- ホーム
- 法令・指針等
- 監督指針一覧
- 保険会社向けの総合的な監督指針
- 保険会社向けの総合的な監督指針(II .保険監督上の評価項目 II -3 統合的リスク管理態勢)
II .保険監督上の評価項目
II -3 統合的リスク管理態勢
II -3-1 意義
保険会社のリスク管理においては、将来にわたる財務の健全性の確保及び収益性の改善を図るため、それぞれの経営戦略及びリスク特性等に応じ、保険引受リスク、資産運用リスク(市場リスク、信用リスクなど)はもとよりオペレーショナル・リスク等についても、適切なリスク管理を組織的・統合的に行うことが必要である。
特に、大規模かつ複雑なリスクを抱える保険会社においては、内包する種々のリスクを、各リスクカテゴリー毎に適切に管理することはもとより、保険会社の戦略目標を達成する重要なツールとして、全てのリスクを統合的に管理し、事業全体でコントロールする統合的リスク管理態勢を整備することが重要である。
また、国際的にも、IAIS(保険監督者国際機構)が平成23年10月に採択した「保険コアプリンシプル(Insurance Core Principles ; ICP)」において、保険会社及びグループが統合的リスク管理(Enterprise Risk Management ; ERM)及びリスクとソルベンシーの自己評価(Own Risk and Solvency Assessment ; ORSA)を実施するように監督すべきことが規定されている。
こうした統合的リスク管理の標準的な枠組みはまだ確立されてはいないが、保険会社においては、リスク管理の更なる高度化に向けて不断の取組みが必要である。
II -3-2 リスクの特定及びリスク・プロファイル
II -3-2-1 意義
保険会社は、リスク・プロファイルを能動的に把握し、経営として取るべきリスクや許容される損失を定め、リスクのモニタリングやコントロールを行っていくことが重要であり、経営陣においては、直面している又は将来直面するであろう全ての予見可能な重大なリスクを認識して対応することが求められる。
II -3-2-2 主な着眼点
(1)リスクの特定に当たっては、保険引受リスク、資産運用リスク(市場リスク、信用リスクなど)等のみならず、定量的に把握し難い流動性リスクなど、保険会社が重要と認識している全てのリスクを考慮しているか。
(2)経営陣は、事業戦略等の変化(例えば、新規買収や投資ポジションの変更など)に応じたリスク・プロファイルの変化を、適時かつ適切に把握しているか。また、事業を営む環境の重大な変化(例えば、法令改正等、外部格付け、政変、大規模災害又は市場の混乱など)に応じたリスク・プロファイルの変化を適時かつ適切に把握するため、新たな情報を速やかに入手できる態勢を整備しているか。
(3)保険会社は、リスクをコントロールするため、様々なリスクの要因及び影響を検討し、各リスク間の相互関係を分析しているか。例えば、巨大災害による多額の保険金支払い請求や、財務状況の悪化等による格付業者の大幅な格下げによって多額の解約を招くことは、重大な流動性の問題に繋がる可能性があるが、このように、契機となる特定の大きな事象が、他のリスクに繋がる可能性があることを十分認識しているか。
(4)保険商品に組み込まれている金利等の保証や解約等のオプションなどに係るエクスポージャーが、特定のシナリオ下において金融市場やマクロ経済に重要な影響を及ぼすことが想定される場合、リスクの特定に当たって、当該エクスポージャーが及ぼす影響を考慮しているか。
II -3-3 リスクの測定
II -3-3-1 意義
リスクが保険会社に与える影響の大きさと顕在化する可能性を評価するため、リスク計量モデル、ストレステスト及びシナリオ分析など、将来を見通した適切な定量的手法を使用して、リスクを定期的に測定する必要がある。
II -3-3-2 リスクの測定
(1)多様なリスクを総合的に把握するため、少なくとも保険引受リスク、資産運用リスク(市場リスク、信用リスクなど)、オペレーショナル・リスクを含む全てのリスクのうち重要なリスク(重要なグループ会社に係るリスクを含む。)を測定するものとなっているか。
(2)リスクの計量化にあたっては、例えばトータルバランスシートの経済価値評価(市場価格に整合的な評価又は、市場に整合的な原則・手法・パラメーターを用いる方法により導かれる将来キャッシュフローの現在価値に基づく評価をいう。なお、現時点において、例えば保険契約に含まれているオプション・保証に起因するリスクの評価等は、将来キャッシュフローの分布を考慮する必要があるが、完全に確立された評価手法はなく、各社でとりうる最善の手法を含む。以下同じ。)によるなど、共通の基準の下で計量化することを基本としているか。また、計量化の基準については、客観性、適切性を確保しているか。例えば、VaRを用いる場合の信頼区間及び保有期間の設定の考え方は明確になっているか。
(3)直近の状況に基づくリスクの測定に加えて、経営計画や経営環境を踏まえ、保有契約高の変化、商品構成の変化等を、リスク測定へ反映しているか。又は、その影響を分析しているか。
(4)リスクの計量化に関して精度の向上や対象リスクの拡大のための検討や取組みを行っているか。例えば、異なる種類のリスクの間における相関(分散効果)について、適切性を確保すべく検討や研究を行っているか。
また、通常の経済環境時には強い相関を示さない巨大災害リスクや市場リスクは、ストレス環境下では相関が高い可能性があるが、こうしたテールリスクの相関について検討や研究を行っているか。
さらに、オペレーショナル・リスクに関して、まずはオペレーショナル・リスクそのものを軽減するような経営を行うべきであるが、その上で計量化に関して評価方法やデータ収集などの検討や研究も継続的に行っているか。
(5)リスク測定においては、リスクの性質、規模、複雑性及び信頼性のあるデータの入手可能性に応じて、適切な手法が用いられているか。例えば、損害保険の一部の巨大災害リスクを測定するのには複雑なモデルが適切である一方、他の場合には、比較的簡易な計算が適切であることもありうることを踏まえ、各社でとりうる最善の手法に基づいているか。
(6)リスク計量モデルは、高度なモデルを導入したとしても、一定の限界が存在し、リスクを全て完全には捉えられないが、経営陣はこのようなモデルの限界を理解しているか。
(7)保険会社は、内部モデルが重要な戦略上、事業上の意思決定を支援又は検証するツールとなりうることを十分認識しているか。また、使用される内部モデルについて、定期的に検証すると共に、必要に応じて第三者による検証(外部の専門家による検証を含む。)を受けることも検討するなど、モデルの信頼性確保に向け、不断の取組みを行っているか。
(8)リスク測定において、カバーしているリスク、使用した測定手法及び使用に当たっての主要な前提条件を、適切に文書化しているか。
II -3-3-3 ストレステスト
II -3-3-3-1 主な着眼点
保険会社は、将来の不利益が財務の健全性に与える影響をチェックし、必要に応じて、追加的に経営上又は財務上の対応をとって行く必要がある。そのためのツールとして、感応度テスト等を含むストレステスト(想定される将来の不利益が生じた場合の影響に関する分析)及びリバース・ストレステスト(経営危機に至る可能性が高いシナリオを特定し、そのようなリスクをコントロールすべく必要な方策を準備するためのストレステスト)が重要である。特に、市場が大きく変動しているような状況下では、VaRによるリスク管理には限界があることから、ストレステストの活用は極めて重要である。保険会社においては、市場の動向等も勘案しつつ、財務内容及び保有するリスクの状況に応じたストレステストを自主的に実施することが求められる。なお、ソルベンシー・マージン比率の算出、将来収支分析等他の法令等の規定がある場合は、以下の指針にかかわらず、当該法令等の規定に従うものとする。
(1)ストレステストに際しては、ヒストリカルシナリオ(過去の主な危機のケースや最大損失事例の当てはめ)のみならず、仮想のストレスシナリオによる分析も行っているか。なお、仮想のストレスシナリオについては、内外の経済動向に関し、株式の価格、金利、為替、信用スプレッドなど、保険会社の保有するリスクに応じて、複数の要素についてストレスシナリオを作成しているか。さらに、これらの要素のうち、複数の要素が同時に変動するシナリオについて、前提となっている保有資産間の価格の相関関係が崩れるような事態も含めて検討を行っているか。こうしたストレスシナリオの設定において、保有する資産の市場流動性が低下する状況を勘案しているか。
また、随時解約可能であって払込保険料の大部分が保証されている貯蓄性の高い保険や変額年金保険のようなオプション・保証性の高い要素については、その特性を考慮した上で、適切なストレスシナリオを設定しているか。このほか、再保険取引やデリバティブ取引等に係るカウンターパーティーリスクを考慮してストレスシナリオを設定しているか。
また再保険取引及び類似するリスク移転取引については、巨大災害等発生後の再保険キャパシティの低下やリスク移転コストの増加等を考慮してストレスシナリオを設定しているか。
さらに、ストレステストに使用されるモデルの信頼性について、定期的に検証されているか。
(2)ストレステストの設定に際しては、取締役会において、保険会社におけるリスク管理の方針として、基本的な考え方を明確に定めているか。その際、基本的な考え方は、統合リスク管理との間に矛盾がなく、かつ、統合リスク管理の計量化手法で把握できないリスクを捉えるとの観点からの配慮がなされているか。また、取締役会等において、定期的に、かつ必要に応じ随時、保険会社の業務の内容等を踏まえ、設定内容を見直しているか。
(3)ストレステストを実施するにあたって、必要となる専門知識と技術を有する者が関与しているか。
(4)ストレステストの結果については、代表取締役又は担当取締役により定期的に十分な検証・分析が行われ、リスク管理に関する具体的な判断に活用される態勢が整備されているか。
(5)ストレステストを実施する部門とは独立に、会社全体でストレステストが的確に設計され、かつ実施されているかを確認する体制がとられているか(業務部門とは独立したリスク管理部門において、統括的にストレステストを実施している場合を除く。)。
(6)経営危機に至る可能性が高いシナリオを特定し、そのようなリスクをコントロールすべく必要な方策を準備するため、リバース・ストレステストを定期的に実施しているか。
(7)支店形態での免許を有する保険会社については、当該支店を対象としたストレステストを実施しているか。また、本店において実施されたストレステストをできる限り入手し、全体でのリスクの把握に努めているか。
II -3-3-3-2 ストレステストの概要の開示
規則第59条の2第1項第4号イに掲げるリスク管理の体制を開示するにあたっては、自主的に行われているストレステストの概要とその結果の活用方法についても分かりやすく開示するものとする。
II -3-3-3-3 損害率感応度に関する指標の開示
規則別表(第59条の2第1項第3号ハ関係(損害保険会社))に掲げる「損害率の上昇に対する経常利益又は経常損失の額の変動」(損害率感応度)の開示にあたっては、以下の点に留意するものとする。
(1)感応度分析の概要(分析手法、シナリオ等)についても分かりやすく開示されているか。
(2)感応度分析に用いるシナリオは、例えば、各保険種目の損害率が均一に1%上昇した場合等標準的なものが用いられているか。
(3)異常危険準備金の取崩額を注記しているか。
II -3-4 リスク管理方針
II -3-4-1 意義
保険会社は、リスク・プロファイル及び経営方針に沿った戦略目標を踏まえ、重要と考える全てのリスクカテゴリーについて、モニタリング体制や管理手法を含めたリスク管理方針を定め、また、全社的な定量的・定性的なリスク許容度に関する方針を策定し、日常業務に組み込むことが求められる。さらにリスク・プロファイル等の変化に伴い、リスク管理方針は適時に見直す必要がある。
II -3-4-2 主な着眼点
(1)取締役会は、統合的リスク管理を行う目的を明示的に示すとともに、保険会社全体の経営方針に沿った戦略目標を踏まえたリスク管理方針を定めているか。
(2)リスク管理方針等は、商品設計、保険料率設定及び関連する資産運用戦略の間で、整合性がとれるように対処されているか。特に、資産運用と保険商品のベンチマークは、ALM等の財務上の目的に従って、適切に設定されているか。また、リスク管理方針等は、資産運用方針等へ明確に反映されているか。
(3)取締役会は、リスク管理方針に沿った、リスク許容度の設定に関する基本的な考え方を明確に定めているか。例えば、リスク選好方針等を作成し、自ら取る意思があるリスクのレベル及び負うことが可能なリスクの限度の運用管理について、明確に設定しているか。また、例えば、ストレステストを実施し、リスク許容度が適切であるか確認するなど、リスク許容度を業務プロセスに適切に組み込んでいるか。
II -3-5 リスクとソルベンシーの自己評価
II -3-5-1 意義
保険会社は、経営戦略及びリスク特性等に応じ、自らのリスク管理の適切性と現在及び将来にわたるソルベンシーの十分性を評価するために、取締役会の責任の下、定期的にリスクとソルベンシーの自己評価を実施することが求められる。自己評価においては、将来の経済状況や他の外部要因の変化も考慮し、合理的に予見可能で関連性のある重大なリスクを含んでいる必要がある。
II -3-5-2 リスクとソルベンシーの自己評価
(1)保険会社は、将来の経済状況やその他の外部要因の変化を含めた合理的に予見可能で関連性のある全ての重大なリスクを考慮し、資本の質と十分性の評価を実施しているか。
また、リスクの要因やリスクの重要性の程度を定期的に評価しているか。さらに、リスク・プロファイルに大きな変化があった場合には、速やかにリスクとソルベンシーの再評価を行っているか。
保険会社は、リスクとソルベンシーの自己評価に当たっては、中長期事業戦略(例えば3年から5年間)、特に新規事業計画に十分留意しているか。
(2)保険会社は、必要な経済資本及びソルベンシー・マージン規制に基づく資本の要件を満たしているかをモニタリングするために、リスクとソルベンシーの自己評価を定期的に行い、リスクと資本の管理プロセスを整備しているか。また、必要な経済資本とソルベンシー・マージン規制に基づく資本の要件の違いについて、経営陣は適切に認識しているか。
(3)保険会社は、リスクとソルベンシーの自己評価の結果を、例えば、リスクの特定及びリスク・プロファイル、リスク測定、リスク管理方針及びリスクとソルベンシーの自己評価の結果を踏まえた行動計画等とともに、適切に文書化しているか。
(4)保険会社は、リスクとソルベンシーの自己評価の有効性について、内部(例えばリスク管理担当役員など)又は外部による全般的な評価を行っているか。
(5)内部監査部門は、統合的リスク管理及びリスクとソルベンシーの自己評価の有効性を独立した立場から検証し、必要に応じ経営陣に提言を行っているか。
II -3-5-3 経営計画とソルベンシー評価
(1)保険会社は、ソルベンシー・マージン規制に基づく資本要件を算定するために通常使用される期間よりも長い期間、例えば3年から5年間で、自らのリスクと事業を継続するために必要なソルベンシーを分析しているか。
(2)保険会社は、経済状況の変化を含む将来起こりうる事象等の外部要因の変化を前提とした中長期的な事業戦略を考慮し、将来の財務ポジションの予測を実施するとともに、将来の必要な経済資本及びソルベンシー・マージン規制に基づく資本の要件の充足性を分析しているか。その際、新規事業計画、最低保証とオプションを含む商品設計や保険料率設定及び商品販売見通しを考慮し、将来の財務ポジションの予測と将来の必要な経済資本及びソルベンシー・マージン規制に基づく資本の要件の充足性の分析を行っているか。
II -3-6 報告態勢
II -3-6-1 意義
保険会社は、将来にわたって、適切なリスク管理を行うとともに、十分なソルベンシーを確保するため、リスクとソルベンシーの自己評価を定期的に実施し、取締役会に報告することが求められる。
II -3-6-2 主な着眼点
(1)取締役会は、必要な経済資本の充足状況、ソルベンシー・マージン規制に基づく資本の充足状況の報告を踏まえ、必要な意思決定を行うなど、把握した情報を業務の執行及び管理体制の整備等に定期的に活用しているか。
(2)保険会社の業務やリスク特性、規模、複雑性に応じて、リスクを統合的に管理する部門を明確化し、同部門の長及び担当役員を配置した上で、同役員、代表取締役、取締役会に、保険会社全体のリスクの統合的な管理状況を適時適切に報告する態勢が整備され、かつその態勢に則り報告が行われているか。リスクを統合的に管理する部門は、関連部門との間で相互牽制機能が確保されているか。
さらに、統合的リスク管理の枠組みは、状況等の変化に応じて適切に見直されるものとなっているか。
II -3-7 業務継続体制(BCM)
II -3-7-1 意義
近年、保険会社が抱えるリスクは多様化・複雑化しており、情報化の進展など保険会社を取り巻く経営環境の変化も相俟って、通常のリスク管理だけでは対処できないような危機が発生する可能性は否定できず、危機管理の重要性が高まっている。安全・安心や多様なリスク管理のニーズに応える役割を担う保険会社においては、危機発生時における初期対応や情報発信等の対応が極めて重要であることから、平時より業務継続体制(Business Continuity Management; BCM)を構築し、危機管理(Crisis Management; CM)マニュアル及び業務継続計画(Business Continuity Plan; BCP)の策定等を行っておくことが必要である。
なお、風評リスク等に係る危機管理については、保険会社の資金繰りや社会に対して特に大きな影響を与える可能性があることから、別途監督上の留意点を定めることとする。
(注)「危機」とは、例えば、(1)大口与信先の倒産など、そのまま放置すると回復困難になりかねないほど、財務内容が悪化するような事態、(2)風評等により保険契約の解約が急増する等により、対応が困難なほど流動性に問題が生じるような事態、(3)システムトラブルや不祥事件等により信用を著しく失いかねないような事態、のほか、(4)大規模自然災害や大規模テロなどの災害・事故等により損害を被り、業務の継続的遂行が困難となるような事態などをいう。
II -3-7-2 平時における対応
(1)対応
危機管理は平時における未然防止に向けた取組みが重要との認識の下、早期警戒制度等のオフサイト・モニタリングや不祥事件等届出書のヒアリングを行う中で、又は保険会社に関する苦情・情報提供等を受けた場合などにおいて、保険会社における危機管理態勢に重大な問題がないか検証する。また、業務継続計画についても、ヒアリングを通じて、その適切性を検証する。その際、特に以下の点に留意する。
(2)主な着眼点
何が危機であるかを認識し、可能な限りその回避に努める(不可避なものは予防策を講じる。)よう、平時より、定期的な点検・訓練を行うなど未然防止に向けた取組みに努めているか。
危機管理マニュアルを策定しているか。また、危機管理マニュアルは、自らの業務の実態やリスク管理の状況等に応じ、不断の見直しが行われているか。なお、危機管理マニュアルの策定にあたっては、客観的な水準が判定されるものを根拠として設計されていることが望ましい。
(参考)想定される危機の事例
ア. 自然災害(地震、風水害、異常気象、伝染病等)
イ. テロ・戦争(国外において遭遇する場合も含む。)
ウ. 事故(大規模停電、コンピュータ事故等)
エ. 風評(口コミ、インターネット、電子メール、憶測記事等)
オ. 対企業犯罪(脅迫、反社会的勢力の介入、データ盗難、役職員の誘拐等)
カ. 営業上のトラブル(苦情・相談対応、データ入力ミス等)
キ. 人事上のトラブル(役職員の事故・犯罪、内紛、セクシャルハラスメント等)
ク. 労務上のトラブル(内部告発、過労死、職業病、人材流出等)
危機管理マニュアルには、危機発生の初期段階における的確な状況把握や客観的な状況判断を行うことの重要性や情報発信の重要性など、初期対応の重要性が盛り込まれているか。
危機発生時における責任体制が明確化され、危機発生時の組織内及び関係者(関係当局を含む。)への連絡体制等が整備されているか。また、海外への影響可能性及び危機のレベル・類型に応じた海外当局への連絡体制が整備されているか。危機発生時の体制整備は、危機のレベル・類型に応じて、組織全体を統括する対策本部の下、部門別・支社等の営業拠点別に想定していることが望ましい。
業務継続計画(BCP)においては、テロや大規模な災害等の事態においても早期に被害の復旧を図り、保険契約者等の保護上、必要最低限の業務の継続が可能となっているか。その際、必要に応じ、当該保険会社の所属する業界団体(生命保険協会、一般社団法人日本損害保険協会(昭和23年5月1日に社団法人日本損害保険協会という名称で設立された法人をいう。以下、「損害保険協会」という。)、外国損害保険協会)及び他の保険会社と連携し対応する体制が整備されているか。また、業務の実態等に応じ、国際的な広がりを持つ業務中断に対応する計画となっているか。
例えば、
ア. 災害等に備えたコンピュータシステム、顧客データ等の安全対策(紙情報の電子化、電子化されたデータファイルやプログラムのバックアップ等)は講じられているか。
イ. これらのバックアップ体制は、地理的集中を避けているか。
ウ. 保険契約に基づく保険金等の適切な支払いなど保険契約者等の保護の観点から重要な業務を、暫定的な手段(バックアップデータに基づく手作業等)で対応する準備が整っているか。
エ. 業務継続計画の策定及び重要な見直しを行うにあたっては、取締役会による承認を受けているか。また、業務継続体制が、内部監査、外部監査など独立した主体による検証を受けているか。
(参考)「金融機関における業務継続体制の整備について」(日本銀行、2003年7月)
「業務継続のための基本原則」(ジョイント・フォーラム、2006年8月)
大規模自然災害等の危機発生時において、保険金支払業務を継続・復旧させていくべき機能と明確に位置付けた上で、日頃から、災害発生時に支払業務の継続・復旧が図られるような態勢が整備されているか。また、保険契約者等に対して、保険金等の支払等について便宜措置(「III-1-7 災害における金融に関する措置」参照)が図られるような態勢が整備されているか。
日頃からきめ細かな情報発信及び情報の収集に努めているか。また、危機発生時においては、危機のレベル・類型に応じて、情報発信体制・収集体制が十分なものとなっているか。
II -3-7-3 危機発生時における対応
(1)危機的状況の発生又はその可能性が認められる場合には、事態が沈静化するまでの間、当該保険会社における危機対応の状況(危機管理体制の整備状況、関係者への連絡状況、情報発信の状況等)が危機のレベル・類型に応じて十分なものになっているかについて、定期的にヒアリング又は現地の状況等を確認するなど実態把握に努めるとともに、必要に応じ、法第128条に基づき報告徴求することとする。
(2)上記(1)の場合には、速やかに金融庁担当課室に報告するなど、関係部局間における連携を密接に行うものとする。
II -3-7-4 事態の沈静化後における対応
保険会社における危機的状況が沈静化した後、危機発生時の対応状況を検証する必要があると認められる場合には、当該保険会社に対して、法第128条に基づき、事案の概要と保険会社の対応状況、発生原因分析及び再発防止に向けた取組みについて報告徴求することとする。
II -3-7-5 風評に関する危機管理態勢
(1)風評リスクへの対応に係る態勢が整備されているか。また、風評発生時における本部各部及び支社等の営業拠点の対応方法に関する規定を設けているか。なお、他の保険会社や取引先等に関する風評が発生した場合の対応方法についても、検討しておくことが望ましい。
(2)風評が伝達される媒体(例えば、インターネット、憶測記事等)に応じて、定期的に風評のチェックを行っているか。
(3)風評が保険契約の解約に結びついた場合の対応方法について、支社等の営業拠点の状況把握、顧客対応、対外説明等、初動対応に関する規定を設けているか。
(4)上記(3)のような状況になった場合、金融庁担当課室、提携先、警備会社等へ、速やかに連絡を行う体制になっているか。
II -3-8 資産負債の総合的な管理
II -3-8-1 意義
資産及び負債、資産の運用方針及び負債の管理方針が、リスクの特性やソルベンシーの状況に適合していることを確保するためには、資産負債全体の状況を把握し管理するための効果的な態勢を整備し、資産負債全体を適切に管理することが求められる。
II -3-8-2 主な着眼点
(1)資産負債全体を統合的に把握する部門を設置し、同部門の長及び担当役員を配置した上で、同役員、代表取締役、取締役会等に、資産負債全体の統合的な管理の状況を適時適切に報告する態勢が整備され、かつ、その態勢に則り適時適切な報告が行われているか。
また、資産負債全体を統合的に把握する部門は、例えば収益部門から機能的に独立しているなど、関連する部門との間で相互牽制機能が確保されているか。
(2)取締役会は、資産負債全体の総合的な管理に関する戦略目標を設定し、戦略目標の中でリスク許容度に関する方針を明確化しているか。
(3)同目標に基づき、資産運用と負債管理(既存の負債のみならず、新規商品開発等により今後発生する負債の管理を含む。)が行われる態勢が整備されているか。
(4)資産負債管理は、経済価値、すなわち、市場価格に整合的な評価又は、市場に整合的な原則・手法・パラメーターを用いる方法により導かれる将来キャッシュフローの現在価値に基づいて行われているか。現時点において、例えば保険契約に含まれているオプションに起因するリスクの評価等は、将来キャッシュフローの分布を考慮する必要があるが、完全に確立された評価手法はなく、各社でとりうる最善の手法に基づいているか。
(5)資産負債を統合的に管理する際に、少なくとも、経済価値に対する潜在的な影響に関して重要と考えられるリスクは資産負債管理の枠組みにおいて評価されているか。
なお、そのようなリスクとしては以下のリスクが含まれる。
市場リスク
市場リスクは、資産運用リスクにとどまらず、負債の金利リスクを含めた資産負債全体に対する市場変動に伴うリスクをいう。従って、例えば、ア.金利リスク(資産の金利リスクに加えて、負債の金利リスクを含む。)、イ.株式、不動産その他の資産の価格変動リスク、ウ.為替リスク、エ.市場に関連する信用リスクが含まれる。
保険引受リスク
流動性リスク
(6)資産負債全体の総合的な管理に関する戦略目標及び管理に用いられる評価手法について、部門長、担当役員を含めた関連する職員が、その役割に応じた十分な理解をしているか。
(7)経営方針、外部環境及びソルベンシーの状況の変化に応じて、同目標及び管理が適切であることを確保するための検証が適時に行われているか。
(8)資産負債管理の方針において、保険会社の全ての資産と負債の相互関係を認識し、異なる資産種類間のリスク相関関係、異なる商品及び保険種目間の相関関係を考慮しているか。
(9)長期のデュレーションの負債に合うような長期資産が少なく、デュレーション(又は感応度)にギャップが存在することもありうる。このような資産と負債のミスマッチから生じるリスクを考慮しているか。また、このようなミスマッチを、十分な資本を有する、あるいは適切なリスク削減等によって効果的に管理しているか。
II -3-9 保険引受リスク管理態勢
II -3-9-1 意義
保険引受リスクとは、経済情勢や保険事故の発生率等が保険料設定時の予測に反して変動することにより、保険会社が損失を被るリスクをいう。各保険会社においては、このような保険引受リスクを適切に管理するための態勢整備が重要である。
II -3-9-2 主な着眼点
(1)リスク管理のための態勢整備
保険引受リスク管理部門は、
ア. 商品開発・改廃、保険事故の発生予測、金利・為替予測、リスク把握、出再保険の締結、責任準備金等及び支払備金の積立、保険商品の販売、保険契約の引受審査等を実施する関連部門での取引内容、分析結果等
イ. 保険計理人の意見書等
などを検討データとして有効に活用しているか。
商品開発・改廃等各関連部門での重要な情報(重要な情報の定義は、規定に明確にされているか。)が保険引受リスク管理部門へ報告される態勢となっているか。
資産負債の総合的な管理を行うため、資産運用リスク管理部門と密接に連携し、資産側の必要な情報について把握しているか。
(2)リスク管理
商品ごとに、現在の収支状況の把握・分析及び将来の収支予測などの方法により、定期的(少なくとも半年に一度)にリスクを把握しているか。また、将来の収支予測は、現在の金利動向や経済情勢、保険事故の発生状況等から見て妥当なシナリオによっているか。
新保険商品の販売及び既存保険商品の改廃に際し、当該商品の保険料が例えば、金利水準等の資産運用環境、当該保険内容に係る保険事故発生率、事業費支出の方法、責任準備金の状況、ソルベンシー・マージン比率の状況等から適切なものであるか検討しているか。
引受基準が商品開発時に前提とした募集条件と同じ又はリスクが少ないことを確認する方策を講じているか。
損害保険会社における自由料率、標準料率、範囲料率及び幅料率商品について、個別の料率設定がリスク管理方針等に則っているか確認する方策を講じているか。
保険引受リスク全体についての多面的な分析手法を備えたシステムを整備していることが望ましい。
把握したリスクを分析し、リスク管理方針等に則った適切なリスク・コントロールを行っているか。
保険募集に際し、引受基準等を遵守するよう営業拠点及び保険募集人を指導・管理しているか。また、実際に遵守していることを確認する方策を講じているか。引受基準に反した保険契約を締結できないようなシステムを構築することが望ましい。
第三分野保険に係るリスク管理については、商品開発時から支払時までに発生するリスクがそれぞれ相互に関連し合うことや、保険種類によって内在するリスクが異なり、保険事故発生時において外的要因や契約者の想定外の行動といった不確実性が実現する可能性があることから、保険種類別に募集・引受から支払までを一連のものとして管理するとともに、これらの不確実性について注意深く観察・分析するなど、経営陣を含めた内部統制の在り方を踏まえたリスク管理態勢の整備を図っているか。
II -3-10 再保険に関するリスク管理
II -3-10-1 保有・出再に関するリスク管理
保険会社が行う元受保険契約及び受再保険契約において引き受けるリスクの保有・出再(自動車損害賠償責任保険及び地震保険に係る再保険プールへの出再を除く。)について、以下の点に留意する(保有するリスクに対する出再の割合が軽微な場合を除く。)。
(1)保有するリスクの規模・集中度を出再を通じて適正に管理するため、取締役会等において、的確な保有・出再政策が策定されているか。
(2)保有・出再政策には、引受リスクの特性に応じた一危険単位及び集積危険単位の保有限度額、出再先の健全性、一再保険者への集中の管理に関する基準が含まれているか。
(3)保有・出再政策上の保有限度額を超える引受リスクが、手配された再保険によって適切にカバーされているか。
(注)手配された再保険が、意図したとおりに引受リスクを軽減するものであることを確認する必要がある。
(4)出再を行う各部門において自律的に保有・出再政策の遵守状況を確認する体制がとられるとともに、各部門とは独立に会社全体で保有・出再政策の遵守状況を確認する体制がとられているか。
(5)再保険金の回収状況及び将来の回収可能性並びに出再保険の成績が確認されているか。
(注)再保険金の回収状況については、各出再先に対する債権・債務が受再契約に係るものも含めて一元的に管理されていることが望ましい。また、再保険の成績は、種目別、契約別、相手先別等リスク管理上有効な方法で確認されることが望ましい。
(6)保険子会社等への出再を行う場合は、上記(1)から(5)までのリスク管理がグループ単位で適正に行われているか。
II -3-10-2 受再に関するリスク管理
保険会社が行う受再(自動車損害賠償責任保険及び地震保険に係る再保険プールからの受再を除く。)について、以下の点に留意する(保有するリスクに対する受再の割合が軽微な場合を除く。)。
(1)受再を通じて増加するリスクを適正に管理するため、取締役会等において、的確な受再政策が策定されているか。
(2)受再政策には、引受を行う種目、地域等に関する基準が含まれているか。
(3)受再契約の締結にあたっては、出再保険者から十分な情報入手を行い、当該受再契約に関する収益性やリスクについて十分な検討を行っているか。また、主要な集積危険に関し予想最大損害額を把握した上で保有限度額を超過しないよう適正な管理が行われているか。
(注)予想最大損害額及び保有限度額は、元受と合わせて管理することが必要である。
(4)受再を行う各部門において自律的に受再政策の遵守状況を確認する体制がとられるとともに、各部門とは独立に会社全体で受再政策の遵守状況を確認する体制がとられているか。
(5)受再保険の成績が確認されているか。
(注)再保険の成績は、種目別、契約別、相手先別、地域・形態別、引受年度別等リスク管理上有効な方法で確認されることが望ましい。
(6)保険子会社等から受再を行う場合は、上記(1)から(5)までのリスク管理がグループ単位で適正に行われているか。
II -3-10-3 再保険に係る方針の開示
(1)生命保険会社
規則の別表「規則第59条の2第1項第3号ハ関係(生命保険会社)」の保険契約に関する指標等・第6号から第9号までの開示を行う場合、第三分野保険(規則第71条に基づいて、保険料積立金を積み立てないとした保険契約に限る。)については、別途開示を行うものとする。
規則第59条の2第1項第4号イに掲げるリスク管理の体制を開示するにあたっては、以下に掲げる事項についても分かりやすく開示するものとする。
ア. 再保険を付す際及び再保険を引き受ける際の方針
イ. 再保険カバーの入手方法
(2)損害保険会社
規則の別表「規則第59条の2第1項第3号ハ関係(損害保険会社)」の保険契約に関する指標等・第5号から第8号までの開示を行う場合、第三分野保険(規則第71条に基づいて、保険料積立金を積み立てないとした保険契約に限る。)については、別途開示を行うものとする。
規則第59条の2第1項第4号イに掲げるリスク管理の体制を開示するにあたっては、以下に掲げる事項についても分かりやすく開示するものとする。
ア. 再保険を付す際及び再保険を引き受ける際の方針
イ. 再保険カバーの入手方法
ウ. 主要な集積リスクである地震災害リスク及び台風災害リスクについて、当該リスクが発生した場合に適用される再保険の種類、再保険スキーム上の上限額設定にあたっての考え方等具体的な再保険の内容
II -3-11 資産運用リスク管理態勢
II -3-11-1 意義
保険会社は、保険料として収受した金銭その他の資産について、有価証券の取得、不動産の取得、金銭の貸付けその他の方法により運用を行っている。これら資産運用に係るリスクを認識した上で、適切な資産運用リスク管理態勢の整備が重要である。
II -3-11-2 主な着眼点
(1)リスク管理態勢の整備
保険会社の健全性維持を図る観点から、市場リスク、信用リスク、流動性リスク等を踏まえた日常の資産運用リスク管理のための態勢が十分整備されているか。特に、
市場リスク、信用リスク、流動性リスク等を踏まえたリスク管理の基本方針が定められているか。
代表取締役又は担当取締役は当該基本方針の策定に積極的に関与しているか。
内部規定(稟議規定を含む。)は適正に策定されているか。
資産運用での責任体制は明確になっているか。特に、取引実施部門(フロント・オフィス)、後方事務部門(バック・オフィス)、市場リスク管理におけるリスク管理部門(ミドル・オフィス)について、各部門の管理者のそれぞれの役割と権限を明確にしているか。その上で、取引実施部門と、後方事務部門あるいはリスク管理部門の間の相互牽制機能は発揮されているか。
保有資産の評価を定期的かつ適切に行う態勢となっているか。
内外の経済動向等を含め、保有資産の価格等に影響を与える情報を広く収集・分析する態勢となっているか。
運用全般に係るリスク量が把握できる体制となっているか。
代表取締役又は担当取締役が適切かつ迅速に業務運営やリスク管理等の方針を決定できるよう、重要な情報を適時に代表取締役又は担当取締役に報告を行う態勢が整備されているか。
保有資産の種類等ごとに業務部門が相互の連携なく投資運用を行う場合、全体としてリスクの集中を招いたり、それぞれのポジションに固執し、全体として適切なタイミングで手仕舞いできない可能性があるなど効果的なリスク管理に支障が生じうることを認識し、ポートフォリオ全体の観点から、適切かつ迅速な投資判断を行える態勢が整備されているか。
市場流動性が低い又は市場混乱時に市場流動性が低下する可能性が高い商品(例えば以下のような商品)に投資する場合は、適切な投資方針(投資限度額等の運用方針、リスク管理態勢等)を整備し、運用しているか。
・ハイブリッドな投資商品
・仕組債
・プライベートエクイティ
・ヘッジファンド
例えば以下のような点について、エクスポージャー(オフバランス項目に係るものを含む)が集中するリスクを、リスク選好や限度額等を設定するなどして、適切に管理する態勢が整備されているか。特に金融機関に対するエクスポージャーは、金融市場混乱時にはリスクを増幅させるおそれがあることを考慮しているか。
・資産の種類
・信用格付
・発行体、カウンターパーティ又はその関連事業体(相殺可能な負債を必要に応じて考慮)
・セクター
・地理的領域
(2)市場リスク管理の内容・手法
ポジション及びリスクについて、保有資産別・期間別等の内訳を適切に把握しているか。特に、特殊なリスク特性を有する保有資産のリスクを適切にとらえているか。
VaR値をリスク管理に用いる際は、商品の特性を踏まえて、観測期間、保有期間、信頼区間、計量手法及び投入するデータ等の適切な選択に努めるとともに、計量結果を検証し、妥当性の確保に努めているか。
過去の実績が十分でない場合やデータの信頼性が乏しい場合等にはVaRの値が過少となる可能性があるなど、統計的なリスク計量手法には限界があることを踏まえ、多様なリスク計量手法(例えば想定元本などのグロス・ポジションの把握、ボラティリティの変化の把握など)を活用するとともに、ストレステストを含むリスク管理手法の充実を図っているか。なお、リスク管理にあたっては、経済動向等を踏まえてその前提条件を機動的に見直すこととしているか。
リスク・リミット(VaR等の予想損失額の限度枠)、損失限度の設定に際しては、取締役会において、保険会社におけるリスク管理の方針として、各設定に際しての基本的な考え方を明確に定めているか。また、取締役会等において、定期的に(少なくとも半年に一度)、各部門の業務の内容等を再検討し、設定内容を見直しているか。
リスク・リミット、損失限度を超過した場合、もしくは超過するおそれがある場合の管理者への報告体制、権限(方針及び手続き等)が明確に定められているか。
(3)証券化商品等のクレジット投資のリスク管理
証券化商品をはじめとする市場性のあるクレジット商品への投資では、以下のような点に留意して、リスク管理を行っているか。また、市場性のあるローン(自社でオリジネートする場合、セカンダリー市場で取得する場合を問わない。)やCDS取引についても、同様の留意が必要となる。なお、信用リスクを保険の形態で保証する場合においても、その性質に応じ、基本的には同様の留意が必要となる。
商品の適切な価格評価
市場性のあるクレジット商品(市場性のあるローンやCDS取引も含む。)に関して、以下のような点に留意して、価格評価を行い、会計処理にも反映しているか(信用リスクを保険の形態で保証する場合においても、同様な留意を行い、必要に応じて保険契約準備金の追加積立てをしているか)。
ア. 価格評価にあたっては、頻繁に取引されている価格が存在する場合は当該価格で評価し、このような価格が存在しない場合でも、売買頻度や売手と買手の価格差に留意しつつ、合理的な価格評価を行っているか。また、価格評価モデルを用いる場合には、モデルが一定の前提の上に作られていることを理解し、定期的にモデルの前提やロジックを見直し、商品内容、市場の実勢や信用リスクの状況を適切に反映しているかどうかを含め、適切性を検証しているか。(信用リスクを保証する保険の場合には、例えば引受け時点における評価を基に、その後の信用リスクの変化等を把握し、負債価値の再評価を行うことも考えられる。)
イ. 取引実施部門において算出された商品の価格を、リスク管理上の時価評価額として使用する場合は、当該価格について、リスク管理部門等において、独立した立場から検証を行っているか。
ウ. ブローカーや外部ベンダーから価格評価を取得する場合は、可能な限り価格評価手法にかかる情報の提供を求め、当該価格評価の妥当性の検証に努めているか。また、外部ベンダー等が提供する価格評価モデルを用いる場合は、可能な限り詳細な情報の提供を当該ベンダー等に求め、モデルの前提・特性や限界の把握に努めているか。
証券化商品等投資における商品内容の適切な把握
ア. 証券化商品等への投資や期中管理にあたり、格付業者の格付手法や格付の意味を予め的確に理解した上で外部格付を利用する等、外部格付に過度に依存しないための態勢が整備されているか。
イ. 証券化商品等の投資において、裏付となる資産内容の把握、優先劣後構造(レバレッジの程度)や流動性補完、信用補完の状況、クレジットイベントの内容といったストラクチャーの分析及び価格変動の状況の把握等、自ら証券化商品等の内容把握に努めているか。
ウ. 証券化商品投資では、原資産ポートフォリオの運用・管理をオリジネーター、マネージャー等の関係者に依存していることから、関係者の能力・体制等の把握・監視に努めているか。
エ. 証券化商品については、オリジネーターによる原資産の組成において、その組成当初から当該原資産の全てを証券化ビークルに譲渡することを意図した場合、投資分析等が疎かになるなど不適切な原資産組成がなされ、その結果当該証券化商品の持分のリスクが高くなるおそれがある。そのため、当該証券化商品のリスクの一部を、オリジネーターが継続保有することが望まれる。これらを踏まえ、オリジネーターが証券化商品に係るリスクの一部を継続保有しているか確認しているか。また継続保有していない場合には、オリジネーターの原資産に対する関与状況や原資産の質についてより深度ある分析をしているか。
市場流動性リスクの管理
ア. 証券化商品等への投資や期中管理において、市場流動性を適切に検証しているか。なお、市場流動性を検証する方法としては、
(ア)市場規模と自己の投資額とを比較し、過大なシェアとなっていないかを確認すること
(イ)ヒアリング等を通じて、市場の売手と買手の価格差や実際に売却可能な価格水準を把握すること
(ウ)各種指数等(証券化商品のインデックス等)の分析により市場環境の変化をモニターすること
(エ)過去のストレス事象を参考に、市場流動性枯渇に関するストレスシナリオを作成し、証券化ポートフォリオの損益等を確認すること等が考えられる。
イ. 証券化商品等の市場流動性につき、懸念が認められた場合、適時に対応を検討する態勢が整備されているか。
CDS取引の安全性の向上
CDS取引を行うにあたっては、取引の安全性を向上させる観点から、取引の標準化や中央決済機関の利用などといった関係者の取組みも念頭に置きつつ、適切な取引実務を採用しているか。
(4)その他個別の資産運用
個別の資産運用にあたっては、以下のような点に留意して行われているか。
商品有価証券
適正な経理を行うための規定が整備されているか。
デリバティブ取引
ア. デリバティブ取引を行う目的、限度、契約内容等を明確にした適正な管理が行われているか。
イ. リスク管理を行うための措置が講じられているか。
ウ. 適時にリスク量が把握できる体制となっているか。
エ. リスク管理は財産的基礎から適正なものとなっているか。
債券の空売り及び貸借
ア. リスク管理を行うための措置が講じられているか。
イ. 適時にリスク量が把握できる体制となっているか。
ウ. リスク管理は財産的基礎から適正なものとなっているか。
エ. 実行限度額等を明確にした管理が行われているか。
株式の信用取引
ア. 信用取引を行う目的、限度、契約内容等を明確にした適正な管理が行われているか。
イ. リスク管理を行うための措置が講じられているか。
ウ. 適時にリスク量が把握できる体制となっているか。
エ. リスク管理は財産的基礎から適正なものとなっているか。
カウンターパーティの信用リスクについて
デリバティブ取引等においては、主なカウンターパーティの信用リスクについて、以下の点も含め、適切に管理しているか。
ア. カウンターパーティ別及び必要に応じてカウンターパーティの類型別のエクスポージャーの管理
イ. デリバティブ取引の参照資産の時価の変化等によりエクスポージャーが拡大することによるリスクの把握
ウ. 担保その他の信用補完措置の有効性の確認
非清算店頭デリバティブ取引
保険会社(金融商品取引業等に関する内閣府令第123条第10項第4号ロに該当する店頭デリバティブ取引に係る想定元本額の合計額の平均額が3,000億円未満の者を含む。)は、金融機関等を相手方とする非清算店頭デリバティブ取引において、変動証拠金の授受等、取引先リスク管理に係る態勢整備に努めているか。
また、金融商品取引業等に関する内閣府令第123条第1項第21号の6の規定(当初証拠金)の対象となる保険会社は、同号で対象となる非清算店頭デリバティブ取引において、当初証拠金の接受等、取引先リスク管理に係る態勢整備に努めているか。
具体的な監督上の着眼点については、「金融商品取引業者等向けの総合的な監督指針」の「IV-2-4(4)非清算店頭デリバティブ取引」等を参照するものとする。
その他の取引
保険会社が行う取引については、必要に応じその目的、実行限度、収支に与える影響を勘案した内部規定が整備されているか。また、社会的信用の維持等について配慮されたものとなっているか。例えば、現金担保付債券貸借取引において内部規定は整備されているか。また、現金担保にあたっては適正な付利が行われているか。
営業用不動産の取得
ア. 営業用不動産について、投資用不動産と明確に区分した管理が行われているか。
イ. 営業用不動産の取得にあたって、経営の効率化の観点を勘案した取得となっているか。
資金の貸付
ア. 審査・管理の充実強化のための措置が講じられているか。また、担当部門間の相互牽制機能は発揮されているか。
イ. 債務者管理を適切に行うための措置が講じられているか。また、与信にあたり債務者の事業計画、返済計画、返済財源、資金使途、投資効果、保全面等が審査項目とされているか。
ウ. 迂回融資、名義分割、架空名義等不適正な取扱いを排除する措置が講じられているか。
エ. 貸付等に係るロスの算定、処理は適正に行われているか。
貸付債権の流動化
ア. 対象債権を有する保険会社は、原債務者の保護に十分配慮しているか。
イ. 債務者等を威迫し又は私生活若しくは業務の平穏を害するような者に対して貸付債権を譲渡していないか。
投資一任契約による運用について
ア. 資産運用全体に関する企画立案(基本方針、収益計画やリスク管理計画の策定など)は保険会社自らが行っているか。
イ. 投資一任契約に関して資産運用全体における位置付けなどの基本方針が策定されているか。
ウ. 投資一任契約の内容が保険会社の資産運用方法として適切なものとなっているか。
エ. 投資一任勘定を含めてリスク管理を行うための措置が十分講じられているか。
オ. 投資一任勘定を含めて資産運用規制遵守及びその検証体制が整備されているか。
履行保証について
保険会社が、債務保証としていわゆる履行ボンド等、建設工事等の履行保証を行う場合には、保証履行の際に、保険会社が自ら工事を完成させる等、法第100条に照らして保険会社が行うことのできない業務を行う必要が生じない契約内容となっているか。
特別勘定の市場運用について
特別勘定の市場運用に関する内部規定が適切に定められているか。また、当該規定に基づく適切な運用が確保される体制が整備されているか。
(注)内部規定を定めるにあたって、次の点に留意しているか。
ア. 保険契約者のために誠実に運用する旨を定めているか。
イ. 保険契約者に対して、運用方針、運用内容(貸株運用に関する事項を含む。)等を説明する旨を定めているか。
ウ. 市場において遵守すべき原則(例えば、価格操作・風説の流布の禁止、引値保証取引に関する事項等)を定めているか。
エ. 取引執行能力、法令等遵守(コンプライアンス)、信用リスク、運用実績等を総合的に勘案した発注先及び一任先・助言者の選定に係る基準を定めているか。
損害保険会社の保証証券業務と債務の保証
損害保険会社の保証証券業務と債務の保証の業務については、保険数理に基づき、対価を決定し、準備金を積み立て、再保険による危険の分散を行うなど保険固有の方法を用いて行う保証証券業務と、法第98条第1項第2号に規定する債務の保証とは、運営にあたって明確に区別されているか。
ア. 保証証券業務として行われる保証は、例えば、デリバティブ取引に係る保証
イ. 債務の保証として行われる保証は、例えば、融資、社債等、資産の流動化に係る保証
投資専門子会社を活用した株式の取得・保有
投資専門子会社を活用して、法第106条第1項第13号又は第271条の22第1項第13号に規定する「新たな事業分野を開拓する会社として内閣府令で定める会社」の株式を取得・保有する場合、保険会社本体からは一定のリスク遮断が図られているものと考えられるが、その場合も、当該子会社のリスク管理状況の把握・分析・管理等を行う態勢を整備しているか。
(5)資金の調達
外部資金の取り入れは、レバレッジ効果をもたらすこととなり、例えば、以下のようなものについて資産等の保有限度等の管理においては十分留意しておく必要がある。
基金
基金の募集にあたって、基金利息の負担の影響、内部留保の充実、保険契約者等の保護が勘案されたものとなっているか。
社債
ア. 発行目的、発行限度、収支に与える影響等が勘案されたものとなっているか。
イ. 発行、償還等の適正な管理を行うための措置が講じられているか。
劣後債務の取り入れ
ア. 取入目的、限度、収支に与える影響等が勘案されたものとなっているか。
イ. 返済計画等の適正な管理を行うための措置が講じられているか。
当座借越
ア. 資産運用に伴う、一時的な資金繰りに対応するものとなっているか。
イ. 取入目的、限度等が勘案されたものとなっているか。
外貨建債務の取り入れ
取入目的、限度、収支に与える影響等が勘案されたものとなっているか。
CP
ア. 発行目的、発行限度、収支に与える影響等が勘案されたものとなっているか。
イ. 発行、償還等の適正な管理を行うための措置が講じられているか。
(6)資産の自己査定のあり方
資産内容の健全性を的確に把握するための措置が講じられているか。
自己査定基準を策定し自らの資産を検討・分析し回収の危険性又は価値の毀損の度合いに応じて分類区分(以下、「自己査定」という。)を行っているか。
自己査定基準の策定にあたっては、会社法(平成17年法律第86号)等関係法令に準拠し、経営陣の積極的な関与の下で正式の社内手続を経て、文書により規定化されているか。資産査定の具体的な基準、自己査定の実施部門が明記されているか。基準の合理性、明確性について説明が可能か。
自己査定の責任部門が明確化されているか。当該部門は貸付承認部門と独立した部門であるなど相互牽制機能が確保されているか。
自己査定結果について、検査部門等の内部監査部門が監査を行う体制となっているか。自己査定部門へ精通者が確保されているか。
自己査定が基準通りに行われているか。
自己査定結果の経営陣への報告が適宜行われる事務フローとなっているか。経営陣は報告を理解し自社の資産内容を正確に把握しているか。
自己査定結果を踏まえた、償却引当方針は明確か。外部監査人との連携は十分か。
公認会計士協会実務指針に則った償却・引当が行われているか。
海外の政治経済情勢等に起因して、特定の国又は地域に関連して特に生ずることが見込まれる貸倒損失(以下、「カントリー・リスク」という。)の評価に係る合理的な基準が整備されているか。
カントリー・リスクの評価結果を踏まえた、特定海外債権引当勘定への引当方針は明確か。引当方針に則った引当が行われているか。外部監査人との連携は十分か。
カントリー・リスクの評価基準は、以下のような事実等が発生している国又は地域の政府、その他対象国に住所又は居所を有する自然人若しくは対象国に主たる事務所を有する法人に対する信用供与を適正に評価できる内容となっているか。
ア. 当該国の政府、中央銀行、政府関係機関又は国営企業(以下、「政府等」という。)に対する民間保険会社の貸付金(以下、「政府等向け民間貸付金」という。)の元本又は利息の支払いが1ヵ月以上延滞していること。
イ. 政府等向け民間貸付金について、決算期末前5年内に、債務返済の繰延べ、主要債権銀行間一律の方式による再融資、その他これらに準ずる措置(以下、「債務返済の繰延べ等」という。)に関する契約が締結されていること。
ウ. 政府等向け民間貸付金について、債務返済の繰延べ等の要請を受け、契約締結に至らないまま1ヵ月以上経過していること。
エ. 政府等向け民間貸付金について、前各号に掲げる事実が近い将来に発生することが見込まれること。
オ. 当該国に住所又は居所を有する自然人若しくは当該国に主たる事務所を有する法人に対する民間保険会社の貸付金について、ア.からウ.に類する事実が発生していること又は近い将来に発生することが見込まれること。
カ. その他、カントリー・リスクの評価に影響を及ぼすことが見込まれる事象。
II -3-12 流動性リスク管理態勢
II -3-12-1 意義
保険料収入等の状況により資金繰りに支障をきたした場合、経営に重大な影響を及ぼす可能性があることから、日頃から資金繰り状況を注視し、適切にリスク管理していくことが重要である。
II -3-12-2 主な着眼点
(1)態勢整備
日々の資金繰りの管理・運営を行う資金繰り管理部門を設置しているか。
代表取締役、担当取締役、取締役会、資金繰り管理部門及び各業務部門との間で、資金繰り管理に係る報告、政策企画、及び指揮命令態勢を適切に整備しているか。また、例えば、資金繰り管理部門とリスク管理部門を分離するなど、牽制機能が十分発揮される態勢を整備しているか。
(注)「資金繰り管理部門」とは、日々の資金繰りの管理・運営を行っている部門をいい、「リスク管理部門」とは、資金繰りに関する内部基準等の遵守状況等のモニターを行っている部門をいう。
流動性リスク管理方針を策定しているか。流動性リスク管理方針に基づく資金繰り管理には、必要に応じて以下のような管理が含まれているか。
・流動性リスクに関するリスク選好、リスク許容度、リスク・リミット等の設定及びその遵守状況の確認
・流動性に関するストレステストの実施(リスク選好等の範囲内にあることの確認を含む)
・流動性危機時の対応策の設定及びその見直し
資金繰りの状況をその資金繰りの逼迫度に応じて区分し、各区分時における管理手法、報告手法、決済手法等の規定を、取締役会等が承認の上、整備しているか。
(2)リスク管理
取締役会は、戦略目標を定めるにあたり、資金繰りリスクを考慮しているか。資金繰り管理に係る報告が流動性リスク管理方針を遵守したものであったかを検証しているか。また、流動性危機時の対応策及びその重要な見直しを承認しているか。
代表取締役は、資産運用の内容、調達の状況等により、必要に応じ、市場のない、若しくは非常に流動性の低い資産の運用上の限度額等のリミットの設定及び見直しを行っているか。
リスク管理部門は、取締役会及び資金繰り管理部門に情報を提供するとともに、資金繰り管理部門を牽制しているか。また、資金繰り管理部門とともに、流動性危機時の対応策の整備・見直しを行っているか。
資金繰り管理部門は、流動性リスク管理方針及びリスク管理の規定に従い、資産・負債両面からの流動性についての評価、流動性確保状況の把握、円貨及び外貨についての資金繰り表並びに資金繰り見通しの作成等により、資金繰りを適切に管理しているか。資金繰りリスクに関する要因分析及び対応策を整備しているか。通貨別、拠点別に把握される場合の流動性リスクについて統合して管理しているか。また、調達手段を確保しているか。
各業務部門は、流動性リスクを考慮した業務運営を行っているか。
資金繰りリスクの管理にあたっては、連結対象子会社の資金繰り状況を把握・考慮した対応を行っているか。また、出再保険の管理を行っているか。
信用リスクを保証する保険やCDS取引を含むデリバティブ取引等において、保証債務又は参照債務の信用の程度、あるいは保険会社の格付け等に基づいて担保が要求される条件となっている場合には、担保の提供を想定した流動性の管理を行っているか。
II -3-13 オペレーショナル・リスク管理態勢
オペレーショナル・リスク管理態勢とは、事務リスク管理態勢、システムリスク管理態勢、その他オペレーショナル・リスク管理態勢より構成される。
II -3-13-1 事務リスク管理態勢
II -3-13-1-1 意義
事務リスクとは、保険会社の役職員が正確な事務を怠る、あるいは事故・不正等を起こすことにより、保険会社が損失を被るリスクをいうが、保険会社は当該リスクに係る役職員の人事管理を含む内部管理態勢を適切に整備し、業務の健全かつ適切な運営により信頼性の確保に努める必要がある。
II -3-13-1-2 主な着眼点
(1)事務リスク管理態勢
全ての業務に事務リスクが存在していることを理解し、適切な事務リスク管理態勢が整備されているか。
保険契約者等に係る個人情報の漏洩やプライバシーの侵害を発生させないよう、社内態勢の整備や社員あるいは保険代理店に対する指導などの措置が講じられているか、保険の目的が存在しない契約(いわゆる架空契約)等法令や内部ルールに反する保険契約について、その発生の防止等の措置が講じられているか等、事務リスクを軽減することの重要性を認識し、事務リスク軽減のための具体的な方策を講じているか。
事務部門は、十分に牽制機能が発揮されるよう体制が整備されているか。また、事務に係る諸規定が明確に定められているか。
(2)内部監査態勢
内部監査部門は、事務リスク管理態勢を監査するため、内部監査を適切に実施しているか。
(3)支社・支店等におけるリスク管理態勢
事務部門は、支社・支店等の営業店における事務管理態勢をチェックする措置を講じているか。
II -3-13-2 システムリスク管理態勢
II -3-13-2-1 意義
システムリスクとは、コンピュータシステムのダウン又は誤作動等のシステムの不備等に伴い、顧客や保険会社が損失を被るリスクやコンピュータが不正に使用されることにより顧客や保険会社が損失を被るリスクを言う。特に、合併や持株会社化による経営統合等の経営再編に伴うシステム統合や新商品・サービスの拡大等に伴い、保険会社の情報システムは一段と高度化・複雑化し、さらにコンピュータのネットワーク化の拡大に伴い、重要情報に対する不正なアクセス、漏洩等のリスクが大きくなっている。システムが安全かつ安定的に稼動することは保険会社に対する信頼性を確保するための大前提であり、システムリスク管理態勢の充実強化は極めて重要である。
また、金融機関のIT 戦略は、近年の金融を巡る環境変化も勘案すると、今や金融機関のビジネスモデルを左右する重要課題となっており、金融機関において経営戦略をIT 戦略と一体的に考えていく必要性が増している。こうした観点から、経営者がリーダーシップを発揮し、IT と経営戦略を連携させ、企業価値の創出を実現するための仕組みである「IT ガバナンス」が適切に機能することが極めて重要となっている。
(参考) 金融機関のIT ガバナンスに関する対話のための論点・プラクティスの整理第2版(令和5年6月)
II -3-13-2-2 主な着眼点
(1)システムリスクに対する認識等
システムリスクについて代表取締役をはじめ、役職員がその重要性を十分認識し、定期的なレビューを行うとともに、全社的なリスク管理の基本方針が策定されているか。
代表取締役は、システム障害やサイバーセキュリティ事案(以下、「システム障害等」という。)の未然防止と発生時の迅速な復旧対応について、経営上の重大な課題と認識し、態勢を整備しているか。
(注)サイバーセキュリティ事案とは、情報通信ネットワークや情報システム等の悪用により、サイバー空間を経由して行われる不正侵入、情報の窃取、改ざんや破壊、情報システムの作動停止や誤作動、不正プログラムの実行やDDoS攻撃等の、いわゆる「サイバー攻撃」により、サイバーセキュリティが脅かされる事案をいう。
取締役会は、システムリスクの重要性を十分に認識した上で、システムを統括管理する役員として定めているか。なお、システム統括役員は、システムに関する十分な知識・経験を有し業務を適切に遂行できる者であることが望ましい。
代表取締役及び取締役(指名委員会等設置会社にあっては執行役)は、システム障害等発生の危機時において、果たすべき責任やとるべき対応について具体的に定めているか。
また、自らが指揮を執る訓練を行い、その実効性を確保しているか。
(2)システムリスク管理態勢
取締役会は、コンピュータのネットワーク化の拡大等により、リスクが顕在化した場合、その影響が連鎖し、広域化・深刻化する傾向にあるなど、経営に重大な影響を与える可能性があるということを十分踏まえ、リスク管理態勢を整備しているか。
システムリスク管理の基本方針が定められているか。システムリスク管理の基本方針には、セキュリティポリシー(組織の情報資産を適切に保護するための基本方針)及び外部委託先に関する方針が含まれているか。
システムリスク管理態勢の整備にあたっては、その内容について客観的な水準が判定できるものを根拠としているか。
また、システムリスク管理態勢は、システム障害等の把握・分析、リスク管理の実施結果や技術進展等に応じて、不断に見直しを実施しているか。
(3)システムリスク評価
システムリスク管理部門は、顧客チャネルの多様化による大量取引の発生や、ネットワークの拡充によるシステム障害等の影響の複雑化・広範化など、外部環境の変化によりリスクが多様化していることを踏まえ、定期的に又は適時にリスクを認識・評価しているか。
また、洗い出したリスクに対し、十分な対応策を講じているか。
システムリスク管理部門は、例えば1日当たりの処理可能な契約件数などのシステムの制限値を把握・管理し、制限値を超えた場合のシステム面・事務面の対応策を検討しているか。
商品設計部門は、新商品の導入時又は商品内容の変更時に、システムリスク管理部門と連携するとともに、システムリスク管理部門は、システム開発の有無にかかわらず、関連するシステムの評価を実施しているか。
(4)情報セキュリティ管理
情報資産を適切に管理するために方針の策定、組織体制の整備、社内規程の策定、内部管理態勢の整備を図っているか。また、他社における不正・不祥事件も参考に、情報セキュリティ管理態勢のPDCAサイクルによる継続的な改善を図っているか。
情報の機密性、完全性、可用性を維持するために、情報セキュリティに係る管理者を定め、その役割・責任を明確にした上で、管理しているか。また、管理者は、システム、データ、ネットワーク管理上のセキュリティについて統括しているか。
コンピュータシステムの不正使用防止対策、不正アクセス防止対策、コンピュータウィルス等の不正プログラムの侵入防止対策等を実施しているか。
保険会社が責任を負うべき顧客の重要情報を網羅的に洗い出し、把握、管理しているか。
顧客の重要情報の洗い出しにあたっては、業務、システム、外部委託先を対象範囲とし、例えば、以下のようなデータを洗い出しの対象範囲としているか。
- 通常の業務では使用しないシステム領域に格納されたデータ
- 障害解析のためにシステムから出力された障害解析用データ
- ATM(店舗外含む)等に保存されている取引ログ 等
洗い出した顧客の重要情報について、重要度判定やリスク評価を実施しているか。
また、それぞれの重要度やリスクに応じ、以下のような情報管理ルールを策定しているか。
- 情報の暗号化、マスキングのルール
- 情報を利用する際の利用ルール
- 記録媒体等の取扱いルール 等
顧客の重要情報について、以下のような不正アクセス、不正情報取得、情報漏えい等を牽制、防止する仕組みを導入しているか。
- 職員の権限に応じて必要な範囲に限定されたアクセス権限の付与
- アクセス記録の保存、検証
- 開発担当者と運用担当者の分離、管理者と担当者の分離等の相互牽制体制 等
機密情報について、暗号化やマスキング等の管理ルールを定めているか。また、暗号化プログラム、暗号鍵、暗号化プログラムの設計書等の管理に関するルールを定めているか。
なお、「機密情報」とは、暗証番号、パスワード、クレジットカード情報等、顧客に損失が発生する可能性のある情報をいう。
機密情報の保有・廃棄、アクセス制限、外部持ち出し等について、業務上の必要性を十分に検討し、より厳格な取扱いをしているか。
情報資産について、管理ルール等に基づいて適切に管理されていることを定期的にモニタリングし、管理態勢を継続的に見直しているか。
セキュリティ意識の向上を図るため、全役職員に対するセキュリティ教育(外部委託先におけるセキュリティ教育を含む)を行っているか。
(5)サイバーセキュリティ管理
取締役会等は、サイバーセキュリティの重要性を認識し、「金融分野におけるサイバーセキュリティに関するガイドライン」を踏まえ、必要な態勢を整備しているか。
インターネット等の通信手段を利用した非対面の取引を行う場合には、例えば、以下のような取引のリスクに見合った適切な認証方式を導入しているか。
- ・可変式パスワードや電子証明書などの、固定式のID・パスワードのみに頼らない認証方式
- ・取引に利用しているパソコンのブラウザとは別の携帯電話等の機器を用いるなど、複数経路による取引認証
- ・ハードウェアトークン等でトランザクション署名を行うトランザクション認証 等
(注)不正アクセスによる顧客口座からの不正出金を防止するための措置を講じている場合(例えば、保険金振り込み金融機関口座(出金先口座)の指定・変更手続きにおいて、顧客口座と名義が異なる出金先口座への指定・変更を認めないこととし、さらに転送不要郵便により顧客の住所地に口座指定・変更手続きのための書面を送付するなどにより、顧客口座と名義が異なる出金先口座への振込みを防止する措置を講じている場合)は、取引のリスクに見合った対応がなされているものと考えられる。
インターネット等の通信手段を利用した非対面の取引を行う場合には、例えば、以下のような業務に応じた不正防止策を講じているか。
- ・取引時においてウィルス等の検知・駆除が行えるセキュリティ対策ソフトの利用者への提供
- ・利用者のパソコンのウィルス感染状況を保険会社側で検知し、警告を発するソフトの導入
- ・電子証明書をIC カード等、取引に利用しているパソコンとは別の媒体・機器へ格納する方式の採用
- ・不正なログイン・異常な取引等を検知し、速やかに利用者に連絡する体制の整備 等
(6)システム企画・開発・運用管理
経営戦略の一環としてシステム戦略方針を明確にした上で、中長期の開発計画を策定しているか。また、中長期の開発計画は、取締役会の承認を受けているか。
現行システムに内在するリスクを継続的に洗い出し、その維持・改善のための投資を計画的に行っているか。
また、システム開発・運用管理に当たっては、十分な予算や人的資源を配分しているか。
開発案件の企画・開発・移行の承認ルールが明確になっているか。
開発プロジェクトごとに責任者を定め、開発計画に基づき進捗管理されているか。
また、システム開発の進捗状況について、システムの重要度及び性格を踏まえ取締役会等に報告しているか。さらに、進捗状況等に問題がある場合、取締役会等が必要な指示を行っているか。
保険会社におけるシステム不備により保険契約者等に対し不利益を及ぼすことを防ぐため、保険商品の開発や改定等に際してのシステム開発においては、次の点に留意して、プログラムミスの発生防止のための措置を講じているか。
ア. システム開発時の連携
保険契約に係る新しい商品や仕組みを導入する場合(これらを変更する場合を含む。)に、商品設計部門、事務設計部門及びシステム部門の間の連携が十分図られているか。
連携にあたっては、
(ア)関係する部門間での連携のためのルール・責任範囲が明確化されているか。
(イ)保険料・配当金等の重要な事項に関する計算結果についてのシステム機能のチェックに、商品設計部門、事務設計部門が主体的に関与しているか。
(ウ)関係する部門間で、必要な情報が共有されているか。
(エ)関係する部門の責任者や担当者が明確にされているか。
(オ)システムの開発や変更の記録が、保存期間を定めて文書等で保管されているか。
等に留意する。
イ. システム開発時のチェック
(ア)商品設計部門、事務設計部門及びシステム部門で連携して、商品や仕組みの内容に照らして取扱いの差異が生じる場合を網羅する適切かつ十分なケースを想定し、システム設計、プログラム設計及びテストを実施しているか。
(イ)保険料・配当金等の重要な事項に関する計算結果については、特に重点的にチェックを実施しているか。また、システムの稼動に先立ち、チェックの実施状況を確認しているか。
(ウ)各部門におけるチェックについては、具体的な内容毎に、十分な検証能力を有する者によって実施されているか。
(エ)チェックの方法が適切に選択されているか。
ウ. システム開発後のチェック・管理
(ア)商品設計部門及び事務設計部門は、新しい商品や仕組みの導入後においても、必要に応じてサンプルチェック等を実施しているか。
(イ)新しい商品や仕組みの導入にあたり、システム開発の一部について実施時期を先延ばしした場合、その後のシステム開発における管理主体を明確にした上で、商品設計部門、事務設計部門及びシステム部門で連携してスケジュールを適切に管理しているか。
人材育成については、現行システムの仕組み及び開発技術の継承並びに専門性を持った人材の育成のための具体的な計画を策定し、実施しているか。
(7)システム監査
システム部門から独立した内部監査部門が、定期的にシステム監査を行っているか。
システム関係に精通した要員による内部監査や、システム監査人等による外部監査の活用を行っているか。
監査対象は、システムリスクに関する業務全体をカバーしているか。
システム監査の結果は適切に取締役会に報告されているか。
(8)外部委託管理
外部委託先(システム子会社を含む。)の選定に当たり、選定基準に基づき評価、検討のうえ、選定しているか。
外部委託契約において、外部委託先との役割分担・責任、監査権限、再委託手続き、提供されるサービス水準等を定めているか。また、外部委託先の役職員が遵守すべきルールやセキュリティ要件を外部委託先へ提示し、契約書等に明記しているか。
システムに係る外部委託業務(二段階以上の委託を含む)について、リスク管理が適切に行われているか。
特に外部委託先が複数の場合、管理業務が複雑化することから、より高度なリスク管理が求められることを十分認識した体制となっているか。
システム関連事務を外部委託する場合についても、システムに係る外部委託に準じて、適切なリスク管理を行っているか。
外部委託した業務(二段階以上の委託を含む)について、委託元として委託業務が適切に行われていることを定期的にモニタリングしているか。
また、外部委託先任せにならないように、例えば委託元として要員を配置するなどの必要な措置を講じているか。さらに、外部委託先における顧客データの運用状況を、委託元が監視、追跡できる態勢となっているか。
重要な外部委託先に対して、内部監査部門又はシステム監査人等による監査を実施しているか。
(9)コンティンジェンシープラン
コンティンジェンシープランが策定され、緊急時体制が構築されているか。
コンティンジェンシープランの策定にあたっては、その内容について客観的な水準が判断できるもの(例えば「金融機関等におけるコンティンジェンシープラン(緊急時対応計画)策定のための手引書」(公益財団法人金融情報システムセンター編))を根拠としているか。
コンティンジェンシープランの策定に当たっては、災害による緊急事態を想定するだけではなく、保険会社の内部又は外部に起因するシステム障害等も想定しているか。
また、バッチ処理が大幅に遅延した場合など、十分なリスクシナリオを想定しているか。
コンティンジェンシープランは、他の金融機関等におけるシステム障害等の事例や中央防災会議等の検討結果を踏まえるなど、想定シナリオの見直しを適宜行っているか。
コンティンジェンシープランに基づく訓練は、全社レベルで行い、外部委託先等と合同で、定期的に実施しているか。
業務への影響が大きい重要なシステムについては、オフサイトバックアップシステム等を事前に準備し、災害、システム障害等が発生した場合に、速やかに業務を継続できる態勢を整備しているか。
(10)障害発生時等の対応
システム障害等が発生した場合に、顧客に対し、無用の混乱を生じさせないよう、適切な措置を講じているか。
また、システム障害等の発生に備え、最悪のシナリオを想定した上で、必要な対応を行う態勢となっているか。
システム障害等の発生に備え、外部委託先を含めた報告態勢、指揮・命令系統が明確になっているか。
経営に重大な影響を及ぼすシステム障害等が発生した場合に、速やかに代表取締役をはじめとする取締役に報告するとともに、報告に当たっては、最悪のシナリオの下で生じうる最大リスク等を報告する態勢(例えば、顧客に重大な影響を及ぼす可能性がある場合、報告者の判断で過小報告することなく、最大の可能性を速やかに報告すること)となっているか。
また、必要に応じて、対策本部を立ち上げ、代表取締役等自らが適切な指示・命令を行い、速やかに問題の解決を図る態勢となっているか。
システム障害等の発生に備え、ノウハウ・経験を有する人材をシステム部門内、部門外及び外部委託先等から速やかに招集するために事前登録するなど、応援体制が明確になっているか。
システム障害等が発生した場合、保険会社において速やかに障害の内容・発生原因、復旧見込等について公表するとともに、顧客からの問い合わせに的確に対応するため、必要に応じ、コールセンターの開設等を迅速に行っているか。
また、システム障害等の発生に備え、関係業務部門への情報提供方法、内容が明確になっているか。
システム障害等の発生原因の究明、復旧までの影響調査、改善措置、再発防止策等を的確に講じているか。
また、システム障害等の原因等の定期的な傾向分析を行い、それに応じた対応策をとっているか。
システム障害等の影響を極小化するために、例えば障害箇所を迂回するなどのシステム的な仕組みを整備しているか。
II -3-13-3 システム統合リスク・プロジェクトマネジメント
II -3-13-3-1 意義
II -3-13-3-1-1 システム統合リスク
保険会社のシステムについては、保険商品の多様化に伴って規模が大きく構成が複雑化しており、保険業務におけるIT(情報通信技術)依存度の高まりやコンピューターのネットワーク化の拡大と相俟って、システムの安全性・安定性の確保が重要な経営課題となっている。
特に、合併や持株会社化による経営統合等の経営再編に伴うシステム統合において大規模なシステム障害が発生する可能性があることから、合併や持株会社化による経営統合等を行うに際し、システム統合リスク管理態勢の構築は最重要課題のひとつとなっている。
(参考) 金融機関のITガバナンスに関する対話のための論点・プラクティスの整理(令和元年6月)別添「システム統合リスク管理態勢に関する考え方・着眼点(詳細編)」
「システム統合」とは、合併、事業譲渡、持株会社化、子会社化及び業務提携等の経営再編(「経営統合」)により、システムを統合、分割又は新設することをいう(システムの共同開発・運営を含む。)。
「システム統合リスク」とは、システム統合における事務・システム等の統合準備が不十分なことにより、事務の不慣れ等から役職員が正確な事務を誤り、あるいはコンピュータシステムのダウン又は誤作動等が発生し、その結果、顧客サービスに混乱をきたす、場合によっては保険会社等としての存続基盤を揺るがすなど、顧客等に損失が発生するリスク、また統合対象保険会社等が損失を被るリスクである。
II -3-13-3-1-2 システム統合リスクの「リスク特性」とリスク軽減策
(1)リスクの特性の基本的な考え方
「システム統合リスク」とは、単にシステムの開発にかかわるリスクに限られるのではなく、ユーザー部門における事務処理対応、保険募集人、代理店、窓口における顧客対応等の「事務リスク」の分野を広く包摂したものであって、対象保険会社の経営陣の責任において、「顧客利便」を最重要視した複合的なリスク管理が求められている点が重要である。
(2)リスク軽減策の基本的考え方
システム統合リスクのリスク量は、事象(イベント)の発生確率と発生した場合の影響度(インパクト)の積で認識すべきものであり、保険会社の業容等からすれば、以下の II -3-13-3-1-3、II -3-13-3-2を踏まえた徹底したリスク軽減策が求められることに留意する必要がある。
加えて、リスク軽減策に見合うコンティンジェンシープランを整備し、各種リスク事象が複合的に顕在化(障害が同時発生)しても、顧客に大きな影響を及ぼすことを回避できるような態勢を整備する。
II -3-13-3-1-3 プロジェクト管理(プロジェクトマネジメント)の重要性
合併や持株会社化による経営統合等の経営再編に伴うシステム統合の実施に当たっては、下記のような合併時固有の事情(注)から、システム開発会社だけではなく、保険会社においても、実効性のあるプロジェクト管理態勢の構築(いわゆる「プロジェクトマネジメント」の実施)が不可欠であると考えられる。
(注)合併以外の事由に伴うシステム統合の場合においても、合併時と同様な事情があることに留意する。
(1)制約のあるスケジュール
システム統合を行う複数の保険会社(以下、「対象保険会社」という。)の経営陣は、制約のあるスケジュールと競争・競合環境の下で、
合併後の経営戦略・ビジネスモデルの構築、
人事体制・リストラ計画の策定、
統合比率の決定等の重要な経営判断を迅速に行う必要があること。
(2)長期にわたる複雑なプロジェクト
システム統合を実現するプロセスの基本的なパターンは、
基本検討、
基本設計、
詳細設計、
製造、
結合テスト、
総合テスト、
総合運転テスト、
移行であり、実現までに長期間を要するプロジェクトであること。
II -3-13-3-2 主な着眼点
検証に当たっての基本的な着眼点は、「金融機関のITガバナンスに関する対話のための論点・プラクティスの整理(令和元年6月)別添「システム統合リスク管理態勢に関する考え方・着眼点(詳細編)」に示されているところによるが、以下は、過去の事例から得られた反省と教訓等を勘案して、より具体化した着眼点を例示したものである。
(1)取締役の責任分担及び経営姿勢の明確化
対象保険会社の代表取締役は、II-3-13-3-1-1のようなシステム統合リスクのリスク特性やプロジェクトマネジメントの重要性を正確に認識しているか。
対象保険会社の代表取締役は、システム統合に係る役職員の責任分担を明確化するとともに、自らの経営姿勢を明確化しているか。
(2)システム統合方式に係る経営判断の合理性
対象保険会社の取締役会は、システム統合の方式決定に当たり、対象保険会社間の軋轢を排除し、十分な協議を行い、合併等までのスケジュール、合併後の経営戦略等に基づき、システム統合実施までの十分な準備期間、十分な予算や人的資源を確保した上で、合理的な意思決定を行っているか。
(3)プロジェクトマネジメントのための基本的な体制整備
対象保険会社の取締役会は、システム統合は、単にシステムの問題としてではなく、事務処理対応及び顧客対応という事務リスクと密接不可分であること、また、一つの分野で発生するリスクが他の分野にも波及し、経営再編全体の大きな障害となる可能性があることを十分認識した上で、協調して、システム統合に係る計画・作業を統括管理する役員及び部門(以下、「統括役員及び部門」という。)等を設置しているか。
対象保険会社間、取締役・統括役員及び部門間、開発部門・ユーザー部門間、同一部門内、営業店(保険代理店を含む)内における意思疎通が十分に図られる体制が整備されているか。
対象保険会社の取締役会並びに統括役員及び部門は、協調して統合プロジェクトの進捗状況を的確に把握できる体制を整備しているか。システム統合に関する情報が対象保険会社の一部の役職員の間にとどまることのないよう保険会社内、保険会社間の報告体制が整備されているか。
(4)システム統合計画とその妥当性
事務・システム両面にわたる徹底したリスクの洗出しと軽減策
対象保険会社の取締役会は、統合前のそれぞれのシステムの実態及びこれまでのシステム障害の事例等を踏まえ、システム統合において対顧客障害を起こさないという観点から、事務・システム両面にわたる徹底したリスクの洗出しと軽減策を講じた上で、システム統合計画を策定しているか。
事務・システム両面にわたり十分かつ保守的な移行判定項目・基準を策定しているか。
システム統合計画の妥当性
あらかじめ決められた統合の期限を優先するあまり、リスク管理を軽視した計画等となっていないか、第三者機関の評価等も活用して、計画の妥当性につき客観的・合理的に検証しているか。
また、移行判定項目・基準等においては、全ての役職員がいつまでに何をすべきかを明確に定めたものとなっているか。
(5)保険会社における十分なテスト・リハーサル体制の構築
レビューやテスト不足が原因で、顧客に影響が及ぶような障害や経営判断に利用されるリスク管理用資料等の重大な誤算が発生しないような十分なテスト、リハーサルの体制を整備しているか。具体的には、工程毎のレビュー実施状況を検証し、品質状況を管理するためのレビュー実施計画や、システム統合に伴う開発内容に適合したテスト計画が策定され、実施するための体制が整備されているか。
特に、ファイル移行等に関する最終的な品質は、全量データによる機能確認を行わないと判定できないことを踏まえたテスト計画となっているか。さらに、テスト期間中に判明する想定外の不整合データについてのデータクレンジング等の追加的な事務負担を織り込んで、スケジュール管理が行われているか。
システムの開発内容に関係ない部分であっても、例えば対外接続系に使用されていたベンダーのパッケージソフトの潜在的な不具合が統合時に顕在化し、結果として大規模な障害に発展する等、全く想定外のリスク事象が発生することがあることにかんがみ、影響がないと見込まれる部分であっても影響がないことを確認するためのテスト等を可能な限り計画しているか。
統合後の業務運営の検証のため、本番環境を想定した訓練やリハーサルは、可能な限り営業店(保険代理店を含む)等に同時並行的にピーク時の負荷をかける等、できる限り忠実に本番に近い環境を再現して行うこととしているか。
統合により、事務処理の方式が抜本的に変化する営業店(保険代理店を含む)において、いわゆる追付き開発・差分開発の見送りに伴う事務負担の増加への対応を含め、事務手続きの習得教育・障害訓練は十分行われているか。さらに、その進捗状況を把握・評価する体制が整備されているか。
(6)対顧客説明、接続テスト実施体制の構築
顧客折衝の実施計画や折衝に当たって必要な役職員研修の具体的な実行計画等、顧客への周知・説明態勢の十分な整備、研修やマニュアルの実行可能性について、個別具体的な検証がなされているか。
システム統合により、取り扱うサービス(例えば、保険料の徴求形態や徴求日等)に変更がある場合には、顧客利便性に配慮した検討を行ったうえで、顧客への周知が適切に行われているか。
保険料の口座振替、保険金の口座振込等の顧客とつながりのある取引について、金融機関等の接続先の事情を勘案した接続テストの実施等スケジュールを策定し、接続先への説明を十分に行っているか。
特に、顧客とつながりのある取引に関する接続テストは、可能な限り全て実施することを基本として計画を組んでいるか。
接続テストを行わないケース又は行う必要がないと考えられるケースについても、可能な限り実データ等により問題が起きないことを確認することとしているか。
対顧客説明、接続テスト等の進捗状況を把握・評価する体制が整備されているか。
(7)設計・開発段階からのプロジェクトマネジメント
商品の整理・統合等に係る設計・開発段階から、ユーザー部門とシステム部門の間で認識の相違や、業務要件の洗出しの漏れ・仕様調整漏れが生じ、これが統合時の障害のひとつの原因となっていることから、設計・開発の各段階毎に品質管理が重要である。
こうしたことを踏まえ、各工程の検証及び承認ルールを明確にする等、適切な管理が行われているか。特に、納期を優先するあまり、品質を犠牲にし、各工程の完了基準を満たさずに次工程に進むことがないか。
(8)外部委託先の管理態勢
統合に係るシステム開発等の業務が外部委託される場合、当該委託先と統括部門との間の意思疎通が十分に図られる体制を整備しているか。
外部委託先の作業の問題点の早期発見・早期是正がなされないと、追加テスト等を行うことによる遅延が発生することを踏まえ、外部委託業務の内容及びその進捗状況を的確に把握しているか。
特に、対象保険会社と複数の外部委託先が関与する場合、管理態勢の複雑化に伴うリスクを十分認識した上で、対象保険会社が協調して、主体的に関与する体制となっているか。
(9)計画の進捗管理・遅延・妥当性の検証に係るプロジェクトマネジメント
対象保険会社の取締役会並びに統括役員及び部門は、システム統合計画の進捗管理に際し、協調して残存課題、未決定事項等の問題点の把握、解消予定の見定めが十分なされる体制となっているか。
プロジェクトの進捗管理に当たっては、常に計画の妥当性まで遡って検証しながら進めることとしているか。
システム統合が遅延する等、不測の事態が生じた場合に協調して適切に対応できる体制を整備しているか。具体的には、システム統合が計画に比して遅延した場合にスケジュールを見直す基準が策定された上で取締役会の承認を得ており、それに基づいて適切な対応が図られる体制が整備されているか。
また、協調して遅延の根本原因を究明し、対処する体制が整備されているか。
(10)資源配分及び計画の変更等に係るプロジェクトマネジメント
統合の各段階において経営資源が適切に配分されているか等、対象保険会社が協調して統合の段階毎の進捗について検証を行い、仮に問題点が把握された場合には、それに対し速やかに適切な方策を講じることとしているか。特定の部署・担当者に作業が集中することのないよう業務管理が適切に行われているか。
計画の見直しに当たっては、変更後の計画が妥当なものであるか、変更により全体のプロジェクトにどのような影響があるかを十分検証、検討したものとなっているか。
(11)厳正な移行判定の実施
対象保険会社の統括役員及び部門は、II -3-13-3-1を踏まえ安全性・安定性を確保するために適切に策定され、取締役会の承認を得た業務の移行判定基準(システムの移行判定基準を含む。)に従い、システムを含む統合後の業務運営体制への移行の可否を判断し、取締役会での承認を経て実行することとしているか。
移行判定時までに、必要なテスト、リハーサル、研修及び訓練等(コンティンジェンシープランの訓練及びその結果を踏まえたプランの見直しまで含む。)が終了し、経営陣の判断するに当たっての不可欠な材料が全て揃うスケジュール・計画となっているか。
移行判定の時期は、対外接続や顧客への対応も含めて、フォールバックが円滑に行われるよう、統合予定日から十分な余裕をもって遡って設定されているか。
(12)フォールバックの態勢整備
移行判定時において統合不可(戻し、延期等)の判断がなされた場合、システム、内部事務、顧客対応等が円滑に行われる体制が整備されているか。
システム統合日前後における不測の事態への対応プラン(システム統合の中止を含む。)が連携して策定され、取締役会の承認を得ているか。
(13)コンティンジェンシープランの確立
既存のコンティンジェンシープランについて、システム統合後のシステムの構成や組織体制に基づいた見直しを行った上で、取締役会の承認を受けているか。
また、システム統合に係るコンティンジェンシープランが、同様に策定されているか。特にこれまでの事例を踏まえ、対象保険会社は連携して、
システム障害等の不測の事態が発生した場合、システムが完全復旧するまでの代替手段を検討・整備しているか。
システム障害が取引のピーク日に発生した場合、契約の二重計上による保険料の二重引き落とし、保険金・解約返戻金の過誤払いや計算誤り等の二次的災害を防止するためのマニュアル対応及び営業店(保険代理店を含む)等を含めた訓練が十分に行われる体制が整備されているか。
また、統合後の事務処理に不慣れな営業店(保険代理店を含む)の混乱等による顧客サービスの低下を防止するための体制が整備されているか。
システムが完全復旧するまでの間、手作業に頼らざるを得ない場合に備え、軽微な障害であっても短期間に同時多発する可能性も考慮して、事務量を適切に把握し、必要な人員の確保が迅速にできる体制が整備されているか。
システム障害等の不測の事態が発生した場合、障害の内容・原因、復旧見込等について公表するとともに、顧客からの問い合わせに的確に対応するため、コールセンターの開設等を迅速に行うこととしているか。
単に机上のプランにとどまらず、実際に十分な回数の訓練を行い、その結果を踏まえて、必要に応じプランの見直しを行って、実効性を確保しているか。
(14)実効性のある内部監査、第三者評価
対象保険会社の内部監査部門(以下、「内部監査部門」という。)は、単なる進捗状況のモニタリング・検証のみならず、各問題が統合計画に与える影響やシステム統合リスク管理態勢の実効性といった観点から監査するものと位置付けられた上で、協調して業務監査及びシステム監査を行うことができる体制となっているか。また、システムの開発過程等プロセス監査に精通した要員を確保しているか。
システム統合に係る重要事項の判断に際して、システム監査人による監査等の第三者機関による評価を、その限界も見極めつつ、効果的に活用しているか。
(15)保険持株会社による統括機能
保険持株会社の下で子保険会社のシステム統合が行われる場合には、保険持株会社の経営管理機能の一環として、システム統合リスク管理機能(プロジェクト管理機能を含む。)が適切に発揮されているか。
II -3-13-4 その他オペレーショナル・リスク管理態勢
II -3-13-4-1 意義
その他オペレーショナル・リスクとは、保険会社がオペレーショナル・リスクと定義したリスクのうち、事務リスク、システムリスクを除いたリスクをいう。
例えば、顧客に対する過失などによる「法務リスク」や、人事運営上の不公平・不公正・差別的行為から生じる損失・損害などの「人的リスク」、評判の悪化や風説の流布等により、信用が低下することから生じる損失・損害などの「風評リスク」などがある。
各保険会社においては、このような、その他オペレーショナル・リスクを適切に管理するための態勢整備が重要である。
II -3-13-4-2 主な着眼点
(1)経営陣は、その他オペレーショナル・リスク管理を軽視することが、戦略目標の達成に重大な影響を与えることを十分認識し、これらのリスクの所在や特性等を把握しているか。
(2)保険会社は、その他オペレーショナル・リスクについて、管理方針等を策定しリスクを定義するとともに、適切な管理を行い、必要に応じ取締役会等へ報告を行うなど、適切なリスク管理態勢を整備し、運用しているか。
II -3-14 監督手法・対応
統合的リスク管理態勢について問題があると認められる場合には、必要に応じて法第128条に基づき報告を求め、重大な問題があると認められる場合には、法第132条(保険引受リスク管理態勢、再保険に関するリスク管理及び資産運用リスク管理態勢に重大な問題があると認められる場合には、法第132条又は第133条)に基づく行政処分を行うものとする。
なお、システムリスク管理態勢については、以下の点も踏まえて対応することとする。
(1)障害発生時
コンピュータシステムの障害やサイバーセキュリティ事案の発生を認識次第、直ちに、その事実について当局宛て報告を求めるとともに、「障害等発生報告書」(様式・参考資料編 II.その他報告等様式集 様式 II-3-15(1))にて当局宛て報告を求めるものとする。
また、復旧時、原因解明時には改めてその旨報告を求めることとする。
ただし、復旧原因の解明がされていない場合でも1ヵ月以内に現状について報告を求めることとする。
(注)報告すべきシステム障害等
その原因の如何を問わず、保険会社が現に使用しているシステム・機器(ハードウェア、ソフトウェア共)に発生した障害であって、
ア. 保険金等の支払いに遅延、停止等が生じているもの又はその恐れがあるもの。
イ. 資金繰り、財務状況把握等に影響があるもの又はその恐れがあるもの。
ウ. その他業務上、上記に類すると考えられるもの。
をいう。
ただし、一部のシステム・機器にこれらの影響が生じても他のシステム・機器が速やかに交替することで実質的にはこれらの影響が生じない場合を除く。
なお、障害が発生していない場合であっても、サイバー攻撃の予告がなされ、又はサイバー攻撃が検知される等により、顧客や業務に影響を及ぼす、又は及ぼす可能性が高いと認められる時は、報告を要するものとする。
必要に応じて法128条に基づき追加の報告を求め、重大な問題があると認められる場合には、法第132条に基づく行政処分を行うものとする。
(2)システムの更新時
保険会社が重要なシステムの更新等を行うときは、必要に応じ、法第128条に基づき報告を求め、計画及び進捗状況、プロジェクトマネジメントの適切性・実効性等について確認を行い、重大な問題があると認められる場合には、第132条に基づく行政処分を行うものとする。
(3)システム統合時
保険会社が、システム統合等を行う場合にあっては、基本合意等の公表を受けて、システム統合の計画(スケジュールを含む。)及びその進捗状況、並びに、システム統合リスク管理及びプロジェクトマネジメントの態勢について、定期的に報告を求めて実態を把握し、重大な問題がないか検証する。
システム統合リスク管理態勢等に関する検査結果通知が行われた場合には、法第128条に基づき、指摘事項について、事実確認、発生原因分析、改善対応策、その他を取りまとめた報告及びリスクを適正に制御する方策(計画を的確に履行するための方策、内部監査を含む内部管理態勢等)についても報告を求め、システム統合リスク管理態勢(プロジェクトマネジメントの態勢を含む。以下同じ。)に問題がないか検証する。
さらに、定期的にフォローアップ報告を求めて、検査結果を受けた改善・対応策の進捗状況、プロジェクト管理態勢の実効性等の確認を行う。
システム統合に係る移行判定が行われたときは、その判断の根拠等につき、法128条に基づく報告を求める。
上記
~
のいずれかの検証等の結果、問題がある場合には法第128条に基づき報告を求め、重大な問題がある場合には、法第132条に基づく行政処分を行うものとする。
システム統合に係る経営統合が当局の認可を要する場合
当該認可申請に対し、法令に基づく審査基準の範囲内で、システム統合計画を的確に履行するための方策、内部監査を含む内部管理態勢等II-3-13-3-2を踏まえた資料提出を求め、システム統合リスク管理態勢に問題がないか審査し、必要に応じ所要の調整を経て、又は法第310条に基づき必要な条件を付して認可することとする。
また、合併等の認可後から当該システム統合完了までの間、法128条に基づく報告を定期的に求めるものとする。
システム障害が発生した場合
本監督指針II-3-13-2-2(10)、II-3-14(1)等にも留意する。