ERM × 内部統制

bar_long.gif

 

ITコーディネータ 神﨑 勝利

 

 ERMEnterprise Risk Management)連載・第一回目の今回は、先ず基礎知識を身に付けて頂きたい。また、内部統制との関係を整理することで、内部統制対応後の取組みとしてのERMを理解し、適用に役立てばと思う次第である。

 

■ERMとは

 ERMは事業体の取締役会、マネジメント、そのほかのスタッフによって遂行され、事業体全体の戦略策定に適用される1つのプロセスである。
事業体に影響を及ぼす発生可能な事象を特定して、事業体のリスク選好に応じたリスクマネジメントが実施できるように設計され、事業体の目的達成に関して合理的な保証を提供することが目的である。
Enterprise Risk Management ― Integrated Framework
COSO
Committee of Sponsoring Organizations of the Treadway Commission200496

■COSO ERM
フレームワーク

 米国のトレッドウェイ委員会組織委員会(COSO)は内部統制システムを有効に機能させるため、企業組織のリスクと機会を全社横断的・継続的に評価・改善していくフレームワークを開発するプロジェクトを2001年に発足させ、プライスウォーターハウス・クーパース(PwC)に委託した。その結果は、Enterprise Risk Management Integrated Framework」(エンタープライズ・リスクマネジメント-統合的枠組み)という報告書にまとめられ、2004年に公表された。これが俗に“COSO ERMフレームワークと呼ばれるもので、経営や戦略の視点からリスク許容度を設定・コントールすること、個々のリスクをポートフォリオの観点から統合管理することを提唱している。

 

リスクと機会                                       

 COSO ERMフレームワークでは、リスク(Risksを「組織体の目標達成にマイナスの影響を及ぼす事象が発生する可能性」と限定し、プラスの影響については機会(opportunitiesとしている。

 

■ERMと内部統制の関係

 COSO ERMフレームワークは、内部統制フレームワークを代替するものではなく、これを内包して範囲を拡大したものである。ERMフレームワークには、「4つの目的」と「8つの構成要素」、そして事業体(全体)や部署(部分)といった「適用範囲」があり、それらが立方体(キューブ)の関係にあると紹介されている。COSOフレームワークに比べると、目的に「戦略」が追加され、構成要素に「目的設定」が加わって「リスク評価」が「事象認識」「リスク評価」「リスク対応」に分割・詳細化されている。

COSO_ERMgif

 

■内部統制からERMへのステップアップ

 前述のようにERMは内部統制を包含していると言える。つまり内部統制の取組みがしっかりと出来ていれば、ステップアップとしてのERMへ進みやすいということになる。
 内部統制における企業およびこの組織を構成する人々の取り組みは、ある意味で必要不可欠な土台であって、単なる法的な対応ではなかったはずである。

■内部統制の基本原則

 ここで内部統制の基本的な進め方を要約しておく。概略ステップは、以下のようになる。
 計画>文書化>評価>改善>運用評価>運用改善
 計画では一般的なプロジェクト計画と同様に、スコープや体制、スケジュールなどが基本事項になるが、どれくらいの人手や時間(工数)が必要になるかの見積が先ず困難であったであろうことは想像できるが、運用開始以降の体制や監視基準なども構築しておく必要がある。経営活動の一つとしてとらえれば、大きな間違いは起こらないはずであるが、一過的な作業と考えてしまうと、これこそがリスクとなる。

 

■内部統制の文書化と維持
内部統制の文書化においては、
・業務フロー図
・リスクコントロールマトリックス(RCM
・業務記述書

のいわゆる三点セットがすべてのベースであるが、これらの維持管理も重要であり、他の活動の基本になっているので、これらの陳腐化は、リスク管理の不徹底に自動的に繋がる。

業務フロー図に三点セットの基本が詰まっていることが保守性を高めることにもなるので、整合性の確保が考慮されていれば、精度が知らぬ間に落ちてしまうことを食い止めやすい。ここで簡易に導入しやすい方策を紹介しておく。

Microsoft Office Visio 内部統制文書化ツール』は、Visio でフローを記述することになる点に嫌悪感さえ無ければ、今後内部統制が必要な企業や事業に導入するには、良い方策かも知れない。本ツールでは、フロー図からRCMと記述書を作成することが出来、フロー図にリスクやコントロール、業務記述を記載することを基本にしているので、フロー図を三点セットの中核として保守・確認しておけば、大きな漏れは発生しないという利点がある。

template_documents.jpg

※最新版は、Office2007に対応しています。

 

■業務フローには業務の基本が詰まっている

業務フローは、業務進行とプレイヤーの二軸から成るが、プレイヤーは組織と役割の定義が基盤になっているはずである。組織変更や役職・責務の変更は、業務フロー図に影響が出る可能性があり、業務進行は業務活動や取引先の関係変更の影響を受ける可能性もあるので、経営における内外の変化は、これらの全てに影響を与える可能性があるということになる。

逆の言い方をすれば、業務フロー図によって業務定義することで、最適な解を求めることにもなることがあるし、リスクやコントロール材料を発見する助けにもなっているはずである。内部統制対応のために大雑把に記載されていたり、全体を見渡して粒度の違いが大きいような文書があれば、再度整備の要否を確認してみると良い。

 

!サマリー

ERMEnterprise Risk Management)は、企業組織のリスクと機会を全社横断的・継続的に評価・改善していく手法である。

ERMは、内部統制を包含した枠組みである。

 

bar_long.gif
   ERM(Enterprise Risk Management)