現在の金融機関のCROがあらゆる分野の課題に精通していなければならない理由とは

EYと国際金融協会（IIF）が実施したグローバルリスク管理に関する調査によると、最高リスク責任者（CRO）が自身の戦略的・戦術的な権限を拡大する中で直面する、新たな課題を浮き彫りにしています。

要点

• リスク管理部門の効率的に運用することへのプレッシャーが高まる中、CROの役割は、より多くの問題に対応するよう、より拡大し、進化している。
• より巧妙な攻撃や脆弱（ぜいじゃく）性の拡散による脅威が高まっており、サイバーリスクは、引き続き、CROの最優先事項になっている。
• 現在生じているリスクを管理し、将来のリスクに備えるために、CROは、クリティカルシンキングのスキルと強い分析能力に加え、組織の俊敏性を向上することが求められる。 

かつてないほどに増え、多様化し続けるリスクに世界中の金融機関が直面している今、金融機関のCROはこれまで以上に多くの役割を果たし、より幅広い課題に取り組んでいくことを余儀なくされています。EYとIIFが実施した13回目となるグローバルバンクリスク管理サーベイの結果は、さまざまなタイプのリスクが交錯し、金融機関を継続的なボラティリティが取り巻く中、リスク管理リーダーらにいかに多様性が求められているかを示しています。

今年度の調査では、現在の金融機関のリスク管理にはダイナミックな性質が有ることを示しています。財務リスクは、ここ数年比較的落ち着いていたものの、その後、CROの課題として再び浮上しています。というのも、サイバー脅威が、地政学的リスク、テクノロジーリスクおよびサードパーティリスクと結び付いて、常に変化しているためです。CROは、新たな規制や意欲的な変革プログラムにも注意を払う必要があり、リスク管理の効率性と有効性の両方を高めるために、限りあるリソースを適切に配分することも期待されています。

こうした理由から、CROの職務の内容は、他の役職にはない多面性を帯びています。本調査で得られた知見では、リスクを正確に特定し、効果的に管理を行い、効率的に報告するためにCROが果たすべき、以下の7つの役割を明らかにしています。

1. フォーチュンテラー（未来の予測者）として、幅広いシナリオを想定し、それらに対するリスク影響を予測する

台頭する新たなリスクに先手を打つためにCROが問うべき質問は尽きることがありません。一例を挙げると、規制当局は次に焦点を当てるのは何か、ESGや消費者保護に対して行動を起こす可能性が最も高いのはどの国・地域か、量子コンピューティング能力がより広範囲に普及するとサイバー攻撃はどのような形をとるのか、自行のビジネスはどのような経済的・地政学的動向においてリスクに直面する可能性があるのか、また、自行のトランスフォーメーションに係る計画は将来の顧客にとって十分に有益なものか、などです。今回の調査結果では、CROが将来のリスクをいかに幅広く考えなければならないかを示しています。

3. ファイヤーウォッチャー（予防保全・監視者）として、注意深く状況を監視し、緊急事態を防ぐ

サイバーリスクは、CROと取締役会が挙げる、短期的な懸念事項の中で首位を占めており、今後数年間は引き続き首位にとどまる可能性があります。実際のところ、サイバーリスクとは、さまざまな形態のランサムウエア攻撃や、国家が支援する悪質な関係者による活動、エコシステム、生成AIおよびその他のサードパーティとの関係における関連リスクなど、複数のリスクから成るポートフォリオです。したがって、高度で継続的な監視がサイバーセキュリティの基本ですが、CROは、経済的なストレスによって引き起こされる、不正やその他の金融犯罪の増加にも警戒する必要があります。

4. トランスフォーメーションをもたらす技術者として、トランスフォーメーションを安全に実現するためのフレームワークを構築する

金融機関では、自行のインフラを刷新し、顧客の期待に応え、競合他社に先んじるために、大規模なデジタルトランスフォーメーションプログラムを実行しています。多くの場合、リソースの制限や他の優先事項など、大きな制約があるにもかかわらず、これらの取り組みを加速させようとしています。

CROは、包括的なビジネス目標だけでなく、生成AIなどの強力なテクノロジーがもたらす固有のリスクについても明確に理解する必要があり、機械学習とAIの使用が、今後5年間で2番目に重要な新たなリスクとして挙げられています。

固有のリスクについては、意思決定における無意識のバイアスから、サイバーリスクに対する脆弱性の増大まで、さらには、潜在的な新しい規制要件に先手を打って対応することまでと、多岐に及んでいます。こうしたリスクを効果的に管理するために、金融機関は新しいスキルとテクノロジーの専門家を必要としています。調査回答者の61%が、新たなテクノロジーの監督能力を確立するための人材を確保できないことが重要なリスクになると回答しています。

5. データの第一人者として、金融機関の最大の資産を保護し、戦略的ガイダンスを提供する

CROが認識しているように、データは事業のあらゆる部分で重要なものです。強化が進む規制要件に応じて事業を管理し、顧客インサイトの向上を通じて事業の成長を可能にするためには、データが高品質で安全性の高いものであることが必須です。とりわけ、これらの重要なデータ資産のやり取りがパートナー企業やエコシステム間で生じる場合、CROは誰よりもそれらの保護に対する責任を負うものとなります。

そこで重要となるのは、データを強力に保護すると同時に、例えば、パーソナライズされた顧客体験などを通じて事業がデータを円滑かつインテリジェントに使用する能力をサポートすることです。幸いなことに、CROの大多数（71%）は、自行がデータに関するケイパビリティとフレームワークを積極的に強化していると回答しています。

6. 地政学の専門家として、世界的な出来事とそれらが事業に及ぼす潜在的な影響を把握する

CROは長い間、世界中の中央銀行の声明や政策に注意を払ってきましたが、近年になってようやくCROが国際関係の専門家となる性が生じてきました。CROの83%が、地政学的リスクが今後5年間で現在よりも大きな影響（35%）または同等の影響（48%）をもたらすと回答しています。本調査の終了後に始まった世界的な紛争を考えると、CROと取締役会の地政学的リスクに関する懸念は、調査結果が示すよりもさらに高いことが想定されます。

地政学的リスクも変化を続けています。武力を伴う紛争にとどまらず、貿易摩擦やサプライチェーンの混乱など、すべてが業界に打撃を与える可能性があります。地政学的リスクの最も可能性の高い兆候として、サイバー攻撃の増加をCROの69%が挙げている中、67%が世界経済の減速を、また、65%が市場のボラティリティの上昇を挙げています。

7. 変⾰の推進者として、責任を負うべきリスクに関し、戦略的ガイダンスを提供する

CROは、重要な戦略的な取り組みへの関与の機会がますます増えています。半数近く（46%）のCROが、環境・社会・ガバナンス（ESG）に関連する新製品や成長機会、データ管理や品質フレームワークへの取り組みに、主要なステークホルダーとして関与していると回答しています。3分の1以上（35%）のCROがトランスフォーメーションにおけるテクノロジー（AI、機械学習など）の導入に関与しており、この数字は今後も確実に増加するでしょう。

CROが事業に対する戦略的アドバイザーとしての潜在能力を発揮するためには、他のリーダーらがイノベーションの障害であるという評判を受けることなく、持続可能な成長を可能にするための「安全で信頼できるイノベーション」を考えることができるよう、支援する必要があります。CROは、交錯するさまざまなリスクに関する取締役会と経営陣の認識を高めることで、トランスフォーメーションの成功を推進することができます。また、強力なリスクカルチャーも役に立つでしょう。この調査結果は、今後、より多くのリーダーが変革の推進者かつリスクカルチャーの推進者としての役割に集中していくであろうことを示しています。