変化に強い組織への変革を導くフレームワーク

現代は、予見が困難なほどの急激な変化(Volatility)、不確実性(Uncertainty)、複雑性(Complexity)、曖昧性(Ambiguity)が増大する「VUCAワールド」と呼ばれています。このような環境下で企業が持続的に成長し、価値を創造し続けるためには、単に既存の事業を遂行するだけでなく、潜在するリスクを適切に管理し、新たな機会を果敢に追求する能力が不可欠です。

ここで重要な役割を果たすのが「エンタープライズ・リスクマネジメント(ERM)」です。全社的な視点からリスクと機会を統合的に捉え、戦略の策定から日々の業務に至るまで、組織のあらゆる活動に組み込む考え方です。

この分野で世界的に最も影響力のあるフレームワークの一つが、米国のトレッドウェイ委員会組織委員会(The Committee of Sponsoring Organizations of the Treadway Commission, COSO)が提唱する「COSO ERMフレームワーク」です。特に2017年に改訂された現行版は、リスクを単なる回避すべき脅威としてではなく、戦略実行と価値創造に不可欠な要素として位置づけています。

中川総合法務オフィス代表は、長年の実務経験と経営、法律、哲学、自然科学など多岐にわたる分野への深い探求を通じて、企業の真のレジリエンス(回復力)と成長力の源泉は、リスクとの賢明な向き合い方にあると確信しています。COSO ERM 2017は、まさにこの「リスクとの賢明な向き合い方」を組織に根付かせるための強力なツールと言えるでしょう。

本記事では、COSO ERMフレームワークの変遷をたどりながら、特に最新である2017年版の核心に迫り、企業がこれをどのように活用し、変化に強い組織へと生まれ変わることができるのかを解説します。

COSO ERMフレームワークの歩み:内部統制から戦略的リスク管理へ

COSOは、企業の内部統制に関するフレームワークを開発・普及させることを目的として設立された組織です。その活動は、内部統制、ERM、不正対策など、企業の健全な運営に不可欠な分野をカバーしています。

  1. COSO内部統制フレームワーク(1992年公表、2013年改訂) COSOの活動は、まず1992年に公表された「Internal Control - Integrated Framework」(内部統制の統合的枠組み)から始まりました。これは、財務報告の信頼性確保に重点を置きつつ、業務の有効性・効率性、法令遵守を含む内部統制の基本となる「5つの構成要素」(統制環境、リスク評価、統制活動、情報と伝達、モニタリング活動)と「3つの目的」(業務、報告、コンプライアンス)を提示し、企業に大きな影響を与えました。2013年には、今日のビジネス環境に合わせて改訂されています。
  2. COSO ERMフレームワーク(2004年公表) VUCA時代の到来とともに、企業を取り巻くリスクは多様化・複雑化し、内部統制の枠組みだけでは捉えきれない課題が顕在化しました。これを受けてCOSOは、リスクをより広範かつ統合的に管理するための新たなフレームワークの開発に着手。2004年に「Enterprise Risk Management - Integrated Framework」(エンタープライズ・リスクマネジメントの統合的枠組み)を公表しました。これが俗に「COSO ERM 2004」と呼ばれるものです。 この2004年版は、従来の内部統制フレームワークを拡張し、リスクの観点から経営と内部統制を連携させることを目指しました。目的には内部統制の3つに加えて「戦略」が追加され、構成要素も従来の5つから「目的設定」「事象認識」「リスク対応」が加わり「8つの構成要素」へと拡張されました。これは、リスク管理を経営戦略と紐づけ、個々のリスクだけでなくポートフォリオとしてのリスクを捉えようとする重要な一歩でした。
  3. COSO ERMフレームワーク(2017年改訂) 2004年版の公表以降も、グローバル化の進展、テクノロジーの進化、新たな地政学的リスクの台頭など、企業を取り巻く環境はさらに大きく変化しました。これに対応するため、COSOはERMフレームワークの抜本的な改訂を行い、2017年に「Enterprise Risk Management - Aligning Risk with Strategy and Performance」(エンタープライズ・リスクマネジメント - 戦略とパフォーマンスとの整合)を公表しました。これが現行の「COSO ERM 2017」です。 2017年版は、リスク管理を企業の「価値創造」および「維持」と強く結びつけることに主眼を置いています。リスクを戦略策定、目標設定、そして日々のパフォーマンス管理と不可分なものとして捉え、組織文化の重要性を強調しています。構造も大きく見直され、「5つの構成要素(カテゴリー)」とそれらを実践するための「20の原則」という、より実践的かつ包括的なフレームワークへと進化しました。

COSO ERM 2017:戦略とパフォーマンスを結びつける羅針盤

COSO ERM 2017は、企業が不確実性の中で価値を創造し、保護するための指針を提供します。その中心にあるのは、リスク管理を組織の戦略、目標設定、および日々の業務活動に深く統合するという考え方です。

このフレームワークは、5つの相互に関連する構成要素(カテゴリー)と、それぞれに対応する合計20の原則で構成されています。これらの要素は、企業がリスクと機会を特定、評価、対応し、パフォーマンスを向上させるための一連のプロセスを示しています。

COSOが公表した、ミッションから価値向上へと続く二重らせん状の美しいグラフィックモデルは、単なる図ではなく、ERMが組織の生命線であるDNAのように、戦略とパフォーマンス、そして文化と不可分であることを象徴しています。中川総合法務オフィス代表は、この図に学問と芸術の融合を見出し、生命の根源的な設計図であるDNAが、変化に適応し生命を維持・発展させるメカニズムを備えているように、組織もまたリスクを織り込みながら戦略を実行し、価値創造という生命活動を続けるべきだという深い示唆を読み取っています。これは、マイケル・ポーターのバリューチェーンが企業の価値創造プロセスを可視化するように、ERMがそのプロセスのリスク側面を統合的に管理することの重要性を示唆していると言えるでしょう。

以下に、COSO ERM 2017の5つの構成要素と20の原則を詳述します。

1. ガバナンスと文化 (Governance and Culture)

ERMの基盤を形成する要素です。取締役会の監視機能の有効性、倫理観、望ましい行動規範、そしてリスクに対する組織の考え方(リスク文化)を確立します。組織文化は、従業員のリスクに対する認識や行動に深く影響するため、ERMの実効性を左右する重要な要素です。 【関連する原則】

  • 原則1:取締役による監督機能の実施
  • 原則2:オペレーションモデルの構築
  • 原則3:要求される企業文化の定義
  • 原則4:コアバリューの徹底
  • 原則5:優秀な人材の開発・育成・保持

2. 戦略と目標設定 (Strategy and Objective-Setting)

ERMが企業の戦略および事業目標と整合していることを確認します。リスク選好度(どの程度のリスクであれば受け入れられるか)を明確にし、戦略計画プロセスの中で潜在的なリスクを評価します。事業目標は、これらのリスクを特定、評価、および対応するための基礎となります。 【関連する原則】

  • 原則6:ビジネス環境の分析
  • 原則7:リスク選好度の定義
  • 原則8:代替戦略案の評価
  • 原則9:事業目標の設定

3. パフォーマンス (Performance)

戦略や事業目標の達成に影響を与える可能性のあるリスクを特定し、評価し、優先順位をつけます。リスクの重要度を評価する際には、発生可能性だけでなく、財務的影響、評判への影響、戦略への影響など、多角的な視点が必要です。リスクへの対応策を選択・実行し、組織全体のリスクのポートフォリオビューを構築します。 【関連する原則】

  • 原則10:リスクの特定
  • 原則11:リスクの重要度の評価
  • 原則12:リスクの優先順位の決定
  • 原則13:リスク対策の浸透
  • 原則14:ポートフォリオビューの発展

4. レビューと改訂 (Review and Revision)

時間の経過とともに、ERMの各構成要素がどの程度効果的に機能しているかをレビューします。外部環境や内部状況の変化を捉え、必要に応じてERMの仕組みやリスク対応策を改訂します。これにより、ERMは常に組織の状況に適応し続けることができます。 【関連する原則】

  • 原則15:大きな変化の評価
  • 原則16:リスクとパフォーマンスのレビュー
  • 原則17:リスクマネジメントの取り組みの改善

5. 情報、伝達、報告 (Information, Communication, and Reporting)

ERMを効果的に機能させるために必要な情報を取得し、適切な関係者間で共有します。内部および外部の情報源からのデータを活用し、リスクに関する情報を組織全体に伝達します。重要なリスク情報やパフォーマンスに関する適切な報告は、意思決定の質を高めます。 【関連する原則】

  • 原則18:情報テクノロジーの活用
  • 原則19:リスク情報のコミュニケーション
  • 原則20:リスク、文化、パフォーマンスの報告

COSO ERM 2017を実践するために:中川総合法務オフィスからの提言

COSO ERM 2017フレームワークは、単なるチェックリストではありません。これは、組織がリスクと機会を戦略的に管理するための強力な思考ツールであり、変革の触媒となり得るものです。このフレームワークを真に血肉化するためには、以下の点が重要であると中川総合法務オフィスは考えます。

  1. 経営層の強いコミットメント: ERMは、現場任せにするものではなく、経営戦略の一部としてトップが主導する取り組みです。リスク選好度の設定や重要なリスクへの対応方針決定には、経営層の明確なリーダーシップが不可欠です。
  2. 組織文化との統合: リスク管理は、特定の部署の役割ではなく、組織全体の文化として根付かせる必要があります。オープンなコミュニケーションを促進し、従業員がリスク懸念を安心して提起できる環境を醸成することが重要です。これは、単なるルール遵守を超えた、倫理観と誠実さに基づく行動を促します。
  3. 戦略策定との連動: 新しい事業機会の評価、M&A、グローバル展開など、重要な戦略的意思決定のプロセスにERMを不可分な形で組み込みます。これにより、リスクを早期に特定し、機会を最大限に活かすためのリスクテイクを戦略的に行うことが可能になります。
  4. パフォーマンス管理との連携: リスク指標を業績評価の指標と関連付け、リスク管理の取り組みが事業パフォーマンスにどのように貢献しているかを測定・評価します。これにより、ERMの有効性を可視化し、継続的な改善につなげます。
  5. テクノロジーの活用: 複雑化するリスク情報を効率的に収集、分析、報告するためには、適切なテクノロジーの活用が不可欠です。AIやデータ分析ツールは、リスクの早期警戒や傾向分析に役立ちます。
  6. 外部環境への適応: サイバーセキュリティリスク、気候変動リスク、サプライチェーンリスクなど、外部環境の変化に伴い新たなリスクが常に発生します。これらの変化を継続的にモニタリングし、ERMフレームワークやリスク対応を柔軟にアップデートしていく必要があります。

これらの実践を通じて、企業が外部環境の変動に単に耐えるだけでなく、リスクを成長の糧とし、新たな価値創造へと繋げていく力を養うことができる。それは、自然界の生態系が多様な要素の相互作用の中でレジリエンスを保つように、あるいは哲学的な弁証法が対立する概念の統合から新たな真理を生み出すように、複雑な状況の中で最適なバランスと前進を見出すプロセスに似ています。

まとめ:COSO ERM 2017で未来を切り拓く

COSO ERM 2017フレームワークは、現代企業が直面する複雑なリスク環境に対応するための包括的かつ戦略的なアプローチを提供します。内部統制の枠を超え、リスク管理を企業の戦略策定、パフォーマンス管理、そして価値創造の中心に位置づけることで、企業はより賢明な意思決定を行い、変化に強く、持続的に成長できる組織へと変革することが可能です。

このフレームワークの実践は容易な道のりではありませんが、その取り組みは企業のレジリエンスを高め、新たな機会を捉える能力を強化し、結果として企業価値の向上に繋がります。

中川総合法務オフィスでは、COSO ERM 2017の導入支援や既存のERM体制の評価・改善に関する専門的なコンサルティングを提供しております。代表の幅広い知見と実務経験に基づき、貴社の事業特性や文化に合わせた最適なリスクマネジメント体制の構築をサポートいたします。VUCA時代を勝ち抜き、持続的な成長を実現するために、ぜひお気軽にご相談ください。

【お問い合わせはこちら】

    ※お問い合わせの前に下記、ご確認をお願いいたします。

    お名前(必須)

    ふりがな(必須)

    メールアドレス(必須)

    企業や地方公共団体名等の団体名(部署名)又は個人名(必須)

    住所(必須)

    電話番号(必須)

    相談内容・お問い合わせ(必須)

    確認画面は表示されません。上記内容にて送信しますがよろしいですか?(必須)
    はい

    Follow me!

    カテゴリー
    リスクマネジメント企業向け
    タグ
    前の記事
    遺言書があっても銀行等はこんな時には払戻を相続人等にしない (全4編 総まとめ)New!!
    2025年4月30日