessment and scenario analysis procedures, as they allow banks to identify and monitor threats and vulnerabilities to their critical operations. Banks should use the outputs of these tools to improve their operational resilience controls and procedures, as identified in the Committees Principles for operational resilience.

37. これらのオペレーショナル・リスク・アセスメント・ツールは、銀行がその重要な業務に対する脅威や脆弱性を特定し、監視することを可能にするため、特にイベントマネジメント、自己評価及びシナリオ分析手順など、銀行のオペレーショナル・レジリエンス・アプローチに直接貢献することもできる。銀行は、委員会のオペレーショナル・レジリエンスに関する原則で特定されているように、オペレーショナル・レジリエンスの管理および手順を改善するために、これらのツールのアウトプットを使用すべきである。

Principle 7: Senior management should ensure that the banks change management process is comprehensive, appropriately resourced and adequately articulated between the relevant lines of defence.

原則7:シニア・マネジメントは、銀行の変更管理プロセスが包括的で、適切なリソースを有し、関連する防衛ライン間で適切に明確化されていることを確保すべきである。

38. In general, a banks operational risk exposure evolves when a bank initiates change, such as engaging in new activities or developing new products or services; entering into unfamiliar markets or jurisdictions; implementing new or modifying business processes or technology systems; and/or engaging in businesses that are geographically distant from the head office. Change management should assess the evolution of associated risks across time, from inception to termination (eg throughout the full life cycle of a product).

38. 一般的に、銀行のオペレーショナル・リスク・エクスポージャーは、銀行が新たな業務に従事したり、新商品や新サービスを開発したり、馴染みのない市場や管轄区域に進出したり、新しい業務プロセスや技術システムを導入したり、変更したり、及び/又は、本社から地理的に遠い業務に従事したりするような変化を開始した時に、進化する。チェンジマネジメントは、創業から終了まで (例えば、製品の全ライフサイクルを通じて) 、時系列にわたって関連リスクの進化を評価すべきである。

39. A bank should have policies and procedures defining the process for identifying, managing, challenging, approving and monitoring change on the basis of agreed objective criteria. Change implementation should be monitored by specific oversight controls. Change management policies and procedures should be subject to independent and regular review and update, and clearly allocate roles and responsibilities in accordance with the three-lines-of-defence model, in particular:

39. 銀行は、合意された客観的基準に基づいて、変更を識別し、管理し、異議を唱え、承認し、モニタリングするためのプロセスを定義する方針と手順を持つべきである。変更の実施は、特定の監督管理によって監視されるべきである。変更管理の方針と手続きは、独立した定期的な見直しと更新の対象とすべきであり、特に3つの防衛ラインモデルに従って役割と責任を明確に割り当てるべきである:

a) The first line of defence should perform operational risk and control assessments of new products, activities, processes and systems, including the identification and evaluation of the required change through the decision-making and planning phases to the implementation and post-implementation review.

a) 第一防衛ラインは、意思決定・計画段階から実施・実施後レビューに至るまで、必要な変更の特定と評価を含め、新製品、活動、プロセス、システムのオペレーショナル・リスクとコントロールのアセスメントを実施する。

b) The second line of defence (CORF) should challenge the operational risk and control assessments of first line of defence, as well as monitor the implementation of appropriate controls or remediation actions. CORF should cover all phases of this process. In addition, CORF should ensure that all relevant control groups (eg finance, compliance, legal, business, ICT, risk management) are involved as appropriate.

b) 第二防御ライン (CORF) は、第一防御ラインのオペレーショナル・リスク及びコントロールのアセスメントに異議を唱え、また、適切なコントロール又は是正措置の実施を監視すべきである。CORFはこのプロセスの全フェーズをカバーすべきである。さらに、CORFは、すべての関連するコントロールグループ (例えば、財務、コンプライアンス、法務、ビジネス、ICT、リスク管理) が適宜関与することを確保すべきである。

40. A bank should have policies and procedures for the review and approval of new products, activities, processes and systems. The review and approval process should consider:

40. 銀行は、新商品、活動、プロセス及びシステムのレビュー及び承認のための方針及び手続を有すべきである。レビューと承認のプロセスは以下を考慮すべきである:

a) Inherent risks including legal, ICT and model risks in the launch of new products, services, activities, and operations in unfamiliar markets, and in the implementation of new processes, people and systems (especially when outsourced).

a) 慣れない市場における新しい商品、サービス、活動、業務の立ち上げや、新しいプロセス、人員、システム (特にアウトソーシングの場合) の導入における、法的リスク、ICTリスク、モデルリスクを含む固有のリスク。

b) Changes to the banks operational risk profile, appetite and tolerance, including changes to the risk of existing products or activities.

b) 銀行のオペレーショナル・リスク・プロファイル、選好度、許容度の変更 (既存の商品または業務のリスクの変更を含む)

c) The necessary controls, risk management processes, and risk mitigation strategies.

c) 必要なコントロール、リスク管理プロセス、リスク低減戦略。

d) The residual risk.

d) 残存リスク。

e) Changes to relevant risk thresholds or limits.

e) 関連するリスクの閾値または限度額の変更。

f) The procedures and metrics to assess, monitor, and manage the risk of new products, services, activities, markets, jurisdictions, processes and systems.

f) 新商品、サービス、活動、市場、管轄区域、プロセス、システムのリスクをアセスメント、モニタリング、管理するための手順と指標。

41. The review and approval process should include ensuring that appropriate investment has been made for human resources and technology infrastructure before changes are introduced. Changes should be monitored, during and after their implementation, to identify any material differences to the expected operational risk profile and manage any unexpected risks.

41. レビュー及び承認プロセスには、変更が導入される前に、人的資源及び技術的インフラに対して適切な投資がなされたことを確認することが含まれるべきである。変更は、予想されるオペレーショナル・リスク・プロファイルとの重大な差異を識別し、予期せぬリスクを管理するために、導入中及び導入後に監視されるべきである。

42. Banks should maintain a central record of their products and services to the extent possible (including the outsourced ones) to facilitate the monitoring of changes.

42. 銀行は、変更のモニタリングを容易にするため、可能な限り (アウトソーシングされたものを含む) 商品およびサービスの一元的な記録を維持すべきである。

Monitoring and reporting

モニタリングと報告

Principle 8: Senior management should implement a process to regularly monitor operational risk profiles and material operational exposures. Appropriate reporting mechanisms should be in place at the board of directors, senior management, and business unit levels to support proactive management of operational risk.

原則8:シニア・マネジメントは、オペレーショナル・リスク・プロファイルと重要なオペレーショナル・エクスポージャーを定期的にモニタリングするプロセスを導入すべきである。オペレーショナル・リスクの積極的な管理を支援するため、取締役会、シニア・マネジメント及び事業部門レベルにおいて、適切な報告の仕組みが整備されるべきである。

43. A bank should ensure that its reports are comprehensive, accurate, consistent and actionable across business units and products. To this end, the first line of defence should ensure reporting on any residual operational risks, including operational risk events, control deficiencies, process inadequacies, and non-compliance with operational risk tolerances. Reports should be manageable in scope and volume by providing an outlook on the banks operational risk profile and adherence to the operational risk appetite and tolerance statement; effective decision-making is impeded by both excessive amounts and paucity of data.

43. 銀行は、報告書が包括的で、正確で、一貫性があり、事業部門や商品間で実行可能であることを保証すべきである。この目的のために、第一防衛ラインは、オペレーショナル・リスク・イベント、コントロールの不備、プロセスの不備、オペレーショナル・リスク許容範囲の不遵守など、残存するオペレーショナル・リスクに関する報告を確保すべきである。報告書は、銀行のオペレーショナル・リスク・プロファイルおよびオペレーショナル・リスク選好度・許容度声明への準拠に関する見通しを提供することによって、範囲および量において管理可能なものでなければならない。

44. Reporting should be timely and a bank should be able to produce reports in both normal and stressed market conditions. The frequency of reporting should reflect the risks involved and the pace and nature of changes in the operating environment. The results of monitoring activities should be included in regular management and board reports, as should assessments of the ORMF performed by the internal/external audit and/or risk management functions. Reports generated by or for supervisory authorities should also be reported internally to senior management and the board of directors, where appropriate.

44. 報告はタイムリーであるべきであり、銀行は通常の市場環境とストレスのかかった市場環境の両方において報告書を作成できるべきである。報告の頻度は、関係するリスク、経営環境の変化のペースと性質を反映すべきである。モニタリング活動の結果は、内部/外部監査および/またはリスク管理機能によるORMFのアセスメントと同様、定期的な経営報告書および取締役会報告書に含まれるべきである。監督当局により、または監督当局のために作成された報告書は、適切な場合には、シニア・マネジメントおよび取締役会にも内部報告されるべきである。

45. Operational risk reports should describe the operational risk profile of the bank by providing internal financial, operational, and compliance indicators, as well as external market or environmental information about events and conditions that are relevant to decision making. Operational risk reports should include:

45. オペレーショナル・リスク報告書は、銀行内部の財務、オペレーショナル、コンプライアンス指標、および意思決定に関連する事象や状況に関する外部の市場や環境情報を提供することにより、銀行のオペレーショナル・リスク・プロファイルを記述すべきである。オペレーショナル・リスク報告書には以下を含めるべきである:

a) Breaches of the banks risk appetite and tolerance statement, as well as thresholds, limits or qualitative requirements.

a) 銀行のリスク選好度および許容度声明、ならびに閾値、限度額または定性的要件への違反。

b) A discussion and assessment of key and emerging risks.

b) 主要なリスクおよび顕在化しつつあるリスクについての議論および評価。

c) Details of recent significant internal operational risk events and losses (including root cause analysis).

c) 最近のオペレーショナル・リスクの重大な内部事象及び損失の分析 (根本原因分析を含む)

d) Relevant external events or regulatory changes and any potential impact on the bank.

d) 関連する外部事象または規制の変更、および銀行への潜在的な影響。

46. Data capture and risk reporting processes should be analysed periodically with the goal of enhancing risk management performance as well as advancing risk management policies, procedures and practices.

46. データ収集とリスク報告プロセスは、リスク管理のパフォーマンスを向上させるだけでなく、リスク管理の方針、手続き、慣行を改善する目的で、定期的に分析されるべきである。

Control and mitigation

コントロールと低減

Principle 9: Banks should have a strong control environment that utilises policies, processes and systems; appropriate internal controls; and appropriate risk mitigation and/or transfer strategies.

原則9:銀行は、方針、プロセス、システム、適切な内部統制、適切なリスク軽減及び/又は移転戦略を活用した強力な統制環境を有するべきである。

47. Internal controls should be designed to provide reasonable assurance that a bank will have efficient and effective operations; safeguard its assets; produce reliable financial reports; and comply with applicable laws and regulations. A sound internal control programme consists of four components that are integral to the risk management process: risk assessment, control activities, information and communication, and monitoring activities.

47. 内部統制は、銀行が効率的かつ効果的な業務を行い、資産を保護し、信頼できる財務報告を作成し、適用法および規制を遵守する合理的な保証を提供するように設計されるべきである。健全な内部統制プログラムは、リスク管理プロセスに不可欠な、リスクアセスメント、コントロール活動、情報とコミュニケーション、モニタリング活動の4つの要素から構成される。

48. Control processes and procedures should include a system for ensuring compliance with policies, regulations and laws. Examples of principle elements of a policy compliance assessment are:

48. コントロールのプロセスと手続きには、方針、規制、法律の遵守を確保するためのシステムを含めるべきである。方針遵守評価の原則的要素の例は以下のとおりである:

a) Top-level reviews of progress towards stated objectives.

a) 明示された目標に対する進捗状況のトップレベルのレビュー

b) Verification of compliance with management controls.

b) マネジメント・コントロールの遵守の検証

c) Review of the treatment and resolution of instances of non-compliance.

c) コンプライアンス違反事例の処理と解決のレビュー

d) Evaluation of the required approvals and authorisations to ensure accountability to an appropriate level of management.

d) 経営陣の適切なレベルに対する説明責任を確保するために必要な承認と権限の評価

e) Tracking of reports for approved exceptions to thresholds or limits, management overrides and other deviations from policy, regulations and laws.

e) 閾値または限度額に対する承認された例外、経営陣による無効化、および方針、規制、法律からのその他の逸脱に関する報告の追跡。

49. Controls processes and procedures should address how the bank ensures operational resilience is maintained in both normal circumstances and in the event of disruption, reflecting respective functions due diligence, consistent with the banks operational resilience approach.

49. コントロールのプロセスと手続きは、銀行のオペレーショナル・レジリエンス・アプローチに合致した、各機能のデューディリジェンスを反映した、平常時および障害発生時の両方において、銀行がオペレーショナル・レジリエンスを確実に維持する方法について取り組むべきである。

50. An effective control environment also requires appropriate segregation of duties. Assignments that establish conflicting duties for individuals or a team, without dual controls (eg a process that uses two or more separate entities (usually persons) operating in concert to protect sensitive functions or information) or other countermeasures, may result in concealment of losses, errors or other inappropriate actions. Therefore, areas where conflicts of interest may arise should be identified, minimised, and be subject to careful independent monitoring and review.

50. 効果的な統制環境には、適切な職務分掌も必要である。二重統制 (例えば、機微な機能または情報を保護するために、2つ以上の別個の事業体 (通常は個人) を連携して使用するプロセス) またはその他の対策なしに、個人またはチームに相反する職務を設定するような防御は、損失、エラーまたはその他の不適切な行為の隠蔽につながる可能性がある。したがって、利益相反が発生する可能性のある領域は、特定され、最小化され、慎重な独立した監視およびレビューの対象とされるべきである。

51. In addition to segregation of duties and dual controls, banks should ensure that other traditional internal controls are in place, as appropriate, to address operational risk. Examples of these controls are:

51. 職務分掌と二重統制に加えて、銀行は、オペレーショナル・リスクに対処するために、適切な場合には、その他の伝統的な内部統制が整備されていることを確認すべきである。これらのコントロールの例は以下の通りである:

a) Clearly established authorities and/or processes for approval.

a) 承認のための権限および/またはプロセスを明確に設定する。

b) Close monitoring of adherence to assigned risk thresholds or limits.

b) 与えられたリスク閾値または限度額の遵守を綿密にモニタリングする。

c) Safeguards for access to, and use of, bank assets and records.

c) 銀行資産および記録へのアクセスおよびその使用に対する保護措置

d) Appropriateness of staffing level and training to maintain technical expertise.

d) 技術的専門知識を維持するための適切な人員配置レベル及び訓練

e) Ongoing processes to identify business units or products where returns appear to be out of line with reasonable expectations.

e) 返戻が合理的な期待から外れていると思われる事業部門または商品を識別するための継続的なプロセス。

f) Regular verification and reconciliation of transactions and accounts.

f) 取引および口座の定期的な検証および照合

g) Vacation policy that provides for officers and employees being absent from their duties for a period of not less than two consecutive weeks.

g) 連続2週間以上の期間、役員および従業員が職務を離れることを定めた休暇方針。

52. Effective use and sound implementation of technology can contribute to the control environment. For example, automated processes are less prone to error than manual processes. However, automated processes introduce risks that must be addressed through sound technology governance and infrastructure risk management programmes.

52. テクノロジーの効果的な使用と健全な導入は、統制環境に貢献する。例えば、自動化されたプロセスは、手動のプロセスよりもエラーの可能性が低い。しかし、自動化されたプロセスは、健全なテクノロジー・ガバナンスとインフラストラクチャ・リスク管理プログラムを通じて対処されなければならないリスクをもたらす。

53. The use of technology related products, activities, processes and delivery channels exposes a bank to operational risk and the possibility of material financial loss. Consequently, a bank should have an integrated approach to identifying, measuring, monitoring and managing technology risks along the same precepts as operational risk management.

53. テクノロジーに関連した商品、活動、プロセス、デリバリー・チャネルの利用は、銀行をオペレーショナル・リスクと重大な財務的損失の可能性にさらす。従って、銀行は、オペレーショナル・リスク管理と同じ考え方に沿って、テクノロジー・リスクの識別、測定、モニタリング、マネジメントを統合的に行うべきである。

54. While recourse to entities such as, but not limited to third-party service providers can help manage costs, provide expertise, expand product offerings, and improve services, it also introduces risks that management should address. The board of directors and senior management are responsible for understanding the operational risks associated with outsourcing arrangements and ensuring that effective risk management policies and practices are in place to manage the risk in outsourcing activities. Amongst others, the concentration of risk and the complexity of outsourcing should be taken into account. Thirdparty risk policies (as a part of the ORMFs policies) and risk management activities should encompass:

54. サードパーティ・サービス・プロバイダーのような事業体への依存は (これに限定されないが) 、コスト管理、専門知識の提供、商品提供の拡大、サービス改善に役立つ一方で、マネジメントが対処すべきリスクももたらす。取締役会およびシニア・マネジメントは、アウトソーシングに関連するオペレーショナル・リスクを理解し、アウトソーシング活動におけるリスクを管理するための効果的なリスク管理方針および慣行が整備されていることを確認する責任がある。特に、リスクの集中やアウトソーシングの複雑性を考慮する必要がある。サードパーティリスク方針 (ORMFの方針の一部として) およびリスク管理活動は、以下を包含すべきである:

a) Procedures for determining whether and how activities can be outsourced.

a) 業務の外部委託の可否および方法を決定するための手順

b) Processes for conducting due diligence in the selection of potential service providers.

b) サービスプロバイダー候補の選定におけるデューデリジェンス実施プロセス。

c) Sound structuring of the outsourcing arrangement, including ownership and confidentiality of data, as well as termination rights.

c) データの所有権、機密性、解約権を含む、アウトソーシングの健全な構造化。

d) Programmes for managing and monitoring the risks associated with the outsourcing arrangement, including the financial condition of the service provider.

d) サービスプロバイダーの財務状況を含め、アウトソーシングに関連するリスクをマネジメント・モニタリングするためのプログラム。

e) Establishment of an effective control environment at the bank and the service provider, that should include a register of outsourced activities and metrics and reporting to faciliate oversight of the service provider.

e) 銀行とプロバイダにおける効果的な統制環境の確立。この環境には、アウトソーシング業務の登録簿、サービス・プロバイダの監視を容易にするための評価基準や報告書が含まれるべきである。

f) Development of viable contingency plans.

f) 実行可能なコンティンジェンシープランの策定。

g) Execution of comprehensive contracts and/or service level agreements with a clear allocation of responsibilities between the outsourcing provider and the bank.

g) アウトソーシング・プロバイダーと銀行間の明確な責任分担を伴う包括的な契約および/またはサービスレベル契約の締結。

h) Banks supervisory and resolution authorities access to third parties.

h) 銀行の監督当局および破綻処理当局によるサードパーティへのアクセス。

55. In those circumstances where internal controls do not adequately address risk and exiting the risk is not a reasonable option, management can complement controls by seeking to transfer the risk to another party such as through insurance. The board of directors should determine the maximum loss exposure the bank is willing and has the financial capacity to assume, and should perform an annual review of the bank's risk and insurance management programme. While the specific insurance or risk transfer needs of a bank should be determined on an individual basis, many jurisdictions have regulatory requirements that must be considered.

55. 内部統制がリスクに適切に対処できず、リスクから撤退することが合理的な選択肢ではない状況においては、マネジメントは、保険などを通じてリスクを他者に移転することにより、コントロールを補完することができる。取締役会は、銀行が引き受ける意思と財務能力を有する最大損失エクスポージャーを決定し、銀行のリスク管理と保険マネジメントプログラムの年次レビューを行うべきである。銀行の具体的な保険やリスク移転のニーズは個別に決定されるべきであるが、多くの法域では、考慮しなければならない規制要件がある。

56. Because risk transfer is an imperfect substitute for sound controls and risk management programmes, banks should view risk transfer tools as complementary to, rather than a replacement for, thorough internal operational risk control. Having mechanisms in place to quickly identify, recognise and rectify distinct operational risk errors or specific legal risk exposure - can greatly reduce exposures. Careful consideration also needs to be given to the extent to which risk mitigation tools such as insurance truly reduce risk, transfer the risk to another business sector or area, or create a new risk (eg counterparty risk).

56. リスク移転は健全なコントロールとリスク管理プログラムの不完全な代替物であるため、銀行はリスク移転手段を徹底した内部オペレーショナル・リスク・コントロールの代替物ではなく補完的なものと考えるべきである。明確なオペレーショナル・リスク・エラー、あるいは特定の法的リスク・エクスポージャーを迅速に識別し、認識し、是正する仕組みがあれば、エクスポージャーを大幅に削減することができる。また、保険などのリスク低減手段が真にリスクを低減させるのか、リスクを他の事業部門や分野に移転させるのか、新たなリスク (カウンターパーティーリスクなど) を発生させるのか、その程度についても慎重に検討する必要がある。

57. Banks should have unified classification, methodology, and procedures of operational risk management established by the CORF.

57. 銀行は、CORFが定めるオペレーショナル・リスク管理の統一された分類、方法論、手続を有するべきである。

Information and communication technology

情報コミュニケーション技術 (ICT)

Principle 10: Banks should implement a robust ICT risk management programme in alignment with their operational risk management framework.

原則10:銀行は、オペレーショナル・リスク管理の枠組みに沿って、堅固な情報コミュニケーション技術 (ICT) リスク管理プログラムを実施すべきである。

58. Effective ICT performance and security are paramount for a bank to conduct its business properly. The appropriate use and implementation of sound ICT risk management contributes to the effectiveness of the control environment and is fundamental to the achievement of a banks strategic objectives. A banks ICT risk assessment should ensure that its ICT fully supports and facilitates its operations. ICT risk management should reduce a banks operational risk exposure to direct losses, legal claims, reputational damage, ICT disruption and misuse of technology in alignment with its risk appetite and tolerance statement.

58. 銀行が業務を適切に遂行するためには、効果的なICTのパフォーマンスとセキュリティが最も重要である。健全なICTリスク管理の適切な使用と実施は、統制環境の有効性に寄与し、銀行の戦略的目標の達成の基礎となる。銀行のICTリスクアセスメントは、ICTがその業務を完全にサポートし、促進することを保証すべきである。ICTリスク管理は、銀行のリスク選好度および許容度声明に沿った形で、直接的な損失、法的請求、評判への損害、ICTの混乱、テクノロジーの悪用に対する銀行のオペレーショナル・リスクのエクスポージャーを低減すべきである。

59. ICT risk management includes:

59. ICTリスク管理には以下が含まれる:

a) ICT risk identification and assessment.

a) ICTリスクの識別とアセスメント。

b) ICT risk mitigation measures consistent with the assessed risk level (eg cybersecurity, response and recovery programmes, ICT change management processes, ICT incident management processes, including relevant information transmission to users on a timely basis).

b) 評価されたリスクレベルと整合するICTリスク低減策 (例えば、サイバーセキュリティ、対応および復旧プログラム、ICT変更マネジメントプロセス、ICTインシデントマネジメントプロセス、タイムリーなユーザーへの関連情報の伝達を含む)

c) Monitoring of these mitigation measures (including regular tests).

c) これら軽減策の低減のモニタリング (定期的なテストを含む)

60. To ensure data and systems confidentiality, integrity and availability, the board of directors should regularly oversee the effectiveness of the banks ICT risk management and senior management should routinely evaluate the design, implementation and effectiveness of the banks ICT risk management. This requires regular alignment of the business, risk management and ICT strategies to be consistent with the banks risk appetite and tolerance statement as well as with privacy and other applicable laws. Banks should continuously monitor its ICT and regularly report to senior management on ICT risks, controls and events.

60. データ及びシステムの機密性、完全性及び可用性を確保するために、取締役会は、銀行のICTリスク管理の有効性を定期的に監督し、シニア・マネジメントは、銀行のICTリスク管理の設計、実施及び有効性を定期的に評価すべきである。そのためには、銀行のリスク選好度や許容範囲、プライバシーやその他の適用法に合致するよう、事業戦略、リスク管理戦略、ICT戦略を定期的に整合させる必要がある。銀行は、ICTを継続的にモニターし、ICTリスク、コントロール、事象について定期的にシニア・マネジメントに報告すべきである。

61. ICT risk management together with complementing processes set by the banks should:

61. ICTリスク管理は、銀行が設定する補完的プロセスとともに、以下のことを行うべきである:

a) be reviewed on a regular basis for completeness against relevant industry standards and best practices as well as against evolving threats (eg cyber) and evolving or new technologies;

a) 関連する業界標準やベストプラクティスに照らして、また、進化する脅威 (サイバーなど) や進化する技術、新技術に照らして、定期的に完全性をレビューする;

b) be regularly tested as part of a programme to identify gaps against stated risk tolerance objectives and facilitate improvement of the ICT risk identification, protection, detection and event management; and

b) 明示されたリスク許容目標に対するギャップを特定し、ICTリスクの識別、保護、検知、及びイベントマネジメントの改善を促進するためのプログラムの一環として、定期的にテストされること。

c) make use of actionable intelligence to continuously enhance their situational awareness of vulnerabilities to ICT systems, networks and applications and facilitate effective decision making in risk or change management.

c) ICTシステム、ネットワーク及びアプリケーションの脆弱性に関する状況認識を継続的に強化し、リスク管理又は変更マネジメントにおける効果的な意思決定を促進するために、実用的なインテリジェンスを活用すること。

62. Banks should develop approaches to ICT readiness for stressed scenarios from disruptive external events, such as the need to facilitate the implementation of wide-scale remote-access, rapid deployment of physical assets and/or significant expansion of bandwidth to support remote user connections and customer data protection. Banks should ensure that:

62. 銀行は、広範なリモートアクセスの導入、物理的資産の迅速な展開、及び/又はリモートユーザー接続及び顧客データ保護をサポートするための帯域幅の大幅な拡張を促進する必要性など、破壊的な外部事象によるストレスシナリオに対するICT準備へのアプローチを開発すべきである。銀行は以下を徹底すべきである:

a) appropriate risk mitigation strategies are developed for potential risks associated with a disruption or compromise of ICT systems, networks and applications. Banks should evaluate whether the risks, taken together with these strategies, fall within the banks risk appetite and risk tolerance;

a) ICTシステム、ネットワーク及びアプリケーションの中断又は危殆化に関連する潜在的リスクについて、適切なリスク低減戦略が策定されている。銀行は、リスクとこれらの戦略を総合して、銀行のリスク選好度およびリスク許容度の範囲内にあるかどうかを評価すべきである;

b) well defined processes for the management of privileged users and application development are in place; and

b) 特権ユーザーの管理およびアプリケーション開発のための、十分に定義されたプロセスが整備されている。

c) regular updates are made to ICT including cyber security in order to maintain an appropriate security posture.

c) 適切なセキュリティ態勢を維持するために、サイバーセキュリティを含むICTに対して定期的なアップデートが行われている。

Business continuity planning

事業継続計画

Principle 11: Banks should have business continuity plans in place to ensure their ability to operate on an ongoing basis and limit losses in the event of a severe business disruption. Business continuity plans should be linked to the banks operational risk management framework.

原則11:銀行は、継続的な業務遂行能力を確保し、深刻な事業中断の際の損失を限定するため、事業継続計画を策定すべきである。事業継続計画は、銀行のオペレーショナル・リスク管理のフレームワークと連動すべきである。

63. Sound and effective governance of banks business continuity policy requires:

63. 銀行の事業継続方針の健全かつ効果的なガバナンスには以下が必要である:

a) Regular review and approval by the board of directors.

a) 取締役会による定期的な見直しと承認。

b) The strong involvement of the senior management and business units leaders in its implementation.

b) シニア・マネジメントと事業部門のリーダーがその実施に強く関与すること。

c) The commitment of the first and second lines of defence to its design.

c) その設計に対する第一および第二防衛ラインのコミットメント。

d) Regular review by the third line of defence.

d) 第三防衛ラインによる定期的な見直し

64. Banks should prepare forward-looking business continuity plans (BCP) with scenario analyses associated with relevant impact assessments and recovery procedures:

64. 銀行は、関連する影響評価と復旧手続きに関連するシナリオ分析とともに、将来を見据えた事業継続計画 (BCP) を準備すべきである:

a) A bank should ground its business continuity policy on scenario analyses of potential disruptions that identify and categorise critical business operations and key internal or external dependencies. In doing so, banks should cover all their business units as well as critical providers and major third parties (eg central banks, clearing house).

a) 銀行は、重要な業務と主要な内部または外部依存関係を特定・分類した、潜在的なディスラプションのシナリオ分析に基づき、事業継続方針を策定すべきである。その際、銀行は、重要なプロバイダや主要なサードパーティ (中央銀行、清算機関など) だけでなく、すべての事業部門をカバーすべきである。

b) Each scenario should be subject to a quantitative and qualitative impact assessment or business impact analysis (BIA) with regards to its financial, operational, legal and reputational consequences.

b) 各シナリオは、その財務的、業務的、法的、風評的な影響に関して、定量的・定性的な影響評価または事業影響分析 (BIA) の対象とすべきである。

c) Disruption scenarios should be subject to thresholds or limits (such as maximum tolerable outage) for the activation of a business continuity procedure. The procedure should address resumption aspects, set recovery time objectives (RTO) and recovery point objectives (RPO) as well as communication guidelines for informing management, employees, regulatory authorities, customers, suppliers, and where appropriate civil authorities.

c) 混乱シナリオは、事業継続手順を発動するための閾値または限度 (最大許容停止時間など) の対象となるべきである。その手順は、再開の側面、復旧時間目標 (RTO) および復旧時点目標 (RPO) の設定、ならびに経営陣、従業員、規制当局、顧客、サプライヤー、および (適切な場合には) 市民当局に通知するためのコミュニケーションガイドラインを扱うべきである。

65. A bank should periodically review its business continuity plans and policies to ensure that contingency strategies remain consistent with current operations, risks and threats. Training and awareness programmes should be customised based on specific roles to ensure that staff can effectively execute contingency plans. Business continuity procedures should be tested periodically to ensure that recovery and resumption objectives and timeframes can be met. Where possible, a bank should participate in business continuity testing with key service providers. Results of formal testing and review activities should be reported to senior management and the board of directors.

65. 銀行は、事業継続計画と方針を定期的に見直し、不測の事態に対する戦略が現在の業務、リスク、脅威と整合性を保っていることを確認すべきである。意識向上およびトレーニングプログラムは、行員が効果的にコンティンジェンシープランを実行できるように、特定の役割に基づいてカスタマイズされるべきである。事業継続手順は定期的にテストされ、復旧・再開の目標と時間枠が達成できることを確認すべきである。可能であれば、銀行は主要なサービスプロバイダーと共に事業継続テストに参加すべきである。正式なテストおよびレビュー活動の結果は、シニア・マネジメントおよび取締役会に報告されるべきである。

Role of disclosure

情報開示の役割

Principle 12: A banks public disclosures should allow stakeholders to assess its approach to operational risk management and its operational risk exposure.

原則12:銀行の公開情報により、利害関係者は、オペレーショナル・リスク管理に対するアプローチとオペレーショナル・リスク・エクスポージャーを評価できるようにすべきである。

66. A banks public disclosure of relevant operational risk management information can lead to transparency and the development of better industry practice through market discipline. The amount and type of disclosure should be commensurate with the size, risk profile and complexity of a banks operations, and evolving industry practice.

66. 銀行が関連するオペレーショナル・リスク管理情報を公開することは、透明性を高め、市場規律を通じてより良い業界慣行を発展させることにつながる。情報開示の量と種類は、銀行の規模、リスクプロファイル、業務の複雑性、及び進化する業界慣行に見合ったものであるべきである。

67. Banks should disclose relevant operational risk exposure information to their stakeholders (including significant operational loss events), while not creating operational risk through this disclosure (eg description of unaddressed control vulnerabilities). , A bank should disclose its ORMF in a manner that allows stakeholders to determine whether the bank identifies, assesses, monitors and controls/mitigates operational risk effectively.

67. 銀行は、ステークホルダーに対し、関連するオペレーショナル・リスク・エクスポージャー情報 (重要なオペレーショナル・ロス事象を含む) を開示すべきである。銀行は、利害関係者が、銀行がオペレーショナル・リスクを効果的に識別、アセスメント、モニタリングし、管理・対処しているかどうかを判断できるような方法で、ORMFを開示すべきである。

68. Banks should have a formal disclosure policy that is subject to regular and independent review and approval by the senior management and the board of directors. The policy should address the banks approach for determining what operational risk disclosures it will make and the internal controls over the disclosure process. In addition, banks should implement a process for assessing the appropriateness of their disclosures and disclosure policy.

68. 銀行は、シニア・マネジメント及び取締役会による定期的かつ独立したレビューと承認の対象となる、正式な開示方針を持つべきである。当該方針は、銀行がどのようなオペレーショナル・リスクの開示を行うかを決定するためのアプローチと、開示プロセスに関する内部統制に言及すべきである。さらに、銀行は、開示内容と開示方針の適切性を評価するプロセスを導入すべきである。

Role of supervisors

監督当局の役割

69. Supervisors should regularly assess banks ORMF by evaluating banks policies, processes and systems related to operational risk. Supervisors should ensure that there are appropriate mechanisms in place allowing them to remain apprised of banks operational risk developments.

69. 監督当局は、オペレーショナル・リスクに関する銀行の方針、プロセス、システムを評価することにより、銀行のORMFを定期的に評価すべきである。監督当局は、銀行のオペレーショナル・リスクの動向を常に把握できるような適切なメカニズムがあることを確保すべきである。

70. Supervisory evaluations of operational risk should include all areas described in the Principles for the sound management of operational risk. Where banks are part of a financial group, supervisors should ensure that there are processes in place to ensure that operational risk is managed in an appropriate and integrated manner across the group. In assessing banks ORMF, cooperation and exchange of information with other supervisors, in accordance with established procedures, may be necessary. In certain circumstances, supervisors may choose to use external auditors in these assessment processes.

70. 監督当局によるオペレーショナル・リスクの評価には、オペレーショナル・リスクの健全なマネジメントのための原則に記載されている全ての分野を含めるべきである。銀行が金融グループの一員である場合、監督当局は、オペレーショナル・リスクがグループ全体で適切かつ統合的に管理されることを確保するためのプロセスが存在することを確認すべきである。銀行のORMFを評価する際には、確立された手続に従って、他の監督当局との協力や情報交換が必要となる場合がある。状況によっては、監督当局は、これらの評価プロセスにおいて外部監査人を利用することを選択することができる。

71. Supervisors should take steps to ensure that banks address deficiencies identified through the supervisory review of banks ORMF. Supervisors should use the tools most suited to the particular circumstances of banks and their operating environment. To ensure that supervisors receive current information on operational risk, supervisors may wish to establish reporting mechanisms directly with banks and external auditors (eg internal bank management reports on operational risk could be made routinely available to supervisors).

71. 監督当局は、銀行が銀行のORMFの監督当局によるレビューを通じて特定された不備に対処することを確保するための措置をとるべきである。監督当局は、銀行の特殊な状況や経営環境に最も適した手段を用いるべきである。監督当局がオペレーショナル・リスクに関する最新の情報を受け取ることを確保するため、監督当局は、銀行や外部監査人と直接報告する仕組みを構築することを望むかもしれない (例えば、オペレーショナル・リスクに関する銀行内部のマネジメント・レポートを監督当局が日常的に入手できるようにする)

72. Supervisors should encourage banks ongoing internal development efforts by monitoring, comparing and evaluating banks recent improvements and plans for prospective developments.

72. 監督当局は、銀行の最近の改善や今後の開発計画をモニタリング、比較、評価することで、銀行の継続的な内部開発努力を奨励すべきである。

 

[1]  BCBS, Review of the Principles for Sound Management of Operational Risk, October 2014, www.bis.org/publ/bcbs292.pdf.

[1] BCBS, オペレーショナル・リスクの健全なマネジメントのための諸原則の見直し, October 2014, www.bis.org/publ/bcbs292.pdf.

[2]  Conduct and legal risks (including risks associated with money laundering or terrorist financing) remain important concerns. In this context, financial institutions should continue to improve their ability to manage operational risk.

[2] 行為リスクと法的リスク(マネーロンダリングやテロ資金供与に関連するリスクを含む)は依然として重要な懸念事項である。こうした観点から、金融機関はオペレーショナル・リスクの管理能力を引き続き改善すべきである。

[3]  BCBS, Basel III: finalising post-crisis reforms, December 2017, www.bis.org/bcbs/publ/d424.pdf.

[3] BCBS, Basel III: 金融危機後の改革の最終決定, December 2017, www.bis.org/bcbs/publ/d424.pdf.

[4]  Operational resilience is defined as the ability of a bank to deliver critical operations through disruption. This ability enables a bank to identify and protect itself from threats and potential failures, respond and adapt to, as well as recover and learn from disruptive events in order to minimise their impact on the delivery of critical operations through disruption. In considering its operational resilience, a bank should assume that disruptions will occur, and take into account its overall risk appetite and tolerance for disruption. In the context of operational resilience, the Committee defines tolerance for disruption as the level of disruption from any type of operational risk a bank is willing to accept given a range of severe but plausible scenarios. For more details, refer to BCBS, Principles for operational resilience, March 2021, www.bis.org/bcbs/publ/d516.htm.

[4] 「オペレーショナル・レジリエンス」は、銀行が混乱を通じて重要な業務を遂行する能力と定義される。この能力は、銀行が脅威や潜在的な障害から自らを特定し、保護し、破壊的な事象に対応し、適応し、また、破壊的な事象から回復し、学習することで、混乱を通じて重要な業務の提供への影響を最小化することを可能にする。オペレーショナル・レジリエンスを検討する際、銀行は混乱が起こることを想定し、その全体的な リスク選好度と混乱に対する許容度を考慮に入れるべきである。オペレーショナル・レジリエンスの文脈では、委員会は、「混乱に対する許容度」を、銀行が、深刻ではあるが、もっともらしいシナリオの範囲を想定した場合に、どのような種類のオペレーショナル・リスクによる混乱も受け入れたいと考えるレベルとして定義している。詳細は、BCBS, Principles for operational resilience, March 2021, www.bis.org/bcbs/publ/d516.htm を参照されたい。

[5]  The term business unit is meant broadly to include all associated support, corporate and/or shared service functions, eg Finance, Human Resources, and Operations and Technology. Risk Management and Internal Audit are not included unless otherwise specifically indicated.

[5] 「事業部門」という用語は、財務、人事、オペレーションズ、テクノロジーなど、関連するサ ポート機能、コーポレート機能、および/またはシェアードサービス機能をすべて含む広義 の意味である。リスクマネジメントと内部監査は、特に明記されない限り含まれない。

[6]  In addition to an independent Operational Risk Management function, the second line of defense also typically includes a Compliance function.

[6] 独立したオペレーショナル・リスクマネジメント機能に加え、第二の防衛ラインには、通常、コンプラ イアンス機能も含まれる。

[7]  Independent assurance includes verification and validation: verification of the ORMF is done on a periodic basis and is typically conducted by the bank's internal and/or external audit, but may involve other suitably qualified independent third parties from external sources. Verification activities test the effectiveness of the overall ORMF, consistent with policies approved by the board of directors, and also test validation processes to ensure they are independent and implemented in a manner consistent with established bank policies. Validation ensures that the quantification systems used by the bank are sufficiently robust and provide assurance of the integrity of inputs, assumptions, methodologies, processes and outputs. Validation is critical for a well functioning ORMF.

[7] 独立した保証には、検証及び妥当性確認が含まれる。ORMFの検証は、定期的に行われ、通常、銀行の内部監査及び/又は外部 監査が実施するが、外部の適切な資格を有する独立したサードパーティが参加することもある。検証活動は、取締役会により承認された方針と整合するORMF全体の有効性をテストし、ま た、検証プロセスが独立したものであり、銀行の確立された方針と整合する方法で実施され ていることを確認するために、検証プロセスをテストする。バリデーションは、銀行が使用する定量化システムが十分に堅牢であり、インプット、前提条件、 方法論、プロセス、アウトプットの完全性を保証するものである。バリデーションは、ORMF が十分に機能するために不可欠である。

[8]  See BCBS, Cyber resilience: range of practices, December 2018, https://www.bis.org/bcbs/publ/d454.pdf,

[8] BCBS, サイバーレジリエンス:さまざまな実践例, December 2018, https://www.bis.org/bcbs/publ/d454.pdf を参照

[9]  In complex banking structures, relevant business units are likely to include support functions such as information systems departments.

[8] 複雑な銀行構造では、「関連する業務部門」には情報システム部門などのサポート機能が含まれる可能性が高い。

[10]  Operational risk profiles describe the operational risk exposures and control environment assessments of business units and consider the range of potential impacts that could arise from estimates of expected to severe losses. Profiles generally provide management and the board of directors with a representation of operational risk exposures at a level which supports their decision-making and oversight responsibilities.

[10] オペレーショナル・リスク・プロファイルは、ビジネスユニットのオペレーショナル・リスク・エクスポージャーとコントロール環境のアセスメントを記述し、予想される損失から深刻な損失までの見積もりから生じ得る潜在的な影響の範囲を検討するものである。一般に、プロファイルは、経営陣及び取締役会に対して、意思決定及び監督責任を支援するレベルでオペレーショナルリスクエクスポージャーを示すものである。

[11]  This paper refers to a management structure composed of a board of directors and senior management. The Committee is aware that there are significant differences in legislative and regulatory frameworks across countries regarding the functions of the board of directors and senior management. In some countries, the board has the main, if not exclusive, function of supervising the executive body (senior management, general management) so as to ensure that the latter fulfils its tasks. For this reason, in some cases, it is known as a supervisory board. This means that the board has no executive functions. In other countries, the board has a broader competence in that it lays down the general framework for the management of the bank. Owing to these differences, the terms board of directors and senior management are used in this paper not to identify legal constructs but rather to label two decision-making functions within a bank.

[11] 本稿では、取締役会と上級管理職からなる経営構造について言及している。委員会は、取締役会及び上級管理職の機能に関して、国によって法制上及び規制上の枠組 みに大きな違いがあることを認識している。一部の団体では、取締役会は、執行機関(シニア・マネジメント、一般マネジメント)がその任務を確実に遂行できるよう監督するという、排他的ではないにせよ、主な機能を有している。このため、監督委員会と呼ばれる場合もある。これは、取締役会が執行機能を持たないことを意味する。他の国では、取締役会は銀行経営の大枠を決めるという意味で、より広範な権限を持つ。このような違いがあるため、本稿では、「取締役会」と「シニア・マネジメント」という用語は、法的構成を特定するためではなく、むしろ銀行内の2つの意思決定機能を示すために用いている。

[12]  See also BCBS, Report on the range of methodologies for the risk and performance alignment of remuneration, May 2011; Financial Stability Forum, Principles for sound compensation practices, April 2009; Financial Stability Board, FSB principles for sound compensation practices implementation standards, September 2009; and the Financial Stability Boards toolkit Strengthening Governance Frameworks to Mitigate Misconduct Risk, April 2018.

[12] BCBS, 金融安定化フォーラム「健全な報酬慣行のための原則」(20094月)、金融安定理事会「健全な報酬慣行のためのFSB原則-実施標準」(20099月)、金融安定理事会のツールキット「不祥事リスク低減のためのガバナンス・フレームワークの強化」(20115月), April 2018 も参照のこと。

[13]  An inconsistent taxonomy of operational risk terms may increase the likelihood of failure to identify and categorise risks, or failure to allocate responsibility for the assessment, monitoring, control and mitigation of risks. For the particular case of cyber risk, the Financial Stability Boards Cyber Lexicon, published in November 2018, should be used as a starting point.

[13] オペレーショナル・リスクの用語の分類法に一貫性がない場合、リスクの識別と分類に失敗したり、リスクのアセスメント、モニタリング、コントロール及び低減のための責任配分に失敗したりする可能性が高まる可能性がある。サイバーリスクという特殊なケースについては、201811月に公表された金融安定理事会の「サイバー・レキシコン(Cyber Lexicon)」を出発点として使用すべきである。

[14]  See also BCBS, Principles for enhancing corporate governance, October 2010.

[14] BCBS, コーポレート・ガバナンス強化のための諸原則, October 2010も参照のこと。

[15]  See the Committees 2006 International Convergence of Capital Measurement and Capital Standards: A Revised Framework - Comprehensive Version; paragraph 718(xci).

[15] 委員会の2006年版「資本測定と資本標準の国際的コンバージェンス」を参照のこと: パラグラフ 718(xci)を参照のこと。

[16]  See the Committees 2015 Corporate governance guidelines, which use the FSBs 2013 Principles for an effective risk appetite framework definition of risk appetite: the aggregate level and types of risk a bank is willing to assume, decided in advance and within its risk capacity, to achieve its strategic objectives and business plan. Risk tolerance is the variation around the prescribed risk appetite that the bank is willing to tolerate. 

[16] 当委員会の2015年コーポレート・ガバナンス・ガイドラインを参照。同ガイドラインは、FSB2013年リスク選好フレームワークのための原則を使用している。「リスク許容度」とは、銀行が許容してもよいと考える、所定のリスク許容度周辺のばらつきのことである。

[17]  See the Committees 2015 Corporate governance principles for banks for additional requirements on the Committee composition.

[17] 委員会の構成に関する追加要件については、委員会の2015年銀行向けガバナンス原則を参照のこと。

[18]  This list is not comprehensive and does not reflect the full diversity of sophistication of possible analyses. It should be seen as indicative (and not limitative).

[18] このリストは包括的ではなく、可能な分析の高度化の多様性を完全に反映したものではない。このリストは、(限定的なものではなく)示唆的なものである。

[19]  These controls and procedures should be consistent with and conducted alongside the identification of threats and vulnerabilities as part of a banks operational resilience approach as articulated in Principle 2 in the Committees Principles for operational resilience, March 2021.

[19] これらの管理及び手続は、20213月に公表された委員会の「オペレーショナル・レジリエンスのための原則」の原則2に明示されているように、銀行のオペレーショナル・レジリエンス・アプローチの一環として、脅威及び脆弱性の特定と整合的であり、これと並行して実施されるべきである。

[20]  The life cycle of a product or service encompasses various stages from the development, ongoing changes, grandfathering and closure. Indeed, the level of risk may escalate for example when new products, activities, processes, or systems transition from an introductory level to a level that represents material sources of revenue or business-critical operations.

[20] 商品やサービスのライフサイクルは、開発、継続的な変更、グランドファザリング、閉鎖に至る様々な段階を包含する。実際、リスクのレベルは、例えば、新製品、活動、プロセス又はシステムが、導入レベルから、重要な収益源又はビジネスクリティカルな業務の代表者を表すレベルに移行するときに、エスカレートする可能性がある。

[21]  Reporting should be consistent with the Committees Principles for effective risk data aggregation and risk reporting (https://www.bis.org/publ/bcbs239.pdf).

[21] 報告は、委員会の「効果的なリスクデータ集計とリスク報告に関する原則」(https://www.bis.org/publ/bcbs239.pdf)と整合的であるべきである。

[22]  The Committees paper Framework for Internal Control Systems in Banking Organisations, September 1998, discusses internal controls in greater detail.

[22] 委員会のペーパー「銀行組織における内部統制システムのフレームワーク」(19989月)は、内部統制についてより詳細に論じている。

[23]  For example, where a supposedly low risk, low margin trading activity generates high returns that could call into question whether such returns have been achieved as a result of an internal control breach.

[23] 例えば、低リスク、低マージンであるはずのトレーディング活動が高リターンを生み出 した場合、そのようなリターンが内部統制違反の結果として達成されたものであるかどうかが 疑問視される可能性がある。

[24]  These risk policies and risk management activities should be consistent with and conducted alongside the critical operations management and dependency management for operational resilience. Basel Committee on Banking Supervision, Principles for operational resilience, March 2021.

[24] こうしたリスク方針およびリスクマネジメント活動は、オペレーショナル・レジリエンス のためのクリティカル・オペレーション・マネジメントおよびディペンデンシー・マネジメ ントと整合的であり、これらと並行して実施されるべきである。バーゼル銀行監督委員会、オペレーショナル・レジリエンスのための原則、2021 3 月。

[25]  Information and communication technology refers to the underlying physical and logical design of information technology and communication systems, the individual hardware and software components, data, and the operating environments.

[25] 「情報コミュニケーション技術」とは、情報技術及びコミュニケーション・システムの基本的な物理的及び論理的設計、個々のハードウ ェア及びソフトウェアのコンポーネント、データ、並びに運用環境を指す。

[26]  The Committees paper High-level principles for business continuity, August 2006, discusses sound continuity principles in greater detail.

[26] 20068月に発表された当委員会の論文「事業継続のためのハイレベル原則」では、健全な事業継続の諸原則についてより詳細に論じている。

[27]  Business continuity planning should be consistent with and conducted alongside the business continuity planning and testing of critical operations as specified in the principles for operational resilience. BCBS, Principles for operational resilience, March 2021. 

[27] 事業継続計画は、オペレーショナル・レジリエンスの原則に規定されている重要業務の事業継続計画及びテストと整合的であり、これと並行して実施されるべきである。BCBS、オペレーショナル・レジリエンスの原則、20213月。

[28]  Internationally active banks are required to comply with the Basel III Pillar 3 operational risk disclosure requirements.

[28] 国際的に活動する銀行は、バーゼルIIIの第3の柱であるオペレーショナル・リスクの開示要件を遵守することが求められている。

[29]  The recommendation to disclose significant operational loss events does not include disclosure of confidential and proprietary information, including information about legal reserves.

[29] 重要なオペレーショナル・ロス事象の開示の推奨には、法定準備金に関する情報を含む機密情報及び専有情報の開示は含まれない。

[30]  Refer to the Committees papers High-level principles for the cross-border implementation of the New Accord, August 2003, and Principles for home-host supervisory cooperation and allocation mechanisms in the context of Advanced Measurement Approaches (AMA), November 2007.

[30] 当委員会のペーパー「新協定のクロスボーダー導入のためのハイレベル原則」(2003 8 月)及び「先進的計測手法(AMA)の文脈における自国の監督当局の協力及び配分メカニズ ムのための原則」(2007 11 月)を参照のこと。

[31]  For further discussion, see the Committees paper The relationship between banking supervisors and banks external auditors, January 2002.

[31] 詳細については、20021月の当委員会のペーパー「銀行監督当局と銀行の外部監査人の関係」を参照のこと。