エンタープライズリスクマネジメント（erm）と …...©2006 protiviti japan...

基本概念

エンタープライズリスクマネジメント（ERM）とは?

なぜERMを導入するのか?

「ERMを導入する」とはどういう意味か?

COSOエンタープライズリスクマネジメント―統合的フレームワーク

COSOエンタープライズリスクマネジメント―統合的フレームワークとは?

COSO ERMフレームワークの使い方は?

「COSOエンタープライズリスクマネジメント―統合的フレームワーク」は「COSO内部統制の統合的フレームワーク」とどう異なるか?

経営幹部の役割

ERMの導入を支持することは上級経営者にどのような利益をもたらすか?

取締役の役割

取締役会はERM導入の監視をどのように行うべきか?

最高リスク管理責任者の役割

組織には最高リスク管理責任者（CRO）を置くべきか?置くべきとすれば、その役割は?

リスクマネジメント監視体制

推奨される組織の監視体制は?

内部監査の役割

ERM導入において内部監査はどんな役割を担うか?

参考

1

2

13

27

30

33

41

49

50

55

58

©2006 Protiviti Japan Co.,Ltd.

Contents

2

2

3

4

5

6

6

8

9

10

11

エンタープライズリスクマネジメントの指針 Q&A集［抜粋版］2 ©2006 Protiviti Japan Co.,Ltd.

基本概念

エンタープライズリスクマネジメント（ERM）とは?

COSOはERMを、「事業目的の達成について合理的な保証を提供するために、事業体の取締役会、経営者およびその他の構成員によって遂行される、戦略策定はもとより事業体のあらゆる領域に適用されるプロセスである。事業体に影響を及ぼす可能性のある潜在的事象を認識し、リスクをその事業体のリスク選好の範囲内に収められるように策定される」と定義している。これはCOSO ERMフレームワークの5ページから9ページで個別に考察されている基本概念を反映した定義である。フレームワークの5ページに要約されているように、「エンタープライズリスクマネジメント」とはすなわち：

● 事業体の全活動に一貫して組み込まれるひとつの連続したプロ

セスである。

● 組織のあらゆるレベルの人員が組織的に遂行する。

● 事業戦略策定に適用される。

● 組織のあらゆるレベルと事業単位に横断的に適用されるプロセスで

あり、リスクを事業体レベルでポートフォリオの観点から把握する。

● 事業体に影響を及ぼす可能性のある潜在的事象を識別し、リス

クを当該事業体のリスク選好の範囲内に収めることを目的として

設計される。

● 事業体の経営者および取締役会に合理的な保証を提供できる。

● ひとつ、もしくは複数の、個別だが重複した分野の事業目標達

成を促進するためのものである。目標に到達するための手段

であって、目標そのものではない。

ということができる。

事業環境が変容しつつある中で、ERMは事業体のリスクマネジメント能力の継続的向上を推進すべく、監視体制、コントロールおよび規律を構築するものである。また、ERMは優先順位の高いリスクを管理する能力の成熟度を高める。ERMを適用していると主張するためには、まず、COSOの定義に具体的に示されたこの7つの基本概念すべてに取り組むことが必要である。

なぜERMを導入するのか?

質問1で明示した定義の表現を借りれば、ERM導入の最大

の目的は、事業体の経営者および取締役会に事業目的達成に関して合理的な保証を提供することにある。COSOが ERMフレームワークの1ページから4ページに示しているところによれば、ERMは、経営者がリスク選好と戦略を整合させ、リスク対応についての意思決定を高度化し、業務運営上の想定外の事象や損失の発生を最小限に抑え、事業体全体に影響を及ぼすリスクを識別、対処し、複合的なリスクに対して統合的に対応し、事業機会を捉え、資本配分を改善することを支援する。Protiviti は COSOの見解に合意しており、本ガイドでその見解をさらに考察していくことにする。Protivitiは、ERM導入の根本的理由は6つあると考えている。いずれもリスクマネジメントを戦略レベルまで高度化するために役立つものである。この6つの理由は次のようにまとめられる：

① 許容限度を超える業績変動幅を縮小するERMは、経営者が（a）重大事象の発生可能性とそれが及ぼす影響を評価し、（b）そうした事象の発生を防止するか、あるいは、そうした事象が発生した場合に事業体に及ぶ影響を管理するための対応策を策定する際の一助となるものである。大半の企業はかねてから知られている伝統的リスクに重点を置いており、想定される新しく発生するリスクに対処できる体系的プロセスを導入している企業は少数派と言える。そのため、重大なリスクの発見が遅きに失したり、全くの偶然であったりして、「消火活動」とクライシスマネジメントに頼らざるを得ないことが多い。これが資源の流出と新たな脆弱性の創出につながっている。ERMの戦略的な視点は、発生確率の低い巨大災害リスクに絞られていた従来のリスクマネジメントの焦点を拡大して、最も重視すべき企業価値の源を浸食するリスクの低減までをも対象とする。収益の変動を低減させ、収益予測の予期せぬ修正を回避し、改善の必要な主要業績評価指標（KPI）に対処するという形で整合性のとれた業績の向上を目指す経営者を支援し、増大するリスク軽減コストの管理と事業目的達成率の向上をもたらすのがERMなのである。

② 多面的なリスクマネジメントを統合し、整合性を持たせるリスクをマネジするという観点からは、組織内はもとより事業単位内にも、財務リスク、付保可能リスク、従業員の安全衛生リスク、ITリスクなど、多数の個別単位が存在する。こうした個別単位型のリスクマネジメントの考え方は、効果的な資源配分と共通のリスクの全社的な管理を阻害する。複数の社内部門が複数のリスクを管理する場合には、共通のフレームワークが必要になる。例えば、次のようなアプローチを採用している企業もある:

● 最高リスク管理責任者（CRO）の必要性を、その役割、職務

権限および報告ラインも含めて検討する。

1

2

エンタープライズリスクマネジメントの指針 Q&A集［抜粋版］ 3©2006 Protiviti Japan Co.,Ltd.

Guide to Enterprise Risk Management : Frequently Asked Questions

● リスクマネジメントを戦略策定、事業計画、設備投資、買収調

査および買収後の統合プロセスなどの重要な経営管理活動に

組み込んでいる。

● リスクマネジメントをより効率的な資本配分とリスク移転に関

する意思決定に結びつけている。

● リスクおよびリスクマネジメント能力の質的・量的尺度を策定

することにより透明性の向上を図っている。

● 企業価値に対する最大の脅威を把握し、統合的なリスク対応策

を策定することを目的として、事業単位で横断的に共通のリス

クエクスポージャーを集計している。

③ 投資家とステークホルダーの信頼を獲得する機関投資家、格付機関および規制当局が企業の評価におけるリスクマネジメントの重要性についてより多く言及するようになった今、ステークホルダーが背負うリスクがリターンに見合うものであるか非公式に判断できるように、経営者には自社のリスク把握・管理能力を開示し、それについてコメントするよう求められることもある。自社のリスクとリスクマネジメント能力の透明性を高めるとともに、重大なリスクを管理する能力の成熟度を向上させることは、経営者が既存、新規を問わず、業界の問題にいかにうまく対処しているかをより効果的に明示することにつながるはずである。

④ コーポレートガバナンスを強化するERMとコーポレートガバナンスは不可分の関係にある。つまり、相互に補完・補強しあう存在である。ERMは、取締役会による監視を強化し、既存の上級経営陣レベルで行われている監視活動の評価を断行し、リスクマネジメントの役割と責任を明確にし、リスクマネジメントの権限と範囲を設定し、主要な事業目的の達成に向けたリスク対応を効果的に伝達するものである。こうした活動はいずれも優れたガバナンスと密接に結びついている。同様に、効果的なガバナンスは、（a）リスクおよびリスクマネジメント能力を把握し、（b）リスク選好と事業体が事業機会を追及する行動を整合させることについて方向性を決定するものである。取締役からよくある質問は、「何がリスクなのか? それをどのようにして管理するのか? どうすればそれがわかるのか?」である。

⑤ 刻々と変化するビジネス環境にうまく対応するビジネス環境が絶えず変化し、変化の速度が加速の一途をたどる中で、組織はリスクを特定し、その優先順位を決定し、リスクに対する計画を立案することに習熟しなければならない。そうした状況にあって、経営者が既存のビジネスモデルの基礎となっている前提、そのビジネスモデルを実行するための戦略の有効性、ならびに、意思決定に利用できる情報を評価するうえで役立つのがERMである。ERMには、経営者が将来の代替的なシナリオを見極め、そうしたシナリオの発

生可能性と影響度を評価し、優先順位の高いリスクを識別し、それらのリスクに対する組織の管理能力を高めることを推進する。環境が変化し、新たなリスクが発生すれば、適時に必要な措置と開示の可能性が検討される。そうした活動はいずれも、組織全体の資源配分に影響を及ぼすことになる。

［戦略と企業文化を整合させる］ERMは経営者がリスク意識を啓発し、リスクおよびリスクマネジメントに対してオープンで肯定的な企業文化を生み出す一助となる。全社的に重要な問題に関しては、ERMが方針決定の中軸となり、焦点、規律およびコントロールを創出することもある。ERMには、リスク保持行動とリスク回避行動の区別を明確にし、リスクエクスポージャーをの定量化するツールを改良し、全社横断的なリスクマネジメントの説明責任を向上させ、事業体のリスクプロファィルの変化をいち早く認識できるようにする。組織の企業変革活動と統制活動双方のどちらか片方がもう一方に対して不釣り合いに強化されることのないよう、ERMは双方のバランスをとることを推奨する。

「ERMを導入する」とはどういう意味か?

Protivitiは、ERMの導入は戦略策定に重点を置いたものでなければならないと考えている。ERMの適用は各組織における優先順位の高いリスク（組織の事業戦略に照らして決定する）とそのようなリスクを管理する能力のギャップによって異なってくる。ERMはすぐに適用可能な「画一的」なソリューションではない。ERMソリューションの内容は組織の規模、目的、戦略、構造、文化、経営スタイル、リスクプロファィル、産業、競争環境および財政状態に基づいて経営者が決定しなければならない。COSOによれば、ERMフレームワークの適用の仕方には、これらをはじめとするさまざまな要因が影響を及ぼすことになる。

ERMを導入するためには、経営者は次のステップを踏まなければならない:

（a）組織にとって優先順位の高いリスクを識別、理解して、状況を明

らかにする。

（b） COSOフレームワークを使用して、組織のリスクマネジメント能

力の現状を把握する。

（c） COSOフレームワークを使用して、将来における組織のリスクマ

ネジメント能力を設定する。

（d）（b）と（c）のギャップの大きさと、そのギャップを埋めるために

必要な改善の内容を分析し、明確にする。これは（ i ）組織が現

在備えている能力および経験と（ ii ）経営者の改善および向上

13


への意欲によって決まる。

（e）（d）の分析に基づいて、ERMのインフラ改善に向けた全体的な

取り組みの経済合理性を提示するために、ギャップを認識させる

問題提起を行う。

（f）望まれるERMインフラ能力を向上させる計画を作成し、その計

画の実施に伴う変化の問題に対処する。

（g）全体的な取り組みの効果的な統合と調整を確実に行ううえで必

要な監視と指導を行う。

COSOによれば、ERMは「目標に到達するための手段であって、目標そのものではない」。ERMへ向かう流れがあるのは、リスクが複雑に相関しており、ビジネス環境が単純化する兆しなどどこにも見えないことが認識されているからである。つまり、リスクを全社レベルで包括的に評価、管理することで、多大な便益を得ることができる。ERMの導入プロセスは、基本的には、教育、意識向上、積極的取り組み姿勢の構築、そして最終的には説明責任の割り当てとオーナーシップ引き受けにまでつなげるプロセスである。リスクは世界経済の変化と発展に伴い絶え間なく変化と進化を続けるため、ERMの導入はひとつの事象ではなく、継続的向上へのコミットメントと見るべきである。

COSOエンタープライズリスクマネジメント統合的フレームワーク

COSOエンタープライズリスクマネジメント統合的フレームワークとは?

COSOはERMを、「事業目的の達成について合理的な保証を提供するために、事業体の取締役会、経営者およびその他の構成員によって遂行される、戦略策定はもとより事業体のあらゆる領域に適用されるプロセスである。事業体に影響を及ぼす可能性のある潜在的事象を認識し、リスクをその事業体のリスク選好の範囲内に収められるように策定される」と定義している。このフレームワークは、1992年にCOSOが発表した内部統制の統合的フレームワークを包含するものであり、これに置き換わるものではない。内部統制のフレームワーク同様、ERMフレームワークも3次元のマトリックスキューブとして紹介されている。このマトリックスの上面には戦略、業務、報告、コンプライアンス（法令遵守）の4つの目的が配置されている。エンタープライズリスクマネジメントについては8つの構成要素が示されているが、これについては以下で詳しく説明する。さらに、キューブの側面には、このフレームワークが適用される範囲として、事業体、部門および事業部門が記されている。

COSOが概説しているところによれば、このフレームワークはERMの評価に用いる8つの構成要素を規定している：

① 内部環境この構成要素は事業体のエンタープライズリスクマネジメント理念、リスク選好、取締役会による監視、倫理的価値観、構成員のコンピテンシーおよび人材育成、権限と責任の割りあてを反映するものである。企業の「経営者の姿勢」を生かして、組織のガバナンスプロセスと従業員のリスクおよびコントロールに対する意識に影響を及ぼす。

② 目的の設定経営者は戦略的目的を設定する。これが業務、報告およびコンプライアンスという3つの目的を決定する。目的は事業体のリスク選好と整合させる。リスク選好は事業体のリスク許容度を決定し、事象の特定、リスクの評価およびリスクへの対応の前提条件となる。

③ 事象の特定経営者は事業体が戦略を実施し、目的とパフォーマンス目標を達成する能力にプラスまたはマイナスの影響を及ぼしうる潜在的事象を特定する。潜在的にマイナスの影響を及ぼす事象がリスクであり、これがリスクの評価とリスクへの対応の選択肢を決定する。潜在的にプラスの影響を及ぼす事象は事業機会であり、経営者はこれを戦略策定と目的設定のプロセスに戻して検討する。

④ リスクの評価経営者は、一定の期間における目的達成に影響を及ぼしうる潜在的事象の発生可能性と影響度を個別またはカテゴリー別に評価するための定性的・定量的手法を検討する。

27



⑤ リスクへの対応経営者は、残存リスクを求められるリスク許容度まで低減することを目的として、リスクへの対応の選択肢がリスクの発生可能性と影響度に及ぼす効果と、その結果として得られる費用対効果を検討する。リスク対応計画に基づきリスク対応方針が作成される。

⑥ 統制活動経営者は、リスク対応が適切に遂行されることを確実とするために、組織全体で、組織のすべてのレベル、すべての職務においてリスクへの対応のための方針と手続を実行する。

⑦ 情報と伝達組織は内外の情報源から、従業員がそれぞれの責任を遂行できるような形と時間枠で、必要な情報を識別し、入手し、組織内に伝達する。効果的なコミュニケーションは組織縦断的かつ横断的に行われる。報告はリスクマネジメントに不可欠であるが、それを確実にするのがこの構成要素である。

⑧ モニタリング日常的モニタリング活動および／または独立的評価により、エンタープライズリスクマネジメントの構成要素が維持され機能していることと、そのパフォーマンスの質を継続的に評価する。

ここで紹介したフレームワークの基盤となっている思考プロセスは次のような形で機能する。すなわち、業務をはじめとするいかなる目的についても、経営者はこのERMの8つの構成要素を、全社レベルや事業単位レベルなどの適切なレベルで評価しなければならない。

COSO ERMフレームワークの使い方は?

フレームワークの6ページと7ページに、使用者ごとにフレームワーク利用の選択肢が提案されている。下表に例をまとめてみよう：

COSOは規制当局、専門家団体および教育界にも助言を行っている。

要約すれば、COSOフレームワークは実施されているERMプロセスと具体的なリスクマネジメント活動の有効性を組織のあらゆるレベルで評価するためのベンチマーキングツールとして使用すべきものである。このフレームワークはリスクマネジメント能力の改善状況を定義するために利用することができる。

「COSOエンタープライズリスクマネジメント統合的フレームワーク」は「COSO内部統制の統合的フレームワーク」とどう異なるか?

この質問に対しては、ERMフレームワークの附録Cが 2つのフレームワークの相違点をまとめている。たとえば、内部統制フレームワークと比較すると:

● ERMフレームワークはリスクマネジメントに対する焦点を拡大

して、内部統制フレームワークを包含している。

● ERMフレームワークは新たなカテゴリーとして戦略目的を追加

し、報告目的を内部報告を含むように拡大した。

● ERMフレームワークはリスク選好とリスク許容度という概念を

導入した。

● ERMフレームワークはリスクアセスメントを目的設定、事象の

特定、リスクアセスメントおよびリスクへの対応の4つの構成

要素に拡大した。

構成要素自体にも具体的な相違点があり、これについてはフレームワークの附録Cで考察が行われている。たとえば、役割と責任の焦点は、内部統制におけるものからリスクマネジメントにおけるものへと拡大されている。ERMフレームワークの内部環境構成要素は内部統制フレームワークの統制環境構成要素の7つの属性を包含して、重点をリスクマネジメントに置いているうえに、さらに3つの属性、すなわち、リスクマネジメ

30

33


ント理念、リスク風土およびリスク選好が追加されている。続的向上へのコミットメントと見るべきである。

経営者の役割

ERMの導入を支持することは上級経営者にどのような利益をもたらすか?

投資とリターン、事業機会と成果、競争優位と成長に重点を置いているCEOと経営陣は、刻々と変化する経済環境において、不確実ではあるものの有望な事業機会を追求しなければならない。経営陣は自分の組織が効果的なリスクマネジメントを行っていることを投資家やその他のステークホルダーに自信を持って保証できる立場にいる必要がある。また、米国企業改革法をはじめとする適用法規の遵守も求められる。Protiviti が 1995年から数回にわたって実施した調査（最新の調査は2005年秋に完了）では、ほぼ一貫して上級経営者の10人のうち約6人が、自社のリスクマネジメント能力はすべての重要な潜在的ビジネスリスクの識別と管理に有効であるという信頼感を抱いていないことが確認された。組織内でリスクの評価と管理に重要な責任を負う者が漏れなく関与している有効なERMプロセスがあれば、上級役員の信頼感を高めることができる。Protiviti の調査では、上級役員のおよそ50%が直近2年の間にリスクマネジメントに関連した重要な変更を行い、50%近くが今後3年以内に重要な変更を行う予定と報告していることも確認された。

こうした調査結果が出たのも不思議ではない。管理者が関連リスクを把握しており、それを管理する能力を備えているという確信を抱いていれば、事業機会を追求する行動は活性化されるものである。急速に変化する世界にあっては、断片的であって、リスクを個別の事象として扱い、簡単に個別単位に区分されてしまう従来のリスクマネジメントアプローチでは有効に機能しない。従来のリスクマネジメント活動のように、損失防止に厳格に焦点を当てるのは悪いことではないが、成長機会の識別、評価および追求と統合されていないため、十分とも言い難い。それに加えて、現行のリスクマネジメントアプローチは命令と規制の時代にあまりに強く根ざしており、敏捷性と反応性と機能の枠を超えた協業の必要性に対して必要とされるコントロールとのバランスをうまくとることができない可能性がある。

こうしてみると、リスクマネジメントの現状は、潜在的に重要なビジネスリスクを漏れなく識別、管理しているという必須の

確信を上級経営者に抱かせるに足るものではないと結論付けざるを得ない。全社横断的なビジネスリスクマネジメントアプローチは、戦略策定プロセスにおいてリスクと事業機会の結びつきを改善し、リスクマネジメントを事業経営における差別化スキルとして位置づけることによって、経営陣が直面している課題に対処するのを助けるものである。

取締役の役割

取締役会はERM導入の監視をどのように行うべきか?

COSOのERMフレームワークのエグゼクティブサマリーでは、次のように述べている。

「取締役会は事業体のエンタープライズリスクマネジメントの現状について上級経営者と随時話し合い、監視しなければならない。取締役会には、極めて重大なリスクと経営者による対策、ならびに、有効なエンタープライズリスクマネジメントをいかに確保しているかについて、確認すべきである。」

企業には、高品質の材料を供給者から低価格で調達するためのプロセスが必要であるように、リスクを管理し、容認できるレベルに低減するためのプロセスも必要だ。プロセスが存在しなければ、リスクマネジメントは企業全体にわたって断片的、場当たり的で受身の活動になる。ERMのインフラは、優先順位の高いリスクを管理する能力を組織が継続的に向上させるための規律を浸透させ、その目的により、別の道を提供する。反復的で定義され、管理されたリスクマネジメント能力につながるERMは、取締役会が経営者のリスク選好に対する理解を深め、リスクとリスクマネジメント成果に関する経営者の報告に対する信頼を高めるのに役立つ。

先を見越した能動的な監視を行うには、取締役会が方針設定、リスクアセスメントおよび戦略策定に最初から関与することが必要である。取締役会はそのさまざまな委員会の活動を通して、経営者のリスクアセスメントに付加価値を加え、監視プロセスの質を向上させる。リスクとその源泉が特定された後は、経営者がその重大なリスクを管理するための企業の選択肢を吟味して、責任、権限および説明責任を明確にする方針を策定していることを取締役会は確認すべきである。取締役会が確認しなければならないこととしては、例えば次の点が挙げられる。

49

41



● 容認できないリスクを引き起こすことなく成長とイノベーション

が推進されて報いられている。

● 新製品・新市場開発における組織の事業機会追求行動のリス

ク選好が明確化され、把握され、管理されている。

● 範囲と制限が明確に設定され、戦略から外れた容認できない行

動および活動を阻止している。

● 達成度の尺度と達成目標が過度にリスクの高い行動を奨励して

いない。

● 企業全体としてのリスクと報酬を最適化するための戦略を選択

するにあたり、事業単位または職務レベルの狭い視野ではなく、

全社的視野がとられている。

● リスクの大きい分野では効果的な内部統制およびチェック・ア

ンド・バランス（権限の抑制と均衡）が確立されている。

効果的な監視は反応が早く、相互に作用する。取締役会は経営者が承認されたリスク対応を実施するに適した能力を備えていることを確認しなければならない。適切なリスクアセスメントと内部統制のプロセスを有能な人員が設計、実施できるように、リスクオーナーシップと個人の説明責任に充分に焦点をあてる必要がある。リスクオーナー ―ひとつまたは複数の優先順位の高いリスクについて設定された範囲内で選択肢を検討し、対応策を講じる権限を与えられた個人、グループ、職務または事業単位 ― を適時に指名し、個々の主要リスクにリスクオーナーをつける。重大なリスクの場合、それを管理するために投入される能力には、重要度の低いリスクを管理する能力よりも高い成熟度が要求されることが多い。そのため、取締役会は、経営者がそうしたリスクの管理に十分な資源を配分していると判断していることを確認すべきである。取締役がERMについて経営者にする質問としては、次のような例が挙げられる。

戦略について：

● 経営者は戦略策定プロセスの過程で適時に取締役会の関与を

求め、経営者のリスク選好について話し合っているか?

● 経営者は重大なリスクの受け入れの是非について意思決定を行

うにあたり、取締役会の関与を求めているか?

● 企業は取締役会が理解しない重大なリスクテイクを行っている

か（たとえば、ある事業単位または製品グループが競合他社を

凌ぐリターンを得ている場合、それは競合他社よりも著しく大

きなリスクを背負っているからなのか）?

● 組織のビジネスモデルに固有の重大なリスクを、必要な知識、

スキル、ツールおよび情報を備えた人員が完全に理解し管理し

ているか?どうしてそうと言えるのか?

● 取締役会は優先順位の高いリスクとそれに対する取り組みにつ

いて知らされているか?

● 企業の主要リスクはリストされているか?そのリストは最新のも

のか?

● 取締役会の会議中に主要リスク、また、それらのリスクを管理

する能力に重大なギャップがあるか? また、討議する時間が

十分にとられているか?

方法について：

● 経営者はエクスポージャーを引き起こすことなく容認できない

リスクを、どのようにして企業の成長とイノベーションを推進

し、その成果に報いているのか? たとえば、戦略や規範から

はずれた行動を明確に指定した範囲と制限は存在するか?

● 事業機会を追及する活動とコントロール活動のバランスがとれ

ていて、いずれか一方が他方に比べて過度に実施されているこ

とはないか? 事業機会追求行動のリスクの把握と管理が行わ

れているか? どうしてそうと言えるのか?

実行について：

● 経営者は事業目的とパフォーマンス目標を達成するための戦略に

固有の不確実性を理解しているか? どうしてそうと言えるのか?

● リスクへの対応とそれに関連した統制活動、ならびに、情報と

伝達プロセスが有効に機能しているか? どうしてそうと言える

のか?

● 危機的事象に対応するための有効な危機対応計画が準備され

ているか? どうしてそうと言えるのか?

● 目標達成に最も重要なリスクのための早期警告システムまたは

経営陣のためのダッシュボードが存在するか?

● リスクを継続的に識別し、その影響を計測し、リスクマネジメ

ント能力を評価するための有効なシステム（たとえば、関連統

制活動、情報と伝達、モニタリングなど）が準備されているか?

どうしてそうと言えるのか?

● 重大なリスクの識別、評価および管理の責任を負っており、取

締役が随時会合を持つべき管理者は存在するか?

透明性について：

● リスクとリスクマネジメント能力について信頼できる報告を行うた

めの有効なプロセスは存在するか?どうしてそうと言えるのか?

● リスクマネジメント報告プロセスを支える組織構造が整ってい

るか?どうしてそうと言えるのか?

取締役会がリスクマネジメントについて経営者に質問する目的は、設定された事業目的との関連で組織が直面するリスクを理解し、その主要リスクを管理できるだけの戦略と能力を事業体が備えているか否かを判断することにある。COSO ERMフレームワークは、取締役がリスクマネジメントに関連した監視活動の方向性と焦点を定めるための優れたベンチマークツールを提


供する。この評価は少なくとも年1回のペースで行うべきである。

取締役会の関心を持続させるための最善策は情報の提供である。これは必ずしも、経営幹部のために作成するのと同じ報告書を取締役会にも提供しろという意味ではない。原則として、取締役会に提供するリスクマネジメント情報はあまり細かなものでない方がよいが、どこまで詳細にするかは個人の好みの問題だ。取締役会に提出するリスクマネジメント報告書の目的は、取締役が監視という役割を遂行できるようにすることにある。取締役会の記憶に残りやすいリスクマネジメント報告の例をいくつか挙げておこう。

● 企業全体にとっての最重要リスクを業務単位別、地域別、製

品グループ別などに分類し、リスクマネジメント能力の重大な

ギャップも付記した概観的サマリー

● 最高と最低の投資パフォーマンスとそれに至った理由のサマリー

● 速やかな対応を必要とする新たな問題またはリスクに関する報告

● たとえば、方針や設定限度から外れた重大な例外などの、重大

なリスクをもたらす事象のサマリー

● 経営者のコントロールの及ばない主要変数の重大な変化（たと

えば、金利、為替レートなど）と、それが収益、キャッシュフロー、

投資計画、ビジネスプランに及ぼす影響のサマリー

● 主導的に行っている改善活動の現状のサマリー

最高リスク管理責任者の役割

組織には最高リスク管理責任者（CRO）を置くべきか? 置くべきとすれば、その役割は?

CROはERMの推進者として、ERMプロセスとERMインフラを促進する。CROの役割はリスク領域により、諮問的（評価および勧告）であったり、権威的（承認）であったり、その両方であったりする。スタッフ機能の助けを借りて、CROは取締役会（または取締役会の中に置かれた指名委員会）、CEO、執行委員会（またはリスクマネジメント委員会）、ならびに、事業部門および機能部門の管理者を支援する。CROの役割は次のとおりである。

● 組織のERMビジョンを確立、伝達する。

権限を持つ上級役員グループと協力して、組織におけるリス

クマネジメントの適切な役割を定義する。

上級役員がその役割を組織に伝達するのを支援する。

● 適切なERMインフラを決定、実施する。

経営者がリスクマネジメントを戦略的マネジメントプロセス

と統合することを支援する。

CEOおよび執行委員会（またはリスクマネジメント委員会）

の承認を受けて、リスクマネジメントの方針および限度を策

定して伝達する。

優先順位の高いリスクの適切な責任を確立するために、責

任の欠如または重複を特定する。

必要に応じて執行委員会（またはリスクマネジメント委員会）

と一緒に、ギャップや重複を解消するためのアクションをモ

ニターする。

しかるべき執行役員と協力して、①企業全体のリスクを監視

し、②リスクマネジメントの方針と限度を監督、実施し、③

リスクマネジメント能力のギャップを埋めるための規律を浸

透させ、④組織文化にかかわる問題が有効に対処されるの

を保証する内部統制環境を確立する。

CEOと執行委員会（またはリスクマネジメント委員会）によ

る企業の重大なリスクの監視を支援する。

（a）事業部門および機能部門から入手するリスクマネジメ

ント能力および将来の潜在的事象へのエクスポージャーに関

するデータの収集、集約、要約および評価と、（b）リスクマ

ネジメント報告書の整理および配布に関連するビジネスリス

クマネジメント機能の方向付けを行う。

● 適切なERM方法論、ツールおよび手法の使用を確立、伝達、

促進する。

リスクおよびリスクマネジメントデータ、情報、知識の収集、

分析、統合および共有を促進するための共通リスク言語な

どの実用的なフレームワークを確立する。

基礎データの完全性と報告書の信頼性を保証するために使

用されている計測方法の妥当性を検証する。

リスクマネジメントのベストプラクティスが企業全体で共有

されることを促進する。

● 全社横断的なリスクアセスメントを促進し、組織全体で優先

順位の高いリスクに対する管理能力を監視する。

リスクを全社的視点から捉えるために、組織全体へのリスク

アセスメントの適用を調整する。

重大なリスクに対する管理能力の大きなギャップを把握する

ために、リスクマネジメントの方針、プロセス、コンピテン

シー、報告およびシステムの全社的評価を定期的に促す。

事業部門および機能部門と協力して、全社的にリスクマネジ

メント能力を確立、維持し、継続的に改善する。

必要に応じて、リスクアセスメントとリスク対応の策定に際

し、事業部門および機能部門の管理者と意見を交換し、支

援する。

リスクマネジメントの教育とトレーニングを適時実施する。

50



● 取締役会、監査委員会および上級経営者に適切なリスク報告

を行う。

リスクエクスポージャーとリスクマネジメント能力を全社的

に集約する計測方法と監視方法を策定する。

取締役会、CEOおよび執行委員会（またはリスクマネジメ

ント委員会）へのリスクエクスポージャーと監視結果に関す

る報告を支援する。

CEOおよび執行委員会（またはリスクマネジメント委員会）

が行う資本および資源配分に関する意思決定を支援する。

組織内で真に客観的であり、自らの客観性を効果的に示せる立場に立つためには、CROは事業部門が実施する業務とは無関係な独立した存在であらねばならない。しかし、CROが複数のリスクの総合的管理に責任を負っている場合は、ひとつまたは複数のリスク管理部署からCROに報告を行うのも珍しいことではない。

上記の活動に加えて、CROは提案されたビジネスプランや取引について独自の見解を示すこともできる。CEOと取締役会はしばしば、取引やプランにより生じるリスクをバランスのとれた観点から基本的構成要素に分類し、計測して体系的に評価、管理できることを必要とする。経営幹部と取締役は、市場を根拠もなく楽観的に見て、企業全体にもたらすメリットないしは結果を考慮せずに取引を推し進めようとする管理者を警戒しなければならない。事業部門とは無関係なCROが率いる戦略的リスクコントロール部門や監視部門を設置する企業もあるのはそのためである。

戦略的リスクコントロール部門ないし監視部門は事業部門と協力して、ビジネスプランと取引を組織が受け入れているリスクに分類する。こうして理解を深めれば、戦略的リスクコントロール部門または監視部門は、潜在的障害となるマイナスのリスクエクスポージャーを幾分なりとも軽減して、提案されているビジネスプランや取引を改善する方法を勧告することができる。こうして、事業部門が物事を分析し、発生しうる重大な問題とその本質を理解したうえで、把握したことを迅速かつ簡潔に伝達するのを支援するのが、監視体制の理想的な機能なのである。目的は、提案されているビジネスプランと取引を改善して、企業価値の保全、創出の可能性を高めることにある。CRO、独立した戦略的リスクコントロール部門、その他のグループのいずれがこの役割を担うにしろ、それを遂行するための手段を決定するのは上級経営陣である。

リスクマネジメント監視体制

推奨される組織の監視体制は?

リスクマネジメント監視体制は組織が優先順位の高いリスクを管理する能力の継続的向上を促進するとともに、取締役とCEOが資源を配分し、組織のリスクテイクとリスク選好のバランスをとるのを支える存在である。これらの目的を達成するための画一的な監視体制は存在しない。

組織モデルにはいくつもの選択肢がある。COSOフレームワークの実務指針は、代替アプローチとそれに伴う利点と課題を紹介している。選択肢間の主要差別化要因は次の質問に対する回答しだいである。

● リスク特定、評価および対応の責任者は誰か?

● それは本社集中で行われるか?

● 組織のさまざまな単位（部門・子会社）が行うのか?

● 本社集中でも、組織単位別にも行われるのか?

アプリケーションテクニック篇には次のように記されている。

「多くの企業は、企業規模が拡大し、複合化が進めば、エンタープライズリスクマネジメントの原理と規律をより効果的に適用するには、多くの責任を事業部門と機能部門に委ねることができると気付く。一方、小さな中央の支援インフラ部門は、より広範囲な全社的リスクを取り組みの対象とする。」

「COSOエンタープライズリスクマネジメント統合的フレームワーク」は、公開、非公開、規模の大小、営利、非営利を問わず、あらゆるタイプの事業体に適用されるように設計されている。つまり、このフレームワークは、厳重な規定を定めるためでなく、原則に基づいたアプローチを提供するために設計されている。

適切な組織構造の選択は科学というより芸術だが、多くの組織に存在するリスクマネジメント責任のギャップと重複という障壁を解決するための意思決定構造が必要である。重要なのは、既存の管理体制を基盤として構築し、事業体のビジネスモデル、目的、文化およびリスク選好を考慮することである。小規模な組織の場合は、監視体制は、リスクの特定と優先順位付け、リスクオーナーの指名、ギャップ分析、アクションプランの承認、結果のモニタリングを行うために管理特権を行使する執行委員

55


会のような単純なものでよい。大規模で複合化の進んだ組織には、最高リスク管理責任者および／またはリスクマネジメント執行委員会が必要になることもある。

内部監査の役割

ERM導入において内部監査はどんな役割を担うか?

最高監査担当役員（CAE）と内部監査は組織におけるERM導入に関連して、次に挙げる役割をひとつ以上担うことができる：

● 教育者多くの上級執行役員はERMについて理解していな

い。CAEは長期にわたる定期的な教育を通して、そうした上級

執行役員がCOSO ERMフレームワークを理解し、活用する一

助となることができる。CAEは、焦点を定めた監査計画の策

定、監査結果の伝達およびプレゼンテーションの実施にあたっ

てCOSO ERMフレームワークを採用する場合、ERMのさまざ

まな構成要素について執行役員と取締役に教育することになる。

● ファシリテーターERMは質の高いリスクアセスメントを必要

とする。内部監査は組織内でリスクアセスメントとリスク対応の

策定を促進するための主導的役割を担うことができる。内部監

査は組織がリスクアセスメントの結果をリスク対応に反映させる

ことを支援するにあたり、アドバイザー的役割を担うこともある。

● 調整者組織のERMの取り組みが共通言語とその他の「実

用化のフレームワーク」を利用する場合、内部監査はそれらが

全社にわたって一貫して展開されていることを確認するための調

整者の役割を演じることができる。CAEは共通言語の提案者と

もなりうる。

● 統合者内部監査は（a）全社の複数の情報源から提供され

るリスク関連データの収集、分析および集約と、（b）リスクエ

クスポージャーと監査結果の全社集約的な報告により支援する

ことができる。

● 評価者内部監査はCOSO ERMの8つの構成要素を使用し

て、組織全体または事業部門、子会社ないし事業単位のリスク

マネジメントを評価することができる。内部監査は以下のことも

評価できる。

COSO ERMフレームワークが定義している内部環境の有効性

リスクアセスメントプロセスの有効性。COSO ERMフレーム

ワークの「目的設定」、「事象の特定」、「リスクの評価」およ

び「リスクへの対応」の構成要素を考慮する

「統制活動」構成要素に説明されている特定のリスク対応に関

連したコントロールに関する方針および手続の有効性

組織が選択したリスク対応を支援する情報と伝達の質と信

頼性

「モニタリング」構成要素が定義している監視活動の有効性

上記の役割は米国内部監査人協会（IIA）の内部監査の定義で想定している保証およびアドバイザリー活動と一致している。IIAは次の見解を主張している。

組織はリスクマネジメントの責任があくまでも経営者にあることを十分理解すべきである。内部監査人は、リスクマネジメントに関する意思決定を行うのではなく、経営者の意思決定に対して助言、課題または支援を提供する立場にある。内部監査の責任の内容は監査綱領に明記し、監査委員会の承認を得るものとする。

この見解に沿って、IIAはERM導入における内部監査の主要な役割と、内部監査には不適切な役割を識別している。内部監査の主要な役割としては、たとえば次のものが挙げられる：

● リスクアセスメントプロセスを保証する。

● リスクが正しく評価されていることを保証する。

● リスクアセスメントプロセスを評価する。

● 主要リスクの報告を評価する。

● 主要リスクの管理を検査する。

IIA が、内部監査が引き受けるべきではないとしている役割は次のとおりである：

● リスク選好を確立する。

● リスクアセスメントプロセスの実施に関する権限の付与と方向付け。

● リスクとリスクマネジメント能力に関する保証の提供において経

営者の役割を引き受ける。

● リスク対応に関する意思決定を行う。

● 経営者に代わってリスク対応を実施する。

● リスクマネジメントの説明責任を引き受ける。

さらに、IIAによれば、これら上記の両極端の役割の間には、条件つきで、「正当化できる内部監査の役割」が存在する。それらは以下のような役割である。

● リスクの特定と評価を促進する。

● 経営者のリスク対応を指導する。

● ERM活動を調整する。

● リスクに関する報告を一元管理する。

● ERMフレームワークを維持・構築する。

● ERMの確立を推進する。

● 取締役会の承認ためのリスクマネジメント戦略を策定する。

58



参考

エンタープライズリスクマネジメントの指針 Q&A集全文の目次

■基本概念

1. エンタープライズリスクマネジメント（ERM）とは?2. なぜ ERMを導入するのか?3. ERMの適用範囲は従来のリスクマネジメントアプローチとどう異なるか?4. ERM実施のバリュープロポジションとは何か?5. ERMを実施するのはどのような企業か?6. ERMを実施していない企業はどうしているのか?7. ERMの責任者は誰か?8. ERM実施に向けて企業が直ちに講じられる方策とは?9. ERMは単純な構造の小規模な組織にも適用できるか?10. ERMの実施を試みながら、その取り組みに失敗した企業があるのはなぜか?11. ERMの実施は事業の成功を約束してくれるか?12. ERMとマネジメントはどう違うか?13. 「ERM導入」とはどういう意味か?14. 通例、ERM導入にはどれほどの時を要するか?15. ERM導入に必要な投資レベルを判断できるベンチマークは存在するか?16. 既に経営に成功している企業はERMを適用しないか?17. ERMはいつから提唱されているのか、新たに注目を集めるようになったのはなぜか?18. 現時点でERMプロセスまたはシステムの導入をすませている公開会社の割合は?19. 実際に適用されているERMの有効例は?20. ERMの適用は業界によってどう異なるか?21. ERM導入を必要としない組織は存在するか?22. ERM導入の規制義務とは?23. ERM導入の基準は公開会社と非公開会社では異なるか?24. ERMの利点を実現するにはすべてのリスク領域に高度なプロセスが必要か?

■COSOエンタープライズリスクマネジメント統合的フレームワーク

25. COSOとは?26. COSOエンタープライズリスクマネジメント統合的フレームワークが策定された理由は?27. COSOエンタープライズリスクマネジメント統合的フレームワークとは?28. COSO ERMフレームワークはどうすれば入手できるか?29. COSO ERMフレームワークはどのように策定されたか?30. COSO ERMフレームワークの使い方は?31. 企業はCOSO ERMフレームワークの使用を義務づけられるのか?32. 「COSOエンタープライズリスクマネジメント統合的フレームワーク」は「COSO内部統制統合的フレームワーク」に取って

代わるか、優先する存在か?33. 「COSOエンタープライズリスクマネジメント統合的フレームワーク」は「COSO内部統制統合的フレームワーク」とどう異な

るか?


34. 新しいCOSOフレームワークはERMの焦点の範囲を、従来のリスクマネジメントモデルの焦点である付保可能リスク以上に拡大しているか?そうとすれば、どのような形で拡大したのか?

35. 他の基準やフレームワークも存在しているか? 存在しているなら、それらが推奨しているのは何であり、COSOエンタープライズリスクマネジメント-統合的フレームワークはそれらとどのような関連を持つのか?

36. 米国証券取引委員会（SEC）はERMをどう捉えているのか?37. COSO ERMフレームワークを導入した場合の成果物は何か?38. COSOエンタープライズリスクマネジメント統合的フレームワークを「部分的」に採用するだけでも成功につながるか?

■経営幹部の役割

39. ERMには誰がどのような形で関与するか?40. ERMプロセスまたはシステムを成功させるにはCEOの全面的関与が必要か、それとも、他社に委任してもかまわないか?41. ERM導入の支持は上層部経営者にどのような利益をもたらすか?42. 経営幹部はERMをどう評価すべきか?43. ERM環境におけるCIOの役割は?44. ERM環境における財務と保険の役割は?45. ERMでは経営幹部への報告が必要か、そうであるなら、どのようなタイプの報告が最も適切か?

■取締役の役割

46. ERMとコーポレートガバナンスの関係は?47. 自社のERM導入状況について取締役が心を砕かなければならないのはなぜか?48. 監査委員階はERMをどう捉えるべきか?49. 取締役会はERM導入の監視をどのように行うべきか?

■最高リスク管理責任者の役割

50. 組織には最高リスク管理責任者（CRO）を置くべきか? 置くべきとすれば、その役割は?51. CROのスキルセットとは?52. CRO報告は誰に対して行うのか?

■リスクマネジメント監視体制

53. リスクマネジメント監視体制の主目的は何か?54. リスクマネジメント監視体制を編成するにあたり、報奨問題についてはどう考えるべきか?55. 推奨される組織の監視体制は?56. リスクマネジメント監視体制は事業体の既存の組織構造とどのように関連するか?57. ERM導入には個々のリスクオーナーの特定が必要か?

■内部監査の役割

58. ERM導入において内部監査はどんな役割を担うか?59. 内部監査はERMへの取り組みを主導するべきか?60. 内部監査はCOSO ERMフレームワークを内部監査業務に統合すべきか?61. 内部監査は組織内におけるERM適用の評価を行っているか?62. 米国内部監査人協会（IIA）は「COSOエンタープライズリスクマネジメント統合的フレームワーク」を支持しているか?63. IIA 基準は「COSOエンタープライズリスクマネジメント統合的フレームワーク」の使用を要求しているか?たとえば、ERMと

IIA基準2010.A1（内部監査に年次リスクアセスメントの実施を要求している）および2110.A2（取締役会のリスクアセスメントとCOSOフレームワークの整合化を要求している）はどのような関係にあるか?

■リスクマネジメントのビジョンと目的

64. 経営者はリスクマネジメントの役割に関する共通のビジョンを組織内でどのように構築するか?共通のビジョンの実際の用途は?



65. 経営者は事業体のリスクマネジメントの目標および目的をどのように決定するか?66. 「リスク選好」とは何か? 「リスク閾値」、「リスク許容度」、「リスク限度」とはどう異なるか?67. 業績をリスク許容度により測定するための決まった方法はあるか?68. リスクマネジメントのビジョンと目的はどのようにして適切なERMインフラに変換されるか?

■リスクアセスメントの実施

69. リスクアセスメントとリスクマネジメントの関係は?70. リスクアセスメントとパフォーマンスアセスメントの関係は?71. 効果的な目的声明書の構成要素とは? 効果的なリスクアセスメントにはなぜ目的が重要なのか?72. 事象とリスクの相違は?73. COSOのリスクの定義に、リスクはプラスのものとマイナスのものがあると言及されていないのはなぜか?74. 固有リスクの概念をリスクアセスメント規準として有効活用するには、どのように明確化すればよいか?75. どの組織でも使用できる公認のリスク言語は存在するか?76. 多角経営の組織の場合、企業全体にとってのリスクをどこまで厳密に定義すべきか?77. リスクマップとは何か? リスクアセスメントプロセスではどのように使用するのが適切か?78. リスクアセスメントの有効な実施方法とは?79. リスクアセスメントプロセスの間によくあるミスや犯しやすい過ちは?80. リスク間の相関はどのように特定し、理解し、応用するか?81. リスクアセスメントの適切な奥行きとは?82. リスクアセスメントプロセスには誰が参加すべきか?83. リスクアセスメントとリスク定量化の関係は? リスクアセスメントの間にリスク定量化も行うべきか?84. リスクアセスメントに定性的情報を使用するのは有用か?

■始めよう基盤を固める

85. ERM導入に着手するための最善のステップとは?86. ERMは新手の「プロジェクト」か?87. 組織がERM導入1年目に達成しなければならない具体的なことは?88. ERM導入の「先頭に立つ」べき責任者は誰か?89. ERM導入の主導者は誰か?90. 主要上級経営者の賛同はどのようにして獲得するか?91. 業務管理者の賛同はどのようにして獲得するか?92. 諸経費節約のために既存のインフラを活用できるか?93. ERM導入にはどのようなタイプのスキルが必要か?94. ERMイニシアティブに名称をつける必要はあるか? つまり、ERMはグッドビジネスプラクティスの別名に過ぎないのではないか?95. 企業はふつう、ERMのプロセスとシステムを成功裏に開発、スタートさせるために専任従業員を新たに雇用するか、それとも、

既にいる従業員をこのイニシアティブに非常勤または常勤の形で従事させるのか?96. 基盤固めのステップは?97. 経営者は基盤となる適切な能力をどのように決定するか?98. 共通言語はなぜ必要か、例はあるか?99. プロセス分類手法の例はあるか?100. リスクとその根本的原因、促進する要因および発生源に関する意見交換を改善する方法は?101. リスクマネジメントに関するナレッジシェアリングを改善する方法は?102. リスク感受性に対する組織の認識を高めるとはどういう意味か?

■プロセスを見渡す能力の構築

103. リスクマネジメント能力を構築するために経営者が踏むステップは?104. 経営者は適切なリスクマネジメント能力をどのように決定するのか?


105. 経営者が組織のリスクアセスメントを改善する方法は?106. 目的設定、事象特定およびリスクアセスメントはどのように関連しているか?107. リスクアセスメントはERMへの取り組みにどれほど重要か?108. リスクマネジメントに適用できるリスク対応の選択肢とは?109. リスク対応の代替案を評価する際に経営者が考慮しなければならない要素とは?110. リスクマネジメントインフラの構成要素とは? なぜ、重要なのか? どのように考慮するのか?111. ERM導入時に優先順位を設定し、リスクマネジメント能力改善の進捗状況をモニタするのに役立つモデルはあるか?112. リスク測定の代替手法とは? どのような場合にそれを用いるか? 113. ERMはリスクマネジメント報告にどのような影響を及ぼすか? 114. 現在、ERM導入を目指す企業に役立つリスクマネジメントソフトウェア製品にはどのようなものがあるか?115. ERMソフトウェア市場は確立されたソリューションと誰の目にも明らかな市場リーダーが誕生するところまで成熟しているか? 116. 代替ソフトウェアの評価に適用する規準は? 機能性の別の優先順位付けはあるか? 117. コンプライアンス、ガバナンスおよびリスクマネジメントには幅広いプラットフォームより専門ERMソフトウェアのほうが望ましいか? 118. ソフトウェアの機能性はどのような形でERMの目標を支援するのか?119. 成功するERMソフトウェアベンダーの主要カテゴリと特徴は?120. 先にERMプロセスを設計してから適切なERMソフトウェアを選択するのとその逆では、どちらが得策か?121. ダッシュボードやスコアカード報告とは何か? ERM環境でどのように使うのか?122. 金融サービス企業の場合、経済資本測定がERM採用の前提条件となるか?123. リスクマネジメントの継続的改善はどのように行うか?124. ERMと「品質イニシアティブ」（たとえば、シックスシグマ、Lean、TQMなど）の相乗効果と相違とは?

■次のレベルへ進めよう能力の改善

125. リスクマネジメント能力を改善するために経営者が踏むステップは?126. 経営者は適切なリスクマネジメント能力改善をどのように決定するのか?127. リスクの「ポートフォリオの視点」とは何か? 実際にはどのように適用するのか?128. 経営者は全社的なリスクの定量化をどのように行うか?129. 経営者は事業パフォーマンスの改善にERMをどう活用するか?130. ERMアプローチと戦略策定プロセスの統合はどのようにして行うか?131. 戦略策定プロセスは始めて全社的リスクアセスメントを実施する前に終了させておくべきか、それともその逆か?132. 企業がERM導入、米国企業改革法へのコンプライアンス、業務継続計画、内部監査、ならびに、労働環境関連、環境関連および

その他の規制に関連した各種企業活動の結果として行うリスクアセスメントを成功裏に一体化させることはできるか?133. 経営者は持続可能な競争優位の確立にERMをどう活かすか?

■始めよう基盤を固める

134. ERMのための説得力のあるビジネスケースはどのように作成するか?135. ERMソリューションに適切な能力はどのようにして選択するか?136. ERM導入の有効性と影響を評価する際の主要成功因子もしくは成功評価尺度とは? 言い換えるなら、ERMアプローチの成否は

どうすればわかるか?

■やってみよう

137. ERMジャーニーマネジメント（導入行程の管理）とは? ERM導入になぜ関連があるのか?138. プログラムマネジメントとは何か? ERM導入になぜ関連があるのか?139. ERM導入の便益をパフォーマンス改善の面から定量的、定性的に評価するにはどうすればよいか?140. ERM導入はどのように管理するか?141. ERM導入が完了したことはどうすればわかるのか?142. ほかにしなければならないことが山積している中で、どうすればERM導入のようなことまで手がけることができるだろう?143. ERMアプローチの評価にはどのような基準を用いるべきか?



144. ERMアプローチの導入に際して避けなければならない落とし穴は?

■米国企業改革法コンプライアンス関連

145. 2002年米国企業改革法（SOA）は企業にERM採用を義務づけているか? ほかにERMを義務づけている法規はあるか?146. ERMは認証担当役員がSOA第302条による認証と第404条による評価の責任を果たすのに役立つか?147. ERMはSOAコンプライアンスとどうかかわるか?148. ERM導入を決定する際は、SOAコンプライアンスの努力についても検討すべきか?149. コンプライアンスにあてている焦点をビジネスリスクマネジメントにまで拡大すべきか?150. 公開会社の場合、SOA第 404条へのコンプライアンスに乗じてERM導入に踏み切ったほうがよいのはなぜか?151. 第 404条へのコンプライアンスを基盤として自己査定を構築するにはどうすればよいか? 自己査定がERMへの進化に寄与する

のはなぜか?152. 第 404条と第302条へのコンプライアンスを統合するとはどういう意味か? そうした統合は確立された自己査定プロセスと第

404条へのコンプライアンスをどのような形で基盤とするのか? そうした統合が企業のERMへの進化に寄与するのはなぜか?153. 他の適用法規へのコンプライアンスはどのような形で第404条と第302条へのコンプライアンスを基盤とするのか? そうしたコ

ンプライアンスが企業のERMへの進化に寄与するのはなぜか?154. 運用の有効性と効率はどのような形でコンプライアンスイニシアティブを基盤とするのか? 運用の有効性と効率がERMへの進化に

寄与するのはなぜか?

■その他の質問

155. 「COSOエンタープライズリスクマネジメント統合的フレームワーク」の導入は不正防止につながるか? 156. ERMプロセスを公開している企業の中に、アナリストからの積極的なフィードバックを得ている企業はあるか? 157. アナリストをはじめとする投資界や格付会社の関係者は、有効に機能するERMが彼らの企業に対する見方にどのような影響を及

ぼすかという点について見解を表明しているか?158. リスクとリスクマネジメントに関する情報はすべて弁護士依頼者間秘匿情報に分類されるため、開示不能となりうるか?159. この情報はすべて発見しうるものと推定されるので、ERMは企業の訴訟リスクを増大させることになるのではないか?160. 企業の経営者または取締役会が適切なリスクマネジメントシステムを整備していなかったために瑕疵があったとみなされた判例は

あるか?161. ERMプロセスの未整備に伴うリスクは存在するか? あるとすれば、どんなリスクか?162. ERMシステムを従業員の業績および報酬と関連づけることは可能か? それを実践している企業はあるか?163. ERMを対象とした第三者認証、格付などの評価機構は存在するか?164. ERMは金融機関にオペレーショナルリスクの報告を義務づけているバーゼル合意とどのように関係しているか?165. ERMとISOなどの国際規格との相違は何か?166. 「COSOエンタープライズリスクマネジメント統合的フレームワーク」はCOBIT、ISO 17799、BITS、NIST SP800-53、ITIL

などのフレームワークとどのように統合されるか?167. 他の国々におけるリスクマネジメント事情は? そうした展開は企業パフォーマンスとコーポレートガバナンスにプラスの影響を及

ぼしているか?168. リスクマネジメントプロセスを顧客の要求事項と整合、適合させるために、顧客に伝達するためのフォーマットは存在するか?


米国において、企業エグゼクティブの人材派遣の先駆者であり、全米で100万人の登録者を有する最大手のRobert Half International Inc. （RHI：NYSE上場）が、新たなビジネス戦略の柱として、2002年 6月に解散した米 Arthur Andersen LLP. のリスクコンサルティング部門を、メソドロジ、データ等を含め1億ドルで買い取り、ビジネス並びにITに関するリスクコンサルティングと内部監査を専門とする会社をProtiviti Inc. として2002年に設立しました。プロティビティジャパンは、アンダーセンのメンバーファームであった監査法人のリスクコンサルティングの人材を中心に、グローバルファームであるProtivitiのアジア・パシフィックの拠点として2003年 2月に設立されました。現在は、世界各国で54ヶ所の事務所と2,300名のコンサルタントが稼動しております。特に、最近ニーズの高まっている内部統制コンサルティングにおいては、国外で数百社、国内においてもSEC登録企業の中で、12社のお客様への米国企業改革法（US-SOX）対応支援コンサルティングをご提供させて頂いており、金融庁の内部統制法制（通称：J-SOX）対応支援コンサルティングに関しても、多くの実績を積み重ねてきております。グローバル品質の高度なナレッジとノウハウで皆様を効率的かつ効果的にご支援させて頂くことを目標としております。

■ビジネスリスク（Business Risk）社会・経済が進化、高度化するなか、企業を取り巻くリスクは複雑化し、増大し続け、かつ、あらゆる組織にかかわりを持つようになってきています。ビジネスリスクは、大別すると業界固有のリスク（金融や医療の法規制など）と、サプライチェーンや経理・財務、あるいは販売といった業種業態ではなく、ビジネスプロセスに固有のリスクに分けられます。弊社では、このようなビジネスリスクを適切に管理するために、組織内でのリスクに対する共通認識の醸成から、管理プロセスの構築までを一貫して支援します。リスクを適切に管理することで、企業価値向上を支援します。

● エンタープライズ・リスクマネジメント

● 財務リスクマネジメント

・信用リスクマネジメント体制高度化支援

・為替リスクマネジメント体制高度化支援

・コモディティーリスクマネジメント体制高度化支援

・リスク定量化によるリスクアセットマネジメント支援

・事業投資リスク管理体制整備支援

● コンプライアンス構築支援

● 内部統制の構築・評価支援

● 米国企業改革法（Sarbanes-Oxley Act）対応支援

● 環境リスクマネジメント

■テクノロジリスク（Technology Risk）テクノロジが急速に進化することで、システムダウンや開発遅延など、情報システムそのものに関わるリスクだけでなく、情報セキュリティ、プライバシー保護、不正防止や知的財産保護など、情報に対するリスクも複雑化、増大しています。また、情報が適時的確に伝達されないことによる不祥事も多発しています。私どもは、コンプライアンスに対応したコンサルティングは勿論のこと、ネットワークを含めたITインフラからアプリケーション、人間系のプロセスに関係するリスクまでを適切に管理することを支援するだけでなく、お客様のシステム投資がより有効なものとなることを支援します。

● セキュリティ＆プライバシー関連サービス

● 運用管理支援サービス

● アプリケーションコントロール関連サービス

● コンティジェンシープラン・業務継続計画関連サービス

● テスト支援サービス

● 情報システム資産管理サービス

● プロジェクト管理サービス

● 変更管理関連サービス

● 情報システム最適化支援サービス

■内部監査（Internal Audit）弊社では、マネジメントに不可欠なモニタリングに関する広範囲なサービスを展開しています。リスクコンサルティングで長年培ったモニタリングに関するノウハウや、最新のテクノロジおよび方法論などをマネジメントや内部監査部門に移植するだけでなく、私たちのネットワークを利用することにより、お客様の内部監査の実行部隊として、適切なリソースをワールドワイドに適切なタイミングで提供します。リスクアプローチによるモニタリングの実現は、貴社のリスクマネジメント体制をより確かなものとします。

● 監査委員会アドバイザリー

● 内部監査コソーシングおよび専門分野リソース補強

● 内部監査フルアウトソーシング

● 内部監査テクノロジーおよびツール導入

● 内部監査品質評価および予備審査

● 内部監査高度化支援サービス

● 情報システム（IT）監査サービス

● 内部監査立ち上げ支援サービス

株式会社プロティビティジャパンについて

エンタープライズリスクマネジメント（erm）と …...©2006 protiviti japan...

Documents