リスクの所在 |
リスクシナリオ |
リスク軽減策 |
コンティンジェンシー・プラン |
|
1. |
自らが開発したシステムに誤作動、ダウンが発生する。
(システム関連子会社が開発したものも含む) |
|
1. |
全てのシステムを対象としているか。 |
2. |
対象システムの稼動確認を行っているか。 |
3. |
年跨ぎ、閏日のテストを行っているか。 |
4. |
業務上重要な日付や特殊日付(全銀協、米国FFIEC等が示す日付)のテストを行っているか。 |
5. |
本番機での稼動確認を行っていることが望ましい。 |
|
1. |
危険日における体制を確立しているか。
(1) |
社内の連絡体制 |
(2) |
ベンダーとの連絡体制等 |
|
2. |
誤作動がないか、誤データがないかを監視するプロセスを確立しているか。
例えば、誤作動早期発見マニュアル等の準備 等 |
3. |
コアビジネス毎のコンティンジェンシー・プランを策定しているか。 |
4. |
既存のシステムダウン等の障害対策マニュアルを整備しているか。 |
5. |
各種コンティンジェンシー・プランの訓練を行っているか。 |
6. |
各種コンティンジェンシー・プランの発動基準(トリガー)が設定されているか。 |
7. |
各種コンティンジェンシー・プランは営業店等で使いやすいようにマニュアル化されているか。 |
8. |
予備の資源(特にスキルある要員)を十分に確保しているか。 |
9. |
システム障害が発生した場合の報告体制を確立しているか。 |
|
2. |
外部ベンダー提供システムの誤作動、ダウン(OS等の基盤ソフトウェアを含む)が発生する。 |
|
1. |
OS等について、十分な稼動確認を行っているか。 |
2. |
外部ベンダー提供の業務用システムについては自社開発システムと同等以上のテストを行っているか。 |
3. |
自らテストが実施できない場合に
(1) |
外部ベンダーのテストに立ち会っているか。 |
(2) |
テスト内容を確認しているか。 |
(3) |
保証書等の徴求を行っているか。 |
(4) |
保証書等を法務部門にてチェックしているか。 |
|
|
3. |
ユーザー所管のシステムのダウン、誤作動が発生する。 |
|
1. |
ユーザー所管システムについても対象としているか。 |
2. |
エンド・ユーザー・コンピューティング等についても対象としているか。 |
3. |
稼動確認について的確な指示を行っているか。 |
4. |
自社開発システムと同等の稼動確認を行っているか。 |
5. |
ユーザー所管システムの進捗状況を把握しているか。 |
|
|
1. |
業界内対外接続テストへ参加しているか。 |
2. |
データ交換先との接続テストを行っているか。 |
3. |
データ交換先との接続テストの状況を把握しているか。 |
4. |
接続テストの未実施先を把握しているか。 |
|
1. |
データ授受後の誤作動がないか、誤データがないかを監視するプロセスを確立しているか。 特に、接続テスト未実施先と、2000年データ初回受渡時の確認方法等について取り決められているか。 |
2. |
上記の事象を想定した法務リスクの対応策を準備しているか |
|
5. |
グループ企業(関連会社、海外拠点含む)のシステムにダウン、誤作動が発生する。 |
|
1. |
グループ企業のシステムについても対象としているか。 |
2. |
自社と同等の稼動確認を指示しているか。 |
3. |
グループ企業のシステムの進捗状況を把握しているか。 |
|
1. |
自社と同等のコンティンジェンシー・プランの準備・訓練を行っているか。 |
2. |
グループ企業に対して生じる風評リスク(特に海外拠点)に備えたコンティンジェンシー・プランを策定しているか。 |
|
6. |
設備の異常が発生する。 (ビル管理システム、入退室管理システム等) |
|
1. |
設備等について、十分な稼動確認を行っているか。 |
2. |
自らテストが実施できない場合に
(1) |
外部ベンダーのテストに立ち会っているか。 |
(2) |
テスト内容を確認しているか。 |
(3) |
保証書等の徴求を行っているか。 |
(4) |
保証書等を法務部門にてチェックしているか。 |
|
|
1. |
自動運転から手動運転への切替の準備・訓練を行っているか。 |
2. |
ベンダーとの連絡体制を確立しているか。 |
3. |
2000年1月の初期稼動確認体制を確立しているか。 |
|
|
1. |
TV、新聞社等マスコミから、Y2Kの対応状況等についての取材が増える。 |
|
1. |
マスコミ向け記者会見等でY2Kの対応状況について的確に情報開示しているか。 |
2. |
有価証券報告書、ディスクロージャー誌等へ的確に情報開示を行っているか。 |
3. |
マスコミからの問合せに的確に回答できるように広報担当等へ十分な教育を行っているか。 |
4. |
ホームページ等を定期的に更新しているか。 |
|
1. |
マスコミ向けの想定問答集についての準備・訓練を行っているか。 |
2. |
専門的な質問にも応対できる体制を確立しているか。 |
|
2. |
顧客からY2Kの対応状況等についての問合せが増える。 |
|
1. |
顧客向けの案内やパンフレット等の中でY2Kの対応状況を的確に情報開示しているか。
|
2. |
顧客からの問合せに的確に回答できるように営業店窓口等へ十分な教育を行っているか。 |
|
1. |
顧客向けの想定問答集についての準備・訓練を行っているか。 |
|
3. |
1999年末に事務作業が増える。
(1) |
残高証明書の発行 |
(2) |
通帳への記帳 |
(3) |
預金引き出し |
等 |
|
|
|
1. |
顧客に安心感を与える適切な情報開示を行っているか。
例えば、年末における預金残高データを銀行側にて保全するといった対策を発表する等 |
2. |
事務作業が集中した場合を想定した事務処理量や本部営業店の事務限界量を分析しているか。 |
|
1. |
集中事務を予測した対応策はあるか。 |
2. |
集中事務を想定した訓練を行っているか。 |
3. |
事務作業の増加に備えて、印刷帳票等用度品や営業店要員を多めに確保する予定があるか。 |
4. |
流動性リスクへの対応策を準備しているか。 |
|
4. |
納入業者のY2K対応が不調に終り、事務に必要な用品の調達が困難となる。 |
|
1. |
納入業者等各サプライヤーに対してアンケート等にて対応状況の確認をしているか。 |
2. |
アンケートを回収し、その内容を分析しているか。 |
|
1. |
事務に必要な用度品を多めに確保する予定があるか。 |
2. |
多めに確保しない場合に、調達方法について代替案を確保しているか。
|
3. |
対応が不十分な納入業者に対する対応策が準備されているか。 |
|
5. |
2000年1月到来時に正常稼動確認の問合せが増える。 |
|
1. |
2000年1月営業開始までに、システム・設備等が正常に稼動することを十分に確認しているか。 |
2. |
1999年中に稼動確認できないシステム・設備等を把握しているか。 |
3. |
顧客に安心感を与える適切な情報開示を行っているか。 |
|
1. |
2000年1月到来時の稼動確認の体制が確立しているか。 |
2. |
2000年1月に稼動状況を開示する手段を準備しているか。
例えば、
安全宣言の準備あるいは非常事態宣言 等 |
|
6. |
事務委託等を行っている関連会社のY2K対応が不調に終り、事務が滞る。 |
|
1. |
システムリスクだけでなく、その他の経営リスクの対応についても的確に指示しているか。 |
2. |
自社と同等のコンティンジェンシー・プランの策定を義務づけているか。 |
3. |
対応状況についての定期報告を義務付けているか。 |
4. |
Y2K対応についての検査等を行っているか。 |
|
1. |
自社と同等のコンティンジェンシー・プランを準備しているか。 |
2. |
自社のコンティンジェンシー・プランと連携がとれているか。
例えば、関連会社の事務が滞った場合のトリガーが設定されているか。 |
3. |
自社と共同にて訓練を行っているか。 |
|
|
1. |
自社のY2K対応についての誤った風評が流れる。
(1) |
対応が遅れている |
(2) |
対応に真剣でない |
等 |
|
|
|
1. |
業界内対外接続テストには参加(予定)しているか。
(全てに参加することが望ましい。) |
2. |
自社の対応状況を積極的に情報開示する等の対応策をとっていることが望ましい。 |
3. |
格付機関等各企業からのアンケートに対して的確に対応しているか。
例えば、回答責任者は先方の差出人に見合っているか。 等 |
4. |
自社だけでなく、外部からの問合せに的確に回答できるように関連会社、海外拠点も含め、対外窓口等へ十分な教育を行っているか。
|
5. |
危険日といわれる特殊日付には部店長会議等の行事を開催しないようにしているか。 |
6. |
政府・日銀・業界団体等へ的確に情報開示しているか。 |
|
1. |
対抗資料を準備しているか。
(1) |
対応責任者の決定 |
(2) |
テスト方針・内容の開示 |
(3) |
対外接続テストの結果 |
(4) |
Y2K対応を十分に実施していることを証明できる資料
・ |
Y2Kについての対応計画 |
・ |
Y2K稼動確認テストの記録 |
・ |
Y2Kに係わる経営陣からの指示・議事録等 |
|
(5) |
法的対抗手段の準備(法務リスク対策) |
必要に応じ上記の英文資料 |
等 |
|
2. |
Y2Kトラブル発生時の報告体制を確立しているか。
(1) |
対応責任者の決定 |
(2) |
トラブル速報の作成ルール・体制 |
(3) |
トラブル原因の報告体制 |
(4) |
トラブル復旧対策 |
(5) |
コンティンジェンシー・プランへ切替の発動基準(トリガー) |
(6) |
監督当局への報告 |
必要に応じ上記の英文資料 |
等 |
|
3. |
1999年内に誤った情報が流れた場合を想定して、体制や対応方針を整えているか。 |
4. |
風評が格付機関の評価、自社の株価、顧客の動向に影響した場合を想定して、流動性リスク、市場リスク、事務リスクへの対応策を準備しているか。 |
|
2. |
関連企業のY2K対応について誤った風評が流れる。 |
|
3. |
海外拠点のY2K対応について誤った風評が流れる。 |
|
4. |
金融業界、或いは特定の業態の対応が危惧される。 |
|
|
|
1. |
確認を行う融資先の選定基準を設定しているか。 |
2. |
融資先に対してY2K対応状況のアンケートやインタビュー等を実施しているか。 |
3. |
その内容について、システム部門にて検証しているか。 |
4. |
その文面について、法務部門にて検証しているか。 |
5. |
アンケートを行う役職員が先方の状況を的確に把握できるような教育を行っているか。 |
6. |
融資先Y2Kの対応状況に応じたランク付けの取り決めがあるか。 |
7. |
調査結果の分析及びその結果に基づく対応策を準備しているか。 例えば、
(1) |
定期的なフォロー体制を整えているか。 |
(2) |
融資先向けのセミナーを企画しているか。 |
等 |
|
|
|
1. |
Y2K対応状況のランク付けに則った対応策及び発動基準が準備されているか。 |
2. |
2000年以前に先方のディスクローズ等で対応の不調が明確となった場合の対応策はあるか。 |
|
2. |
融資先でのY2K対応が不調に終わり、最悪の場合融資額元本が回収不可能となる |
|
瑕疵担保責任
債務不履行責任
不法行為責任
製造物責任
証券取引法に基づく責任
善管注意義務
等 |
1. |
取引先等のビジネスパートナーから発生するY2K問題により損害を被る。 |
|
1. |
取引先等から発生するY2K問題により、損害を被る可能性のある業務、システムの洗い出しを行っているか。 |
2. |
各社との契約をY2Kの観点から見直しているか。 |
3. |
取引先等の対応状況を調査のうえ、対応状況に応じたランク付けの取り決めがあるか。 |
|
1. |
Y2K対応状況ランク付けに則った法的対応策及び発動基準が準備されているか。 |
|
2. |
外部ベンダー提供システムから発生するY2K問題により損害を被る。 |
|
1. |
各ベンダーとの契約をY2Kの観点から見直しているか。 |
2. |
ベンダーから保証書等を徴求し、その内容を法的側面から確認しているか。 |
3. |
可能な限り自社にて稼動確認を行っているか。 |
4. |
稼動確認ができない場合に、ベンダーからテスト内容等を徴求しているか。 |
|
1. |
稼動確認できないシステム等については、2000年到来時に稼動確認する体制及び不調時を想定した代替案を準備しているか。 |
|
3. |
設備の異常から発生するY2K問題により損害を被る。 |
|
4. |
自社のY2K問題により取引先、顧客等に損害を与える。 |
|
1. |
自社から発生するY2K問題により、損害を与えうる取引先、顧客の洗い出しを行っているか。 |
2. |
金融機関自らがベンダーとして提供しているシステムについて十分な対応をとっているか。 |
3. |
対外に発出、公表する文書に対して、法的チェックを行っているか。
(1) |
ホームページ、ディスクロージャー誌の記載内容 |
(2) |
外部からのアンケートに対する回答 |
等 |
|
|
|
1. |
最善を尽くしたことを証明できる資料を準備しているか。
(1) |
対応責任者の決定 |
(2) |
テスト方針・内容の開示 |
(3) |
対外接続テストの結果 |
(4) |
Y2K対応を十分に実施したことを証明できる資料
・ |
Y2Kについての対応計画 |
・ |
Y2K稼動確認テストの記録 |
・ |
Y2Kに係わる経営陣からの指示・議事録等 |
|
必要に応じ上記の英文発表資料 |
|
2. |
ベンダーとして十分に稼動確認を実施したことを証明できる資料及び2000年到来時の特別体制を準備しているか。 |
|
|
1. |
経営陣はY2K問題をシステムリスク対策に止まらず、その他のリスクについても的確な対策を指示しているか。 |
2. |
経営陣はシステムリスク以外のリスクの対応状況についても報告を受けているか。 |
3. |
経営陣は関連会社、海外拠点も含めて的確な対策を指示しているとともに、迅速に報告を受ける体制をとっているか。 |
4. |
当局発出のチェックリスト、ガイドライン等を十分に理解し、網羅的な対応策を計画・実行しているか。 |
5. |
各対応策の期限を守っているか。 |
6. |
Y2K対応の内容について第三者(外部・内部)の検証を受けていることが望ましい。 |
|
|
1. |
顧客の預金引き出し(或いは解約)により、流動性保有量が減少する。 |
|
1. |
顧客に安心感を与える適切な情報開示を行っているか。 |
2. |
事務リスクの軽減策を実施しているか。 |
|
1. |
年末年始の資金確保について調達手段を準備しているか。 |
2. |
日銀、業界団体等と流動性確保のための連携を行っているか。 |
|
2. |
2000年が迫ると資金の出し手である機関投資家が運用を回避する。 |
|
|
|
1. |
格付機関等向けに対応状況について、積極的かつ適切な情報開示を行っているか。 |
2. |
格付機関等からのアンケートに対して的確に対応しているか。 |
3. |
運用対象銘柄先のY2K対応状況についてアンケートやインタビューを行っているか。 |
|
1. |
格付機関等から不当な評価をされた場合の対応策(風評リスク)を準備しているか。 |
2. |
運用対象銘柄の価格変動への対応策はあるか。 |
3. |
2000年3月末の評価損への対応策はあるか。 |
|
|
|
|
|
1. |
更改システムの遅延により、Y2K対応の不調が想定される。 |
|
1. |
更改システムについては、より厳格な対応スケジュールの管理を行っているか。 |
|
1. |
対応スケジュール上、更改システムの開発を中断するか否かを決定する時期を決めているか。 |
2. |
更改システムの開発遅延を想定し現行システムの修正に取り掛かる等の代替案を準備しているか。 |
3. |
開発を中断し代替案発動の基準を設定しているか。 |
|
2. |
外部ベンダーより、2000年対応完了としていたシステムが未対応と連絡を受ける。 |
|
1. |
ベンダー提供システムについてのリスク軽減策を実施しているか。 |
2. |
ベンダーへの確認は定期的に行う体制となっているか。 |
3. |
ベンダー提供のシステムについては出来得る限り、自ら稼動確認を行うことが望ましい。 |
|
1. |
稼動確認できないシステム等については2000年到来時に稼動確認する体制及び不調時を想定した代替策を準備しているか。 |
2. |
未対応との連絡を受けた場合を想定した代替案を準備しているか。 |
|
3. |
テストが順調に推移せずに、Y2K対応の不調が想定される。 |
|
1. |
対応スケジュール上、テストが順調に推移しないことを想定した十分なテスト期間を設定しているか。 |
2. |
予備の資源(特に要員)を十分に確保しているか。 |
|
1. |
要員不足の場合を想定して、人的資源(スキルある要員)の調達方法を確保しているか。 |
2. |
要員のシフトを想定し、開発を中断するシステムの優先順位を設定しているか。 |
|
|
|
1. |
業界内対外接続テストに参加する等システミック・リスクに対する軽減策を実施しているか。 |
|
1. |
システミック・リスクに対するコンティンジェンシー・プランを策定しているか。 |
|
2. |
その他社会インフラに異常が発生する。(通信、電力等) |
|
1. |
社会インフラの対応状況についての情報収集を定期的に行っているか。 |
|
1. |
社会インフラに起因するコンティンジェンシー・プランを策定しているか。 |
|
|
|
1. |
その他のリスクに対する軽減策を実施しているか。 |
|
1. |
その他想定されるコンティンジェンシー・プランを策定しているか。 |
|