内部監査について その2 ERM エンタープライズ・リスク・マネジメント
その1 →ログイン - はてな では、監査の世界でもISOと同じような基準が存在するという話をしました。
今回は、リスクマネジメントの基準について説明します。
まず、代表的なものとして、「COSOのフレームワーク」というものがあります。
COSOとは、トレッドウェイ委員会組織委員会(Comittee of Sponsoring Organizations of Treadway Commission;COSO)のことで、1980年代に米国で相次いだ不正財務報告を減少させるために設立した組織です。
そのCOSOが1992年に公表した内部統制に関する報告書がCOSOレポートであり、その中で示された事実上の世界標準となる内部統制に関するしくみを「COSOのフレームワーク」といいます。
さらに、2004年に、COSOのフレームワークを大手監査法人PwCによって昇華させたものにエンタープライズ・リスク・マネジメントフレームワーク(ERMフレームワーク)があります。
今回は、そのERMフレームワークについて紹介します。
エンタープライズ・リスク・マネジメントは、組織体の取締役会、経営者、その他の組織内のすべての者によって遂行され、組織体の戦略策定に適用され、組織体全体にわたって適用され、事業目的の達成に関する合理的な保証を与えるために、組織体に影響を及ぼす発生可能な事象を識別し、組織体のリスク選好に応じてリスクの管理が実施できるように設計された、一つのプロセスである。
「Enterprise Risk Management - Integrated Framework Executive Summary」より
フレームワークでは、4つの事業目的の達成に焦点をあてています。
1.戦略:事業上のミッション
2.業務活動:経営資源の有効で効率的な活動
3.財務報告:信頼性のある財務報告
4.コンプライアンス :法令およびその他の守るべきルールの順守
つまり、戦略を達成しようとした場合に考えられるリスクを「内部環境」「目的設定」・・・「監視活動」といった側面から検証しようというものです。
同じく、業務活動や財務報告、コンプライアンスについても同じ要領で検証します。
しかも、それらを組織階層別にみていきます。
財務報告の信頼性を担保するために、事業体、部署、事業構造、関連子会社(全社、事業部、部、課、関連子会社)、それぞれの単位で検証するイメージです。
では次に、組織内の4つの事業目的を達成するための8つの要素について説明します。
1.内部環境
2.目的設定
3.事業認識
4.リスク評価
5.リスク対応
6.統制活動
7.情報とコミュニケーション
8.監査活動
・内部環境(Internal Environment)
内部環境とは、組織の性質とか価値観といったものです。
リスクに対する考え方、リスク選好、誠実性、倫理観といったことが含まれます。
・目的に設定(Objective Setting)
組織のミッションと整合した”セクションごとの目的”のことをいいます。
もちろん、リスク選好とも整合している必要があります。
・事業認識(Event Identification)
組織の外部および内部の状況についての認識です。
外部および内部で起こっていることにどういったリスクまたは機会が潜むのかを、あらかじめ、できる範囲で想定しなければなりません。
・リスク評価(Risk Assessment)
リスクと機会の評価です。
発生可能性×影響度 で評価される場合が多いです。
また、固有ベースと同時に残余ベースの評価も必要です。
・リスク対応(Risk Response)
リスクへの対応です。
一般的には、「回避」「受容」「低減」「共有」といった方法があります。
・統制活動(Control Activities)
リスク対応のための運用手順とその実行と思ってください。
・情報と伝達(Information and Communication)
組織内および組織外のコミュニケーションです。
・監視活動(Monitering)
1から7の項目についての監視と評価です。
このERMを管理することで、リスク管理を体系的に行うことができるわけです。
私が内部監査に携わっていたのはちょうど1年ほど前までですが、ネットや関連書籍などでもERMの活用について述べられたものが多くありました。
また、ここ最近の会社法の改正やガバナンスコードの発行など、グローバル経営に向けた経営の透明化促進の流れからしても、今後はこのERMなど体系的なリスク管理手法がさらに普及していくでしょう。