2023/09/17公開

COSO-ERMとは？2017年改訂のフレームワーク内容を解説

COSO-ERMとは、事業体における全社的リスクマネジメントや不正防止に対するフレームワークです。2004年に第1版が公表され、2017年には大幅な改訂が行われました。

CIA（公認内部監査人）の試験にもCOSO-ERMの基本的な知識が求められるため、CIA取得を目指す上でもCOSO-ERMはおさえておきたい内容です。

本記事では、COSO-ERMの概要に触れつつ、2017年の改訂のフレームワーク内容を解説します。

目次
COSO-ERMとは
 COSO-ERM 2017年改訂内容のポイント
 COSO-ERMを使って内部統制を円滑に行おう

COSO-ERMとは

COSO-ERMとは、2004年にCOSO（米国トレッドウェイ委員会支援組織委員会）が発表したERM（Enterprise Risk Management）のフレームワークのことを指します。

COSO-ERMは1992年に公表された内部統制のフレームワークを基に、不祥事などへの対応に重点を置いた考え方を1つの解として公表したものです。2004年の公表から10年以上が経過し、情報テクノロジーの発展やグローバル化に伴い、企業が直面するリスクは更に多様化・複雑化しました。

このような経営環境の変化やリスクに対する関心の高まりを受け、COSOは2017年にCOSO-ERMの改訂版を公表しました。2023年現在では、2017年に公表されたものが最新となります。

参照：金融庁「事務局資料「内部統制を巡る動向」」
参照：金融庁検査局「COSOレポートの概要等について｜『内部統制フレームワーク』と『全社的リスクマネジメント』」

COSO（米国トレッドウェイ委員会支援組織委員会）とは

COSO（米国トレッドウェイ委員会支援組織委員会）とは、アメリカ合衆国で設立された民間部門主導の団体です。組織統治、ビジネス倫理、内部統制、ビジネスリスクマネジメント、不正行為および財務報告などの関連事項について、経営幹部や政府機関を指導することを目的としてミッションに取り組んでいます。

具体的な取り組みとしては、内部統制や全社的リスクマネジメント、不正抑止に関する包括的なフレームワークとガイダンスの開発が挙げられます。

COSOは次の団体の協賛と資金提供によって運営されています。

アメリカ会計学会（American Accounting Association）
米国公認会計士協会（American Institute of Certified Public Accountants）
財務管理者協会（Financial Executives International）
管理会計人協会（Institute of Management Accountants）
内部監査人協会（The Institute of Internal Auditors）

この5つの団体の協力の下、内部統制の概念や評価基準などにおける共通のフレームワークが策定されました。

ERMとは

ERMとはEnterprise Risk Managementの略称で、リスクマネジメントの手法のことです。

統合型リスク管理とも呼ばれており、組織に発生するリスクに対し、組織全体の視点から統合的・包括的・戦略的に把握・評価・最適化し、価値の最大化を図ろうとする仕組みやプロセスを指します。

COSO-ERMにおけるフレームワークでは、ERMは、「組織が価値を創造し、維持し、実現する過程においてリスクを管理するために依拠する、戦略策定ならびに実行と一体化したカルチャー、能力、実務」であると定義されています。

参照：トレッドウェイ委員会支援組織委員会「内部統制の統合的フレームワーク」
参照：町田祥弘「COSOの内部統制フレームワークについて」

COSO-ERMの意義・特徴

COSO-ERMの意義は、経営者や取締役会、外部利害関係者および事業体に関わる者が細則主義に陥ることなく、内部統制における各自の職責を果たせるように設計されている点が挙げられます。

COSO-ERMの特徴は、リスクマネジメントの観点から内部統制のフレームワークを包含するような形で整理されていることです。企業がリスクを全社的かつ統合的にコントロールし、事業目的を遂行できるようにする合理的保証を提供しているとも言われています。

加えて、COSO-ERMの構成要素には、財務情報に加え非財務情報も含まれている点も理解しておくべき特徴の1つです。

参照：トレッドウェイ委員会支援組織委員会「内部統制の統合的フレームワーク」
参照：金融庁検査局「COSOレポートの概要等について｜『内部統制フレームワーク』と『全社的リスクマネジメント』」

COSO-ERM 2017年改訂内容のポイント

先述したように、2017年にCOSO-ERMの改訂版が公表されました。2004年の旧COSO-ERMと2017年に改訂されたCOSO-ERMとの大きな変更点は次の3つです。

「リスク」の定義の見直し
構成要素の見直し
「20の原則」の提示

ここでは、3つの変更点について詳しく見ていきましょう。

「リスク」の定義の見直し

2017年版のCOSO-ERMでは「リスク」の定義が次のように見直されました。

版	「リスク」の定義
2004年版（旧版）	・目的達成を阻害する影響を及ぼす事象が生じる可能性のこと ※マイナスの影響を与える事象を「リスク」、プラスの影響を与える事象を「事業機会（opportunity）」と区別していた
2017年版（改訂版）	事業戦略およびビジネス目標の達成に影響を与える不確実性のこと ※「リスク」と「事業機会」を区別せず、両者を併せて「リスク」とした

旧版と改訂版の大きな違いは「リスク」と「事業機会」を区別しているかという点です。改訂版では、経営にプラスの影響を与える事業機会もリスクに含むようになりました。

「リスク」は戦略やパフォーマンスと一体のものへと変化

「リスク」の定義の変更により、リスクマネジメントはマイナスの影響から守る「守り」だけでなく、事業戦略やビジネス目標に関わる「攻め」の部分もリスクマネジメントの対象に含まれるようになりました。

これは、戦略策定時や日常業務もリスクと関連付けて意思決定を行うことが有用的であると示しています。

この定義の変更により、リスクは事業における戦略やパフォーマンスと一体であるものへと変化したと考えられます。

構成要素の見直し

改訂版では構成要素が見直されました。具体的な変更点は以下の通りです。

版	構成要素
2004年版（旧版）	・内部環境・目的の設定・事象の識別・リスクの評価・リスクへの対応・統制活動・情報と伝達・モニタリング
2017年版（改訂版）	・ガバナンスとカルチャー・戦略と目標設定・パフォーマンス（実行）・レビューと見直し・情報、伝達と報告

フレームワークの8つの構成要素から5つに削減されており、内容も改められています。

「20の原則」の提示

改訂版の最大の特徴は、全社的リスクマネジメントの5つの構成要素に関連する基本的な概念として「20の原則」を提示した点です。

「20の原則」には、全社的リスクマネジメントの実務として行われると想定された事項が示されています。これらは、内部監査において全社的リスクマネジメントの有効的な評価を行う場合の視点として活用できます。

従来、内部監査における全社的リスクマネジメントの評価には主観的な判断になりやすい側面がありました。「20の原則」を活用することで客観的な視点から評価できるようになるため、内部監査の品質向上にも繋がります。

「20の原則」の内容

改訂版で新たに提示された「20の原則」の内容は次の通りです。

構成要素	原則
ガバナンスとカルチャー	・取締役会によるリスク監視を行う・業務構造を確立する・望ましいカルチャーを定義づける・コアバリューに対するコミットメントを表明する・有能な人材を惹きつけ、育成し、保持する
戦略と目標設定	・事業環境を分析する・リスク選好を定義する・代替戦略を評価する・事業目標を組み立てる
パフォーマンス	・リスクを識別する・リスクの重大度を評価する・リスクの優先順位づけをする・リスク対応を実施する・ポートフォリオの視点を策定する
レビューと修正	・重大な変化を評価する・リスクとパフォーマンスをレビューする・全社的リスクマネジメントの改善を追求する
情報、伝達および報告	・情報とテクノロジーを有効活用する・リスク情報を伝達する・リスク、カルチャーおよびパフォーマンスについて報告する