要点
伝統的な財務リスク、非財務リスクに加え、サイバーセキュリティ、サードパーティ、AI、地政学的リスクなどの新たなテーマが重なり合うことで、ビジネスへの脅威が増大しています。こうしたことから、CROには、顧客や社会からの信頼に応え、持続可能な成長を実現するために、サイロ的なアプローチから統合的なアプローチへの転換が求められています。また、不確実性の高まりに対して先見的に対応するために、エマージングリスクの管理、シナリオ分析と対策の導入、リスクカルチャーの高度化、ビジネスリーダーとの連携なども重要となっています。
緒方 兼太郎
EY Japan 金融 コンサルティング EYストラテジー・アンド・コンサルティング株式会社 パートナー
保険業界の最高リスク責任者(CRO)の職務は、複雑かつ困難になる一方です。多様な脅威が業界を取り巻く中、多くのCROは、戦略面での役割をこれまで以上に強めており、経営幹部や取締役会に知見と指針を提供するとともに、ビジネスリーダーと連携して変革プログラムを推進しています。また、組織がさまざまな事態に対応できるよう、業務面や財務面を含むあらゆるレジリエンスの確保を優先課題としています。
今回の調査結果に加え、EYが継続的に行っている保険業界のリスクリーダーとの対話からも、レジリエンスが注目されていることがうかがえます。なぜなら、レジリエンスはサイバー、テクノロジー、サードパーティ、規制といった各種リスクと密接に関係しているからです。とはいえ、レジリエンスが注目されている背景には、レジリエンスに関する新たな規制要件や、途切れのないサービスを求める顧客の期待、サードパーティへの依存度の増加、そしてレガシーテクノロジーの刷新ニーズといった、業界全体に共通する潮流も影響しています。従来のさまざまなリスクが重なり合うことでビジネスへの破壊的な脅威が増大しており、そのためCROのアジェンダの中でレジリエンスの順位が上がってきています。
保険会社のCROを対象に実施した第2回EY-IIF調査の結果からは、レジリエンスが各種リスクにとって重要な課題であると同時に、リスク管理チームの業務における主要な目標であることが明らかになりました今回の調査でCROがあらゆる事態に備える必要があることが確認されたことを踏まえると、一部の企業がリスク管理の全体方針をレジリエンス主導型に見直しているのも当然のことと言えます。
リスクマネジメントは、影響の評価にとどまらず、将来の潜在的リスクを理解し評価することで、企業のレジリエンス強化に不可欠なものとなっています。
レジリエンスが改めて注目されているのには、いくつか理由があります。その1つは規制の変化です。
欧州、英国、オーストラリアの規制当局は、混乱時にも重要なサービスを維持できるよう、保険会社に対してより厳格なレジリエンス要件を義務付けています。保険監督者国際機構(IAIS)が定めたオペレーショナル・レジリエンス目標も、そうした高水準のレジリエンスを求める一例です。今回の調査では、コンプライアンス上の最大の懸念事項として企業のレジリエンス規制が挙げられ、資本・ソルベンシー要件やサイバー・データ保護を大きく引き離す結果となりました。
金融危機やパンデミックを経て、規制当局は多様な潜在的リスクに一層敏感になりました。その結果、保険会社は今、サイバー攻撃、自然災害、システム障害などの業務上の混乱に対して、耐え、適応し、回復できる能力を示すことが求められています。
しかし、CROがレジリエンスを重視するのは、規制だけが理由ではありません。事業を適切に継続し、顧客へのサービス提供を維持するという基本的な目標も、それと同じくらい重要です。この目標は規制当局にとっての目的ではありますが、顧客への基本義務を果たせない企業にとっても、レピュテーションリスクは重大です。さらに、顧客は保険会社に対しても、他業種の企業と同様に、自分のニーズに合ったサービスの充実や、いつでもどこでも重要なサービスにアクセスできる環境を期待しており、レジリエンスは成長の前提条件となっています。
潜在的な混乱要因としてはサイバー攻撃がトップです。今後1年間に最も注意を払うべきリスクとしてサイバー脅威を挙げた回答者は、昨年の53% から今年は66%に増加しました。増加の背景には、さまざまなリスクが複雑に絡み合う現状があります。地政学的な緊張や武力紛争に起因するサイバー攻撃が増加する中、CROがそうした事態に備え、企業を守らなければならないことを考えれば、うなずける結果でしょう。
サードパーティリスクも、サイバー攻撃に対する脆弱性を高める要因となります。サービスの充実やイノベーションの促進、流通網の拡大をエコシステムに求める保険業者が増えている中、レジリエンスはこの領域でも極めて重要な検討事項となっています。また、業界全体のつながりが強まることによって生じるレジリエンスへの影響についても、規制当局は注目しています。
テクノロジーリスクについても同様です。レガシーシステムに代わる大規模システムの導入やクラウドへの移行による事業の中断は、保険会社にとって、あってはならないことです。請求処理のデジタル化、アンダーライティング業務の自動化、クラウドインフラの普及、そしてサードパーティのデータソースとの接続拡大が進むにつれ、こうした懸念はますます高まっています。複雑化が進むIT環境では、構成要素のどれか1つにでも不具合が起きれば、顧客に直接影響を与える可能性があり、業務の中断、レピュテーションへの打撃、さらにはコンプライアンス違反による制裁につながりかねません。
こうした状況を受け、オペレーショナル・レジリエンスの向上は、今や、他の多様なリスクを管理する戦略や戦術を策定する上での重要な目標、すなわち目指す成果として広く認識されています。CROがレジリエンス強化に向けて多方面にわたって動いているのにはそうした背景があります。
レジリエンスを強化するため、CROは多角的に取り組んでいます。オペレーショナル・レジリエンスの強化項目として上位に挙げられたのは、ガバナンスと監督(CROの33%)、続いてサイバー対応(21%)でした。このことは、ビジネス全体におけるレジリエンスの戦略的な重要性を示しています。一方、その次に優先順位が高い「重要なビジネスサービスのフレームワーク」などは、レジリエンスの戦術的な側面を示しています。
災害復旧、事業継続、危機・インシデント管理に関する計画は、近年多くの保険会社で見直しが進んだことで、今回の調査では比較的優先順位が低い結果となりました。とはいえ、CROには、これまで築いてきた強固な基盤をもとに、さらに発展させる余地(むしろその必要性)が残されています。EYがCROや他の業界幹部と話をする中で、オペレーショナル・レジリエンスに対するプリンシプルベースのアプローチへの関心が高まりつつあることが分かってきました。企業は、顧客への影響に基づいて「重要なサービスとは何か」を正式に定義し、優先順位を付けるなど、フレームワークの整備に取り組んでいます。また、プロセスをサービスにマッピングし、具体的なインパクトトレランスの定義も進めています。
EYの関連サービス
EYは保険会社と協働し、テクノロジー・トランスフォーメーション・プログラムやデジタルツールの採用に取り組んでいます。概念から導入に至るまで、パフォーマンスを最適化し効率性や品質を高める戦略を貴社と共に策定します。
続きを読む回答者の3分の2が、オペレーショナル・レジリエンスは組織のリスクアペタイトの中で間接的に取り上げられていると回答しています。たとえば、リスクアペタイト報告書における定性的な記述や分析、補足的コメント、あるいは、関連する非財務的な定量的取締役会リスクアペタイト指標の形で扱っています。幸いなことに、リスクアペタイトの中でオペレーショナル・レジリエンスが扱われていないと回答したCROは、わずか5%でした。
マクロ経済の不確実性が広がる中では、ファイナンシャル・レジリエンスも懸念の1つです。今回の調査をもし2025年春に実施していたとしたら、(特に大手のグローバル保険会社、専門保険会社、再保険会社にとって)もっと優先度の高い懸案となっていたでしょう。
確かに、オペレーショナル・レジリエンスは、不測の事態による財務的影響を最小限に抑えるという観点から捉えることができます。景気後退時のファイナンシャル・レジリエンスを確保しようと、「不況時の戦略」を見直している企業もあります。こうした動きは、資本管理や流動性管理、不測の事態に備えた対応計画(コンティンジェンシープラン)を常に最新の状態に保つ必要性を、CROに再認識させるものです。
CROは効果的なリスク管理には人材が不可欠であることを認識しています。そこで、レジリエンス確保という喫緊の課題に応えるため、採用戦略もそれに合わせて見直しています。今回の調査結果は、第1および第2線の双方でオペレーショナル・レジリエンスのスキルが重要であることを示しています。
今後、CROがレジリエンスを引き続き最優先課題とすることは、まず間違いないでしょう。EYの調査によれば、多くのリスク管理チームは、これまでに築いた強固な能力基盤を生かし、今後さらなる前進に向け、有利な態勢を整えることになると見られます。あるCROはEYにこう語りました。「中核となる基本的な取り組みが成熟した今、リスクを戦略に組み込み、組織の前進を支えることに重点が移っています」。また別のCROは、「私たちはビジネス価値創出の一翼を担う、連携した組織の一部であることを示さなければなりません」と話しています。組織内のレジリエンスを強化することで、CROはビジネスに大きな戦略的価値を提供することになるでしょう。
レジリエンス主導のリスクマネジメント戦略が台頭している背景には、CROが時間・人材・リソースを、真に重要で影響の大きいリスクに継続的に集中させる必要があるという認識があります。顧客のために業務の継続に注力する姿勢は、CROが、かつて一般的だったコンプライアンス重視から一転、ビジネス志向へシフトしつつあることの表れです。別の言い方をすれば、レジリエンスが保険会社にとって重要なのは、それが顧客にとって重要だからです。レジリエンスがなければ、保険会社は、顧客の「いざというとき」に応えるという根本的な使命を果たせません。
本稿の主な執筆者は、UK Insurance Risk & Regulation Leader, EY LLPのEamon McGinnityと、Europe Insurance Risk & Regulation Leader, Ernst & Young AdvisoryのPierre Santoliniです。
第2回EY-IIF調査は、保険業界の最高リスク管理責任者(CRO)が、事業運営により深く関与し、多様化するリスクに対して大胆な対応を取る必要があることを示しています。調査結果は、組織の変革と成長を推進する上でのCROの重要性を明確に示し、リスクマネジメントをその推進力として位置づけています。規制を巡る環境やマクロ経済が不透明な中、CROは、自身のリーダーとしての役割を強化するまたとない機会に直面しています。2025年前半に起きた数々の出来事は、地政学リスクや戦略リスク、さらには市場のリスクに関連する問題に対処し、激変する情勢を乗り切る中で、CROの役割が極めて重要であることを改めて示しています。
関連記事
EYと国際金融協会(IIF)が実施した銀行のリスク管理に関する調査は、多様化するリスクに対し、より俊敏に対応する必要性が高まっていることを明らかにしています。詳細を表示
現在の金融機関のCROがあらゆる分野の課題に精通していなければならない理由とは
EYと国際金融協会(IIF)が実施したグローバルリスク管理に関する調査によると、最高リスク責任者(CRO)が自身の戦略的・戦術的な権限を拡大する中で直面する、新たな課題を浮き彫りにしています。
