リスク・マネジメント
野村グループでは、すべての役職員が、各人の職務にかかわらず能動的にリスク管理に取り組みます。
野村グループは、重大な損失につながりかねないリスクを可能な限り特定するため、日々の業務や取り扱う商品の潜在的なリスク特性、およびリスクの影響度と蓋然性を把握することに努めます。特性の把握や、適切な管理が困難なリスクは、原則として回避します。
野村グループは、現時点では確認できていない想定外のリスクが存在することを認識します。また、私たち野村グループの役職員は、金融のプロフェッショナルとしてリスクに関する知識を深め、リスクを正しく認識・評価し、管理する企業文化の醸成に努めます。
リスク・カルチャー
野村グループのリスク管理における三つの防衛線
第一の防衛線:営業やトレーディング業務等を行う部署
第二の防衛線:リスク管理を行う部署
第三の防衛線:内部監査部署
リスク管理活動
Plan
Do
Check
Action
リスク・アペタイト・ステートメント
リスク・アペタイト・ステートメントは、野村グループのリスクに対する基本認識と取り組みを文書化したものです。経営目標の実現に向けて野村グループが経営戦略を遂行する際に、選択的に受け入れるリスクと、いかなる場合においても取ってはいけないリスクについて定めています。
リスク・アペタイト・ステートメントは、経営会議で承認され、リスク・アペタイトの運営状況は日々モニタリングされています。万一リスクの水準がリスク・アペタイトを超過した場合には、経営陣は関係者と協議し、超過解消に向けた対応を検討し、必要に応じて実行します。
2021年には、気候変動を含むESGに関する要因が、さまざまなリスクカテゴリーに大きな影響を与えると認識し、管理に取り組むと定めました。
リスク・アペタイトを設定しているカテゴリー
| 資本充実度と 手元流動性 | 野村グループは、規制上要求される水準、資本調達力、および事業環境を反映したうえで、維持すべき資本充実度と手元流動性の水準をリスク・アペタイトとして明確化しています。 |
|---|---|
| 財務リスク | 野村グループは、資本充実度と手元流動性に関するリスク・アペタイトを遵守し、経営戦略の目的と事業計画を達成するために、その範囲内において各ビジネスに財務的経営資源を配賦します。 リスクの定義 野村グループは、各ビジネスが配賦された財務的経営資源の範囲内で受け入れる財務リスクの種類と水準を、財務リスクのアペタイトとして明確化します。 財務リスクのアペタイト設定にあたっては、各ビジネスに潜在する市場リスクおよび信用リスクを、ビジネスの特性に照らし合わせて細分化し、これらの特性を捕捉するのに適切な定量的あるいは定性的な指標やプロセスを構築しています。 |
| 非財務リスク | 非財務リスクは、日常のあらゆる事業活動やプロセスに存在し、顕在化した場合には財務上の損失のみならず、野村グループや顧客、または金融市場に重大な影響を及ぼす可能性があります。そのため、野村グループのすべての役職員は、リスク・アペタイトに沿って非財務リスク管理を行い、リスクの顕在化を防ぐ責任を負っています。 |
財務リスク
| カテゴリー | 定義 |
|---|---|
| 時価変動リスク | 金利や為替、株式等、さまざまな金融市場の取引価格の変化により、資産や負債の価値が変動し損失を被るリスクをいいます。 |
| 市場流動性リスク | 市場の流動性に比べてポジションが過大であるために、その解消に追加的な取引コストがかかるリスク、または市場の急変によってポジションの解消ができなくなるリスクをいいます。 |
| デフォルト・リスク | 当社の取引相手、あるいは当社が保有する金融商品の発行体が、債務不履行、破産、または法的手続き等の結果、あらかじめ合意した条件通りに契約上の義務を履行できないことで損失を被るリスクをいいます。 |
| イベント・リスク | 内生的か外生的かにかかわらず非連続的な市場変化に起因する損失や、金融市場の変動要因以外の事由により発生しうる損失など、特殊な金融取引に伴う固有のリスクを指します。 |
| モデル・リスク | 野村グループでは、金融派生商品の評価、バリュー・アット・リスクや信用エクスポージャーなどリスク値の算出、手元流動性の推計や資産評価の検証等、さまざまな業務でモデルを用いています。 これらのモデルには、単純化に伴う不確実性やモデルが前提とする市場環境における変化、あるいは誤ったモデルの使用などの要因によって、財務上の損失につながるリスク、あるいは規制要件を満たせなくなるなどのリスクが伴います。このようなリスクをモデル・リスクと呼びます。 |
非財務リスク
オペレーショナル・リスク
オペレーショナル・リスクとは、内部プロセス・システム・役職員の行動が不適切であること、機能しないこと、もしくは外生的事象から生じる財務上の損失、または法令諸規則の違反や野村グループの評判の悪化といった非財務的影響を被るリスクをいいます。野村グループでは、オペレーショナル・リスク事象の報告、リスクとコントロールの自己評価(RCSA:Risk andControl Self Assessment)の実施、KRI (KeyRisk Indicator)によるモニタリング、シナリオ分析の実施の4つの主たる活動を通じてオペレーショナル・リスク管理を行っています。管理対象としているオペレーショナル・リスクは下表の10のカテゴリーに分類されます。
なお、コンプライアンス・リスクには、野村グループの役職員のコンダクトが金融機関に求められる社会規範・倫理を逸脱し、顧客保護や市場の健全性に悪影響を及ぼすリスク(コンダクト・リスク)が含まれます。
食の安全に関わる「ハザード」と「リスク」とは?
一言で"発がん性"といっても、本当に発がん性があるかどうかは非常に難しい問題です。そこで、その問題を国際的に評価したのが、フランスのリヨンにあるIARC(International Agency for Research on Cancer)、国際がん研究機関です。 IARCは、第2次世界大戦後、フランスのドゴール大統領が、戦争はお互い憎しみ合って敵を作ってきたが、これからは人類の共通の敵、がんに向かって、これまでの軍事費の1%を削り、その1%で国際的ながん研究機関を作ろうと提唱し設立された、WHO(世界保健機関)の外部組織です。 世界中から研究者を集めて毎年3回ほど会議を開き、さまざまなデータから発がん性を評価します。たとえば、タバコ。これは発がん性あり、といわれますよね。それは、あくまで発がんの有害性があるということを示しているだけなのです。この有害性を「ハザード」ともいいます。 ほかにも、みなさんが飲んでいるアルコールも発がんの「ハザード」になります。
山崎 洋 氏
関西学院大学理工学部
名誉教授
ナビゲーター
西澤 真理子 氏 リスクの定義
リテラジャパン代表
東京大学農学部非常勤講師
IARCとは
国際がん研究センター( IARC :International Agency for Research on リスクの定義 Cancer)は、世界保健機関(WHO)の外部機関。発がんのメカニズム、疫学、予防などを研究する組織で、WHOとは予算、運営面で独立した組織として1965年にフランスのリヨンに設立。
活動の一環として発がんハザードの評価委員会を開催し、その結果を公表している。
IARCがハザードを評価する対象を選択する上での大前提
1. 人が暴露されている証拠がある
2. 発がん性の証拠あるいはその疑いがある
第2章 「リスク」を判断する難しさ
「リスク」を判断する方法は
国の「リスク」評価機関からのメッセージを理解し、ご自身で「リスク」を判断するひとつの基準にする。
IARC(International Agency for Research on Cancer)、国際がん研究機関では、有害性評価である「ハザード」を、グループ分けしているとお聞きしましたが?
IARCのグループ分け
| グループ1 | 人に発がん性あり |
| グループ2A | 多分、人に発がん性あり |
| グループ2B | 人に発がん性の可能性あり |
| グループ3 | 人の発がん性についての分類が出来ない |
| グループ4 | 多分、人への発がん性がない |
各グループに分類された事例
【グループ1】
・太陽光線 ・アルコール飲料 ・タバコの煙 ・ベンゼン(化学工業において基礎的な物質)
・アフラトキシン(カビ毒の一種) ・ピロリ菌 など
【グループ2A】
・ジーゼルエンジンからの排気
・ホルムアルデヒド(建築材から放出され、シックハウス症候群の原因のひとつ) リスクの定義
・UV-C(紫外線の一種) ・ UV-B(紫外線の一種)
・PBC(ポリ酸化ビフェニル、カネミ油症事件で知られる)
・ベンツピレン(排気ガス、タバコの煙などの中に含まれる) など
【グループ2B】
・ガソリンエンジンの排気 ・カーボンブラック(炭素の微粒子)
・アセトアルデヒド(建築材から放出され、シックハウス症候群の原因のひとつ)
・クロロフォルム など
【グループ3】
・コレステロール ・サッカリン ・茶
・リモネン(柑橘類の皮から採れる天然油) ・石灰塵 ・過酸化水素 など
【グループ4】
動物の実験では、我々が日常では摂取しないような大量の量を与えて、発がん実験を行います。それは何故かといいますと、最大限の状態でがんになれば発がんの可能性はある、すなわち「ハザード」だといえる、だからそういう実験を行うのです。 ただ、その「ハザード」の中のものを、どの程度飲んだら人ががんになるかどうか、「リスク」になるかという判断値は、一概にはいえません。たとえば、アメリカではサッカリンが多く使われていたのですが、"発がん性"があるのではないかということで実験したところ、大量摂取でラットにハッキリと膀胱がんができました。 しかし、ラットと人ではメカニズムが違うのでは、ということで、再度調べました。それで、ラットにサッカリンを飲ませたあとに膀胱の中を調べてみると、尿がたまった時にサッカリンの結晶ができて、そのザラザラの結晶が膀胱の粘膜の細胞を刺激していました。この細胞への刺激が膀胱がんの原因だとわかりました。 では、人間ではどうかと、人の尿の中にたくさんのサッカリンを入れて実験したところ、結晶はできませんでした。実は、ラットと人間の尿にアルカリ性か酸性かの違いがあって、結晶ができなかったのです。
はい。動物の実験で「ハザード」と評価しても、「リスク」そのものの評価は難しいのです。実はIARCは「ハザード」を評価していますが、「リスク」は評価していません。それには意味があります。「リスク」というのは、動物によって違うように、個人でも違います。 その国の人の遺伝子によっても違いますし、感受性でも異なります。欧米の白人は太陽光線での皮膚がんに対するリスクが高く、日本人が低いのは身近な例でしょう。ですから、「リスク」の評価というのは、その国々が、その社会が及ぼす影響も考えて総合的に評価してくださるのが正しいのです。 そこで、国のしっかりした機関が「リスク」の評価を行うということが非常に大切になってきます。たとえば、日本では、食品安全委員会という行政機関がありますし、海外でも同様な機関が存在しています。
第3章 食の安全と「リスク」
食の「リスク」とうまく付き合うには
「リスク」をゼロにすることは実際には不可能
いろいろな食品を“適量”摂取して、さまざまな情報に対して必要以上に不安がらないこと
これも難しい問題です。やはりIARC(International Agency for Research on Cancer)でも、がんの予防効果について国際的に評価しようということで、発がん性を評価するのと同じように、年2~3回集まり協議して結果を公表していました。予防効果についての研究資料があっても、先ほどのイソフラボンのように有害性も示すものがあり、その両面性が非常に難しいのです。
リスクとは
投資における「リスク」は、私たちが日常で使うリスク(=危険なこと)とは少し意味が違います。
投資における「リスク」とは、リターンの変動(ブレ)のことを表し、リターンの変動幅が小さいことを「リスクが低い」、変動幅が大きいことを「リスクが高い」と呼びます。
例えば、トヨタ株と、あるベンチャー企業の株を比べた場合、トヨタ株に比べ、ベンチャー株の方が株価が大きく変動(数日で10倍など)する場合があります。この場合は、ベンチャー株は(トヨタ株に比べ)リスクが高いことになります。
| 年率平均 リターン | リスク (=標準偏差) | 変動幅 (最大) | 変動幅 (最小) | ||
|---|---|---|---|---|---|
| 日本株式 | 3% | 19% | → | 22% | リスクの定義-16% |
| 外国株式 | 7% | 20% | → | 27% | -13% |
| 日本債券 | 5% | 4% | → | 9% | 1% |
| 米国債券 | 6% | 13% | → | 19% | -7% |
| 米国不動産 | 6% | 22% | → | 28% | -16% |
| コモディティ | 4% | 24% | → | 28% | -20% |
| リターンが範囲に納まる確率 | 例)日本株式の場合 | |||
|---|---|---|---|---|
| リターンの範囲 (変動幅) | 年率平均 リターン | リスクの定義 リスク値 | ||
| 標準偏差 (いわゆるリスク) | 68.3% | 22%~-16% | 3% | 19% |
| 標準偏差×2倍 | 95.4% | 41%~-35% | 3% | 38% (=19%×2) |
| 標準偏差×3倍 | 99.7% | 60%~-54% | 3% | 57% (=19%×3) |
リスク(標準偏差)の数値は、各資産の変動幅の大きさを示しており、数値が大きいほど(リターンがブレやすく)リスクが高いことを表します。
下のグラフは、各資産のリスク数値を元に変動幅を表したものです。
この中では、「日本債券」が最もリスクが低く、「コモディティ」が最もリスクが高い事が分かります。
また、リスクとリターンは表裏一体で、「リスクが高いほどリターンも大きい」という事が分かります。
ISO/IEC 27001:2013 用語の定義にみる「リスクマネジメント」
「不確かさ」とは何か?
この「不確かさ」には、プラスもあればマイナスもあるという考え方があります。
これは、ISO/IEC Guide73(リスクマネジメント用語規格)で、リスクの概念としてISO/IEC Guide 51(安全側面-規格への導入指針)と同様の好ましくない影響だけを考えるとされていたが、2009年に検討が加えられ、安全分野への特記はなくなり、危険等の好ましくない影響をものだけをリスクと限定するのでなく、好ましいものものまでも含むようになったためです。
なお、ISO/IEC 27000:2014の「リスク(2.68)」の定義内では、「注記6 リスクの定義 情報セキュリティリスクは,脅威(2.83)が情報資産のぜい弱性(2.89)又は情報資産グループのぜい弱性(2.89)に付け込み,その結果,組織に損害を与える可能性に伴って生じる。」とあるように、情報セキュリティリスクにおいては、むしろ「好ましくない影響」をリスクとして考えられています。
「リスクアセスメント(risk リスクの定義 assessment)」とは、「リスク特定(2.75),リスク分析(2.70)及びリスク評価(2.74)のプロセス(2.61)全体。(ISO 0073:2010 の3.4.リスクの定義 1 参照)」と定義されています。
リスクアセスメントを分解すると以下のようになります。
リスクアセスメント = リスク特定 + リスク分析 + リスクの定義 リスク評価
「リスク特定」の注記1には、「リスク特定には,リスク源,事象,それらの原因及び起こり得る結果の特定が含まれる。」とあります。
リスク源は、ISO/IEC 27000:2014では定義がありませんが、ISO 31000によると、「その自体又はほかとの組合せによって、リスクを生じさせる力を本来潜在的にもっている要素。」とあります。
ISMSとは?情報セキュリティの原点が掴める、ISMS概要解説
ISMSとは「Information Security Management System」の略称で、情報セキュリティを管理する仕組みのことです。認定規格として、国際標準化機構(ISO)、国際電気標準会議、日本工業規格の3つの規格があり、それぞれISO 27001、IEC27001、JIS Q 27001と呼ばれます。よく、ISO/IEC27001という表記がされていますが、これはISOとIECが共同で行っている認定だからです。さらにJIS Q 27001は、ISO/IEC27001を日本語訳したもので、ISO/IEC27001とほぼ同じ内容です。つまり色々言い方はあるけれど、ほぼ全部同じと考えて大丈夫です。
情報セキュリティの構成要素
| 区分 | 説明(JIS Q 27001の説明) | もっと簡易な説明 |
| 機密性(Confidentiality) | 認可されていない個人、エンティティまたはプロセスに対して、情報を使用させず、また開示しない特性 | 関係ない人に、関係ないデータを触らせてはいけません |
| 可用性(Integrity) | 正確さおよび完全さの特定 | システムなのですから、データは正しくなければなりません |
| 完全性(Availability) | 認可されたエンティティが要求したときに、アクセス及び使用が可能である特性 | システムなのですから、必要時に利用できないと意味がありません |
リスクの定義
| 要素 | 説明(JIS TR Q 0008:2003の説明) | 要素の例 | 要素の特徴 |
| 脅威 | システム又は組織に危害を与える事故の潜在的原因 | 泥棒! | 変えることができない (泥棒はいなくならない) |
| 脆弱性 | 脅威によって影響を受ける内在する弱さ | 古いタイプの簡易なドア鍵 | 変えることができる (鍵を変える等) |
| リスク | ある脅威が脆弱性を利用して損害を与える可能性 | 盗難にあう可能性 | 変えることができる (脆弱性を減らすなど) |
リスク管理
| リスクの対応 | 説明 | 対策例 |
| リスクの低減 | 既に存在する脆弱性に対して、情報セキュリティ対策を行うことにより、リスクの発生確率を下げる | モバイルPCの紛失という脅威から発生する情報漏洩事故に対し、HDD暗号化を実施する |
| リスクの保有 | リスクのレベルを共用可能な範囲にまで下げた上で、事故発生の結果は受容する | モバイルPCのHDD暗号化まではかけないが、「PCにデータを残さない」「BIOSパスワードをかける」「PCログインパスワードを強化する」などの対策を実施する。対策を行った上での事故発生の結果は、受容する |
| リスクの回避 | リスクの定義脅威の原因となるものを無くす、あるいは別の方法に切り替えることで、リスクの発生をゼロにする | 新しい運用を検討する ・PCの社外持ち出しは許可しない ・データレスの専用持ち出しPCを準備する |
| リスクの移転 | リスクを他者に移動する | リスクの定義情報漏洩事故を見越した保険契約をする |
PDCAの継続
 |
|---|
1. 情報資産の洗い出し
守るべき情報が保存されている資産(PC等)をまず認識する必要があるでしょう。個人情報保護法の個人情報の棚卸で実施されている内容と同じはずです。
2. 情報の洗い出し
情報資産内の情報を洗い出します。可能ならば情報に重要度を定数化します。
3. リスクの検討
情報の重要度に対して、脅威・脆弱性のレベルはどうかという観点でリスクのレベルを検討し、リスク管理で説明した手法で対応します。
4. 運用管理
5. モニタリング
6. 評価
きちんと動かして、対策が問題なく機能しているかを忘れずにチェックします。
7. 改善計画
4.~6.ができていればこそ、改善計画が実施でき、この結果、PDCAが回るようになります。
改善計画はBCPのための計画ですので、間接的にでも、必ず経営層の意見が反映するように仕組み作りを行います。
コメント