企業向けのリスクマネジメント・内部統制枠組み COSO ERMフレームワーク2017

1.企業向けのリスクマネジメント・内部統制枠組み COSO ERM framework 2004公表版

※以下はCOSOサイトよりの引用

COSO ERM frameworkとは、米国のトレッドウェイ委員会組織委員会(COSO)が公表したエンタープライズ・リスクマネジメントのためのフレームワークである。

次の1992年発表のCOSOフレームワークののちに、その次のERMが2004年に公表された。

          

これは、従来のCOSOフレームワーク(内部統制フレームワーク)を補完的に拡張し、リスクの観点からマネジメントと内部統制を統合する考え方を示している。

COSOは内部統制システムを有効に機能させるため、企業組織のリスクと機会を全社横断的・継続的に評価・改善していくフレームワークを開発するプロジェクトを2001年に発足させ、プライスウォーターハウス・クーパースに委託した。

その結果は、「Enterprise Risk Management - Integrated Framework」(エンタープライズ・リスクマネジメント-統合的枠組み)という報告書にまとめられ、2004年に公表されたのである。

これが俗に“COSO ERMフレームワーク”と呼ばれるもので、経営や戦略の視点からリスク許容度を設定・コントールすること、個々のリスクをポートフォリオの観点から統合管理することを提唱している。

COSO ERMフレームワークは、内部統制フレームワークを代替するものではなく、これを内包して範囲を拡大したものである。

2.COSO:ERMフレームワーク(COSO ERM framework)の4つの目標と8つの構成要素

(1)COSOとの比較

ERMフレームワークには、「4つの目的」と「8つの構成要素」、そして事業体(全体)や部署(部分)といった「適用範囲」があり、それらが立方体(キューブ)の関係にあると紹介されている。

COSOフレームワークに比べると、目的に「戦略」が追加され、構成要素に「目的設定」が加わって「リスク評価」が「事象認識」「リスク評価」「リスク対応」に分割・詳細化されている。

※なお、COSO自体の改訂は2013年になされている。 詳しくはこのサイトの別稿参照。

(2)8つの構成要素

①内部環境 ERMの土台になるものである。取締役会の監視機能がアクティブであること、リスク管理方針に含まれるような行動指針、トップのコミットメント、リスク選好、役割・責任・倫理等である。

②目的の設定 ERMによってその達成を促進させたい目的の明確化。経営目的や事業目的、戦略目的など。

③事象の認識(識別) リスクにつながる内部・外部の環境変化や目的達成を脅かす脅威などの特定である。内部・外部環境、リスクにつながる事象の特定をする。

④リスク評価(リスクアセスメント) 固有リスク・残存リスクの特定、リスクの大きさの算定(リスク分析)、リスクに対する対応要否及び対応の優先順位付け(リスク評価)。リスク分析は、発生可能性や影響度の相関関係で決める。

⑤リスクへの対応 対応が必要とされたリスクに対する対応策をリスク回避、リスク軽減、リスク保有、リスク受容の4つの観点から行う。それが、リスクの発生可能性や影響度の低減にどのように効果を発揮するか、その測定も行う。

⑥統制活動 リスク対応に基づき、実際に遵守すべき事項として、従業員がわかる言葉にされた方針、手順や規程や要領などのルールの策定及びその導入・運用方法である。

⑦情報と伝達 ERMに関わる情報、すなわち例えば、リスクマネジメント方針や、リスク、リスクにつながる事象、リスクアセスメント実施結果、リスク対応や文書化されたルールなどの周知・連絡・共有、ITシステムへの組み込みである。

⑧モニタリング ERMに関わる活動の常時または定期監視である。リスクに対して導入したコントロールの有効性、新たなリスクの検知をするにあたり、実際に常時または定期監視する。

3.COSO-ERM 2017

(1)改訂版の公表

COSO は2017年に、ERM フレームワークを改訂し、5つのカテゴリーと20 の原則でリスクマネジメントを実践するモデルを提唱した。

もっとも、2016年の段階では、次のような23の原則であった。

 

しかし、現在の2017バージョンでは、次の20になっている。

 

また、非常に美しい生命の設計図であるDNAを模したかのような二重らせん状のグラフィックモデルを公表した。

これに魅了されないものは居ないのでなかろうか。私は学問と芸術の融合を見るようで息を呑んだ。

 

(2)ERM5つのカテゴリー

①ガバナンスと文化:ガバナンスは組織の基礎を設定し、企業リスク管理の重要性、および監督責任を確立する。文化は、倫理的価値、望ましい行動、リスクの理解に関係している。

②戦略と目標設定:企業のリスク管理、戦略、および戦略計画・立案プロセスにおける客観的な作業リスクの意向が確立され、戦略と整合している。ビジネス目標は戦略を実践するリスクを特定、評価、対応するための基礎となる。

③リスク実践活動:戦略と事業の達成に影響を及ぼす可能性のあるリスク目標を特定し評価する。リスクは、重大度によって優先順位が付けられる。リスクの意向の文脈を理解する。組織はリスク対応を選択し、それが想定したリスク量のポートフォリオ批評をする。このプロセスの結果は主要なリスクステークホルダーに報告する。

④レビューと改訂:実際のパフォーマンスをレビューすることによって、企業は時間の経過とともに企業のリスク管理コンポーネントがどの程度うまく機能しているか実質的な変更と、どのような改訂が必要なのかを考慮する。

⑤情報​​、コミュニケーション、レポート:企業のリスク管理に必要な情報を入手して共有する継続的なプロセスが必要であり、内部と外部の両方の情報源からのものが対象になる。

 

(3)現在のERM20原則

・ガバナンスとカルチャー

①取締役による監督機能の実施

②オペレーションモデルの構築

③要求される企業文化の定義

④コアバリューの徹底

⑤優秀な人材の開発・育成・保持

 

・戦略と目標設定

⑥ビジネスの分析

⑦リスク選好の定義

⑧代替戦略案の評価

⑨ビジネス目標の設定

 

・パフォーマンス

⑩リスクの特定

⑪リスクの重要度の評価

⑫リスクの優先順位の決定

⑬リスク対策の浸透

⑭ポートフォリオビューの発展

 

・レビューと見直し

⑮大きな変化をとらえる

⑯リスクとパフォーマンスのレビュー

⑰リスクマネジメントの取り組みの改善

 

・情報、伝達、報告

⑱情報テクノロジーの活用

⑲リスク情報のコミュニケーション

⑳リスク、文化パフォーマンスのレポート

 

コンプライアンスの中川総合法務オフィスの最新情報をお届けします

YouTubeの中川総合法務オフィス公式チャンネルで無料動画公開中

※中川総合法務オフィスのYouTube公式チャンネルには、コンプライアンス等をポイント解説したビジネス等にお役に立つ無料動画をたくさんアップロードしております。

コンサルティングのご依頼や講演等の参考にもお使いください。