COSO 全社的リスクマネジメント(COSO-ERM2017年改訂版)

COSO

米国のトレッドウェイ委員会支援組織委員会(COSO)は、大手監査法人と契約し、リスク管理についてのより深い理解と定義の研究に着手した。その結果、2004年に全社的リスクマネジメント-総合的ワークフレーム(旧COSO-ERM)発表した。

それから10年以上が経過し、情報技術の発展やグローバル化が進展、企業の取り巻くリスクは多様化、複雑化し、新しいリスクを生じさせている。こうした経営環境の変化による経営者のリスクに対する関心の高まりに応じてCOCOは2017年に改定版となる「全社的リスクマネジメント-戦略とパフォーマンスの統合」、以下「COSO-ERM」を公表した

COSO-ERMの定義

ERMワークフレームではERMを以下のように定義する

組織が価値を創造し、維持し、及び実現する過程において、リスクを管理する為に依拠する、戦略策定ならびにパフォーマンスと統合されたカルチャー、能力、実務。

COSO-ERMの前提は、すべての事業体は、利害関係者に対して、何らかの価値を提供する為に存在するということである。すべての事業体は価値を追求する上でリスクに直面する。

上図の3つのリボンは戦略と目標設定、パフォーマンス、レビューと修正の3つの構成要素を示すことで、事業体の中にある共通プロセスを表し、ほかの2つのリボンはガバナンスとカルチャー、情報と伝達の2つの構成要素を示し、ERMの支援的な要素を表しているとしている。

COSO-ERMにおけるリスクと不確実性の定義

戦略と事業目標を達成しようとするすべての事業体には、不確実性が存在する。

ここで、リスクは以下のように定義される。

リスクとは、事象が発生し、戦略と事業目標の達成に影響を及ぼす可能性である。なお、旧COSO-ERMとの大きな変更の一つに、リスクの定義にプラスの影響も含めたことが挙げられる。

リスクは事業体が戦略と事業目標を達成する能力に影響を与える。どんな事業体であろうとも戦略を実行する上で不確実性に直面するのであって、経営者にとっての課題は、利害関係者の為に価値を創造する過程において、事業体がどの程度のリスクの量を受け入れることが出来るかを決定することである。本フレームワークにおいてリスクは重大性という観点から検討される場合が多い。

ERMの実施は事業体が、価値の創造、維持、実現を妨げる、あるいは既存の価値を破壊する可能性のあるリスクを識別し、優先順位をつけ、重点的に取り組むことを支援する。また同時に潜在的な機会を追求することも支援する。

COSO-ERMの便益

COSO-ERMにおいては全社的リスクマネジメントを事業体の戦略策定及びパフォーマンス管理と一体化させることで、以下のような便益をもたらすとしている。

  • 機会の範囲を増やす
  • プラスの成果と優位性を増進し、マイナスのサプライズを減らす。
  • 全社的なリスクを識別し、管理する。
  • パフォーマンスの変動を減らす。
  • 経営資源の配分を改善する。

すべての事業体に適用可能なアプローチは存在しないが、ERMを導入することにより、組織は成果と収益性を確保し、経営資源の損失を予防ないし提言することが出来る。

COSO-ERMの構成要素と原則

COSO-ERMでは、5つの相互に関連した構成要素と、各構成要素と結びついた基本概念である20の原則が設定されている。COSO-ERMは戦略の策定、目標の設定、そして導入とパフォーマンスと一体化した時に価値を増進するとしている。

COSO-ERMの5つの構成要素

ガバナンスとカルチャー

ガバナンスとカルチャーはともに、全社的リスクマネジメントの他のすべての構成要素の基礎となる。ガバナンスは、全社的リスクマネジメントの重要性を強調し、それに対する監督責任を確立する事業体の気風を醸成する。カルチャーは、意思決定に反映される。

戦略と目標設定

全社的リスクマネジメントは、戦略と事業目標の策定プロセスを通じて、事業体の戦略計画に統合される。事業環境を理解することにより、組織は、内外の要因とそれらがリスクに及ぼす影響についての知見を得ることが出来。そしきは、戦略策定と合わせてリスク選好を設定する。事業目標は、戦略の実行を可能にし、事業体の日常活動とその優先順位を形づくる。

パフォーマンス

組織は戦略と事業目標を達成する事業体の能力に影響を及ぼすかもしてないリスクを識別し評価する。組織は、リスクの重大性に応じて、また、事業体のリスク選好を考慮して、リスクを優先順位付けする。そして、組織は、リスクへの対応を選択し、パフォーマンスの変化の動向を監視する。このように、組織は、戦略と全社レベルの事業目標を追求する中で受け入れたリスク量に対するポートフォリオの視点で構築する。

ポートフォリオの視点とは

事業部が直面するリスクに対する総合的視点。これにより経営者と取締役会は、リスクの種類、重大性及び相互関連性を検討し、事業体の戦略と事業目標にどのような影響を与えるかについて検討するよう適切に位置づけられる。

レビューと修正

全社的リスクマネジメントの能力と実務、及びその目標に対する事業体のパフォーマンスをレビューすることにより、組織は、全社的リスクマネジメントの能力と実務が、どの程度まで長期的に価値を向上させてきたのか、さらに、大きな変化に直面した場合でも価値を向上させられるかを検討できる。

情報、伝達および報告

伝達は、事業体全体を通して情報を収集し、共有する継続的で反復的なプロセスである。経営者は、全社的リスクマネジメントを支援するために、内外の情報源から関連性のある情報を利用する。組織は、データと情報を入手し、処理し、管理する為に、情報システムを活用する。すべての構成要素に関連する情報を利用して、組織はリスク、カルチャー及びパフォーマンスについて報告を行う。

COSO-ERMの20の原則

ガバナンスとカルチャー

  1. 取締役会によるリスク監視を行う
  2. 業務構造を確立する
  3. 望ましいカルチャーを定義付ける
  4. コアバリューに関するコミットメントを表明する
  5. 有能な人材を惹きつけ、育成し、保持する

戦略と目標設定

  1. 事業環境を分析する
  2. リスク選好を定義する
  3. 代替戦略を評価する
  4. 事業目標を組み立てる

パフォーマンス

  1. リスクを識別する
  2. リスクの重大性を評価する
  3. リスクの優先順位付けをする
  4. リスク対応を実施する
  5. ポートフォリオの視点を策定する

レビューと修正

  1. 重大な変化を評価する
  2. リスクとパフォーマンスをレビューする
  3. 全社的リスクマネジメントの改善を追求する

情報、伝達および報告

  1. 情報とテクノロジーを有効活用する
  2. リスク情報を伝達する
  3. リスク・カルチャーおよびパフォーマンスについて報告する

パフォーマンスに関連する原則について

事業体の戦略と事業目標の達成に影響を及ぼす可能性のあるリスクを識別し、評価し、それに対応することによって、その事業体の価値をますます創造、維持、実現し、そして事業体の価値の下落を最小化することが可能となる。

原則.10:リスクを識別する

組織は、戦術及び事業目標のパフォーマンスに影響を及ぼすリスクを識別する。リスク一覧表の作成やリスク識別のアプローチとして以下の手法が利用される。

  • 過去の事象からのデータ追跡
  • インタビュー
  • 主要指標の活用
  • プロセス分析
  • ワークショップ

原則.11:リスクの重大性を評価する

組織は、リスクの重大性を評価する。リスクの重大性は、影響を受ける可能性のある事業目標に沿って、複数の階層で(部門、機能および業務ユニットにわたって)評価される。

経営者は、適切なリスク対応の選択、資源の配分を行うためにさまざまなリスクの重大性を決定し、そして、経営者の意思決定およびパフォーマンスを支援する。この測定基準は、影響度と発生可能性(定性的、定量的、頻度)が採用される。

リスク評価のアプローチは、定性的、定量的、またはその両方で行われる。またリスク評価の一部として、経営者は、固有リスク、ターゲットとする残余リスク、及び実際の残余リスクを考慮する。

原則.12:リスクの優先順位づけをする

組織は、リスク対応選択の基礎として、リスクの優先順位付けを行う。リスクの最大性、対応する事業目標の重要性、及び事業体のリスク選好を考慮したリスクの優先順位づけは、経営者の意思決定に役立つ。

優先順位づけは同意された基準を適用する(適応性、複雑性、速度、持続性、回復度)ことや、リスク選好を活用することで決定される。

原則.13:リスク対応を実施する

組織は、リスク対応を識別し、実施する。経営者は、リスクの重大性と優先順位づけ、事業環境と関連する事業目標を考慮する。COSO-ERMでは、リスク対応を受容、回避、活用、低減、共有の5つに分類している。

①リスクの受容

リスクの重大性を変更する為の追加の対策を講じない。この対応は戦略と事業目標に対するリスクがすでにリスク選好の中に納まっている場合が適切である。

例えば、ある工場では従業員によりねじが盗難にあうリスクはあるが、金額が小さく発見可能性も低いため、ねじの容器に鍵をかけたり、ねじの数をカウントしたりしないことにする。

②リスクの回避

リスクを除去するための活動を行う。

例えば、製品ラインの廃止や、事業部の売却。小切手の不正使用リスクを回避する為、小切手による支払いを停止すること等である。

③リスクの活用(追求)

より高いパフォーマンスを達成する為、より多くのリスクを受け入れる活動を行う。

例えば、積極的な成長戦略を選択することや、新製品、サービスの開発などが挙げられる。

④リスクの低減

リスクの重大性を低減する為の活動を行う。目標とするリスクプロファイルとリスク選好と整合するようにリスクを低減するために行う多種多様な日々の事業上の意思決定が含まれる。

例えば、地震による生産設備への損害を最小限とすべく、工場に耐震工事を行う。

⑤リスクの共有

リスクの重大性を低減するために、リスクの一部を移転、もしくは共有する為の活動を行う。

例えば外部専門家への外注や、保険商品の購入が挙げられる。

原則.14:ポートフォリオの視点を策定する

組織は、リスクのポートフォリオの視点を策定し、評価する。経営者及び取締役会は、ポートフォリオの視点によって、リスクの種類、重大性及び相互関係を考慮することが出来る。そしてそれらがどのようにパフォーマンスに影響するかを考慮することが出来る。ポートフォリオの視点は、それぞれの組織上の機能、戦略、そして事業目標に関する事業体のリスク選好と比較して、想定されたリスクの種類と量を示すように図示される。

事業体に対するリスクのポートフォリオの視点を策定することにより、リスクベースの意思決定が可能になり、パフォーマンス目標を設定し、パフォーマンスまたはリスクプロファイルの変更を管理するのに役立つ。ポートフォリオの視点を使用してリスクとパフォーマンスの関係を理解することにより、組織は、事業体のリスク選好に基づいて、戦略及び事業目標の結果を評価することが出来る。

コメント