リスク管理とは、組織や事業に影響を及ぼす可能性のあるリスクを特定、分析、評価し、適切な対策を立てることです。

リスク管理は企業価値の損失を防ぐためにも重要な取り組みといえます。

リスク管理を体系的かつ効果的に実践するための指針となるのがフレームワークです。フレームワークを活用すると、目的や範囲、プロセスなどが明確になるため、組織全体で一貫したリスク管理が行えます。

本記事では、リスク管理の概要・目的、具体的な実施方法、主要なフレームワーク、リスク管理に関連する資格について解説します。リスク管理について疑問を持っている人はぜひ参考にしてください。

目次
リスク管理とは
リスク管理に関連する用語とその違い
リスク対応方法やフレームワーク
IIAによる3ラインモデル
リスク管理に関連する資格
リスク管理は現代の企業経営に必須

リスク管理とは企業の目標達成に影響を及ぼすリスクを特定し、その影響度を評価した上で、適切な対策を講じることで、それぞれのリスクを許容可能な範囲に抑えるプロセスです。

想定されるリスクには、情報漏えいや自然災害、事故、市場変動、法規制の変更など様々なものがあります。効果的にリスク管理を行うには、全社的な取り組みが重要です。

リスク管理のフレームワークである「COSO-ERM」と「ISO31000」では、リスクを次のように定義しています。

フレームワーク	リスクの定義
COSO-ERM	事業戦略およびビジネス目標の達成に影響を与える不確実性のこと
ISO31000	目的に対する不確かさの影響

COSO-ERMの旧版では目的達成を阻害する事象が発生する可能性としていましたが、2017年の改訂版では、マイナス影響に加え経営にプラスの影響を与える事業機会もリスクに含まれるようになりました。また、戦略を策定する際や日常業務をリスクと関連付けて意思決定を行うことが有用的であると示されています。

ISO31000が定義するリスクは、プラスとマイナスの両面をリスクの対象とし、リスクを考える際には、悪い影響をもたらすものだけでなく、良い影響をもたらすものも考慮すべきとされています。

またCOSO-ERMとISO31000の双方において、プラスとマイナスのリスクを対象としており、幅広い範囲をカバーする定義となっています。

参照：pwc「ERM（全社的リスクマネジメント）改訂版COSO ERMフレームワークの解説」

リスク管理に関連する用語も多くあります。リスク管理に関連する用語やリスク管理との違いをあわせて理解しておくことで、適切な対策や役割分担の明確化につながります。

ここでは、以下の4点について解説していきます。

• リスク管理と危機管理の違い
• リスク管理とBCPの違い
• リスク管理とリスクコントロールの違い
• リスク管理とリスクアセスメントの違い

それぞれ詳しく見ていきましょう。

危機管理とは、危機が発生した場合にその影響を最小限に食い止め、可能な限り迅速に平時の状況に戻すための管理活動です。危機管理のことをクライシスマネジメント（Crisis Management）ともいいます。例えば、テロ、自然災害、不祥事、製品の欠陥等への危機対策があります。

リスク管理と危機管理は、事前に備えることにより将来的な問題に対処するという意味では同じです。

リスク管理は将来的に発生するかもしれないリスクを抽出し、リスクを回避するための管理活動ですが、危機管理は、危機が発生した場合に影響を最小限にとどめ回復を図るための管理活動を指します。

関連記事：アビタス CIA「クライシスマネジメントとは？リスクマネジメントとの違いや手順を解説」

BCP（事業継続計画）とは、自然災害やテロ、重大な事故などの緊急事態が起きた際に事業への被害を最小限に抑え、迅速に事業を復旧するための手順をまとめた計画のことです。

リスク管理と同様、企業の危機に備えて前もって準備するものですが、対象範囲や目的が異なります。

BCPでは、事業の中断を引き起こす可能性のある重大なリスクに特化して対策を立てます。自社の中核事業を特定しておくことも重要です。

一方、リスク管理は企業運営に影響を与える可能性のある、あらゆるリスクの発生防止や軽減を目指します。つまり、BCPはリスク管理の一部といえます。

リスクコントロールとはリスク管理の手法の1つです。具体的にはリスクの発生を事前に防止するための対処法であり、万が一リスクが発生した場合に、できる限りリスクの規模を抑える方法を指します。

例えば、事前対策としては契約書の見直し、事後対策としては訴訟対策が挙げられます。明確な違いがあるというよりは、リスク管理の中にリスクコントロールが含まれると理解するとよいでしょう。

リスクアセスメントについて、厚生労働省は以下のように定義しています。

”リスクアセスメントとは、事業場にある危険性や有害性の特定、リスクの見積り、優先度の設定、リスク低減措置の決定の一連の手段”

参照：厚生労働省 職場のあんぜんサイト「安全衛生キーワード｜リスクアセスメント」

リスクアセスメントとは、職場の潜在的な危険性や有害性といったリスクを低減するための安全確認の方法ともいえます。

リスク管理が組織や事業といった広範囲を対象としているのに対し、リスクアセスメントは職場にいる従業員の安全確保にフォーカスしている点が違いだと考えられます。

関連記事：アビタス CIA「リスクアセスメントとは？目的や必要性、手法ややり方を解説」

まずは無料の説明会にご参加ください。

では、具体的にどのようにリスク管理を行えばよいのでしょうか。

ここでは、リスクへの対応方法およびリスク管理に関連する2つのフレームワークの内容について解説します。

リスクへの対応方法には次の4つが挙げられます。

対応方法	具体的な対応例
リスク回避	リスクの発生要因そのものを取り除き、リスクの発生を回避する
リスク低減	リスク発生の可能性を下げる リスク発生時の影響度合いを小さくする
リスク移転	発生が考えられるリスクを自社外（第三者）へ移転する
リスク受容	発生したリスクを認識しつつも特に対策は取らず、許容し受け入れること

COSO-ERMやISO31000では、上記のリスク対応の幅をさらに拡充しており、具体的なリスク対応のフレームワークとして活用されています。

COSO-ERMとは事業体における全社的リスクマネジメントや不正防止に対するフレームワークです。

1992年に公表された内部統制のフレームワークを基に、不正および不祥事などへの対応に焦点を当てた考え方の1つとして公表されました。

COSO-ERMには「5つの構成要素」と「20の原則」が提示されています。「20の原則」にはリスク管理を全社的に行う場合、有効的な評価の視点になる内容が示されています。

関連記事：アビタス CIA「COSO-ERMとは？2017年改訂のフレームワーク内容を解説」

ISO31000は、リスクマネジメントにおける指針を示した規格です。

「8つの原則」を掲げており、リスクマネジメントを組織全体に定着させるための仕組みとしての枠組みやリスクマネジメントで取り組むべきプロセスなどを提示しています。

品質管理システムや環境マネジメントシステムなど、他のマネジメントシステムとの整合性を持たせた構成になります。そのため、COSO-ERMと比較すると、ISO31000は簡易的な内容になっています。

関連記事：アビタス CIA「ISO31000とは？他のリスクマネジメント規格との違いも解説」

3ラインモデルとは、IIA（内部監査人協会）が2020年7月に発表したガバナンスとリスクマネジメントの構造およびプロセスについてのモデルです。

従来の指針であった「3つのディフェンスライン」では、リスクと内部統制に必要な3つのラインを示しています。新たに発表された3ラインモデルは大きく内容が変わるものではありませんが、ガバナンスとの関係性がより明確に示されています。

ここでは、3つのディフェンスラインと3ラインモデルについて詳しく見ていきましょう。

参照：一般社団法人日本内部監査協会「IIAの3ラインモデル」
参照：一般社団法人日本内部監査協会「3つのディフェンスライン全体でのCOSOの活用」

従来あった「3つのディフェンスライン」とは、リスクと内部統制の手段を有効的に管理するために、3つの別々のグループによって役割を分担させる必要があるという考え方です。

具体的には、以下の3つのディフェンスラインと役割が示されていました。

ディフェンスライン	役割
第1のディフェンスライン	・経営者によるコントロール ・内部統制手段
第2のディフェンスライン	・財務管理 ・検査 ・コンプライアンス ・セキュリティ ・品質 ・リスクマネジメント
第3のディフェンスライン	・内部監査

3つのディフェンスラインは、リスク管理と内部統制に必要な3つのラインを示していますが、組織の縦割りの運用を招くなどの課題がありました。

新たに設けられた「3ラインモデル」におけるそれぞれの役割は次の通りです。

立場	役割
統治機関	・ガバナンスを有効的に実施するために、適切な構造とプロセスを整備する ・企業目標と活動がステークホルダーの優先する利益と整合するようにする
経営管理者	【第1ラインの役割】 ・顧客に製品やサービスを提供したり、リスクを管理したりする 【第2ラインの役割】 ・リスク管理における専門的知識やモニタリングを提供し、支援を行う
内部監査	【第3ラインの役割】 独立した立場から客観的なアシュアランスと助言を行う

3ラインモデルは、従来の「第1ライン、第2ライン、第3ライン」に加え、3つの活動主体である「統治機関、経営管理者、内部監査」の関係性が示されたことで、ガバナンスとモデルの関係性がより明確となりました。

3ラインモデルでは、3つのラインが相互に報告・指示・監督を実施する関係性になる点が特徴です。

リスク管理に取り組む担当者に、特別な資格は必要ありません。

ただし、リスク管理を行うには、専門的な知識が求められます。こうした知識を効率よく体系的に習得するには、資格取得も有効な手段の1つです。

ここでは、リスク管理に関連する資格を4つ紹介します。

• CRMA®（公認リスク管理監査人）
• CRISC（公認情報システムリスク管理者）
• CIA（公認内部監査人）
• 企業危機・コンプライアンス管理士

詳しく見ていきましょう。

CRMA®（公認リスク管理監査人）は、リスク管理とガバナンスに特化した高い専門的な知識があることを証明する国際的な資格です。内部監査の国際的団体IIAが提供しています。

CRMA®は国際的に認知されており高い評価を得ています。日本においては十分浸透しているとはいえないものの、一部の大企業や金融機関などの内部監査部門で、CRMA®保持者の採用や育成を行う動きが見られます。

なお、CRMA®は英語のみの受験となっています。

参照：一般社団法人日本内部監査協会「IIA認定国際資格｜CRMA®」

CRISC（公認情報システムリスク管理者）は、情報システムに関するリスク管理とセキュリティに特化した国際的な資格です。

情報システム監査・情報セキュリティ・リスク管理・ITガバナンスに関する国際的な専門団体であるISACA®が提供しています。

様々なIT関連の資格がある中で、CRISCは国際的に認知度の高い資格として知られています。

情報セキュリティ、IT監査、リスク管理の専門家にとって重要な資格といえるでしょう。取得すると、ITリスクマネジメントやコントロールに関する専門知識や実務経験があることをアピールできます。

ただし、日本語での試験は実施されていません。

参照：ISACA®「ISACA®の資格｜CRISC」

CIA（公認内部監査人）は、IIA（内部監査人協会）が提供している内部監査の国際的な資格です。保有すると、内部監査に関する専門知識があることが証明されます。

内部監査人の監査対象は、企業のあらゆる部門に及んでいます。CIA資格を取得すると、内部監査の知識を体系的に学習できるだけでなく、幅広いビジネス知識を習得することにもなります。

CIAはアメリカ発祥の国際資格で、国際的な認知度も高く、グローバルに活躍したい人にも向いている資格です。また、日本語での受験が可能な点もメリットといえるでしょう。

日本でも内部監査の重要性に対する認識は高まりを見せており、内部監査人の専門性の向上が求められています。そのため、CIAは今後さらにニーズが高まる資格といえるでしょう。

関連ページ：アビタス CIA「公認内部監査人（CIA）とは？取得するメリット、他資格比較」

企業危機・コンプライアンス管理士とは、2024年度から名称変更された資格です。それまでは、企業危機管理士といわれていました。

自然災害、風評被害、不正会計、情報漏えい、法令違反など幅広いリスクに関する知識を包括的に取り扱う資格であることを示すために、名称が変更されました。

受験資格の制限はなく、誰でも受験できます。出題範囲が広く、合格すると危機管理およびコンプライアンスについての豊富な知識が身についていることが証明されます。

幅広いリスクについての多くの知識が得られ、管理職だけでなく、総務や人事、営業、広報など幅広い部署で役立つ資格です。

参照：一般財団法人全日本情報学習振興協会「企業危機・コンプライアンス管理士認定試験」

本記事ではリスクの定義からリスク管理の対応方法について解説しました。リスク管理とは発生したリスクに対する事後対応ではなく、リスクの原因を特定し、防止策を検討・実施することを意味します。

リスク管理の対応方法は、「リスク回避、リスク低減、リスク移転、リスク受容」があり、COSO-ERMやISO31000では、リスク対応の幅をさらに拡充し、具体的なリスク対応のフレームワークとして活用されています。適切にリスク管理を実施し、できる限りリスク発生を防止し、企業価値の損失を防ぎましょう。

リスク管理を体系的に理解するには、関連資格の取得も有効です。内部監査におけるスキルを証明できる国際資格、CIA（公認内部監査人）などの取得を検討してみましょう。

アビタスでは2005年にCIAプログラムを開講して以来、圧倒的な合格実績を挙げ続けています。合格率を上げるために、オリジナル教材と講師の質の良さにこだわっています。

講師は対法人向けの内部監査の実務研修も行っており、専門分野の知識だけでなく、ティーチングスキルにも優れているのが魅力です。

また、通学・通信を併用できるコースやスキマ時間で学習できるコンテンツなども揃えており、忙しい社会人でも効率よく学習できる環境が整っています。

CIAをはじめとする内部監査に関する資格の取得を目指している方は、ぜひアビタスの利用を検討してみてください。

まずは無料の説明会にご参加ください。