リスク管理

基本的な考え方

当社グループでは、リスクカルチャーを醸成・浸透させていくために、以下の基本方針にもとづきリスク管理をおこなっています。

  • 当社グループは、景気変動などの悪影響を最小限にとどめ、地域から信頼される金融グループとして安定・継続して金融サービスを提供していくため、適切なリスク管理をおこないます。
  • グループ全体のリスクを可能な限り統合的に識別、評価、モニタリング、コントロールすることにより経営の健全性を確保し、経営資源の適切な配分を通じてリスクに見合った安定収益の確保をはかります。
  • 客観性を確保し、リスク間の相互作用を考慮するため、各種リスクを計量化し、統合的な管理に努めます。

リスク管理態勢

コンコルディア・フィナンシャルグループでは、子会社(横浜銀行・東日本銀行)がリスク種類ごとにリスクの統括部署および管理部署を設置しリスクを管理するとともに、持株会社がグループ全体のリスクを統合的に管理しています。
具体的には子会社は、リスクプロファイルに応じた適切なリスク管理をおこなったうえで、リスクの状況について持株会社に報告し、持株会社は、子会社に対し必要な指導をおこなうとともに、ALM・リスク管理会議(経営会議)において、各種リスクおよびグループ全体のリスクについてモニタリング・協議・決定しています。

リスクアペタイト・フレームワーク

リスクアペタイト・フレームワーク(RAF)の導入

コンコルディア・フィナンシャルグループは、リスクガバナンスの枠組みとして、収益・リスク・資本のバランスを考慮しつつ、経営として進んで受け入れるリスクの種類と量を明確化し、モニタリングする手法である「リスクアペタイト・フレームワーク」(RAF)を導入しています。
中期経営計画および年度の予算策定にあたっては、経営として進んで受け入れる、または回避すべきリスクの種類と量を定めた「リスクアペタイト・ステートメント」(RAS)を取締役会が決定しています。
RAFの活用を通じて、予算に織り込んだリスクアセットとリターンの関係を常にモニタリングし、リスクとリターンの最適化をはかります。

リスクアペタイト・フレームワーク(RAF)の管理態勢の概要

A. 資本配賦およびリスクキャパシティに応じた上限管理

各リスクの潜在的な最大損失(リスク量)をVaR(バリュー・アット・リスク)などにより計測し、当該リスク量を自己資本のうちリスクテイクに充てられる金額の範囲内に抑えるため、リスク種類別に資本を配賦します。
また、リスクアセットについては、計測したリスクキャパシティの範囲内でリスクアペタイトを決定しています。

B. ストレステスト

グループ共通のストレスシナリオを用いて、リスク種類毎の損失を見積もり、資本や収益、リスクアセット、リスク量等への影響を計測し、予算計画上の資本の十分性および経営としてストレス時に容認できる利益水準の確保を確認することにより、リスクテイクの適切性を検証しています。

C. トップリスク管理

トップリスクを管理するため、リスクが将来顕在化する可能性を事前に捉えるための警戒指標としてKRI(Key Risk Indicator)を可能な限り設定し、継続的にモニタリングをおこない予兆の把握に努め、リスクが顕在化した場合の機動的な対応に備えています。

トップリスク

コンコルディア・フィナンシャルグループでは、経営において重要で、管理していくべきリスク事象を、「トップリスク」として定めています。
「トップリスク」については、継続的にモニタリングをおこない予兆の把握に努め、リスクが顕在化した場合の機動的な対応に備えています。

おもなトップリスク

  • 日銀の追加的金融緩和
  • サイバー攻撃による大規模な損害
  • 自然大災害発生
  • マネロン対策不備による制裁
  • 特定大口取引先の業況大幅悪化、倒産
  • 新型コロナウイルス感染拡大 など
  • 当社が認識しているリスクの一部であり、上記以外のリスクによっても経営上、特に重大な悪影響が生じる可能性があります。

危機管理

当社グループは、地震をはじめとする大規模災害やシステム障害、感染症のまん延などが発生した際に、お客さまや社員の安全、金融業務の円滑なる遂行、お客さまの財産の保全を基本原則として、危機管理態勢を整備しています。
危機事案発生時には、当社の代表取締役社長を委員長とする危機管理委員会が、必要に応じてグループ内会社に緊急時対策本部の設置を指示し、対応状況について一元的に管理する態勢としています。

新型コロナウイルスへの対応では、店頭におけるアルコールやアクリル板等対策備品の設置、お客さまへのソーシャルディスタンス確保のお願い等により、徹底した感染防止に取り組んでいます。
従業員は、基本的な感染予防策の徹底に加え、テレワークや時差出勤により職場の「密」を回避するよう努めています。
また、本部の重要業務を中心にスプリット・オペレーションを導入し、業務継続に必要な人員の確保もはかっています。

当社グループは、お客さま・関係者の健康・安全を最優先として感染拡大防止に取り組むとともに、社会機能の維持に不可欠な金融インフラとして、金融機能の維持・継続に努めていきます。

統合的なリスク管理

Ⅰ.基本的な考え

当社グループでは、グループ全体のリスクを「信用リスク」、「市場リスク」、「流動性リスク」、「オペレーショナルリスク」、「レピュテーショナルリスク」に分類・管理しています。
そのうえで、商品やサービスの開発・提供・改定や業務の外部委託に係るリスクなども含め、可能な限りリスクを統合的に識別、評価、モニタリング、コントロールすることにより経営の健全性を確保しています。
また、経営資源の適切な配分を通じてリスクに見合った安定収益の確保をはかる態勢としています。

信用リスク
信用供与(融資)先の財務状況の悪化などにより、資産の価値が減少・消失し、損失を被るリスク
市場リスク
金利、有価証券などのさまざまな市場のリスク・ファクターの変動により、保有する資産・負債の価値が変動し、損失を被るリスク
流動性リスク
予期せぬ資金の流出などにより損失を被るリスク(資金繰りリスク、市場流動性リスク)
オペレーショナルリスク
不適切な事務、システムの不備、法令等違反、自然災害、役職員の健康被害などに起因して損失を被るリスク
レピュテーショナルリスク
当社グループおよび役職員などの言動・行動の結果が、対外的なマイナスイメージを与えることなどにより損失を被るリスク

Ⅱ. 統合的なリスク管理の枠組み

資本配賦による健全性の確保

当社グループでは、各リスクの潜在的な最大損失(リスク量)をVaR(バリュー・アット・リスク)などにより計測し、当該リスク量を実質自己資本(普通株式等Tier1から繰延税金資産相当額などを控除したリスク許容限度)の範囲内に抑えるため、リスク種類別に資本配賦をおこなっています。
なお、資本配賦にあたっては、ストレス時において実質自己資本を超えることがないよう、バッファ(未配賦資本)の十分性を確認しています。

ストレス・テストによる健全性の確保

当社グループでは、バッファ(未配賦資本)の十分性評価や、リスクテイクの適切性を確認するため、ストレスシナリオを設定し、当該ストレス事象が発生した際の損失やリスク量をリスクカテゴリー横断で見積もるストレス・テストをおこなっています。
なおストレスシナリオは、過去の急激な景気後退や将来の環境変化の予測を考慮し、グループ共通で設定しています。

サイバーセキュリティ

コンコルディア・フィナンシャルグループは、お客さまの財産の保全と国の重要インフラの一部である金融システムを安定稼働させるために、サイバー攻撃に関するリスクをトップリスクの一つと位置付け、経営主導のもとに継続的にモニタリングをおこないその予兆の把握に努め、サイバーリスクが顕在化した場合の対応に備えています。

Ⅰ.サイバーセキュリティガバナンス

コンコルディア・フィナンシャルグループでは、国際標準ガイドラインであるNIST(米国立標準技術研究所)が定めるCyberSecurityFrameworkにもとづきサイバーセキュリティ対策を整備しており、戦略策定および組織態勢構築、セキュリティ強化の取り組みを推進しています。
アセスメントに加えて、ホワイトハッカーが実際に内部のシステムに侵入し脆弱性を評価するTLPT(Thread-Led Penetration Test)を実施して課題を抽出し、対策強化につなげています。

組織態勢として、ICT統括部の中にサイバーセキュリティの専門組織であるサイバーセキュリティ対策グループを設置し、取締役会や経営会議に対して適宜脅威や規制動向、それらを踏まえたセキュリティ対策、現在の状況を報告し、適切に経営判断する態勢を整備しています。
またサイバーセキュリティ業務の遂行には専門的な知識やスキルが必要なため、中途採用で数名の専門家を採用し、グループ全体のセキュリティ対策強化につなげています。

Ⅱ.インシデントレスポンス態勢

進化するサイバー攻撃の脅威に対応するために、グループ各社のCSIRTメンバーから構成される「コンコルディア・フィナンシャルグループ-CSIRT」を組成しています。
日々の脅威情報の収集・発信、攻撃検知時の調査・対応を担うとともに、NISC(内閣サイバーセキュリティセンター)や金融庁、金融ISACが主催する訓練への定期参加を通じて、政府機関、業界団体およびグループ会社との連携を確認するなど、有事に備えた態勢としています。
また基幹系システム「MEJAR(メジャー)」を運営する各地域金融機関およびNTTデータとの間で「MEJAR-CSIRT」を組成し、定期的な情報交換、態勢確認、共同訓練をおこなっています。

Ⅲ.グループ役職員やお客さま向けの教育・啓発

コンコルディア・フィナンシャルグループではサイバー攻撃への対応として、技術的な対応に加えて、グループ役職員全体のサイバーセキュリティに関するリテラシー向上が不可欠と考えており、定期的にグループ役職員全体に対して研修やメール訓練をおこなっています。
経営層向けには外部から専門家を招いて勉強会を開催しているほか、CSIRTメンバー向けに外部の専門研修への参加や専門資格の取得を推奨しています。
また近年フィッシング等による不正送金が多発していることを受けて、ホームページ上に不正送金の手口や当社名を騙った不審メール、SMS(ショートメッセージ)の事例、フィッシングサイトの立ち上げを検知した際のお客さま向け注意喚起情報などを掲載しています。