金融機関にとって、ITシステムをどのように扱うかはビジネスに直結する重要な経営課題である。コンサルティングの現場から見た、リスク管理とITにまつわる地銀が抱える問題とその解決策とは。 （杉浦直洋）

コンプライアンスリスクの増大に対応を迫られる金融機関

金融機関はその性格上、一般の事業会社以上に厳しい規制のもと、厳格なリスク管理が求められている。とりわけ近年では、決済業務などさまざまな金融取引のIT化や経済のグローバル化、それに伴う金融取引そのものの複雑化と高頻度化が加速度的に進行しており、金融機関にとってはこうした変化への対応に加え、新たな規制への対応や不正取引の防止にかかるコストが重荷になっている。とくに、メガバンクほどの体力を持たない地域金融機関にとっては、ITシステムの整備が重い経営課題として立ちはだかっている。

あらた監査法人のシステム・プロセス・アシュアランス部長、岸泰弘氏は次のように指摘する。「地銀にとって、ITをめぐる状況は以前より厳しい。勘定系を中心としたITシステムの共同センター化を進めるところが増えているが、ITを通じたリスク管理体制や事業効率を強化するための戦略的な投資というよりは、全社的な流れのなかでのコスト削減という消極的な理由で行っていることが多い」

金融機関は、市場リスクや信用リスクのような金融の仕組みに付随するリスクに対応しなければならない一方で、コンプライアンス（法令遵守）への要求は年々厳しくなっている。同じくシステム・プロセス・アシュアランス部の加藤俊直氏は、規制当局からの要求に対応する金融機関の現状について説明する。

「国が金融機関に求める規制やコンプライアンスについては金融庁が明確な方向性を示しているし、問題がある金融機関に対しては具体的な指導を行っている。しかし、いくら『What』が明確であっても、それをどのように実現するか、すなわち『How』を決めるのは国ではなく金融機関の仕事だ。当然その中身は各社の体制やビジネスによって異なるため、金融機関は『What』の内容を正確に理解したうえで、自らそれを『How』に落とし込まなければならない」

反社会的勢力の排除や、マネーロンダリングなどの不正取引の防止も金融機関にとっての懸案だ。2014年6月には、FATF（金融活動作業部会）が日本政府に対し、国内金融機関がマネーロンダリングやテロ資金の排除に対して必要な法整備が遅れていることを指摘し、早期改善を求めた。

同法人総合金融サービス推進本部兼ガバナンス・リスク・コンプライアンス・アドバイザリー部の西川嘉彦氏は指摘する。「反社やマネロンへの対応は日本の規制当局だけでなく、海外からも注目されている。法令違反が発覚した場合、海外当局から多額の制裁金の支払いを命じられることもある。金融機関にとっては市場リスクやクレジットリスクよりむしろ、コンプライアンスリスクが脅威になりつつあるのが現状であり、本邦メガバンクは欧米の大手金融機関と同様にIT投資を含む行内対応を進めているが、地銀にとっては非常に悩ましい課題といえる」

岸氏が続ける。「銀行の委託先企業の社員がキャッシュカードを偽造するという事件も起きている。事業会社でも顧客の情報漏洩がたびたび大きな問題となっており、委託先まで含めた情報管理のあり方が強く問われている。我々は金融機関と、外部委託サービスを提供する情報ベンダーの双方の事情に精通しており、その強みを生かして、金融機関に対して情報セキュリティに関する具体的なアドバイスを提供している。その観点で言えば、地銀にはビジネスとITの両方を理解できる人材が不足している場合が多い。コンプライアンスという重要事項に当たっては、銀行が主導権を取ってシステムの改善や構築を進めるべきだが、現状では実質的に外部委託先に丸投げしているようなケースが見受けられる」

IT部門から頭取を輩出しうる組織への変革が求められる

「本来、金融機関のITは収益を生み出すための手段であるべきだが、多くの地銀ではITは固定費と見なされており、いかにコストを削減するかという観点で語られがちだ」。有限責任監査法人トーマツの鵫巣香穂利氏は、地銀におけるIT部門の現状について語る。「いかにITのコストを落としていくかを突き詰めていった結果、行内にITがわかる人材がいなくなってしまう。金融機関を対象としたセミナーでアンケートを採ったところ、回答者の9割がITの人材不足、人材の育成が課題だと回答した。現場ではスキルがある人材の確保が急務となっているようだ」

金融機関においてITシステムと経営戦略がますます不可分になっていくなかで、多くの地銀でIT部門の権限はいまだ限定的であり、近年は経営陣も重視するようになってきたものの、まだ不十分といえる。ITは限られた部署ではなく、金融機関全体の課題として取り組むべきだと鵫巣氏は提案する。

「ITの開発は時間がかかる。これだけ経営環境の変化が激しくなると、期初に想定していなかった事態が次々と起きるが、『予定していなかったから対応できません』ということでは、ITの進化が市場の変化のスピードに乗り遅れてしまう。それを防ぐためには変化に対応するための予算の確保と、人材の確保が重要となる。ITの開発をすべて外部に任せるのではなく、社内の人材がビジネス全体を見据えながら、システムの開発をリードできるようにならなければいけない」

IT部門は高い専門性が求められる一方で、将来のキャリアが描きづらいという現状がある。「IT部門は、システムは動いて当たり前、障害があると非難されるという減点主義で評価されがちだ。そうではなく、ITの活用でどれだけ収益を生み出せたかというプラスの評価がなされるべきだ。成果に対してきちんと評価が与えられるというインセンティブがないと、行内における人材の確保や育成は難しい」と鵫巣氏は言う。あらた監査法人の西川氏も「今後はIT企画の強弱が銀行経営の雌雄を決するようになる。IT企画部門から将来の頭取候補を輩出するような組織が金融業界のリーダーとなるのではないか」と指摘する。

銀行の統合後のシステムは事業計画に沿って決めるべき

ITをリスク管理や規制対応のインフラとしてだけでなく、ITを活用して事業価値の向上と最適化を図る「ITガバナンス」の考え方も注目されている。あらた監査法人の岸氏は「現在、金融機関のITへの投資の大半は維持コストであり、新規案件への投資の割合は高くない。金融庁もその点は懸念しているようだ」と現状を語る。ITへの前向きな投資によってビジネスの可能性を広げていくことが、今後はますます重要になるだろう。

例えば再編が進む地銀にとっては、システムの統合はおおいに頭を悩ませる問題だ。どちらの銀行のシステムを採用するかは、統合時の力関係で決められることが多い。しかし、それは統合後の銀行にとって本当に最適な選択肢なのか。トーマツの鵫巣氏は、こうした重要な局面こそITガバナンスが正しく発揮されるべきだと言う。

「A銀行とB銀行が合併する際に、A銀行は24時間預金が引き出せるが、B銀行は時間制限がある。一見するとA銀行のシステムを採用した方がいいように思えるが、例えばB銀行の主要な顧客が富裕層で、夜遅くお金をおろしたり振り込んだりするという行動を想定していない場合は、運用コストや維持コストがかかるA銀行のシステムは最適とはいえないかもしれない。重要なことは、統合後の金融グループがどのようなビジネスモデルを描いているか。システムのあり方は経営戦略に沿って決めるべきだ。場合によっては両行のシステムを捨てて、全く新しいシステムを構築することも考えられる。短期的なコストだけでなく、長期的な視点で事業価値の最大化を議論できるよう、ITガバナンスの仕組みをつくることが必要だ」（鵫巣氏）

あらた監査法人の加藤氏は、内部監査やモニタリングの重要性を指摘する。「コンプライアンスリスクへの対応はITガバナンスが不可欠だが、それには内部監査の働きが重要となる。しかし、地銀でITを理解し内部監査にも対応できる人材の保有は、IT企画の人材以上に難しい。外部動向の把握や一時的な要員の不足といった状況に対しては外部の専門家の評価を使うことも必要だろう」

システムの統合を進めるにせよ、独立を保つにせよ、ITとの向き合い方は今後ますます重要となる。必要に応じて外部の専門家も活用しながら、ビジネスモデルに最適化したシステムの構築だけでなく、銀行の将来を担うIT部門の人材の育成も進めていきたいところだ。