COSOとISO31000は、組織マネジメントのデファクトスタンダード

１．COSO

(1)COSOとは

COSOとは、トレッドウェイ委員会支援組織委員会（Committee of Sponsoring Organizations of Treadway Commission）の略称である。

アメリカにおいて、1980年代前半に金融機関を含む多くの企業の経営破綻が大きな社会・政治問題となり、これに対処するために委員会を組織した。

それが、トレッドウェイ委員会であって、その委員会は、1987年に「不正な財務報告」と題するレポートを公表して、不正な財務報告を防止し発見するためのフレームワークとその方策を勧告した。

その委員会を支援する目的で作られたのが、　COSOすなわちトレッドウェイ委員会支援組織委員会である。

COSOの発表した、1992年の内部統制のフレームワーク、統合的枠組みは、世界的にヒットして組織における不正防止のデファクトスタンダードになった。

日本社会に劇的な影響を及ぼし、COSO日本版が作られた。　※このサイトの別稿参照。

なお、より洗練された、２０１３年バージョンもある。

(2)COSOのしくみ

①COSO内部統制の定義及び3つの目的カテゴリー

内部統制は、以下の範疇に分けられる目的の達成に関して合理的な保証を提供することを意図した、事業体の取締役、経営者およびその他の構成員によって遂行されるプロセスである。

業務の有効性と効率性(業務活動)、財務報告の信頼性（財務報告）、コンプライアンス（法令遵守）

②COSO内部統制の5つの構成要素

・統制環境 (control environment)、・リスク評価 (risk assessment)、・統制活動 (control activities)、・情報および伝達 (information and communication)、・モニタリング (monitoring activities)

２．ISO31000

2009年11月15日にリスクマネジメントに関する国際標準規格であるISO31000(Riskmanagement-Principles and Guidelines:リスクマネジメントー原則及び指針)が発行された。

①リスクの定義

Risk； effect of uncertainty on objectives 諸目的に対する不確かさの影響

②リスクマネジメントの定義

「リスクについて、組織を指揮統制するための調整された活動；coordinated activities to direct and control an organization with regard to risk」

③リスクマネジメントプロセス

防災防犯、労働安全、交通安全、医療安全、情報セキュリティ、製品安全などの様々なリスクマネジメントにおける実際の取組に共通し包含されるリスクマネジメントプロセスを定める。
置かれている状況の確定 ⇒ リスク特定 ⇒ リスク分析 ⇒ リスク評価 ⇒ リスク対応 ⇒モニタリング及びレビュー ⇒ コミュニケーション及び協議 である。

このうち「リスク特定」、「リスク分析」、「リスク評価」の３つのステップはまとめて「リスクアセスメント」と呼ばれる。

④リスクマネジメントの７つの対応

(1) リスクを生じさせる活動を開始又は継続しないことと決定することによってリスクを回避する

(2) ある機会を追求するために、そのリスクを取るまたは増加させる

(3)リスク源を除去する

(4)起こり易さを変える

(5) 結果を変える

(6) 一つまたはそれ以上の他者とそのリスクを共有する（契約及びリスクファイナンスを含む）

(7) 情報に基づいた意思決定によって、そのリスクを保有する。

従来の４つの区分と比較すれば、回避(1)、最適化（低減）(2)～(5)、 移転(6)、 保有(7)である。

なお、拡大バージョンとして、２０１８年版もある。