要約
リスクマネジメントを勉強すると必ず出てくる「Enterprise Risk Management、略してERM、全社型リスクマネジメント」についてまとめました。マイナスの影響だけではなくプラスの影響も含み、個別対応ではなく企業全体の経営戦略と一体化し、経営者から各社員まで全員がリスク管理を担う、という特徴を持つ考え方です。
本文:エンタープライズリスクマネジメント(Enterprise Risk Management, ERM)とは?
リスクマネジメントを勉強するシリーズの二回目となります。初回は放射線防護や化学物質・食品安全あたり出発地点とするリスク学の文脈における「リスク管理」と、保険を出発地点とする組織のリスクマネジメントの文脈における「リスクマネジメント」の違いについて整理しました。
ISO31000ではリスクの定義の中にマイナスの影響だけでなくプラスの影響も含んでいるところがリスク学文脈とは大きく異なる点でした。
さて、第二回ではリスクマネジメントを勉強しようとすると必ず出てくる「Enterprise Risk Management, ERM」についてまとめます。これも前回のようにリスク学の視点から見たまとめになります。ERMというのはよく出てくる割にはイマイチ理解しにくい概念です。
まずは日本語の訳からややこしいです。enterpriseは企業・事業という意味ですが、「全社型リスクマネジメント」と訳す場合と、「統合的リスクマネジメント」と訳す場合があり、統合されていない(!)と感じます。
さらには、「全社型リスクマネジメント」と「統合的リスクマネジメント」を区別する場合もあります(後述)。また、統合的リスクマネジメントは「Enterprise Risk Management」ではなく「Consolidated Risk Management」を意味していることもあるようです(両者の違いはよくわかりません。。。)。
ということで、この辺は深掘りするとキリがなさそうです。
本記事では、一番間違いないと思われるCOSO(Committee of Sponsoring Organizations of the Treadway Commission、トレッドウェイ委員会組織委員会)によるERMの定義や中身をまとめ、前回でも試みたようにいろいろな解説本による独自の定義なども見ていきます。
COSO-ERMの定義
COSOとは、米国公認会計士協会の働きかけで発足した産学協同組織の委員会のことで、不正会計やコンプライアンス違反などを防止するガイドラインなどを公表しています。COSOが2004年に「COSO-ERM、内部統制統一的フレームワーク」を発表しました。2017年にはその改訂版が発表されています。早速両者の定義を見てみましょう。
COSO-ERM(2004年度版)におけるERMの定義
事業体の取締役会、経営者、その他の組織体の全てのものによって遂行され、事業体の戦略策定に適用され、事業体全体にわたって適用され、事業目的の達成に関する合理的な補償を与えるために事業体に影響を及ぼす発生可能な事象を識別し、事業体のリスク選好に応じてリスクの管理が実施できるように設計された、一つのプロセス
COSO-ERM(2017年度版)におけるERMの定義
組織が価値を創造し、維持し、実現する過程においてリスクを管理するために依拠する、戦略策定ならびに実行と一体化したカルチャー、能力、実務
どちらもこれを読んだだけで「よしわかった!」とはならないでしょうね。どうしてもフレームワークというのはこのようなふわっとした書き方にならざるを得ません。特に2017年の方はより簡潔な記載になりました。
2004年では「プロセス」だったものが2017年では「カルチャー・能力・実務」というより概念的なものに変化しています。企業の状況によってリスクマネジメントのやり方は大幅に異なり、画一的なプロセスでは対応しきれない場面が多いため、プロセスよりも概念を示すことを重視した結果だとされています。
乱暴にいえばようするに定義はどうでもよいってことですね。ERMはリスク学文脈ではリスクガバナンスに近い概念ですが、リスクガバナンスもまた定義はふわっとしていてほとんど意味をなしていないと思います。
ところで、2017年に改定されたといっても完全に置き換わったというわけではなく、2004年版は内部統制監査のガイドラインとして、2017年版は経営陣のための文書と位置づけられているようです。
また、両者はリスクの定義が異なっています。2004年版ではリスクをマイナスの影響をもたらすものに限定しており、プラスの影響を与えるものをリスクではなく機会(opportunity)としています。2017年版ではISO31000にならってプラスの影響も含んだ形になっています。
また、ERMでは「リスク選好(リスクアペタイト)」という考え方が重視されています。これは、どれだけ積極的にリスクを取りに行き、どれだけのリスクを許容するかの程度を示すものです。どれだけのリスクを許容できるかは企業の経営戦略における重要な意思決定になります。もちろんリスク許容度はリスクの種類によって異なり、安全性についてはリスク選好を小さくし、新規事業についてはリスク選好を大きくするなどの判断があり得ます。
この辺がマイナスの影響を重視してきた従来のリスク屋さんからは受け入れられない点となるわけですね。安全性・不祥事・危機対応などの部分でリスク選好を上げる、という考え方はモラル的にあり得ない、となります。もちろん社会が受け入れられないリスク選好を企業が無理やり推し進めればその企業の存続は危うくなります。そのこと自体も企業の自己責任になりますね。
さらにはリスクキャパシティという概念も出てきます。リスク選好は「このくらいのリスクを取りに行く」という目標であって、耐えられる最大限(これを超えると倒産するなど)よりも低く設定されるのが通常です。このときの耐えられる最大限がリスクキャパシティと呼ばれるものです。これはリスク選好(リスクの種類ごとに決まるもの)とは異なり、企業がもつさまざまなリスクの合計値の最大許容量です。
ERMの内容
定義に続いてERMの中身について見ていきます。まずCOSO-ERMといえばCOSOキューブと呼ばれる図が必ず出てきます。検索すればいろいろ出てきますが、以下のサイトがわかりやすかったです。
戦略、業務、報告、コンプライアンスという4つの目的においてそれぞれリスクマネジメントの8つプロセスを示し、さらにそれを事業単位、部門、全社レベルなどそれぞれの単位で実施するというフレームとなっています。
8つのプロセスはリスクの洗い出し->リスク評価->リスク対応->結果のモニタリングなどを繰り返すものです。この辺の具体的なプロセスになるとリスク学でもおなじみのものになってきます。また、このプロセスはISO31000で示されているものとよく似ています。
COSO-ERM(2017)ではCOSOキューブは廃止され、5つの構成要素と20の原則が示され、よりシンプルになりました。5つの構成要素とは以下のとおりです:
1.リスクガバナンス及び文化
2.リスク、戦略、及び目標設定
3.実行上のリスク
4.リスク情報、コミュニケーションと報告
5.リスクマネジメントパフォーマンスのモニタリング
1番目では組織全体のリスクマネジメント方針を決めたり、どのような組織構造でリスクマネジメントを行い、誰が何の責任者か、などを決めます。
2番目では、何をリスクマネジメントの目標にして、どのリスクを取りどのリスクを避けるか、リスクキャパシティ―はどのくらいか、などを決めます。
3番目では、リスクの洗い出し、リスク評価、優先順位付け、リスク対応などのプロセスを実行します。
4番目では、組織内外へのリスク情報の伝達や報告、いわゆるリスクコミュニケーションのプロセスになります。共通言語の確立のための用語の定義や、文書化&社員教育なども必要になります。
5番目では、プロセスがうまく回っているかの検証や効果のモニタリングを行います。
2番目のリスク許容度の決定をプロセスの中に明示したのはとても重要なことだと思います。安全対策のような場面であっても、ゼロリスクは不可能なので必ずリスク許容量というものはあるはずなのですが、なかなか表に出てくることがありません。とにかく表面的なゼロリスクを求めたがるのですね。ここは見習いたい部分だと思います。
いろいろな本によるERMの定義
最後に前記事でもやってみたようにいろいろな本から言い換えたERMの定義を並べてみます。COSO-ERMの定義だけではなかなかわかりにくいこともあり、それぞれの言い方になっています。
・企業活動全般のオペレーショナルリスク、戦略リスクの両方を統合的に管理する考え方 (国廣正ほか 内部統制とはこういうことだったのか) ・組織の目的達成を、もっとも効果的・効率的に実現できるようにするための枠組み。組織におけるリスクマネジメントのあり方から、その実行、見直しが、適宜行われるようにするための共通基盤。 (勝俣良介 世界一わかりやすいリスクマネジメント集中講座) ・リスクをあえて取ることによって利潤を生むチャンスを広げること (前川寛 リスクマネジメント) ・現代的なリスクマネジメントのことで、全社型・統合型の2つの側面がある。全社型リスクマネジメント:特定の部門のみではなく経営陣から現場で働く従業員まですべての役職員がリスクマネジメントの活動に参加すること、統合的リスクマネジメント:特定の業務のみでなく企業経営に関わるすべての業務をリスクマネジメントの対象にすること (田邉一盛 エンジニアのためのリスクマネジメント入門)
結局のところERMとは:
・マイナスの影響だけではなくプラスの影響も含む
・リスクは利益の源泉としてリスクとリターンを一体的に考える
・リスク管理部や各事業部の個別対応ではなく企業全体の経営戦略と一体化している
・リスク担当の属人的な対応ではなく、組織運営のプロセスとして機能させ、経営者から各社員まで全員がリスク管理を担う
という特徴をもった考え方であるとまとめられそうです。
ところで、ISO31000が主流になれば上記のような考え方でやるのが当たり前になってくるので、ERMという用語をわざわざ使わなくなるのでは?と思います。2004年の時点では新しい考え方だったので、わざわざ新しい用語も作る必要があったということになりますね。
まとめ:エンタープライズリスクマネジメント(Enterprise Risk Management, ERM)とは?
Enterprise Risk Management(ERM、全社型リスクマネジメント)は、米国のCOSO(トレッドウェイ委員会組織委員会)による内部統制のフレームワークを発展させて誕生したものです。マイナスの影響だけではなくプラスの影響も含み、個別対応ではなく企業全体の経営戦略と一体化し、経営者から各社員まで全員がリスク管理を担う、という特徴をもつ考え方です。現在となっては「enterprise」をわざわざ頭に付けなくても意味的にはほとんど変わらないものと思われます。
次回はリスク学文脈とリスクマネジメント文脈における「リスクコミュニケーション」の違いについて書いていきます。
おまけ
以前にも書いたことがありますが、本ブログのタイトルはISO31000の定義のようにリスクは避けるものではなく利益のためにリスクを取りに行く、ということをまさに表現しています。リスクの語源といわれているrisicare(勇気をもって試みる)の意味です。よりよく生きるためには、自分のリスク許容度に照らし合わせて何のリスクをどれだけ取りに行くを考えることが大事だと思っています。
補足:記事を書くのに参考にした書籍など
コメント