セキュリティフレームワーク・モデル

COSO ERM こそえんたーぷらいずりすくまねじめんと

エンタープライズリスクマネジメント内部統制リスク管理COSOフレームワークガバナンスコンプライアンス
COSO ERMについて教えて

簡単に言うとこんな感じ!

会社全体のリスクを「見える化」して、戦略や目標と結びつけながら管理するための世界標準の枠組みだよ!「何が起きたらどう困るか」を体系的に整理して、転ばぬ先の杖を用意しておくためのガイドブックってイメージなんだ!


COSO ERMとは

COSO ERM(Committee of Sponsoring Organizations of the Treadway Commission – Enterprise Risk Management)とは、米国の民間団体「COSOトレッドウェイ委員会後援組織委員会」が策定した、企業全体のリスクを包括的に管理するためのフレームワーク(枠組み)です。「内部統制」や「リスク管理」の世界標準として、上場企業や大手企業のガバナンス整備に広く活用されています。

2004年に初版が公表され、2017年に大幅改訂された「COSO ERM 2017」では、戦略とリスクの連動が強調されました。単にリスクを減らすだけでなく、リスクを取ることで生まれる価値(事業機会)とのバランスを考える視点が加わっており、経営者が「どこまでリスクを取るか」を意思決定する際の羅針盤として機能します。

日本でも、金融庁が推進するコーポレートガバナンス・コードや内部統制報告制度(J-SOX)との親和性が高く、リスク管理体制の構築・評価において参照されることが多いフレームワークです。


COSO ERMの構造と5つのコンポーネント

COSO ERM 2017は、5つのコンポーネント20の原則で構成されています。企業の「ミッション・ビジョン・コアバリュー」を頂点に据え、その下に5層の構造を持ちます。

コンポーネント概要主な問いかけ
① ガバナンスと文化リスク管理の土台となる組織風土・体制の整備リスクへの姿勢は明確か?
② 戦略と目標設定経営戦略とリスク選好(リスクアペタイト)の連動どこまでリスクを取るか?
③ パフォーマンスリスクの識別・評価・対応策の実施何が脅威で、どう対処するか?
④ 見直しと改訂実績を評価して改善につなげるサイクルうまく機能しているか?
⑤ 情報・伝達・報告リスク情報の社内外への適切な共有必要な人に伝わっているか?

覚え方:「ガ・セ・パ・見・情」

5つのコンポーネントを頭文字で「ガ(ガバナンス)・セ(戦略)・パ(パフォーマンス)・見(見直し)・情(情報)」と覚えると、順番ごと思い出しやすくなります。

リスクアペタイトとは?

リスクアペタイト(Risk Appetite)とは「どれだけのリスクなら受け入れられるか」という許容範囲のことです。たとえば「新規事業では売上の10%まで損失リスクを許容する」のように定量的・定性的に定めます。COSO ERM 2017ではこの概念が特に重視されており、経営者がリスクと機会のバランスを意識した意思決定を行う基盤となります。


歴史と背景

  • 1985年 — トレッドウェイ委員会(不正財務報告を研究する米国の組織)設立。5つの主要専門団体が後援する「COSO」が誕生
  • 1992年 — COSOが内部統制の統合的フレームワーク(COSO IC)を公表。内部統制の世界標準として普及
  • 2002年 — 米国でSOX法(サーベンス・オクスリー法)が施行。企業の内部統制整備が法的義務となり、COSO ICへの注目が急拡大
  • 2004年COSO ERM 初版公表。内部統制の概念をリスク全体に拡張し、戦略レベルからのリスク管理を提唱
  • 2006年 — 日本で金融商品取引法(J-SOX)が施行され、COSOフレームワークが実務の基準として定着
  • 2013年 — COSO IC(内部統制フレームワーク)を大幅改訂。現代のビジネス環境に対応
  • 2017年COSO ERM 改訂版公表。「戦略・パフォーマンスとの統合」を前面に出し、ESGやテクノロジーリスクへの対応を追加
  • 現在 — サイバーリスク・気候変動・サプライチェーンリスクへの適用が世界的に議論されている

COSO ICとCOSO ERMの違い、および他フレームワークとの比較

COSO ERMとよく混同される「COSO IC」や、リスク管理の国際規格「ISO 31000」との違いを整理します。

COSO IC・COSO ERM・ISO 31000 の関係 COSO IC (内部統制) 対象: 財務報告の 信頼性・法令遵守 視点: 現場オペレーション 5要素・17原則 J-SOX対応の基準 として広く採用 COSO ERM (エンタープライズRM) 対象: 全社リスク+ 戦略・価値創造 視点: 経営層・取締役会 5要素・20原則 ICを内包・拡張した 上位フレームワーク ISO 31000 (国際リスク管理規格) 対象: あらゆる組織・ 業種・規模 視点: プロセス重視 認証制度なし 原則・枠組み・ プロセスの3層構造 拡張 補完 COSO ERMはCOSO ICを「内包」する上位概念。両方の導入が推奨される
比較軸COSO ICCOSO ERMISO 31000
策定主体COSO(米国)COSO(米国)ISO(国際標準化機構)
主な対象財務報告・コンプライアンス全社戦略・価値創造全業種・全規模
認証制度なしなしなし
法令との連動J-SOX・SOX法コーポレートガバナンス
改訂年2013年2017年2018年

関連する規格・RFC

規格番号内容
ISO 31000:2018リスクマネジメントの国際規格。COSO ERMと相互補完的に使われることが多い
ISO/IEC 27005:2022情報セキュリティリスクマネジメント。COSO ERMのIT・セキュリティ領域への適用に参照される

関連用語

  • 内部統制 — 企業が業務の適正・財務報告の信頼性を確保するための仕組み
  • COSO IC — COSOが策定した内部統制の統合的フレームワーク(COSO ERMの土台)
  • J-SOX — 日本版SOX法。上場企業に内部統制報告書の提出を義務付ける制度
  • リスクアペタイト — 組織が戦略目標達成のために受け入れるリスクの種類・量の許容範囲
  • コーポレートガバナンス — 企業が適切に管理・監督される仕組み全体
  • ISO 31000 — リスクマネジメントの国際標準規格
  • コンプライアンス — 法令・規則・社内ルールを守ること。COSO ERMの重要な管理目的のひとつ
  • NIST CSF — 米国NISTが策定したサイバーセキュリティフレームワーク。COSO ERMと組み合わせて使われることも多い