ERM フレームワークにおける 4 つの統制目的

内部統制フレームワークでは業務、財務報告、法規遵守の3つの統制目的であるが、

図表2－5が示すように、全社的リスクマネジメントでは4つ目のカテゴリーとして戦 略目的を追加している。

図表2－5 全社的リスクマネジメントの統制目的

①戦略目的 戦略目的はハイレベルな目標であり、事業体のミッションやビジョ ンと適切に組み合わされ、またミッションやビジョンを支援する。目 的は戦略レベルで設定され、業務目的、報告目的およびコンプライア ンス目的の基礎となる。

②業務目的 COSO内部統制フレームワークからの変更はない。事業体の業務の 有効性と効率性と関連し、業績目標や収益目標および資源の損失に対 する防止策などを含む。業務目的は構造や業績に関する経営者の選択 により変化する。

③報告目的 COSO内部統制フレームワークでは、報告目的は信頼しうる公表財 務諸表の作成に限定される。内部報告および非財務報告が追加された。

規制当局、認められた基準設定主体、または事業体の方針として明ら かにされる信頼性、適時性、透明性またはその他の観点を含む。経営 者によって内部で利用される報告書と外部関係者によって発行される 報告書を含み、規制当局への提出書類やその他利害関係者への報告書 を含んでいる。

④コンプライ

アンス目的 COSO 内部統制フレームワークからの変更はない。事業体が法律お よび規則を遵守すること。

出所：The Committee of Sponsoring Organizations of the Treadway Commission, Enterprise Risk Management - Integrated Framework、▶Executive Summary▶Framework, AICPA, September 2004,

pp.35-38. 八田進二監訳/中央青山監査法人訳『全社的リスクマネジメントフレームワーク篇』東洋

経済新報社、2006年、47-51頁。

62

ERMが戦略目的を統制することは、事業体の全社的なビジョンやミッションに基づく 経営計画を統制の範囲に含めることになるため、経営者の責任による活動を除外する内 部統制から、対象領域を大きく拡大することになる。ERMでは、事業体が価値を創造し、

維持し、実現する方法に焦点が当てられているのに対し、内部統制では、既に特定され た目的の達成に焦点が当てられている⁴¹。戦略目的以外の目的は、戦略を上位概念とす る関連目的として位置付けられる。

また、統制目的達成の合理的な保証は、ERMは内部統制とは基本的に変わらない考え 方である。すなわち、報告の信頼性と法規へのコンプライアンスという目的については、

外部によって課された基準に基づいて設定されたものであり、事業体の管理の範囲内に あるので、ERMには統制目的達成の合理的な保証を提供することが期待される。戦略目 的および業務目的の達成は、事業体の管理の範囲外の外部事象等に依存することがある ため、ERMは事業体の目的達成へ向けての進捗状況について、経営者ならびに取締役会 が適時に状況を把握することができるという合理的な保証を与えることができる。

3 ERMフレームワークの構成要素

COSO内部統制フレームワークの5つの構成要素は、統制環境、リスク評価、統制活 動、情報と伝達、モニタリングであり、全社的リスクマネジメントでは目的設定、事象 の識別、リスクの対応を追加している。統制環境（Control Environment）を内部環境

（Internal Environment）に名称の変更をしているが、同義であると考えられる。両者の 構成要素に関して、共通するもの、全社的リスクマネジメントで拡大されたもの、そし て新たに追加されたものは、図表2－6で整理している。

（1） 内部環境

内部環境は、内部統制における統制環境と同じく、他のすべての構成要素の基礎をな し、規律と構造を提供するものである。図表2－6が示すように、内部統制から拡大し たものとして「監督責任の遂行」、および追加されたものとして「リスク選好とリスク許 容度」と「リスクとポートフォリオの視点」がある。

63

図表2－6 内部統制と全社的リスクマネジメントの構成要素比較

出所：筆者作成。

「監督責任の遂行」の拡大とは、「社外取締役を取締役会の2人から過半数とした⁴²」 ことである。また、ERMフレームワークでは、リスク選好とリスク許容度の概念が導入 されている。リスク選好とは、「事業体が価値を追求するに当たり進んで受容する包括的 なリスク量⁴³」とされている。戦略によって期待されるリターンが事業体のリスク選好 と整合されるようにリスク選好が検討される。「戦略によって期待されるリターンが事業 体のリスク選好と整合されるようにリスク選好が検討⁴⁴」され、「戦略設定と関連目標の 選択において道標として機能する⁴⁵」とされる。リスク許容度は、「目的に対する差異が どの程度許容できるかというレベルのことである⁴⁶」とされている。経営者がリスク許 容度を設定する際に、「関連目的の相対的な重要性を考慮するとともに、リスク許容度と リスク選好を適切に組み合わせる。（略）リスク許容度の範囲内で業務を実施している限 りにおいては、事業体がリスク選好の範囲内にあることについての大きな保証が得られ、

（略）目的達成することについてのより高い満足を得られる⁴⁷」とされている。

共通するもの 拡大されたもの 追加されたもの

統制環境

①誠実性および倫理観に対する 　コミットメントの表明

②組織構造の確立

③有効な取締役会、監査委員会

④権限および責任の付与

⑤業務遂行能力に対するコミッ 　トメントの表明

⑥人的資源に関する基準確立

監督責任の遂行

（社外取締役２名

⇒過半数）

リスクマネジメント

（リスク選好およびリ スク許容度）の考え 方ーリスクとポート フォリオの視点

リスク 評価

①リスクの識別

②リスクの分析

②重大な変化の識別と分析

①事象の識別

②事象の相互関 　係による複合 　的なリスク評価

③リスク分析の 　精緻化

①リスクと機会の識別

②ポートフォリオの 　視点の展開

③事業機会の識別に 　おける戦略策定への 　フィードバック

④リスクへの対応

統制活動

①方針と手続を通じた展開

②統制活動の選択と整備

③情報システムに関する全般 　的統制活動の選択と整備

なし なし

情報と 伝達

①組織内における情報と伝達

②組織外における情報と伝達

関連性のある情報

の利用 なし

モニタリ ング活動

①日常的評価および独立的評価

②統制要素不備の評価と伝達 なし なし

64

また、リスク対応を行う前の固有リスクとリスク対応を行った後の残余リスクという 概念により、リスク許容度の判断は残余リスクに対してなされる。ERMはリスクをポー トフォリオの観点でとらえるよう求める。「事業体の各レベルをつなげて組み合わせた観 点で、事業体の全体的なリスクのポートフォリオが事業体のリスク選好と合致するか判 断することは、上級経営者の役割である⁴⁸」とされている。

ERMは内部統制の統制環境における要素は、下記のとおり基本的に引き継がれている。

① 誠実性および倫理観に対するコミットメントの表明

② 組織構造の確立

③ 有効な取締役会、監査委員会

④ 権限および責任の付与

⑤ 業務遂行能力に対するコミットメントの表明

⑥ 人的資源に関する基準確立

（2） 目的の設定

図表2－3が示すように、内部統制では目的の設定を経営者の判断・執行に属するも のとして除外している。一方で、図表2－6が示すように、ERMフレームワークでは目 的の設定が構成要素として追加されている。目的は戦略レベルで設定され、業務目的、

報告目的およびコンプライアンス目的の基礎となる。「目的を設定することは、有効な事 象の識別、リスクの評価およびリスクへの対応を行うための前提となる⁴⁹」とされてい る。ERMが目的設定のプロセスを構成要素とすることは、ERMがマネジメント・プロセ スを統制することを示している。

（3）事象の識別

内部統制フレームワークでは「事象の識別」は「リスク評価」に含まれていたが、ERM フレームワークでは独立した構成要素とされた。ERMと内部統制のフレームワークの両 方とも、目的達成を阻害する要因としてリスクをとらえ、事業体レベルのリスクは外部 要因および内部要因から生じ、活動レベルにおいてもリスクは識別されなければならな いと認識し、さらに、リスクの識別は包括的でなければならないとしている。

図表2－6が示すように、ERMフレームワークでは、内部統制における事象の識別の 概念が拡大されて、事業機会の識別および事象の相互依存による相関関係の評価が追加

65

された。経営者は、発生した場合に事業体に影響を与える潜在的事象を識別し、事業機 会かリスクであるかを決定する。そして、「潜在的にマイナスの影響を持つ事象はリスク であり、経営者による評価と対応が必要となる。潜在的にプラスの影響を持つ事象は事 業機会であり、経営者は戦略および目的設定プロセスに戻ってそのような事業機会を考 慮する⁵⁰」とされている。また、事象の相関関係とは、「事象の多くは単独で発生せず、

ひとつの事象が他の事象を引き起こすこともあれば、複数の事象が同時に発生すること もある⁵¹」とされている。事象に関する「相関関係を評価することにより、リスクマネ ジメントにおいて最も力を注ぐ領域を決定することができる⁵²」とされている。

事象をリスクと事業機会の両面から識別すること、および事象の相互依存による相関 関係を評価することにより、戦略の策定等の目的設定プロセスおよびリスクの評価なら びにリスクの対応プロセスにおいて、有効なマネジメントが期待できるものと考察され る。

（4）リスクの評価

内部統制とERMの両方のフレームワークは、特定のリスクの発生可能性とその潜在的 影響度に基づくリスクの評価を求めている。なお、ERMフレームワークでは、「潜在的 事象のプラス面およびマイナス面の影響は、事業全体にわたって、個々にあるいはカテ ゴリーごとに検証されるべきである⁵³」としている。また、固有リスクは、リスクの発 生の可能性や影響度を変更させるために、経営者が取るであろう行動が取られていない 状態において、事業体が抱えるリスクを意味し、残余リスクとは、経営者がリスクに対 応した後にもなお残存しているリスクを意味する⁵⁴。事業体のリスクの評価方法は、定 性的手法と定量的手法の組み合わせとされている。定量的手法として、ベンチマーキン グ、確立モデル、非確立モデルが例示されている⁵⁵

（5）リスクの対応

ERMフレームワークで「リスクの対応」が追加された。COSO内部統制フレームワー ク（1992年）では、リスクの対応は求められていなかった。リスクの対応は、リスクの 回避（Avoidance）、低減（Reduction）、共有（Sharing）、および受容（Acceptance）の 4つのカテゴリーに分類されている⁵⁶。ERMの一環として、経営者はこれらのカテゴリ ーから取り得る対応を検討し、残余リスクのレベルをリスク許容度に整合させるように