リスク管理はどのような組織にも不可欠なものである。しかし、リスクマネジメントの2つの主要なフレームワーク、COSOとISO31000の違いは何でしょうか?この2つのフレームワークを探り、なぜそれが組織にとって重要なのかを議論してみよう。
COSO入門
トレッドウェイ委員会支援組織委員会(COSO)は1992年、組織がリスクを管理するためのフレームワークを確立した。このフレームワークは広く受け入れられ、世界中の多くの組織で使用されている。COSOフレームワークの導入方法を理解することは、リスクマネジメントの実践を成功させたい企業にとって不可欠である。ここでは、COSOフレームワークとは何か、そしてそれを効果的に活用する方法について見ていこう。
COSO フレームワークとは
COSO フレームワークは、組織が効果的にリスクを管理できるように設計された一連の原則、プロセス、および構造である。このフレームワークの主な目的は、リスクをより効果的に特定、監視、管理できる環境を構築することである。また、リスク管理活動に関する効果的なコミュニケーション、監督、意思決定のためのガイドラインを提供することにより、組織内の透明性と説明責任を促進する。
COSOフレームワークは、組織がリスクを識別、監視、管理するための5つの要素から構成されている:統制環境」、「リスク評価」、「統制活動」、「情報と伝達」、「モニタリング活動」である。各構成要素には、組織のリスクマネジメントプロセスに組み込むべき具体的な要素や目 的が含まれている。これらには、適切な方針と手続の確立、定期的なリスク評価の実施、特定されたリスクを軽減するための統制の実施、組織全体にわたるリスクに関する情報の伝達、定期的な結果のモニタリングなどが含まれる。
これらのステップに従うことにより、組織は、リスクマネジメント活動が適切に文書化され、伝達され、継続的にモニタリングされることを確保することができる。これにより、潜在的なリスクが迅速に特定され、組織に大きな損害や損失をもたらす前に対処できるようになる。さらに、リスクマネジメントのあらゆる側面を包括的に理解することは、投資やその他のビジネスチャンスを評価する際に、組織がより適切な判断を下すのに役立つ。
COSOフレームワークは、企業がリスクをより効率的に識別、監視、管理するのに役立つ一連の原則とプロセスを提供する。COSOが概説する5つの構成要素(統制環境、リスク評価、統制活動、情報とコミュニケーション、モニタリング活動)をリスクマネジメントの実践に組み込むことで、組織は、活動が適切に文書化され、組織全体に伝達され、継続的にモニタリングされることで、最大限の有効性を確保することができる。リスクマネジメントの取り組みを始めたばかりでも、既存のプロセスを改善する方法を探している場合でも、COSOフレームワークの導入方法を理解することは、変化し続ける今日のビジネス環境で成功するために不可欠である!
ISO31000フレームワーク入門
国際標準化機構(ISO)は、組織のリスク管理を支援するフレームワークを提供している。このフレームワークはISO 31000として知られており、リスク管理方針の策定方法、使用すべきツールの種類、リスクの評価方法に関するガイダンスを提供している。ここでは、ISO 31000のフレームワークの主要な要素と、それを実施するためのベストプラクティスを見てみよう。
ISO31000は、リスクを管理するための原則と一般的なガイドラインをまとめた国際規格である。リスクを特定し、分析し、評価し、処置し、監視し、伝達し、見直すためのリスクマネジメントプロセスを開発するためのガイダンスを提供する7つのステップで構成されている。また、このフレームワークは、リスクの許容レベルを決定するための基準の設定方法に関するガイダンスも提供している。
ISO 31000 を実施するためのベストプラクティス
ISO 31000 のフレームワークを実施する場合、組織は以下のベストプラクティスに従うべきである:
- 組織の目標、目的、リスクマネジメントへのアプローチ、及びそのプロセスに関与する各チームメンバーの役割/責任について概説した、明確かつ詳細な方針文書を作成する。
- 方針文書を作成する際には、すべての利害関係者を参加させる。これにより、組織内のリスク管理における各自の役割を全員が理解できるようになる。ESGコンプライアンスをこのプロセスに含めることができる。
- リスクマネジメントプロセスを促進するために、ソフトウェアプログラムやチェックリスト などの利用可能なツールを活用する。これらのツールは、プロセスを合理化し、組織全体の一貫性を確保するのに役立つ。
- 重大性または重要性に基づいてリスクを評価する基準を確立する。これは、組織が、どのリスクに最初に対処する必要があるか、または組織の業務全体を通じてより多くの注意を払う必要があるかを優先順位付けするのに役立つ。
- 必要に応じて、既存のポリシーの定期的な見直しと更新を確実に行う。これにより、組織は、適用される法律/規制または社内のポリシー/手順の遵守を確保しながら、変化する規制や業界標準に先手を打つことができる。
組織が直面する潜在的な脅威や課題に対する適切な監視がなければ、成長や収益性を確保する長期的な計画を策定することは困難です。ISO31000のフレームワークは、独自のリスク管理プログラムを業務に導入しようとする企業に包括的なガイドラインを提供します。明確な方針の策定、利用可能なツール/ソフトウェアプログラムの活用、重大性/重要性に基づくリスクの評価基準の設定、必要に応じて定期的なレビュー/更新の実施などのベストプラクティスに従うことで、組織は、適用される法律/規制または内部方針/手順の遵守を維持しながら、業務内の潜在的なリスクを管理するための効果的なシステムを確保することができます。
2つのフレームワークの比較(COSO vs ISO 31000)
COSOとISO31000はいずれも、あらゆる規模の組織に対して、効果的なリスクマネジメント戦略を策定するための包括的なガイダンスを提供している。しかし、この2つのアプローチにはいくつかの重要な違いがあり、どちらのアプローチが自社のニーズに最も適しているかを判断する際に考慮する必要がある。例えば、COSOは内部統制活動に重きを置いているのに対し、ISO31000は利害関係者とのコミュニケーションや変化を受け入れる風土づくりに重きを置いている。さらに、どちらのフレームワークも、特定されたリスクに関連する潜在的な損失の管理に重点を置いているが、COSOだけは、そのフレームワークの中で機会も取り上げている。
リスクマネジメントは、組織の規模や業種を問わず、組織の成功に不可欠なものですが、すべてのフレームワークが同じように作られているわけではありません。どのフレームワークが組織のニーズに最も適しているかを評価する際には、COSOのERMフレームワークとISO31000のリスクマネジメントのグローバルスタンダードの違いを理解することが重要である。最終的には、自組織に最適なフレームワークを選択することで、特定されたリスクに関連する潜在的な損失を管理するとともに、新たな機会が発生した場合にそれを活用するための効果的な戦略を確保することができる!
COSOまたはISO 31000のフレームワークを組織に統合したいとお考えですか?Empowered Systemのエンタープライズリスク管理ソリューションをご覧いただき、今すぐConnected Riskの無料デモをご請求ください!
