COSO-ERM
掲載:2020年05月28日
執筆者:取締役副社長 兼 プリンシパルコンサルタント 勝俣 良介
用語集
※COSO-ERM(2017)徹底解説 小冊子を公開しました!
ダウンロードはコチラから。
COSO-ERMとは、米国組織COSO※1により2004年に発行されたERMのフレームワーク(最新版は2017年)を言います。当該フレームワークを解説したガイドラインであるEnterprise Risk Management – Integrated Framework(全社的リスクマネジメント-統合フレームワーク)自体を指して、COSO-ERMと呼ぶこともあります。なお、ERMとは、全社的リスクマネジメント(全社的リスク管理)のことであり、経営・事業目的達成を促進することを狙いとして導入・運用する経営ツールです。全社最適・継続的改善に力点をおいた組織全体におけるリスク管理の仕組みとも言えます。
目次
ERMの定義
当該COSO-ERMのガイドラインの中では、ERMを次のように定義しています。
ERMとは、プロセスであり、組織の取締役会や経営陣、その他の人員に影響を受けるものであり、戦略設定の際にも、全社的にも適用されるものである。また、企業体に影響を与える潜在的事象を特定するよう設計されたもので、リスク選好※2に合わせてリスクを管理し、組織の目的・目標達成に対してある程度の保証を与えるものである。
【参考:ERM-Integrated Framework Executive SummaryのERMの定義を筆者が翻訳】
※2. 「リスク選好」の定義については、NAVI記事「リスク選好」を参照ください。
COSO-ERMが誕生した歴史
【図:内部統制フレームワーク-COSOキューブ】
内部統制とは、会社の業務の適正を確保するために会社内部に設ける仕組みを言います。具体的には、コンプライアンス、業務効率、財務報告の信頼性の3つを主目的として掲げたものです。ちなみに3点目の「財務報告の信頼性」は、1970年代から80年代にかけて粉飾決算が続いた米国の黒い歴史を反映したものであり、その意味でCOSOキューブは、2002年に制定されたSOX法(米国)や2006年のJ-SOX法(日本)対応にあたっての根幹を支えるものとして世界で広く認識されました。
こうした内部統制の必要性が叫ばれると同時に、地球温暖化、自然災害、地域紛争、サイバーテロ、リーマン・ショック、横領、異物混入、SNS風評など・・・企業活動の複雑化・拡大化に伴って災害や事故・不祥事も増加の一途をたどるようになりました。日々プレゼンスを増す不確実性への対応こそが重要という企業も増えてきたのです。こうした状況に鑑み、米国組織COSOは、COSOキューブの発表から12年後、その考え方をベースにしながら、概念を拡張させ、“不確実性への対応”に焦点をおいたCOSO-ERMという考え方を一つの解として公表したのです。
【図:ERMフレームワーク-COSO-ERM】
【表: COSO及びCOSO-ERMを取り巻く動き】
年 | フレームワーク | ステータス |
1992年 | 内部統制フレームワーク(COSO) | 初版公開 |
2004年 | ERMフレームワーク(COSO-ERM) | 初版公開 |
2013年 | 内部統制フレームワーク(COSO) | 改訂版公開 |
2014年 | ERMフレームワーク(COSO-ERM) | 改訂プロジェクト開始※ |
2017年 | ERMフレームワーク(COSO-ERM) | 第二版 |
COSO-ERM(2004)とCOSO-ERM(2017)の違い
COSO(1992)とCOSO-ERM(2004)の違い
COSO-ERM(2004)は、そのベースとなったCOSO・・・すなわち、1992年のCOSO – Integrated Frameworkの発表から10年近く後に発行されたものです。ですが、COSO-ERM(2004)は、COSOを置き換えることを狙いに発行されたものではないことに留意が必要です。両者は、それぞれの“目的“に合わせて使い分けることが期待されています。
【図:COSOキューブとCOSO-ERM(2004)キューブ】
ここで言う“目的”とは、COSOにおいては、とりわけ「財務報告の信頼性※4」のことを言い、COSO-ERM(2004)では、不確実性の排除を通じた経営・事業目的達成の促進、すなわち「戦略」のことを言います。つまり、COSO-ERM(2004)では戦略遂行の際の様々な出来事の不確実性をできるだけ排除していくことが重要になります。また、COSOとCOSO-ERM(2004)とでは、積極的に意識する範囲もやや違います。コントロールが及びにくい子会社こそが、企業の不確実性を増大させる要因にもなり得ることから、COSO-ERM(2004)では、ERMの対象範囲として子会社を明記しています。
こうした理由から、COSO-ERM(2004)キューブには、COSOキューブにはなかった「戦略」や「目的の設定」、「子会社」などと言った観点が追加されているのです。こうした事情を踏まえつつ、それぞれの“目的“に合わせて両者を使い分けることが必要です。
※4. 「財務報告の信頼性」は、2013年にCOSOが新たに改訂されてから、「報告」と表記が改められました。
COSO-ERM(2004)の中身
【図:COSO-ERMキューブに基づく解説の流れ】
全編通じて基本的には、COSO-ERM(2004)キューブの手前の面(上図参照)に示される8つの要素それぞれに、詳しい解説がなされています。
【表: COSO-ERMにおける8つの要素の意味と解説されているポイント】
要素 | 意味 |
内部環境 | ERMの土台の構築。取締役会をはじめ、いわゆるリスク管理方針に含まれるような行動指針、トップのコミットメント、リスク選好、役割・責任などがこれに該当する。 |
目的の設定 | ERMによってその達成を促進させたい目的の明確化。経営目的や事業目的、戦略目的などがこれに該当する。 |
事象の識別 | リスクにつながる内部・外部の環境変化や目的達成を脅かす脅威などの特定。ガイドラインの中では、内部・外部環境にどのような観点があるか、リスクにつながる事象の特定方法例について触れている。 |
リスクアセスメント | 固有リスク・残留リスクの特定、リスクの大きさの算定(リスク分析)、リスクに対する対応要否及び対応の優先順位付け(リスク評価)。リスク分析においては、発生可能性や影響度の求め方についていくつかの例を紹介している。 |
リスクへの対応 | 対応が必要とされたリスクに対する対応策の決定。リスク対応のために4つの選択肢(リスク回避、リスク軽減、リスク共有、リスク受容)を提示するとともに、リスクの発生可能性や影響度の低減にどのように効果を発揮するか、その測定方法についても例を示している。 |
統制活動 | リスク対応に基づき、実際に遵守すべき事項として、従業員がわかる言葉に落とし込まれた方針、手順やルールの策定及びその導入・運用。方針や規程、要領や手順として制定するにあたっての留意事項やヒントを示している。 |
情報と伝達 | ERMに関わる情報、例えば、リスクマネジメント方針やリスク、リスクにつながる事象、リスクアセスメント実施結果、リスク対応や文書化されたルールなどの周知・連絡・共有、ITシステムへの組み込み。 |
モニタリング | ERMに関わる活動の常時または定期監視。リスクに対して導入したコントロールの有効性、新たなリスクの検知をするにあたり、常時または定期監視の方法例などについて解説をしている。 |
ISO31000との違いは?
【表: COSO-ERM(2004)の8つの要素とISO31000(2009)を構成する要素との関連性】
COSO-ERM | ISO31000 |
内部環境 | 11の原則、枠組み(指令及びコミットメント、リスクの運用管理のための枠組み設計) |
目的の設定 | プロセス(組織の状況の確定) |
事象の識別 | プロセス(リスク特定) |
リスクアセスメント | プロセス(リスクアセスメント) |
リスクへの対応 | プロセス(リスク対応) |
統制活動 | 枠組み(リスクマネジメントの実践) |
情報と伝達 | プロセス(コミュニケーション及び協議) |
モニタリング | プロセス(モニタリング及びレビュー)、枠組み(モニタリング及びレビュー、継続的改善) |
もちろんCOSO-ERMとISO31000には、違いもあります。例えば、取締役会のあり方については、COSO-ERMでは言及されていますが、ISO31000では触れられていません。両者の違いは、次のようにまとめることができます(下表参照)。
【表:COSO-ERM(2004)とISO31000(2009)の主な違い】
比較項目 | COSO-ERM(2004) | ISO31000(2009) |
ページボリューム | 100ページ弱 | 20ページ弱(除く、英語) |
最新性 | 2004年が最新版。ISO31000に比べ古い(ただし、現在改訂作業が進行中である) | 2018年に第2版が発行されており、世界的にはこの規格が最新版にあたる |
わかり易さ | 3次元の図(COSO-ERMキューブ)を基に整理されており、慣れるまでに時間が必要。ただし、比較的解説は詳しく、具体例もところどころで紹介されており理解しやすい面も多々ある。 | 平易な言葉で述べられおり、建て付けも2次元でシンプル。読むのに抵抗感がないが、総じて汎用性を重視しているためか、抽象的な表現が多く、具体的な活動への落とし込みは難しい。 |
他のフレームワークやツールとの融和性 | 内部統制フレームワークをベースにしていることから、COSOとの融和性が高い | ISOマネジメントシステム規格の一種であることから、ISO9001や27001など他のISOマネジメントシステム規格との融和性が高い |
対象範囲 | 取締役会→代表取締役→現場を対象としている。子会社も含めるよう明記している。 | 代表取締役→現場を対象としている。特に子会社を含めるべきか否かについては言及していない。 |
その他 | 英語ではあるが、付随するホワイトペーパー(白書)なども多数出版されており、研究肌の人には魅力的。 | ERMの土台そのものの改善にまで言及しており、“継続的改善力”を重視した作りになっている。リスクマネジメント技法のみを特集したISO31010など、関連するISO規格が発行されている。 |
使い方は?
本書を本格的な参考書としてお使いになりたい方・・・例えば、リスク管理の責任者や実務担当者などが、COSO-ERMを正しく効果的・効率的に理解するための入口として、まずはエグゼクティブ・サマリを読むことをおすすめします。その上で、本編のフレームワークを読むと理解しやすくなります。ちなみに、エグゼクティブ・サマリとなってはいますが、簡潔ではあるものの明瞭とまでは言えない内容ですので、実際には組織のエグゼクティブの方が読んでも理解することは困難と思われます。
いずれにせよ、COSO-ERMを持ってしても「ERMとはどんな活動が必要なのか?」を理解することはできても、「どうやって構築するのか?」までを習得することは不可能です。あくまでも、ERMに対する理解を深めたり、自組織のリスク管理に対する課題を特定したりするための一手段であることに留意ください。また、他のガイドライン・・・ISO31000:2009なども合わせて参照し、学習をされるとなお良いでしょう。
参考文献
- Enterprise Risk Management Integrated Framework (COSO), 2004
- Internal Control - Integrated Framework(COSO), 1992&2013
- ISO31000:2009 リスクマネジメント-原則及び指針
おすすめ記事
- ISO31000:2009 リスクマネジメント規格とは
- COSO-ERM(2017)は何がそんなにスゴイのか?
- 「ESGリスクに関わるガイダンス」をERMに適用するには
- “組織の活力・対応力を向上させるリスクマネジメント”の実現方法
- ISO31000:2018 リスクマネジメントー指針
- COSO-ERMのクラウドコンピューティングへの適用ガイド(COSO-ERM for Cloud Computing)
- 人工知能(AI)の可能性を最大限に引き出すためのガイダンス(AIの実装と拡張に役立つCOSOフレームワークと原則の適用)
- リスクマネジメント実務者が身につけておきたいスキルと資格
- 企業は、今こそリスクマネジメント2.0の導入を!
関連サービス
- 全社的リスクマネジメント(ERM)コンサルティングサービス
- 全社リスクアセスメント実施支援サービス
- 組織のリスクマネジメント力・危機管理力評価(ERM評価)サービス
- ERM組織風土醸成・改善サービス
- ERM構築・運用アドバイザリサービス
- ERMのフレームワーク
- リスクマネジメント委員会改善支援サービス
- リスクマネジメント(ERM)の国際規格「COSO-ERM(2017年度版対応)」を徹底理解
- ERMにおけるESGリスクへの取り組み方-COSO-ESGガイドラインの活用-
- ESGリスクマネジメント構築・改善支援サービス
- クラウドサービスを全社的にリスクマネジメントする方法-COSO-ERM for Cloud Computing徹底解説-