COSO ERM こそえんたーぷらいずりすくまねじめんと
簡単に言うとこんな感じ!
会社全体のリスクを「見える化」して、戦略や目標と結びつけながら管理するための世界標準の枠組みだよ!「何が起きたらどう困るか」を体系的に整理して、転ばぬ先の杖を用意しておくためのガイドブックってイメージなんだ!
COSO ERMとは
COSO ERM(Committee of Sponsoring Organizations of the Treadway Commission – Enterprise Risk Management)とは、米国の民間団体「COSOトレッドウェイ委員会後援組織委員会」が策定した、企業全体のリスクを包括的に管理するためのフレームワーク(枠組み)です。「内部統制」や「リスク管理」の世界標準として、上場企業や大手企業のガバナンス整備に広く活用されています。
2004年に初版が公表され、2017年に大幅改訂された「COSO ERM 2017」では、戦略とリスクの連動が強調されました。単にリスクを減らすだけでなく、リスクを取ることで生まれる価値(事業機会)とのバランスを考える視点が加わっており、経営者が「どこまでリスクを取るか」を意思決定する際の羅針盤として機能します。
日本でも、金融庁が推進するコーポレートガバナンス・コードや内部統制報告制度(J-SOX)との親和性が高く、リスク管理体制の構築・評価において参照されることが多いフレームワークです。
COSO ERMの構造と5つのコンポーネント
COSO ERM 2017は、5つのコンポーネントと20の原則で構成されています。企業の「ミッション・ビジョン・コアバリュー」を頂点に据え、その下に5層の構造を持ちます。
| コンポーネント | 概要 | 主な問いかけ |
|---|---|---|
| ① ガバナンスと文化 | リスク管理の土台となる組織風土・体制の整備 | リスクへの姿勢は明確か? |
| ② 戦略と目標設定 | 経営戦略とリスク選好(リスクアペタイト)の連動 | どこまでリスクを取るか? |
| ③ パフォーマンス | リスクの識別・評価・対応策の実施 | 何が脅威で、どう対処するか? |
| ④ 見直しと改訂 | 実績を評価して改善につなげるサイクル | うまく機能しているか? |
| ⑤ 情報・伝達・報告 | リスク情報の社内外への適切な共有 | 必要な人に伝わっているか? |
覚え方:「ガ・セ・パ・見・情」
5つのコンポーネントを頭文字で「ガ(ガバナンス)・セ(戦略)・パ(パフォーマンス)・見(見直し)・情(情報)」と覚えると、順番ごと思い出しやすくなります。
リスクアペタイトとは?
リスクアペタイト(Risk Appetite)とは「どれだけのリスクなら受け入れられるか」という許容範囲のことです。たとえば「新規事業では売上の10%まで損失リスクを許容する」のように定量的・定性的に定めます。COSO ERM 2017ではこの概念が特に重視されており、経営者がリスクと機会のバランスを意識した意思決定を行う基盤となります。
歴史と背景
- 1985年 — トレッドウェイ委員会(不正財務報告を研究する米国の組織)設立。5つの主要専門団体が後援する「COSO」が誕生
- 1992年 — COSOが内部統制の統合的フレームワーク(COSO IC)を公表。内部統制の世界標準として普及
- 2002年 — 米国でSOX法(サーベンス・オクスリー法)が施行。企業の内部統制整備が法的義務となり、COSO ICへの注目が急拡大
- 2004年 — COSO ERM 初版公表。内部統制の概念をリスク全体に拡張し、戦略レベルからのリスク管理を提唱
- 2006年 — 日本で金融商品取引法(J-SOX)が施行され、COSOフレームワークが実務の基準として定着
- 2013年 — COSO IC(内部統制フレームワーク)を大幅改訂。現代のビジネス環境に対応
- 2017年 — COSO ERM 改訂版公表。「戦略・パフォーマンスとの統合」を前面に出し、ESGやテクノロジーリスクへの対応を追加
- 現在 — サイバーリスク・気候変動・サプライチェーンリスクへの適用が世界的に議論されている
COSO ICとCOSO ERMの違い、および他フレームワークとの比較
COSO ERMとよく混同される「COSO IC」や、リスク管理の国際規格「ISO 31000」との違いを整理します。
| 比較軸 | COSO IC | COSO ERM | ISO 31000 |
|---|---|---|---|
| 策定主体 | COSO(米国) | COSO(米国) | ISO(国際標準化機構) |
| 主な対象 | 財務報告・コンプライアンス | 全社戦略・価値創造 | 全業種・全規模 |
| 認証制度 | なし | なし | なし |
| 法令との連動 | J-SOX・SOX法 | コーポレートガバナンス | — |
| 改訂年 | 2013年 | 2017年 | 2018年 |
関連する規格・RFC
| 規格番号 | 内容 |
|---|---|
| ISO 31000:2018 | リスクマネジメントの国際規格。COSO ERMと相互補完的に使われることが多い |
| ISO/IEC 27005:2022 | 情報セキュリティリスクマネジメント。COSO ERMのIT・セキュリティ領域への適用に参照される |
関連用語
- 内部統制 — 企業が業務の適正・財務報告の信頼性を確保するための仕組み
- COSO IC — COSOが策定した内部統制の統合的フレームワーク(COSO ERMの土台)
- J-SOX — 日本版SOX法。上場企業に内部統制報告書の提出を義務付ける制度
- リスクアペタイト — 組織が戦略目標達成のために受け入れるリスクの種類・量の許容範囲
- コーポレートガバナンス — 企業が適切に管理・監督される仕組み全体
- ISO 31000 — リスクマネジメントの国際標準規格
- コンプライアンス — 法令・規則・社内ルールを守ること。COSO ERMの重要な管理目的のひとつ
- NIST CSF — 米国NISTが策定したサイバーセキュリティフレームワーク。COSO ERMと組み合わせて使われることも多い