リスク管理Naviリスクマネジメントのワンストップ情報サイト

用語集

COSO-ERM

2016年10月17日

COSO-ERMとは、米国組織COSO※1により2004年に発行されたERMのフレームワークを言います。当該フレームワークを解説したガイドラインであるEnterprise Risk Management – Integrated Framework(全社的リスクマネジメント-統合フレームワーク)自体を指して、COSO-ERMと呼ぶこともあります。なお、ERMとは、全社的リスクマネジメント(全社的リスク管理)のことであり、経営・事業目的達成を促進することを狙いとして導入・運用する経営ツールです。全社最適・継続的改善に力点をおいた組織全体におけるリスク管理の仕組みとも言えます。

ちなみに、当該COSO-ERMのガイドラインの中では、ERMを次のように定義しています。

ERMとは、プロセスであり、組織の取締役会や経営陣、その他の人員に影響を受けるものであり、戦略設定の際にも、全社的にも適用されるものである。また、企業体に影響を与える潜在的事象を特定するよう設計されたもので、リスク選好※2に合わせてリスクを管理し、組織の目的・目標達成に対してある程度の保証を与えるものである。
【参考:ERM-Integrated Framework Executive SummaryのERMの定義を筆者が翻訳】
 
※1. COSO: The Committee of Sponsoring Organizations of the Treadway Commission(米国トレッドウェイ委員会組織委員会)のことであり、元は米国において企業不正を正すために編成された組織である。これまでに様々な取り組みをしておきており、COSO-ERMのようなフレームワークを提示するなどしてきている。代表的なものは内部統制フレームワーク(COSOモデル)であり、これは世界標準に等しいものである。
※2. 「リスク選好」の定義については、NAVI記事「リスク選考」を参照ください。

COSO-ERMが誕生した歴史

COSO-ERMのガイドラインは2004年に発行されましたが、その原型は1992年に発行された内部統制※3フレームワークまで遡ります。内部統制フレームワークには、COSOキューブと呼ばれる考え方が採用されており、次のように図示されるものです。

【図:内部統制フレームワーク-COSOキューブ】

1453_ext_05_4.jpg

【出典: COSO – Integrated Framework (1992)】

【参考:内部統制とは】
内部統制とは、会社の業務の適正を確保するために会社内部に設ける仕組みを言います。具体的には、コンプライアンス、業務効率、財務報告の信頼性の3つを主目的として掲げたものです。ちなみに3点目の「財務報告の信頼性」は、1970年代から80年代にかけて粉飾決算が続いた米国の黒い歴史を反映したものであり、その意味でCOSOキューブは、2002年に制定されたSOX法(米国)や2006年のJ-SOX法(日本)対応にあたっての根幹を支えるものとして世界で広く認識されました。


こうした内部統制の必要性が叫ばれると同時に、地球温暖化、自然災害、地域紛争、サイバーテロ、リーマンショック、横領、異物混入、SNS風評など・・・企業活動の複雑化・拡大化に伴って災害や事故・不祥事も増加の一途をたどるようになりました。日々プレゼンスを増す不確実性への対応こそが重要という企業も増えてきたのです。こうした状況に鑑み、米国組織COSOは、COSOキューブの発表から12年後、その考え方をベースにしながら、概念を拡張させ、“不確実性への対応”に焦点をおいたCOSO-ERMという考え方を一つの解として公表したのです。

【図:ERMフレームワーク-COSO-ERM】

1453_ext_05_7.png

【出典: COSO Enterprise Risk Management – Integrated Framework (2004)】

さて、このCOSOキューブですが、最初の発表から20年以上が経過していたこともあり、時代の流れに合わせて一部の文言を更新するなど、改訂版を2013年に公開されています。これに対し、COSO-ERMの最新版はいまだ2004年発行のもの※4ですが、COSOキューブの見直しのこうした活動に呼応するかのように、2014年にCOSO-ERMの見直しプロジェクトが始動しています(下表参照)。
 
【表: COSO及びCOSO-ERMを取り巻く動き】
フレームワーク ステータス
1992年 内部統制フレームワーク(COSO) 初版公開
2004年 ERMフレームワーク(COSO-ERM) 初版公開
2013年 内部統制フレームワーク(COSO) 改訂版公開
2014年 ERMフレームワーク(COSO-ERM) 改訂プロジェクト開始※
※2016年10月現在、改訂案に対するパブリックコメントを募集、とりまとめ中です。
 

COSOとCOSO-ERMの違い

COSO-ERMは、そのベースとなったCOSO・・・すなわち、1992年のCOSO – Integrated Frameworkの発表から10年近く後に発行されたものです。ですが、COSO-ERMは、COSOを置き換えることを狙いに発行されたものではないことに留意が必要です。両者は、それぞれの“目的“に合わせて使い分けることが期待されています。

【図:COSOキューブとCOSO-ERMキューブ】

1453_ext_05_8.jpg

【出典: COSO Enterprise Risk Management – Integrated Framework (2004)、COSO – Integrated Framework (1992)】

ここで言う“目的”とは、COSOにおいては、とりわけ「財務報告の信頼性※5」のことを言い、COSO-ERMでは、不確実性の排除を通じた経営・事業目的達成の促進、すなわち「戦略」のことを言います。つまり、COSO-ERMでは戦略遂行の際の様々な出来事の不確実性をできるだけ排除していくことが重要になります。また、COSOとCOSO-ERMとでは、積極的に意識する範囲もやや違います。コントロールが及びにくい子会社こそが、企業の不確実性を増大させる要因にもなり得ることから、COSO-ERMでは、ERMの対象範囲として子会社を明記しています。
 
こうした理由から、COSO-ERMキューブには、COSOキューブにはなかった「戦略」や「目的の設定」、「子会社」などと言った観点が追加されているのです。こうした事情を踏まえつつ、それぞれの“目的“に合わせて両者を使い分けることが必要です。
 
※5. 「財務報告の信頼性」は、2013年にCOSOが新たに改訂されてから、「報告」と表記が改められました。
 

COSO-ERMの中身

【図:COSO-ERMキューブに基づく解説の流れ】

1453_ext_05_10.jpg

【出典: COSO Enterprise Risk Management – Integrated Framework (2004)、COSO – Integrated Framework (1992)】を基に筆者が編集

COSO-ERMは100ページ弱の文書からなります。読み手に合わせて解説の深さを変えており、概要を説明した「エグゼクティブ・サマリ」と、COSO-ERMを詳しく解説した「フレームワーク」の2部構成になっています。
 
全編通じて基本的には、COSO-ERMキューブ(下図参照)の手前の面に示される8つの要素それぞれに、詳しい解説がなされています。
なお、8つの要素の意味と、そこで解説されている内容(概要)は、下表のとおりです。
 
【表: COSO-ERMにおける8つの要素の意味と解説されているポイント】
要素 意味
内部環境 ERMの土台の構築。取締役会をはじめ、いわゆるリスク管理方針に含まれるような行動指針、トップのコミットメント、リスク選好、役割・責任などがこれに該当する。
目的の設定 ERMによってその達成を促進させたい目的の明確化。経営目的や事業目的、戦略目的などがこれに該当する。
事象の識別 リスクにつながる内部・外部の環境変化や目的達成を脅かす脅威などの特定。ガイドラインの中では、内部・外部環境にどのような観点があるか、リスクにつながる事象の特定方法例について触れている。
リスクアセスメント 固有リスク・残留リスクの特定、リスクの大きさの算定(リスク分析)、リスクに対する対応要否及び対応の優先順位付け(リスク評価)。リスク分析においては、発生可能性や影響度の求め方についていくつかの例を紹介している。
リスクへの対応 対応が必要とされたリスクに対する対応策の決定。リスク対応のために4つの選択肢(リスク会費、リスク軽減、リスク共有、リスク受容)を提示するとともに、リスクの発生可能性や影響度の低減にどのように効果を発揮するか、その測定方法についても例を示している。
統制活動 リスク対応に基づき、実際に遵守すべき事項として、従業員がわかる言葉に、落とし込まれた方針、手順やルールの策定及びその導入・運用。方針や規程、要領や手順として制定するにあたっての留意事項やヒントを示している。
情報と伝達 ERMに関わる情報、すなわち例えば、リスクマネジメント方針や、リスク、リスクにつながる事象、リスクアセスメント実施結果、リスク対応や文書化されたルールなどの周知・連絡・共有、ITシステムへの組み込み。
モニタリング ERMに関わる活動の常時または定期監視。リスクに対して導入したコントロールの有効性、新たなリスクの検知をするにあたり、常時または定期監視の方法例などについて解説をしている。
※COSO Enterprise Risk Management – Integrated Framework (2004)を基に筆者が編集
 

ISO31000との違いは?

ERM(全社的リスク管理)の参考となるフレームワークとしては、2004年に発行されたCOSO-ERMのほかに、2009年に発行された国際規格ISO31000:2009「リスクマネジメント-原則及び指針」(下図参照)が有名です。両者の違いは何でしょうか?
 

【図: ISO31000:2009のリスクマネジメントに対する考え方】

1453_ext_05_12.jpg

出典:ISO31000:2009より

COSO-ERMではその考え方を立体図で、ISO31000では平面図で示しており、一見すると全く異なるもののように見て取れます。その実、表現が異なるだけで良く似ています(下表参照)。たとえば、COSO-ERMでは「内部環境」と表現されていたERMの土台部分に対する解説を、ISO31000では「枠組み(箇条4)」における「リスクの運用管理のための枠組み設計」の中でやはり似た内容について触れています。また、COSO-ERMで登場する「事象の識別」ではリスクにつながる環境変化などの特定について触れていますが、ISO31000では「リスク特定」においてリスク源の特定という表現でやはり触れています。
 
【表: COSO-ERMの8つの要素とISO31000を構成する要素との関連性】
COSO-ERM ISO31000
内部環境 11の原則、枠組み(指令及びコミットメント、リスクの運用管理のための枠組み設計)
目的の設定 プロセス(組織の状況の確定)
事象の識別 プロセス(リスク特定)
リスクアセスメント プロセス(リスクアセスメント)
リスクへの対応 プロセス(リスク対応)
統制活動 枠組み(リスクマネジメントの実践)
情報と伝達 プロセス(コミュニケーション及び協議)
モニタリング プロセス(モニタリング及びレビュー)、枠組み(枠組みのモニタリング及びレビュー、継続的改善)
※COSO Enterprise Risk Management – Integrated Framework (2004)及びISO31000:2009を基に筆者が編集
 
もちろんCOSO-ERMとISO31000には、違いもあります。たとえば、取締役会のあり方については、COSO-ERMでこそ言及されてはいますが、ISO31000では触れられておりません。両者の違いは、次のようにまとめることができます(下表参照)。
 
【表:COSO-ERMとISO31000の主な違い】
比較項目 COSO-ERM ISO31000
ページボリューム 100ページ弱 20ページ弱(除く、英語)
最新性 2004年が最新版。ISO31000に比べ古い(但し、現在改訂作業が進行中である) 2009年に発行されており、世界的にはこの規格が最新版にあたる
わかり易さ 3次元の図(COSO-ERMキューブ)を基に整理されており、慣れるまでに時間が必要。ただし、比較的解説は詳しく、具体例もところどころで紹介されており理解しやすい面も多々ある。 平易な言葉で述べられおり、建て付けも2次元でシンプル。読むのに抵抗感がないが、総じて汎用性を重視しているためか、抽象的な表現が多く、具体的な活動への落とし込みは難しい。
他のフレームワークやツールとの融和性 内部統制フレームワークをベースにしていることから、COSOとの融和性が高い ISOマネジメントシステム規格の一種であることから、ISO9001や27001など他のISOマネジメントシステム規格との融和性が高い
対象範囲 取締役会→代表取締役→現場を対象としている。子会社も含めるよう明記している。 代表取締役→現場を対象としている。特に子会社を含めるべき・べきでないについては言及していない。
その他 英語ではあるが、付随するホワイトペーパー(白書)なども多数出版されており、研究肌の人には魅力的。 ERMの土台そのものの改善にまで言及しており、“継続的改善力”を重視した作りになっている。リスクマネジメント技法のみを特集したISO31010など、関連するISO規格が発行されている。

使い方は?

COSO-ERMは、エグゼクティブ・サマリと本編となるフレームワークの2部構成になっていることから、これをうまく使い分けることをおすすめします。
 
本書を本格的な参考書としてお使いになりたい方・・・たとえば、リスク管理の責任者や実務担当者などが、COSO-ERMを正しく効果的・効率的に理解するために、その入口としてまずはエグゼクティブ・サマリを読むことをおすすめします。その上で、本編のフレームワークを読むと理解しやすくなります。ちなみに、エグゼクティブ・サマリとなってはいますが、簡潔ではあるものの明瞭とまでは言えない内容ですので、実際には組織のエグゼクティブの方が読んでも理解することは困難と思われます。
 
いずれにせよ、COSO-ERMを持ってしても「ERMとはどんな活動が必要なのか?」を理解することはできても、「どうやって構築するのか?」までを習得することは不可能です。あくまでも、ERMに対する理解を深めたり、自組織のリスク管理に対する課題を特定するための一手段であることに留意ください。また、他のガイドライン・・・ISO31000:2009なども合わせて参照し、学習をされるとなおいいでしょう。
 

(執筆:勝俣 良介

当社のWebサイトでは、サイト閲覧時の利便性やサイト運用および分析のため、Cookieを使用しています。こちらで同意をして閉じるか、Cookieを無効化せずに当サイトを継続してご利用いただくことにより、当社のプライバシーポリシーに同意いただいたものとみなされます。
同意して閉じる