本ウェブサイトでは、Cookieを利用しています。本ウェブサイトを継続してご利用いただく際には、当社のCookieの利用方針に同意いただいたものとみなします。

AbitusCIA合格者数4,341名
(2024年3月末時点)

03-3299-3330
  • 2024/02/21公開

ERMとは?必要性や実施の基本ステップ、よくある課題と対処法を解説

ERMとは?必要性や実施の基本ステップ、よくある課題と対処法を解説

ERMとは統合型リスクマネジメントとも呼ばれ、組織全体でリスク管理を実施する手法です。しかし、「どうしてERMが必要なのか」「どのようなステップで実施したらよいのか」が分からないという声も多く聞かれます。

本記事ではERMの概要、必要性、実施の基本ステップについて分かりやすく解説します。

目次
ERM(エンタープライズ・リスク・マネジメント)とは
ERM実施の基本ステップ
ERMのよくある課題と対処法
ERMに関連するフレームワーク・規格
ERMと内部監査の関係
ERMで組織が直面するリスクを戦略的に管理しよう

ERM(エンタープライズ・リスク・マネジメント)とは

ERM(エンタープライズ・リスク・マネジメント)とは組織全体で発生する様々なリスクを管理し、マネジメントを図るリスク管理の手法です。統合型リスク管理とも呼ばれ、リスクマネジメントの態勢としては先進的なアプローチの手法ともいえます。

  • ERMと従来型リスクマネジメントの違い
  • ERMの必要性

ここからは、上記の2点について見ていきましょう。

ERMと従来型リスクマネジメントの違い

ERMと従来型リスクマネジメントの大きな違いは、リスクマネジメントの対象と管理体制の2点です。

従来型リスクマネジメントでは、業務上発生し得る危機・不祥事・災害・損失など、不確実性の伴う個別のリスクを対象とし、そのリスクを低減することが目的とされています。

しかし、リスク管理に携わるのは特定の部署に限定され、子会社や海外展開している企業の場合、各企業によってリスク管理の意識の差が生じているケースも見受けられます。

一方ERMは、従来のリスクに加え、経営戦略上や財務目標におけるリスクにも範囲を広げています。また、リスクの許容範囲を策定し、その範囲内で戦略を立て、経営目標の達成を目指しています。統合的・戦略的・総合的にリスク管理を行うことで、多様化・複雑化しているリスクに対応する点がERMの特徴と言えるでしょう。

ERMの必要性

従来型リスクマネジメントの場合、部署内ではリスクが認識されているものの、グループ全体では見逃されてしまう恐れもありました。そのため、防止できたはずのリスクが発生してしまう可能性も高いと言えます。

ERMにより、企業全体で統合的にリスク管理の体制を構築し、効率的に対応していくことで、従来型リスクマネジメントで取りこぼしていたリスクにも対応できるようになります。

また、企業全体でリスクの原因や種類などを分かりやすく可視化することで、従業員がリスクについて正しく判断できるようになります。加えて、リスク対策も共有することで不安要素が排除でき、リスク管理の精度向上も期待できます。

ERM実施の基本ステップ

ERMを実施する基本のステップを見てみましょう。

  • リスクの発見・確認
  • リスク分析・算定・評価
  • リスク対応(処理・制御)
  • リスク受容
  • リスクコミュニケーション

ここでは、それぞれのステップについて解説します。

リスクの発見・確認

企業全体の事業計画や業務において、どこに、どのようなリスクが、どのような状態で発生する可能性があるのかを発見・確認します。

リスクを抽出する際には確認対象を部門ごとやステークホルダーごとなどに細分化するとよいでしょう。

リスクを発見するために、複数人で意見を出し合うブレインストーミングを活用するのも1つの手法です。

リスク分析・算定・評価

リスクの発生頻度・影響度・形態などを分析し、対策を講じる必要性について評価分類別に特定します。

リスクの発生頻度と影響度の乗数でリスクの大きさを評価し、課題の優先順位を明確にしましょう。発生頻度と影響度を整理するためにリスクマップを作成することで、リスクの見える化が可能になります。

実際に課題解決に着手する場合、ヒト・モノ・カネといった経営資源や対策効果について考慮することが大切です。

リスク対応(処理・制御)

リスクの種類や性質に応じて、企業の経営活動に及ぼす影響をコントロールするために最善策を検討します。リスクへの対策としては、「1.リスク回避 → 2.リスク低減 →3.リスク移転」の順序で方法を決定します。

リスク対策 詳細
1.リスク回避 ・リスクの発生した事業の中止など、リスクを除去するための活動のこと
・リスクはほぼゼロとなり効果は大きいものの、事業の中止などは対応が難しい場合がある
2.リスク低減 ・リスクを減らすための活動のこと
・リスク発生の可能性を下げる、もしくはリスクから受ける影響の大きさを小さくする対策のこと
3.リスク移転 ・リスクを別の組織体と共有させて、その影響を分散させること
・(例)保険への加入、リスクのある業務のアウトソーシング

リスク受容

リスク受容とは、リスク対応を行った結果、残ったリスクを受け入れることです。場合によっては、リスク対応を行わずそのまま受け入れるケースもあります。

リスク対策が困難な場合や対策費用が膨大にかかる場合、リスクが顕在化した場合でも影響が軽微な場合などがあげられます。

リスクを抱えることになるため、慎重な判断が必要となります。

リスクコミュニケーション

リスクコミュニケーションとはステークホルダーと潜在的・顕在的リスクに関する適切なコミュニケーションを図ることを意味します。

リスクコミュニケーションでは企業のトップが社内にリスクマネジメントシステムの必要性を浸透させていくことが大切です。

そもそも事業体の目標達成のためには、適切な状況下で適切な情報を共有することが不可欠です。そのため、前提として企業のトップが自らリスクマネジメントの必要性を認識し、社内に浸透させていく取り組みが必要となります。

ERMのよくある課題と対処法

基本ステップ通りにERMを実施しても、以下のような課題が生じてしまうケースも少なくありません。

  • ERMがうまく機能しない
  • 特定のリスクばかり重視してしまう
  • リスクの分類・評価方法が分からない

ここでは、よくある課題と対処法について解説します。

ERMがうまく機能しない

ERMがうまく機能していない場合、リスクマネジメントの体制やプロセスが不十分であること、意識が不足していることなど、取り組みが適切に行われていない可能性があります。

対策としては、以下が挙げられます。

  • リスクの根本原因への理解を深め、課題解決を目指す
  • 成果が見えやすい仕組みづくりを意識する

また、ERMをうまく機能させるためにはそれぞれのマネジメント活動のバランスを調整し、より必要性のある活動に注力することが大切です。

特定のリスクばかり重視してしまう

財務報告上のリスクやコンプライアンスリスクなど特定のリスクばかり重視してしまうケースも少なくありません。考えられる原因は、次の2点です。

  • リスクと戦略が関連付けられていない
  • リスク管理の重点となる領域が適切ではない

特定のリスクのみに限定されてしまっている場合、リスクを特定するプロセスに問題はないか、経営層や取締役会はどのようにERMの結果を審議しているのかを再度確認しましょう。

リスクの分類方法が分からない

リスクの分類では、報告されたリスクを小、中、大の順に分け、議論を重ねて分類を探求する方法が有効です。この際、経営活動における重要度合いや業務特性との関わり、社内での理解のしやすさなどを意識する点がポイントです。

また、リスクはその大きさにより重要度が評価されます。リスクの大きさは、「影響の大きさ」×「発生頻度」で考え評価します。評価した各リスクは、「縦軸:影響度」「横軸:発生頻度」としたリスクマップに並べ、対策が必要なリスクの優先度を把握することが必要です。

参照:日本内部監査協会「ERMについてのよくある質問集(FAQ)p53」

まずは無料の説明会にご参加ください。

CIA(公認内部監査人)の無料説明会予約はこちら

ERMに関連するフレームワーク・規格

ERMに関連のあるフレームワーク・規格は次の2つがあります。

  • COSO-ERM
  • ISO31000

2つの概要を見ていきましょう。

COSO-ERM

COSO-ERMとは、2004年に公表されたERMのフレームワークのことです。

2017年に改訂版が発表され、ERMの構成要素に関連する基本的な概念である「20の原則」が追加されました。「20の原則」は、内部監査において有効的な評価を実施するためにも理解しておきたい内容です。

関連記事:アビタス CIA「COSO-ERMとは?2017年改訂のフレームワーク内容を解説」

ISO31000

ISO31000とはリスクマネジメントに関する一般的な指針を提示した国際標準規格であり、リスクマネジメントの手法や関連用語が掲載されています。

組織内のリスクマネジメントの用語や概念など、ISO31000を基準に設定することで、異なるシステムを利用している部署同士でも意思統一を図ることが可能です。加えて、将来的に別のシステムを導入する場合も整合性が取りやすくなる点が利点といえます。

関連記事:アビタス CIA「ISO31000とは?他のリスクマネジメント規格との違いも解説」

ERMと内部監査の関係

ERMで実施される組織目標の明確化、リスクの洗い出し、リスクの評価、リスクへの対応、モニタリングという一連の流れと、内部監査部門が行うリスクマネジメントの監査の内容は基本的には同一です。

しかし、リスク管理部門によるモニタリングでは、各部門の報告が正しいことを前提としていることが多く、リスクマネジメントの適切性・有効性の評価まで踏み込んでいるケースは少ないのが現状です。

一方、内部監査部門が実施するリスクマネジメントの監査では、独立した立場からリスクマネジメントの適切性・有効性の検証や評価が行われます。一定の監査スキルを習得した内部監査人による監査によって、より踏み込んだ検証と評価を行うため、リスクマネジメントの適切性や有効性を細部まで確認できるでしょう。

ERMで組織が直面するリスクを戦略的に管理しよう

ERMは組織全体で発生する可能性のあるリスクを管理し、マネジメントを図る手法です。リスク管理に企業全体で取り組み、リスクの評価基準や報告項目を統一することで、リスク管理の効率性を高めることが可能です。

ERMを適切に機能させるためには、リスクの根本解決や成果が見えやすい仕組みづくりが重要となります。そのため、COSO-ERMやISO31000など関連するフレームワーク・規格を参考にするのも方法の1つです。

CIA(公認内部監査人)を目指すならアビタス

アビタスでは2005年にCIAプログラムを開講して以来、圧倒的な合格実績を挙げ続けています。合格率を上げるために、オリジナル教材と講師の質の良さにこだわっています。

講師は対法人向けの内部監査の実務研修も行っており、専門分野の知識だけでなく、ティーチングスキルにも優れているのが魅力です。

また通学・通信を併用できるコースやスキマ時間で学習できるコンテンツなども揃えており、忙しい社会人でも効率よく学習できる環境が整っています。

CIAをはじめとする内部監査に関する資格取得を目指している方は、ぜひアビタスの利用を検討してみてください。

まずは無料の説明会にご参加ください。

説明会予約(無料)

合わせてお読みください

最近のエントリー

カテゴリから探す
  1. トップ
  2. アビタスコラム/CIA
  3. ERMとは?必要性や実施の基本ステップ、よくある課題と対処法を解説