EY/IIFグローバル保険CROサーベイ 　～変革期におけるリスク管理～

変革の時代におけるリスク管理

最高リスク管理責任者は、多様化するリスクポートフォリオの管理、および重要な成長と革新の目標達成支援のため、どのように柔軟な基盤とダイナミックなケイパビリティを構築しようとしているのか

保険業界の最高リスク管理責任者（以下、CRO）を対象に、EYと国際金融協会（以下、IIF）が共同で行った、今回第1回目となるリスク管理の実践に関する年次グローバル調査（以下、本調査）の報告書を発表いたします。本調査では、保険会社が、現在および今後数年のうちに直面する最も緊急な課題に光を当てています。今日のように不安定な市場において、リスク管理部門の役割は、保険会社がその重要なパーパスを実現し、財務および業績目標を達成できるよう支援する上で、これまで以上に重要になっています。CROは、個人、企業、そして社会全体が繁栄し続けるために欠かせない補償（プロテクション）を提供するという保険会社全体のパーパスを支えるために、特に適した資質を有しており、それを実行する適切な立場にいます。

本調査で得られた定量的結果、および調査に参加したCROの定性的な観察や個人的な視点によって、常に変化しているリスクの風景が、詳細かつ深い洞察力を持って描き出されています。数年前には想像もできなかったほど深刻になり得る新しい脅威が、長年の課題と絡み合っている現在、保険会社は、伝統的なリスク管理の枠を越えて、増殖しつつ相互に絡み合うリスクに直面しています。

これまで12年以上にわたり銀行のCROを対象に同様の調査を行ってきましたが、今回が保険業界のCROを対象とした初の調査となります。回答者は、世界最大の保険会社から国際的・地域の主要な保険会社、さらには小規模な専門企業まで幅広い範囲から参加しています。本調査結果は、現在の業界スタンダードを理解し、新たなベストプラクティスを特定するための有益な基準となります。業界を取り巻く環境も、リスク管理分野も同時に進化する中で、比較可能なポイントとして前年同期比の最新洞察を提供することが、私たちのこれからのゴールです。

本調査のため時間を割いていただいた全てのCROに、大きな感謝の意をお伝えします。皆さまが私たちの推奨事項を広めてくださることで、そのご貢献は皆さまの組織だけでなく、保険業界全体のCROおよび他企業にも利益をもたらします。

本調査結果に対する皆さまのご見解、皆さまの組織独自のリスク管理の課題と機会について、私たちにお話を聞かせていただけると幸いです。その際は、私たちに直接ご連絡いただくか、本調査の最後に記載されている連絡先へご一報ください。

EY　リスク・プリンシパル　Stuart Doyle
国際金融協会　保険規制・政策ディレクター　Mary Frances Monroe
 

エクゼクティブサマリー

不安定なマクロ経済環境とさまざまな形のディスラプションに直面している保険セクターにとって、成果の高いリスク管理機能がこれまで以上に重要になっています。高い成果を上げるリスク管理機能は、企業を急増する短期的リスクから保護するという意味だけでなく、将来発生する重大なリスクに対処するための包括的な計画を策定するという意味でも重要です。ビジネスパフォーマンスを向上させるためには、経営陣や取締役会に対して迅速かつ洞察に富んだアドバイスを提供できる強力なリスクリーダーがますます求められています。

今日の最も差し迫ったリスクの多くは、現在業界を再編している大きな変化に関連しています。それは、テクノロジーのディスラプションや規制要件の厳格化から、新規市場参入者や新たな資金源の台頭、顧客の期待の高まり、競争の激化、新たなビジネスモデルのニーズに至るまで、さまざまです。

EYとIIFが共同で、保険業界のCROを対象に初めて実施した本調査の結果は、保険会社が現在直面しているリスクがいかに拡大し多様化しているかを示しています。また、CROの役割を今日のC-suiteの中でも最も難しいものの一つにしている緊急課題と複雑性も本調査結果から浮かび上がっています。

リスクが絶えず進化し、常に緊急性を増しているように見える場合、特に、1つの企業や業界のコントロールをはるかに超える「メガトレンド」の場合には、優先順位を設定することでさえ難題となります。適切なリソースの利用に制約があること、重要なスキルが不足していること、そして規制当局による厳格な監督が存在していることは、CROの仕事をさらに難しいものにしています。

一部の業界ウォッチャーは、現在の状況を「同時多発的危機（ポリクライシス）」と表現しています。この表現も、リスクが多様化し、相互に絡み合っていることや、市場の変動が激しいこと、マクロ経済の不確実性や地政学的緊張といった背景があることを考慮すれば、理解することができます。

しかし、本調査は同時に、楽観視できるいくつかの理由も提示しています。CROは、組織を保護するために多くの面で行動を起こし、自社のリスク管理能力の向上において前進があったと報告しています。本調査のCROインタビューでは、先進的なテクノロジー、豊富なデータセット、そしてスキルの高いチームがもたらす成果に感銘を受けたという話を何度も耳にしました。CROは、極めて厳しい課題からも逃げることはありません。この心構えは、大胆で創造的な思考とともに、CROにとって大きな助けとなることでしょう。なぜなら、彼らはリスク管理の成果をより高いレベルに引き上げ、自社ビジネスに対する助言において、より戦略的な役割を果たそうとしているからです。

本調査が示す5つの重要なポイント：

1. CROは、責任のあるリスクテイクを実現するため、変革に取り組まなければならない

伝統的な保険会社は、中核的なテクノロジーの最新化、より多くのデータやアプリケーションのクラウドへの移行、新商品やパートナーシップの模索を通して、引き続き変革への取り組みを進めています。CROが計画策定時の戦略的なガイダンスと、計画実行時の戦術的なサポートの両方を提供するためには、経営幹部層および取締役会との協力が不可欠です。CROは、自社の他部門と足並みをそろえることが依然として最優先事項であることを認識していますが、組織全体では成長志向の取り組み、イノベーションプログラム、変革の取り組みといった数多くのプログラムが進行中であるため、他部門との連携が困難な場合もあります。

テクノロジーの大規模アップグレードや広範なプロセス自動化から、新商品開発や全チャネル向け顧客エンゲージメントモデルに至るまで、変革の取り組みは、フロントオフィスのプロセスおよびバックオフィスの機能を含む、組織のほぼ全ての部門と関連しています。本調査に回答したCROは、リスク管理チームがリスク情報を基に成長とイノベーションを促進する必要性を明確に認識しています。積極的に関与しているCROは、費用便益分析、代替戦略および調達モデルの評価、規制による影響の評価などの分野において、重要な助言を提供することができます。

2. 強固なリスク管理の中核的機能が、高度なケイパビリティの基盤となる。

CROは、財務リスクと非財務リスクの両方に対処する具体的な行動を取る際に、基本的なケイパビリティ（例:ガバナンスモデル、統制フレームワーク、災害復旧計画など）と、より洗練されたリスク管理手法、そして社内の他部門への助言提供責任とのバランスを取っています。優先順位を設定する際、CROは常に自分たちは適切なリスクに時間とリソースを割いているのかを自問自答しなければなりません。自社の最も価値ある資産の保護に常に注意を払うことが、最優先事項です。しかし、目立たない脆弱（ぜいじゃく）性や日常業務の基本的な事項にも、絶えず注意を払う必要があります。

リスク管理の中心となるオペレーショナル・レジリエンス（業務の強靭性・復旧力）の観点からは、サードパーティーへの依存、危機管理、そして人材やテクノロジー関連実務が最優先事項となります。保険会社は、外部関係者とのつながりが広がるにつれ、オペレーショナル・レジリエンスが、社外をはじめとするさまざまな脆弱性が複雑に絡み合うポイントとなり得ることをより強く認識するようになっています。非常に効率的なリスク管理業務の中核プロセスは、先進的なリスクモデリング、脅威検出、データ可視化といった高度なケイパビリティに対する投資のリターンを最大化する上で、CROの助けとなります。また、当該プロセスによってビジネスリーダーや取締役会に対して助言を行うなど、CROが戦略的事案に集中する時間とキャパシティも生み出されます。
 

3. テクノロジーと人材への投資が最優先事項であるものの、リソースが不足している。

本調査結果が示すように、リスクの増大と進化に伴って、テクノロジーと人材への多額の投資が必要となっています。しかし、CROはコスト圧力に直面している一方で、自社の限られた資源から具体的な結果を得ることが期待されています。

CROは、リスクをより効果的に特定、管理し、リスク管理をより効率的に行うために、他のCxOと同じく、先端テクノロジーの活用を模索しています。そしてCROはコントロールの自動化や将来を見据えたリスクテクノロジー戦略策定へと動き出しています。しかし、本調査結果は、多くの企業がより迅速かつ大胆な行動を取れるはずであることを示唆しています。ただし、予算の制約が大きな障害となっています。リスク管理のデジタル化については、まだまだ課題が多いことは明らかです。

繰り返しになりますが、CROはテクノロジー導入を拡大・加速し、リスク管理部門内のスキルセットを向上させる必要性を認識しているため、ビジネス全体の変革にとってテクノロジーと人材がどれほど重要かを理解しています。前進するためには、テクノロジーと人材への投資をリンクさせ、コンピューター本来のパワーと人間による最高の判断力を組み合わせる、人間参加型（ヒューマンインザループ）のプロセスを確立することが必要です。
 

4. CROは、自社ビジネス、およびリスク管理業務におけるAIの影響全般に備えている。

人工知能（AI）や生成AI（GenAI）は、他のセクターと同様に、保険業界全体のC-suiteや取締役会の中で最も注目されている話題の一つです。多くの保険会社は、業務を自動化し、商品やサービスをパーソナライズし、新たな洞察を生み出すために、急速にこの技術を活用するようになりました。その他の保険会社は展開の初期段階にあるか、まだパイロットを検討中です。

CROは、データセキュリティやプライバシーへの脅威、倫理や偏見に関する規制上の懸念など、AIがもたらす独自かつ多様なリスクに対応するためのガバナンスモデル、およびリスク管理アプローチを採用する必要性を理解しています。保険会社がイノベーションとビジネス変革を推進するために、十分に生成AIを活用していないリスクも、CROは認識すべきです。
 

5. CROの役割は保険事業やリスクプロファイルと共に進化している。

本調査結果は、CROの役割が既にどの程度変化しており、今後どれほどの変化が起こるのかを示しています。CROは、従来、悪意のある者から自社の重要な資産を守るために、日夜、休むことなく防衛の最前線を固める存在でいることが期待されています。同時に、CROの役割は現在、より戦略的なレベルに引き上げられています。そしてそれは正当なことでしょう。CROは、C-suiteや取締役会と今以上に頻繁にやり取りをする必要があります。

また、CROは将来の脅威を予見し、それに対する準備を行う「未来を見通す者」としての役割も期待されています。将来的には、CRO は、リスクカルチャーの推進者から成長の促進者、そして実務的なテクノロジストまで、さらに多くの役割を担うことになるでしょう。図1をご覧ください。CROがリスク管理の基盤となるケイパビリティを強化し、より多くのプロセスを自動化するにつれて、CROの優先事項は時間とともにより戦略的なものへと移行していきます。強固なリスクカルチャーを構築するため、CROは今後社内の他の最高責任者たちに働きかける必要があります。