内部環境の課題

内部環境は、内部統制における統制環境と同じく、他のすべての構成要素の基礎をな し、規律と構造を提供するものである。図表2－6が示すように、内部統制から拡大し たものとして「監督責任の遂行」、および追加されたものとして「リスク選好とリスク許 容度」と「リスクとポートフォリオの視点」がある。

63

図表2－6 内部統制と全社的リスクマネジメントの構成要素比較

出所：筆者作成。

「監督責任の遂行」の拡大とは、「社外取締役を取締役会の2人から過半数とした⁴²」 ことである。また、ERMフレームワークでは、リスク選好とリスク許容度の概念が導入 されている。リスク選好とは、「事業体が価値を追求するに当たり進んで受容する包括的 なリスク量⁴³」とされている。戦略によって期待されるリターンが事業体のリスク選好 と整合されるようにリスク選好が検討される。「戦略によって期待されるリターンが事業 体のリスク選好と整合されるようにリスク選好が検討⁴⁴」され、「戦略設定と関連目標の 選択において道標として機能する⁴⁵」とされる。リスク許容度は、「目的に対する差異が どの程度許容できるかというレベルのことである⁴⁶」とされている。経営者がリスク許 容度を設定する際に、「関連目的の相対的な重要性を考慮するとともに、リスク許容度と リスク選好を適切に組み合わせる。（略）リスク許容度の範囲内で業務を実施している限 りにおいては、事業体がリスク選好の範囲内にあることについての大きな保証が得られ、

（略）目的達成することについてのより高い満足を得られる⁴⁷」とされている。

共通するもの 拡大されたもの 追加されたもの

統制環境

①誠実性および倫理観に対する 　コミットメントの表明

②組織構造の確立

③有効な取締役会、監査委員会

④権限および責任の付与

⑤業務遂行能力に対するコミッ 　トメントの表明

⑥人的資源に関する基準確立

監督責任の遂行

（社外取締役２名

⇒過半数）

リスクマネジメント

（リスク選好およびリ スク許容度）の考え 方ーリスクとポート フォリオの視点

リスク 評価

①リスクの識別

②リスクの分析

②重大な変化の識別と分析

①事象の識別

②事象の相互関 　係による複合 　的なリスク評価

③リスク分析の 　精緻化

①リスクと機会の識別

②ポートフォリオの 　視点の展開

③事業機会の識別に 　おける戦略策定への 　フィードバック

④リスクへの対応

統制活動

①方針と手続を通じた展開

②統制活動の選択と整備

③情報システムに関する全般 　的統制活動の選択と整備

なし なし

情報と 伝達

①組織内における情報と伝達

②組織外における情報と伝達

関連性のある情報

の利用 なし

モニタリ ング活動

①日常的評価および独立的評価

②統制要素不備の評価と伝達 なし なし

64

また、リスク対応を行う前の固有リスクとリスク対応を行った後の残余リスクという 概念により、リスク許容度の判断は残余リスクに対してなされる。ERMはリスクをポー トフォリオの観点でとらえるよう求める。「事業体の各レベルをつなげて組み合わせた観 点で、事業体の全体的なリスクのポートフォリオが事業体のリスク選好と合致するか判 断することは、上級経営者の役割である⁴⁸」とされている。

ERMは内部統制の統制環境における要素は、下記のとおり基本的に引き継がれている。

① 誠実性および倫理観に対するコミットメントの表明

② 組織構造の確立

③ 有効な取締役会、監査委員会

④ 権限および責任の付与

⑤ 業務遂行能力に対するコミットメントの表明

⑥ 人的資源に関する基準確立

（2） 目的の設定

図表2－3が示すように、内部統制では目的の設定を経営者の判断・執行に属するも のとして除外している。一方で、図表2－6が示すように、ERMフレームワークでは目 的の設定が構成要素として追加されている。目的は戦略レベルで設定され、業務目的、

報告目的およびコンプライアンス目的の基礎となる。「目的を設定することは、有効な事 象の識別、リスクの評価およびリスクへの対応を行うための前提となる⁴⁹」とされてい る。ERMが目的設定のプロセスを構成要素とすることは、ERMがマネジメント・プロセ スを統制することを示している。

（3）事象の識別

内部統制フレームワークでは「事象の識別」は「リスク評価」に含まれていたが、ERM フレームワークでは独立した構成要素とされた。ERMと内部統制のフレームワークの両 方とも、目的達成を阻害する要因としてリスクをとらえ、事業体レベルのリスクは外部 要因および内部要因から生じ、活動レベルにおいてもリスクは識別されなければならな いと認識し、さらに、リスクの識別は包括的でなければならないとしている。

図表2－6が示すように、ERMフレームワークでは、内部統制における事象の識別の 概念が拡大されて、事業機会の識別および事象の相互依存による相関関係の評価が追加

65

された。経営者は、発生した場合に事業体に影響を与える潜在的事象を識別し、事業機 会かリスクであるかを決定する。そして、「潜在的にマイナスの影響を持つ事象はリスク であり、経営者による評価と対応が必要となる。潜在的にプラスの影響を持つ事象は事 業機会であり、経営者は戦略および目的設定プロセスに戻ってそのような事業機会を考 慮する⁵⁰」とされている。また、事象の相関関係とは、「事象の多くは単独で発生せず、

ひとつの事象が他の事象を引き起こすこともあれば、複数の事象が同時に発生すること もある⁵¹」とされている。事象に関する「相関関係を評価することにより、リスクマネ ジメントにおいて最も力を注ぐ領域を決定することができる⁵²」とされている。

事象をリスクと事業機会の両面から識別すること、および事象の相互依存による相関 関係を評価することにより、戦略の策定等の目的設定プロセスおよびリスクの評価なら びにリスクの対応プロセスにおいて、有効なマネジメントが期待できるものと考察され る。

（4）リスクの評価

内部統制とERMの両方のフレームワークは、特定のリスクの発生可能性とその潜在的 影響度に基づくリスクの評価を求めている。なお、ERMフレームワークでは、「潜在的 事象のプラス面およびマイナス面の影響は、事業全体にわたって、個々にあるいはカテ ゴリーごとに検証されるべきである⁵³」としている。また、固有リスクは、リスクの発 生の可能性や影響度を変更させるために、経営者が取るであろう行動が取られていない 状態において、事業体が抱えるリスクを意味し、残余リスクとは、経営者がリスクに対 応した後にもなお残存しているリスクを意味する⁵⁴。事業体のリスクの評価方法は、定 性的手法と定量的手法の組み合わせとされている。定量的手法として、ベンチマーキン グ、確立モデル、非確立モデルが例示されている⁵⁵

（5）リスクの対応

ERMフレームワークで「リスクの対応」が追加された。COSO内部統制フレームワー ク（1992年）では、リスクの対応は求められていなかった。リスクの対応は、リスクの 回避（Avoidance）、低減（Reduction）、共有（Sharing）、および受容（Acceptance）の 4つのカテゴリーに分類されている⁵⁶。ERMの一環として、経営者はこれらのカテゴリ ーから取り得る対応を検討し、残余リスクのレベルをリスク許容度に整合させるように

統制活動は、経営者のリスク対応策が実行されているとの保証を与えるのに役立つ方 針および手続である⁵⁹。統制活動には、承認、権限の付与、検証、照合、業績のレビュ ー、資産の保全および職務の分離など、多岐にわたる多様な活動が含まれる⁶⁰。内部統 制とERMの両方のフレームワークとも、経営者のリスクへの対応が実行されることの保 証を支援するものとして統制活動が提示されている⁶¹。

（7）情報と伝達

ERMフレームワークは、内部統制フレームワークに「関連性のある情報の利用」を拡 大した。

① 情報

情報システムは、内部で作成された情報および外部情報源からの情報を用い、リス クを管理し、目的に関連した十分な情報に基づく意思決定のために必要な情報を提供 する⁶²。情報の必要性は、「全組織のレベルでリスクを識別、評価、対応し、さらには 事業体を運営しその目的達成のためである⁶³」として、経営者の課題は、「大量の情報 を実行可能な情報になるように処理し改良し改良することである⁶⁴」といわれる。こ の課題は、「的確な情報を収集，加工、分析し、報告するにいたる情報システムのイン フラを整備することにより達成される⁶⁵」とされる。また、「的確な情報を適時に適切 な場所で把握することはERMを有効ならしめるために重要⁶⁶」とされるが、これが、

「情報システムは、ERMの構成要素の一つである一方で、コントロールされるべきも のである⁶⁷」所以である。

② 伝達

有効なコミュニケーションとは、組織内を縦横に（上から下へ、横に、下から上に）