【実践！DX】ERMとは何か

ここでは、COSO（The Committee of Sponsoring Organizations of the Treadway Commission：トレッドウェイ委員会組織委員会）により2004年に発行されたERM（エンタープライズリスクマネジメントあるいは全社的リスクマネジメントについて、次の観点で説明します。

• ERMとは何か
• ERMの目的
• ERMのフレームワーク
• ERMの適用方法

DXの一環として、そのプロセスにERMを組み込むことは大変有益だと思います。

ERMとは何か

書籍、全社的リスクマネジメント・フレームワーク編には、ERMについて、次のように定義しています。

ERMは、
事業体の取締役会、経営者、その他の組織内のすべての者によって遂行され、
事業体の戦略策定に適用され、事業体全体にわたって適用され、
事業目的の達成に関する合理的な保証を与えるために、
事業体に影響を及ぼす発生可能な事象を識別し、事業体のリスク選好に応じてリスクの管理が実施できるように設計された
一つのプロセスである。

これを分解すると、ERMは、以下に関する一つのプロセスということになります。

• 誰が使うのか（Who）
  事業体の取締役会、経営者、その他の組織内のすべての者が使う。
• どこに適用されるのか（Where）
  事業体の戦略策定に適用され、事業体全体にわたって適用される。
• なぜ使うのか（Why)
  事業目的の達成に関する合理的な保証を与えるため。
• どのように使うのか（How）
  事業体に影響を及ぼす発生可能な事象を識別し、事業体のリスク選好に応じてリスクを管理する。

さて、上記ERMの定義に、「事業体に影響を及ぼす発生可能な事象を識別し、事業体のリスク選好に応じてリスクの管理が実施できるように設計された」とありますが、ここでいう事象やリスクとは何でしょうか。

事象とリスク

上記書籍には、事象とリスクと事業機会について、それぞれ次のように説明しています。

事象は、事業体の内部および外部の要因から発生し、事業体の目的の達成に影響を及ぼす出来事である。

リスクとは、事業体の目的達成を阻害する影響をおよびす事象が生じる可能性である。

事業機会とは、事業体の目的達成にプラスの影響をおよびす事象が生じる可能性である。

リスクも事業機会も事象が発生する可能性なので、をはらんでおり、発生度合や影響度合を測ることができるものです。
ERMでは、そのプロセスの一環として、事象を識別するとき、それが事業機会であれば、戦略や目的設定プロセスにフィードバックし、リスクの場合、それが事業体の許容レベルに収まるように管理します。
さて、リスクマネジメントといえば、内部統制のことを思い浮かべる人もいるかもしれません。
上記書籍には、ERMと内部統制の関係について次のように言及しています。

内部統制はERMの不可欠な部分である。
ERMのフレームワークは内部統制を包含し、経営者にとってより強固な概念とツールになる。

つまり、ERMは内部統制を包括するより広いリスクマネジメントの概念ということです。

ERMの目的

次にERMを適用する目的について説明します。
さきほどのERMの定義をみると、
事業目的の達成に関する合理的な保証を与えるためにERMを適用する
ということがわかります。
もう少し深ぼってみましょう。
書籍に次のような文章があります。

ERMの根本的は前提は、すべての事業体は、営利、非営利、あるいは、政府機関を問わず、利害関係者に何らかの価値を提供するために存在する。
どんな事業体であろうとも不確実性に直面するのであって、経営者にとっての課題は、利害関係者のために価値を高める努力をする際に、事業体がどの程度の不確実性を受け入れる用意があるか（リスク選好）について決定することである。
不確実性は、事業体の価値を喪失させたり、付加したりする可能性を持つのでリスクでもあり、事業機会でもある。
ERMによって経営者は、不確実性と、それに付随するリスクや事業機会に有効に対応でき、そして、それによって事業体の価値を創出する事業体の能力を向上させることができる。

そして、事業体がERMを適用することによって達成する点を次のように説明しています。

• リスク選好と戦略を適切に組み合わせること
  リスク選好とは、事業体が企業価値を追求するために意図的に受け入れるリスクの量のことです。
• リスクへの対応に関する意思決定の質を高めること
• 業務上の予測できない事象を減らし、業務上の損失を低減すること
• 企業全般にわたるリスクを識別、管理すること
• 複数のリスクに対する総合的な対応策を採ること
• 事業機会を捉えること
• 資本配分を改善すること

要するに、ERMは、事業体が達成しようとする目標に到達することと、その途中にある予期せぬ事態や事柄を避けるのに役立つ手段なのです（目的ではない）。

ERMのフレームワーク

次の図は、書籍、全社的リスクマネジメント・フレームワーク編にあるもので、ERMのフレームワークの構成を表すものです。

ERMのフレームワークは、

• ERMの目的のカテゴリー（上面）
• ERMの構成要素（前面）
• ERMの対象組織（右側面）

の３次元キューブで表されています。
これは、目的カテゴリー、構成要素、対象組織の組み合わせで、ERMを考えることができることを示しています。
ERMの有効性は、８つの構成要素が存在し機能しているかによって評価することができます。
それでは、８つの構成要素、

1. 内部環境
2. 目的の設定
3. 事象の識別
4. リスクの評価
5. リスクへの対応
6. 統制活動
7. 情報と伝達
8. モニタリング

一つ一つ見ていきましょう。

内部環境

書籍では、内部環境について次のように説明しています。

内部環境は、組織の気風を組み込み、組織を構成する人々のリスクに対する意識に影響を与えるとともに、ERMの他のすべての構成要素の基礎をなし、規律と構造を提供するものです。

内部環境に対する要因には、リスクマネジメントに対する考え方、リスク選好、事業体に属する人々の誠実性、倫理観などがあります。
リスクマネジメントに対する考え方とは、戦略策定、実行から日常に至るあらゆる局面で、事業体がリスクをどのように考慮するかを特徴づける共有化された信念と姿勢の組み合わせのことです。
リスク選好とは、事業体が価値を追求するために受け入れたいと考えるリスクの総量のことです。リスク選好は、リスクマネジメントに対する考え方を反映し、事業体の文化や事業形態に影響を与えます。
事業体に属する人々の誠実性、倫理観は、内部環境の主要な要素であり、他のERMの構成要素の設計、運用、モニタリングに影響を与えます。
内部環境を整えるために、経営者は、経営理念を定め、それを醸成させる必要があります。

目的の設定

ここでは、ERMで考える目的について戦略マップのテンプレートに対応させながら説明します。

ERMのフレーレームワークの目的カテゴリーを見るとERMで考える目的には次の４つがあります。

• 戦略目的
  事業パーパスやビジョンを基礎にした目的、目標のことで、戦略マップのテンプレートでいうと財務目標、顧客目標、製品目標が該当します。
• 業務目的
  業務目的は、事業体の業務の有効性や効率性と関連するものであり、戦略マップのテンプレートでいうと戦略目標と課題、資産目標と課題が該当します。
  なお、金融庁が発行している「内部統制の基本的枠組み」という資料によると、業務の有効性や効率性とは次のような意味になります。
  • 業務の有効性
    事業活動や業務の目的が達成された程度のこと。
  • 業務の効率性
    組織が目的を達成しようとする際に、時間、人員、コスト等の組織内 外の資源が合理的に使用される程度のこと。
• 報告目的
  報告目的は、内部用報告と外部用報告、および、財務情報の報告と非財務情報の報告を含む報告の信頼性に関連するもので、戦略マップのテンプレートでいうと、信頼される組織文化を創るための戦略目標や課題が該当します。
  財務報告の信頼性を満たす要件は次のようになります。
  
• コンプライアンス目的
  コンプライアンス目的は、関連法規に対する遵守に関するもので、戦略マップのテンプレートでいうと、信頼される組織文化を創るための戦略目標や課題が該当します。

さて、ERMで目的を設定する際、リスク選好とリスク許容度を考えます。

リスク選好

リスク選好とは、事業体が価値を追求するために受け入れたいと考えるリスクの総量のことです。
リスク選好は、戦略策定時の指針となります。
経営者は、事業体のリスク選好と整合する戦略を選択します。
戦略に関連するリスクが事業体のリスク選好と不整合であれば、戦略は変更されることになります。
リスク選好を、次の図のように、リスクの影響度と発生可能性の組み合わせを表すリスクマップで表すことができます。

リスク許容度

リスク許容度とは、目的に対する差異をどの程度許容できるのかというレベルのことです。
例えば、ある企業では、98%のオンタイムデリバリーを目標とするが、97%から100%の範囲を許容しうる時間の差異とする、というように、リスク許容度は測定することができます。
経営者は、リスク許容度とリスク選好を適切に組み合わせます。
リスク許容度の範囲内で業務を実施している限りにおいては、事業体がリスク選好の範囲にあることについてのより大きな合理的保証を得ることができます。
リスク許容度は、BSCの目標値に対して設定します。

事象の識別

経営者は、発生した場合に事業体に影響を与える潜在的事象を識別し、かつ、それらが事業機会であるかリスクであるか決定する必要があります。
事象の識別は、SWOT分析のアプローチで行うことが可能です。
事象がリスクの場合、経営者による評価と対応が必要になります。
事象が事業機会の場合、経営者は、目的の設定に戻って、それを考慮する必要があります。
経営者は、戦略マップを策定した後、戦略目標に対する事象（リスクと機会）を識別します。
ここでは、事業機会やリスクを生じさせる可能性のある事業体の外部要因と内部要因の例を示します。

外部要因

外部要因は、主に、PEST分析で用いられる要因です。

• 政治的要因
  政治的要因は、政府が経済にどのように介入するかに関係します。
  具体的には、政治的要因には、税制、労働法、環境法、貿易制限、関税、政治的安定などの分野があります。
  政治的要因には、新たな政策を掲げる政府高官の選出や、新しい法規を含み、例えば、外国市場への新規開放的または限定的アクセス、増税、または、減税などの事象をもたらします。
• 経済要因
  経済要因には、経済成長、為替レート、インフレ率、および金利が含まれます。

これらの要因は、企業の運営方法と意思決定に大きく影響します。
たとえば、金利は企業の資本コストに影響を与えるため、企業がどの程度成長、拡大するかに影響します。
為替レートは、経済における商品の輸出コストと輸入品の供給と価格に影響を与えます。

• 社会的要因
  社会的要因には、文化的側面と健康意識、人口増加率、年齢分布、キャリア態度、安全性の重視が含まれます。
  また、人口の変化、社会的道徳観の変化、家族構成の変化、仕事と生活の優先順位の変化、ならびにテロ活動を含み、製品の需要の変化、新たな購買場所、および、人的資源問題、生産停止などの事象をもたらします。
• 技術的要因
  技術的要因には、 研究開発活動、自動化、技術的インセンティブ、技術的変化の速度などの技術的側面が含まれます。
  技術的要因によって、データの利用性拡大、インフラ整備コストの減少、情報技術をベースにしたサービスに対する需要の増加などの事象をもたらします。
• 自然環境要因
  自然環境要因には、洪水、火災、地震などを含み、工場、建物への損害発生、原材料の調達に関する制限、人的資源の損失などの事象をもたらします。

内部要因

事業機会やリスクを生じさせる可能性のある内部要因の例を示します。

• インフラ
  予防保守、おおび、コールセンターの支援に対する資本配分の増加、減少などを含み、設備停止時間の削減と増加、ならびに、顧客満足度の向上と低減などの事象をもたらします。
  IT基盤の場合、ビジネスインパクト分析によって、どのIT基盤に障害が発生した場合、どの業務に影響を及びすのか確認しておくことが肝要です。
• 組織内の人材
  作業場所での事故、不正行為および労働協約の満了などを含み、人材の喪失（そうしつ）、金銭的損失や評判上のダメージ、生産休止などの事象をもたらします。
• プロセス
  十分な変更管理規約を伴わない業務プロセスの変更、業務プロセスの実行エラー、不十分な監視のもとで顧客への配送をアウトソーシングするなどを含み、市場占有率の低下、非効率性、顧客不満足および事業機会の喪失などの事象をもたらします。
• 技術
  取扱量の変動に対応するための資源の拡充、機密保護違反、ならびに潜在的なシステム停止時間などを含み、在庫切れ、不正取引および事業活動の停止などの事象をもたらします。

リスクの評価

リスクを評価することで、事業体が潜在的な事象が目的の達成に与える影響の程度を検討します。
経営者は、戦略マップの戦略目標に対するリスクを評価し、その発生可能性と影響度をBSCの目標値に対して設定します。
リスクには、固有リスクと残余リスクがありますが、両方評価します。
リスクの評価は、まず固有リスクに対して行われ、リスクへの対応が実施されたら、次に残余リスクについて評価します。

• 固有リスク
  リスクの発生可能性や影響度を変更させるために経営者が取るであろう行動が取られていない状態において、事業体が抱えるリスクのことです。
• 残余リスク
  経営者がリスクに対応した後に、なお残存しているリスクのことです。

潜在的事象の不確実性は、発生可能性と影響度から評価されます。

• 事象の発生可能性（Likelihood）
  事象が発生する可能性を表します。
  事象の発生可能性は、確率といった定量的観点から測ることもできますし、高い、中程度、低いといった定性的観点から測ることもできます。
• 事象の影響度（Impact）
  事象が影響する度合を表します。
  事象の影響度は、確率といった定量的観点から測ることもできますし、大、中、小といった定性的観点から測ることもできます。

次の図は、リスクの影響度と発生可能性の組み合わせを表すリスクマップを使ってどのように統制するか指針を示した例です。

リスクへの対応

経営者は、リスクを評価した後、リスクに対する対応策を決定します。
経営者は、戦略マップの戦略目標に対するリスクに対する対応を決定します。
リスクに対する対応策は、大きく次の４つに分けることができます。

• 回避
  リスクを引き起こすような事業活動から撤退することです。
  リスク回避の例には、製品ラインの撤退、新しい地域への市場拡大の断念、ある部門の売却などがあります。
• 低減
  リスクの発生可能性または影響度、あるいはその両方を低減させる行動を採ることです。
• 共有
  リスクの一部を転嫁（てんか）、または、共有することで、リスクの発生可能性または影響度を低減させることです。
  一般的手法には、保険商品の購入、ヘッジ取引の締結、または活動のアウトソーシングなどがあります。
• 受容
  リスクの発生可能性または影響度に影響を及ぼすような行動を取らないことです。

経営者は、費用対効果とともに、リスクの発生可能性または影響度を検討し、残余リスクが望ましいリスク許容度の範囲内に収められるような対応策を選択します。

統制活動

統制活動は、経営者のリスク対応策が実行されているという保証を与える手続きで、事業ライフサイクルの戦略期間の設計フェーズで、ビジネスプロセスに埋め込みます（Embedding）。
統制活動は、すべての階層やすべての機能部門で行われる必要があります。
統制活動は、予防的統制手続と検知的統制手続、ITによる統制手続とマネジメントによる統制手続の組み合わせで考えることができます。

• 予防的統制手続
  リスクの発生を予防する統制手続のことです。
• 検知的統制手続
  リスクの発生が検知されてから統制する手続のことです。

• ITによる統制手続
  ITを活用することによって行う統制手続のことです。
• マネジメントによる統制手続
  責任者の承認によって統制する手続のことです。

ITによる統制手続は、全般統制と業務処理統制に分けることができます。

• 全般統制
  業務活動全般に共通する、IT基盤、セキュリティ管理、ソフトウェアの調達、開発および保守などに関する統制手続です。
• 業務処理統制
  業務活動ごとに行われる処理や記録に関する統制手続です。
  業務処理に関するリスクで、財務報告の信頼性に関するリスクを、適正な財務情報を作成するための要件に対応させて表すと次のようになります。
  
  業務処理統制では、照合やチェックディジット、入力の制限、ロジックなどでリスクを統制する必要があります。

情報と伝達

情報は、組織の全てのレベルでリスクを識別、評価、対応し、さらには事業体を運営し、その目的達成のために必要です。
なので、的確な情報を収集、捕捉、加工、分析し、報告するにいたるデータライフサイクル全体を渡ってデータ価値、品質、セキュリティを管理するデータマネジメントの導入は重要です。
特に、適切な情報が、適切な形式かつ適切な詳細度で、適切な人に適時に行き渡らせるようにすることを確実にするデータ品質や、データセキュリティの管理は重要です。

モニタリング

事業体のERMは時間の経過とともに変化します。
かつて有効であったリスクへの対応が適切でなくなるかもしれません。
統制活動があまり有効でなくなったり、もはや実施されなくなっているかもしれません。
事業体の目的が変更されることもあります。
これは、新規に採用された組織内のすべての人や、事業体の構造や方針の変化、新しい業務プロセスの導入によってもたらされるかもしれません。
このような変化に直面して、経営者はERMの機能が引き継ぎ有効かどうかを評価し判定する必要があります。
モニタリングは、継続的モニタリングと独立的評価の2つの方法で実施されます。

• 継続的モニタリング
  事業体の通常かつ反復的な業務活動の中に組み込まれたモニタリングです。
  継続的モニタリングは、リアルタイムに実施され、変化する状況に対してダイナミックに反応し、事業体内部に深く根付いたものです。
• 独立的評価
  定期的に特定の部門や責任者がERMを評価することです。

ERMの適用方法

ERMの適用方法については、全社的リスクマネジメント―適用技法篇が参考になります。