本ウェブサイトでは、Cookieを利用しています。本ウェブサイトを継続してご利用いただく際には、当社のCookieの利用方針に同意いただいたものとみなします。
本ウェブサイトでは、Cookieを利用しています。本ウェブサイトを継続してご利用いただく際には、当社のCookieの利用方針に同意いただいたものとみなします。
リスク管理とは、リスクの原因に対し防止策を実施することです。リスク管理は企業価値の損失を防ぐためにも重要な取り組みといえます。
しかし、具体的にどのような方法でリスク管理に取り組めばよいのか分からないという方もいるでしょう。
本記事では、リスク管理の概要・目的、具体的な実施方法やフレームワークについて解説します。リスク管理について疑問を抱えている方はぜひ参考にしてください。
目次
リスク管理とは
リスク対応方法やフレームワーク
IIAによる3ラインモデル
リスク管理は現代の企業経営に必須
リスク管理とは事故や不祥事などのリスクが発生しないように、原因を特定し、防止策を検討・実施することを意味します。
リスク管理をより理解していくため、ここでは以下の点について解説します。
それぞれ詳しく見ていきましょう。
リスク管理のフレームワークである「COSO-ERM」と「ISO31000」では、リスクを次のように定義しています。
フレームワーク | リスクの定義 |
---|---|
COSO-ERM | 事業戦略およびビジネス目標の達成に影響を与える不確実性のこと |
ISO31000 | 目的に対する不確かさの影響 |
COSO-ERMの旧版では目的達成を阻害する事象が発生する可能性としていましたが、2017年の改訂版では、マイナス影響に加え経営にプラスの影響を与える事業機会もリスクに含まれるようになりました。また、戦略を策定する際や日常業務をリスクと関連付けて意思決定を行うことが有用的であると示されています。
ISO31000が定義するリスクは、プラスとマイナスの両面をリスクの対象とし、リスクを考える際には、悪い影響をもたらすものだけでなく、良い影響をもたらすものも考慮すべきとされています。
またCOSO-ERMとISO31000の双方において、プラスとマイナスのリスクを対象としており、幅広い範囲をカバーする定義となっています。
危機管理とは、危機が発生した場合にその影響を最小限に食い止め、可能な限り迅速に平時の状況に戻すための管理活動を指します。例えば、テロ、自然災害、不祥事、製品の欠陥等への危機対策があります。
リスク管理と危機管理は、事前に備えることにより将来的な問題に対処するという意味では同じです。
リスク管理は将来的に発生するかもしれないリスクを抽出し、リスクを回避するための管理活動ですが、危機管理は、危機が発生した場合に影響を最小限に留め回復を図るための管理活動を指します。
リスクコントロールとはリスク管理の手法の1つです。具体的にはリスクの発生を事前に防止するための対処法であり、万が一リスクが発生した場合に、できる限りリスクの規模を抑える方法を指します。
例えば、事前対策としては契約書の見直し、事後対策としては訴訟対策が挙げられます。明確な違いがあるというよりは、リスク管理の中にリスクコントロールが含まれると理解するとよいでしょう。
では、具体的にどのようにリスク管理を行えばよいのでしょうか。
ここでは、リスクへの対応方法およびリスク管理に関連する2つのフレームワークの内容について解説します。
リスクへの対応方法には次の4つが挙げられます。
対応方法 | 具体的な対応例 |
---|---|
リスク回避 | リスクの発生要因そのものを取り除き、リスクの発生を回避する |
リスク低減 | リスク発生の可能性を下げる リスク発生時の影響度合いを小さくする |
リスク移転 | 発生が考えられるリスクを自社外(第三者)へ移転する |
リスク受容 | 発生したリスクを認識しつつも特に対策は取らず、許容し受け入れること |
COSO-ERMやISO31000では、上記のリスク対応の幅をさらに拡充しており、具体的なリスク対応のフレームワークとして活用されています。
COSO-ERMとは事業体における全社的リスクマネジメントや不正防止に対するフレームワークです。
1992年に公表された内部統制のフレームワークを基に、不正および不祥事などへの対応に焦点を当てた考え方の1つとして公表されました。
COSO-ERMには「5つの構成要素」と「20の原則」が提示されています。「20の原則」にはリスク管理を全社的に行う場合、有効的な評価の視点になる内容が示されています。
関連記事:アビタス CIA「COSO-ERMとは?2017年改訂のフレームワーク内容を解説」
ISO31000は、リスクマネジメントにおける指針を示した規格です。
「8つの原則」を掲げており、リスクマネジメントを組織全体に定着させるための仕組みとしての枠組みやリスクマネジメントで取り組むべきプロセスなどを提示しています。
品質管理システムや環境マネジメントシステムなど、他のマネジメントシステムとの整合性を持たせた構成になります。そのため、COSO-ERMと比較すると、ISO31000は簡易的な内容になっています。
関連記事:アビタス CIA「ISO31000とは?他のリスクマネジメント規格との違いも解説」
3ラインモデルとは、IIA(内部監査人協会)が2020年7月に発表したガバナンスとリスクマネジメントの構造およびプロセスについてのモデルです。
従来の指針であった「3つのディフェンスライン」では、リスクと内部統制に必要な3つのラインを示しています。新たに発表された3ラインモデルは大きく内容が変わるものではありませんが、ガバナンスとの関係性がより明確に示されています。
ここでは、3つのディフェンスラインと3ラインモデルについて詳しく見ていきましょう。
参照:一般社団法人日本内部監査協会「IIAの3ラインモデル」
参照:一般社団法人日本内部監査協会「3つのディフェンスライン全体でのCOSOの活用」
従来あった「3つのディフェンスライン」とは、リスクと内部統制の手段を有効的に管理するために、3つの別々のグループによって役割を分担させる必要があるという考え方です。
具体的には、以下の3つのディフェンスラインと役割が示されていました。
ディフェンスライン | 役割 |
---|---|
第1のディフェンスライン | ・経営者によるコントロール ・内部統制手段 |
第2のディフェンスライン | ・財務管理 ・検査 ・コンプライアンス ・セキュリティ ・品質 ・リスクマネジメント |
第3のディフェンスライン | ・内部監査 |
3つのディフェンスラインは、リスク管理と内部統制に必要な3つのラインを示していますが、組織の縦割りの運用を招くなどの課題がありました。
新たに設けられた「3ラインモデル」におけるそれぞれの役割は次の通りです。
立場 | 役割 |
---|---|
統治機関 | ・ガバナンスを有効的に実施するために、適切な構造とプロセスを整備する ・企業目標と活動がステークホルダーの優先する利益と整合するようにする |
経営管理者 | 【第1ラインの役割】 ・顧客に製品やサービスを提供したり、リスクを管理したりする 【第2ラインの役割】 ・リスク管理における専門的知識やモニタリングを提供し、支援を行う |
内部監査 | 【第3ラインの役割】 独立した立場から客観的なアシュアランスと助言を行う |
3ラインモデルは、従来の「第1ライン、第2ライン、第3ライン」に加え、3つの活動主体である「統治機関、経営管理者、内部監査」の関係性が示されたことで、ガバナンスとモデルの関係性がより明確となりました。
3ラインモデルでは、3つのラインが相互に報告・指示・監督を実施する関係性になる点が特徴です。
本記事ではリスクの定義からリスク管理の対応方法について解説しました。リスク管理とは発生したリスクに対する事後対応ではなく、リスクの原因を特定し、防止策を検討・実施することを意味します。
リスク管理の対応方法は、「リスク回避、リスク低減、リスク移転、リスク受容」があり、COSO-ERMやISO31000では、リスク対応の幅をさらに拡充し、具体的なリスク対応のフレームワークとして活用されています。適切にリスク管理を実施し、できる限りリスク発生を防止し、企業価値の損失を防ぎましょう。
リスク管理を適切に実施するためには、リスク管理に関連する資格取得で知識を習得するとよいでしょう。数多くあるリスク管理に関連する資格の中では、CIA(公認内部監査人)がおすすめです。
CIAとは内部監査におけるスキルを対外的に証明できる国際資格です。リスク管理の知識だけでなく、内部監査や財務会計、経営学など幅広い知識を体系的に習得できます。
アビタスでは2005年にCIAプログラムを開講して以来、圧倒的な合格実績を挙げ続けています。合格率を上げるために、オリジナル教材と講師の質の良さにこだわっています。
講師は対法人向けの内部監査の実務研修も行っており、専門分野の知識だけでなく、ティーチングスキルにも優れているのが魅力です。
また、通学・通信を併用できるコースやスキマ時間で学習できるコンテンツなども揃えており、忙しい社会人でも効率よく学習できる環境が整っています。
CIAをはじめとする内部監査に関する資格の取得を目指している方は、ぜひアビタスの利用を検討してみてください。
最近のエントリー