リスク管理Naviリスクマネジメントのワンストップ情報サイト

コラム

COSO-ERM(2017)は何がそんなにスゴイのか?

2017年06月02日

取締役副社長 兼 プリンシパルコンサルタント

勝俣 良介

取締役副社長 兼 プリンシパルコンサルタント 勝俣 良介

本稿では、2017年夏発行予定のCOSO-ERMの新版(2017年度版)について、解説していきます。

なお、COSO-ERMはERMのガイドラインです。またERMとは、全社的リスクマネジメントまたは統合リスクマネジメントとも呼ばれ、組織のリスクマネジメントを効果的・効率的に行うことを通じて組織の目的・目標達成を促進することを狙いとした仕組みを指します。全社最適・継続的改善に力点をおいた組織全体におけるリスク管理の仕組みとも言えます(詳しくは、リス管理NAVIのCOSO-ERMを参照ください。)

ちなみに正式名称は、「Enterprise Risk Management(全社的リスクマネジメント)- 戦略及びパフォーマンスとリスクの連携」ですが、本稿ではCOSO-ERM(2017)と呼ぶことにします。
 

1875_ext_05_1_S.png

COSO-ERMの初版は2004年に発行されましたが、10年が経過した今年、環境変化に合わせて更新版が正式公開される予定です。2016年6月にそのドラフト版(Exposure Draft)が公開されているので、本稿ではこのドラフト版をベースに先取りの解説をしていきます。

COSO-ERM(2017)が更新された理由

COSO-ERMが更新される一番の理由は、組織におけるリスクマネジメントの重要性が高まってきたことです。リスクマネジメントに対する経営陣の関心の高まりを受け、"リスクマネジメント活動を組織の戦略的な活動の一部として、これまで以上に取り込めるようにするための改訂”とも言えます。

2004年から10年の歳月が経過し、その間、新しいリスクが生まれ、対応も複雑になりました。テロ、地震、爆発、サイバー攻撃、偽装、リコール、過重労働、風評、知財違反・・・等など、組織をとりまくリスクは増える一方です。ボーイング社の新型飛行機(787)やSamsung社のGalaxy Note7のバッテリー問題はその最たる例ですが、当然、企業経営者もリスクマネジメントを軽視できなくなってきました。組織の戦略遂行に合わせて、効果的・効率的なリスクマネジメントの実践がこれまで以上に求められるようになってきたのです。

こうした背景が今回のCOSO-ERMの改訂につながっています。なお、COSO-ERMは、自らの意義を次のように説明しています。
  • 戦略策定や実行の際のERMの役割に大きなヒントを提供すること
  • パフォーマンスとリスクマネジメントの間の連携を強めること
  • ガバナンスと監査の期待値を取り込むこと
  • 市場とオペレーションのグローバリゼーション、共通(ただし)地理的な特性に合わせてカスタマイズされたアプローチの必要性を知ること
  • より複雑化するビジネスコンテキストの中で、目標設定やその達成のためにどのようにリスクの捉え方を提供すること
  • よりステークホルダーへの透過性を強めるため期待値を特定するための報告を拡張すること
  • 進化する技術と意思決定を支援するためのデータ分析の成長を取り込むこと

 

COSO-ERM(2017)が考えるERM

”リスクマネジメント活動を組織の戦略的な活動の一部として、これまで以上に取り込めるようにするための改訂”と述べましたが、COSO-ERM(2017)は、ERMを経営戦略遂行に必要不可欠なものとして捉えています。ERMの位置付けを、次のように明快に図示しています。

【 図:COSO-ERM(2017)が考える組織におけるERMの位置付け】

1875_ext_05_3.png

出典:COSO-ERM(2017)図3.2を基にニュートンが翻訳

ERMの位置付けを上図のように捉えた上で、その骨組みを、5つのカテゴリと23の原則から組み立てています。

【 図:COSO-ERM(2017)が考えるERMの基本要素】

1875_ext_05_4.png

※出典:COSO-ERM(2017)図5.2を基にニュートンが翻訳

COSO-ERM(2017)の屋台骨を支える5つのカテゴリと23の原則とは

5つのカテゴリと23の原則について簡単に解説をしておきます。

1つ目の「リスクガバナンス及び文化」では、取締役会など組織の機関設計やトップの倫理感のあるべき姿について言及しています。リスクを洗い出し、大きさを算定し、対応するリスクマネジメント活動を、農業で言うところの「農作物を植え・育てる活動」に例えるならば、この「リスクガバナンス及び文化」は、農作物を植える土壌そのものに関する話といえるでしょう。

2つ目の「リスク、戦略、及び目標設定」では、組織の戦略策定におけるリスクマネジメントについて言及しています。いわゆる戦略リスクマネジメントです。そもそも組織が採用する戦略が、経営理念やビジョンからかけ離れてしまわないか、組織がとれるリスクの大きさの範囲内におさまる戦略かなどをどのように考えるべきかについて解説しています。

3つ目の「実行上のリスク」では、組織が選択した戦略を遂行する上で、その目標達成に影響を与えるリスクマネジメントについて言及しています。ここで、リスクマネジメントを支える代表的なプロセスである「リスク特定」「リスク分析」「リスク評価」「リスク対応」が登場します。COSO-ERM(2017)では、リスク対応に加え、どのように対応の現状を見える化するかについてもポイントを解説しています。

4つ目の「リスク情報、コミュニケーションと報告」では、組織が認識したリスクに関する情報を、いつ誰にどうやってどれくらいのスピード感で報告・共有するのかを考えるポイントについて解説しています。事故として健在化していない・・・リスクを、どこまで誰に開示するかは組織にとっての大きな論点の1つです。また、こうした情報共有を促進する手段として、ITシステムの活用について触れています。

5つ目の「リスクマネジメントパフォーマンスのモニタリング」では、上記1~4つまでの活動が適切に行われているかどうか、期待通りの効果を発揮しているかどうかのモニタリングについて言及しています。具体的にはたとえば、ERMに関わる内部監査や現場でのセルフモニタリングなどに関する話です。組織のリスクマネジメントの仕組みを継続的改善するための鍵となる活動です。
 

旧版(COSO-ERM2004)と同じ部分、違う部分

COSO-ERM(2017)は多くの部分で、COSO-ERM(2004)を踏襲しており、今回の改訂で考え方が大きく変わったというわけではありません。その中でもとりわけ大きな違いは、ERMのフレームワークの見せ方と言えるでしょう。

旧版では、ルービックキューブのような6面体(3次元)でフレームワークの構成要素を表現していました。ERMの活動目的を1次元、リスクガバナンスやリスクアセスメント、モニタリングまでの具体的な8つの要素を2次元、それらを実施する組織単位を3次元の軸ととらえ全体を表現していました。が、COSO-ERM(2017)では、同じような考えを、5つのカテゴリと23の原則という形で表すようになりました。ちなみに、数は異なりますが、COSO-ERM(2004)の8つ要素は、COSO-ERM(2017)の5つのカテゴリにほぼ比例しています。
 

【図:COSO-ERM(2004)が示すERMフレームワークの図】

1875_ext_05_6.png

また、COSO-ERM(2017)では、一部、用語について加筆変更されました。たとえば、”リスク”の定義です。”リスク”は、COSO-ERM(2004)では「組織の目的達成に負の影響を与えるもの」として定義されていました。正の影響を与えるものを”機会”と呼び、負の影響を与える”リスク”と合わせて、イベント(事象)と表記されていました。ところが、COSO-ERM(2017)になり、イベント(事象)とという言葉を使わず、正の影響を与える”機会”と負の影響を与える”リスク”を総称して”リスク”と呼んでいます。このあたりは、リスクマネジメントの国際規格であるISO31000と足並みを揃えたとも言えるでしょう。ただし、ERMの意義自体は、旧版でも新版でも、リスクと機会の両方をうまくコントロールするものとして捉えているので、本質的な考え方というよりも、あくまでも言葉の使い方が変わったと考えることが正しいでしょう。

また、今回新たに「リスクキャパシティ」という用語が使われるようになりました。「リスクキャパシティ」とは、組織がとりうるリスク総量の最大値を指します。いわゆる”最大許容リスク総量”です。従来から使われていた「リスクプロファイル」や「リスク選好」と合わせてその意味を説明すると次のとおりです。本書を読むのであれば、下記言葉の意味くらいは理解しておきたいものです。

●リスクプロファイル(≒参考情報)
     リスクをどこまでとるかを判断するための参考情報になるもの。パフォーマンスとそのパフォーマンスを目指す際に生じるリスク総量の関係性を示したもの
●リスクキャパシティ(≒限界点)
     組織がとりうるリスク総量の限界値を指します。
●リスク選好(≒目標)
     リスクプロファイルやリスクキャパシティを基に、組織がリスクに関し設定する目標値。組織がどこまでリスクをとるか・とりたいかを示すもの

 【 図:リスクプロファイル、リスク選好、リスクキャパシティの関係】

1875_ext_05_7.png

※出典:COSO-ERM(2017)図4.2を基にニュートンが翻訳

COSO-ERM(2017)の用途

COSO-ERM(2017)は、繰り返し述べてきたように、組織の経営目的達成を促進するために、組織に取り込むべきリスクマネジメントのフレームワークです。したがって、リスクマネジメントの専門家(例:コンサルタント等)に加え、組織の戦略リスクに深く関わる部門である経営企画部、リスクマネジメントの運用に関わるリスクマネジメント部などが主な利用対象者になります。

合わせて、組織の経営を担う立場にある人(役員)にも読むことを強くお勧めします。なぜなら、旧版に比べ、経営者目線での記載も増えているからです。経営者はリスクマネジメントを全て現場に任せておけばいい・・・ボトムアップでいい・・・という時代はもう終わったのです。経営者の参考書となることをも意識して作成されていることから、既に触れた5つのカテゴリと23の原則に目を通すだけでも、全体感を把握することができ、自組織において、何が欠けているのかを直感的に感じ取ることができるでしょう。

ただし、現時点では英語版しか出ていないため、その点は留意することが必要です。ちなみに、筆者が参考にしたCOSO-ERM(2017)のドラフト版は、下記COSOの公式サイトからダウンロードすることができます。

https://www.coso.org/Documents/COSO-ERM-draft-Post-Exposure-Version.pdf

小冊子プレゼント

リスクマネジメントにかかわる小冊子PDFを無料でダウンロードいただけます。

情熱コンサルタント宣言

私たちは「本当にお客様の役に立ちたい!」という熱い心を持ったコンサルタント集団です。真の意味でお客様の礎となる支援をいたします。

新着コンサルタントコラム