ermフレームワークとは何か種類と構築手順を解説

ERMフレームワークとは何か、COSO-ERMやISO31000など主要な種類の違いから実践的な構築手順まで詳しく解説。金融に興味ある人が今すぐ押さえるべき知識とは?
金融情報

ermフレームワークとは何か種類と構築手順の全解説

ERMをリスクを「避けるもの」と思い込むと、年間で数億円規模の投資機会を逃す可能性があります。


この記事の3つのポイント
📌
ERMフレームワークの基本

ERM(エンタープライズ・リスク・マネジメント)とは、組織全体のリスクを統合的・戦略的に管理する手法。従来型リスクマネジメントとの本質的な違いを理解することが出発点になります。

📋
主要フレームワークの種類と選び方

COSO-ERM・ISO31000など複数の代表的フレームワークが存在します。業種・規模・目的によって最適解は異なるため、違いを把握した上で選択することが重要です。

🔧
ERMフレームワークの構築ステップ

ガバナンス策定・リスク特定・評価・対応・モニタリングという5つのプロセスを順に整備することで、機能するERMが実現します。形骸化を防ぐ運用のコツも解説します。


ERMフレームワークとは何か:従来型リスクマネジメントとの本質的な違い

ERM(Enterprise Risk Management)とは、企業や組織が直面するあらゆるリスクを、部門横断的・統合的・戦略的に管理するための枠組みです。日本語では「全社的リスクマネジメント」や「統合型リスク管理」とも呼ばれ、野村総合研究所(NRI)はERMを「リスクマネジメント態勢としては最も先進的なアプローチ」と位置づけています。


では、従来型リスクマネジメントとは何が違うのでしょうか?


従来型リスクマネジメントは、各部門がそれぞれ個別のリスクに対処する「縦割り型」の発想でした。例えば、経理部門は財務リスク、IT部門はサイバーリスク、法務部門はコンプライアンスリスクを、それぞれ独自に管理します。この場合、ある部門では気づいていたリスクが経営層に報告されないまま放置されるケース、あるいは複数部門をまたぐリスクが「どこの管轄か」でたらい回しになるケースが発生します。これが「リスクの抜け漏れ」です。


ERMフレームワークは、この課題を解消するために設計されています。つまり、リスク管理です。


| 比較項目 | ERM | 従来型リスクマネジメント |
|---|---|---|
| 対象範囲 | 組織全体・あらゆるリスク | 部門ごと・個別リスク |
| 視野の広さ | 広域(全社視点) | 狭域(部門視点) |
| アプローチ | 予防的・戦略的 | 反応的・事後対応型 |
| 管理の目的 | リスクと機会の最適化 | リスクの低減・軽減 |
| 最終的な成果 | 企業価値の向上 | リスクの最小化 |


特に金融に関心がある人にとって重要な視点は、ERMが「守り」だけでなく「攻め」の経営ツールでもある点です。2017年改訂のCOSO-ERMでは、リスクの定義が「目的達成を阻害する事象の可能性」から「戦略・ビジネス目標の達成に影響する不確実性」へと拡張されました。この変更により、事業機会(プラスの不確実性)もリスクマネジメントの対象に含まれるようになったのです。


リスクとリターンは一体です。この認識が、ERMを学ぶ上での最も重要な前提です。


野村総合研究所:ERM(統合型リスク管理)用語解説ページ。ERMの定義や位置づけについて簡潔にまとめられており、概念を整理する際の参考になります。


ERMフレームワークの種類:COSO-ERM・ISO31000など主要モデルを比較

ERMフレームワークは1種類だけではありません。世界には複数の標準的なモデルが存在し、業種・組織規模・目的によって使い分けられています。代表的なものを押さえておきましょう。


① COSO-ERM(最も広く普及した統合フレームワーク)


COSO(米国トレッドウェイ委員会支援組織委員会)が2004年に初版を発表し、2017年に大幅改訂を行ったフレームワークです。改訂版の正式名称は「Enterprise Risk Management – Integrating with Strategy and Performance(全社的リスクマネジメント−戦略とパフォーマンスとの統合)」であり、戦略策定とERMを不可分のものとして捉えた点が大きな特徴です。


2017年改訂版では、8つの構成要素が5つに再編され、さらに「20の原則」が新たに提示されました。この20の原則は、内部監査においてERMの有効性を客観的に評価するための基準として活用できます。従来は主観的な判断に依存しがちだった内部監査に、客観的な評価軸が生まれたわけです。これは使えそうです。


5つの構成要素は以下の通りです。


- ガバナンスとカルチャー:取締役会のリスク監視体制、組織文化の定義
- 戦略と目標設定:事業環境の分析、リスク選好(リスクアペタイト)の定義
- パフォーマンス:リスクの識別・評価・優先順位づけ・対応
- レビューと修正:重大な変化の評価、ERMの改善追求
- 情報・伝達・報告:リスク情報の共有、リスクカルチャーの報告


COSO-ERMは、上場企業や金融機関・銀行など、法的基準への対応が求められる組織に特に適しています。サーベンス・オクスリー法(SOX法)の規制要件もこのフレームワークに組み込まれているため、米国市場との関わりが深い企業では事実上の標準モデルとなっています。


② ISO31000(国際標準規格)


国際標準化機構(ISO)が策定したリスクマネジメントの国際規格で、最新版は2018年改訂のISO31000:2018です。COSO-ERMよりも簡易・汎用的な設計で、製造業・医療・公共機関など、金融以外の幅広い業種に適用できます。


ISO31000はCOSO-ERMと比べて「原則」や「ガイドライン」の色合いが強く、組織の規模や業態に合わせて自由にカスタマイズできる柔軟性が特徴です。また、QMS(品質管理システム)やEMS(環境マネジメントシステム)など他のマネジメントシステムとの統合・整合が取りやすい点も利点です。


③ その他の主要フレームワーク


| フレームワーク名 | 策定主体 | 特徴・強み |
|---|---|---|
| COBIT | ISACA | IT・デジタルリスク管理に特化。大企業から中小企業まで対応 |
| NIST CSF | 米国商務省(NIST) | サイバーセキュリティリスクに強み。政府機関や重要インフラ向け |
| CAS ERMフレームワーク | 損害保険アクチュアリー協会 | 保険・金融分野の財産・損害リスクに特化 |
| RIMS RMM | リスク管理協会(RIMS) | ERM成熟度を5段階で評価するモデル |


COSO-ERMが原則です。ただし、サイバーセキュリティリスクが主な懸念事項であればNIST、IT管理全般に課題があればCOBITを選ぶなど、目的に合わせた選択が現実的です。


アビタス:COSO-ERMとは?2017年改訂のフレームワーク内容を解説。20の原則の詳細な解説が掲載されており、COSO-ERMを深く理解したい方に適したページです。


ERMフレームワークの構築ステップ:リスク特定から評価・対応・モニタリングまで

ERMフレームワークを実際に組織に導入する際は、次の5つのステップを順に踏むのが基本です。飛び越しはNGです。


ステップ1:ガバナンス体制の確立(コーポレートガバナンスの策定)


まず、ERM全体を指揮・管理するためのガバナンス体制を整備します。取締役会内にリスク管理委員会を設置し、「誰が」「何のリスクを」「どの権限で」管理するかを明文化します。最高リスク責任者(CRO:Chief Risk Officer)を置く企業も増えており、PwCが実施したサーベイによれば、ERMがうまく機能していないケースの多くは「ERMリーダーが社内で十分な支援を受けていない」ことが原因です。


ステップ2:リスクの発見・特定


次に、組織の内外で発生し得るリスクを網羅的に洗い出します。複数人でのブレインストーミング、個別ヒアリング、業界レポートや市場調査データの活用などが一般的な手法です。


リスクは以下のカテゴリに大別されます。


- ⚠️ 戦略リスク:経営目標・事業戦略に関わるリスク(競合の台頭、規制変更など)
- 💰 財務リスク:流動性リスク、信用リスク、市場リスク、為替リスクなど
- ⚙️ オペレーショナルリスク:業務プロセスの失敗、システム障害、人的ミスなど
- 📋 コンプライアンスリスク:法令違反、内部規定の逸脱など
- 🔒 サイバーリスク:情報漏洩、不正アクセス、ランサムウェアなど


ステップ3:リスクの評価・分析


特定したリスクを「発生頻度(確率)」と「影響度(深刻度)」の2軸で評価します。リスクの大きさは「影響の大きさ × 発生頻度」で算出するのが基本です。評価したリスクはリスクマップ(縦軸:影響度、横軸:発生頻度)に落とし込み、優先対応すべきリスクを可視化します。


ステップ4:リスク対応の実施


評価結果に基づき、各リスクへの対応策を選択します。対応の優先順位は以下の順で検討します。


| 対応方針 | 内容 | 具体例 |
|---|---|---|
| ①リスク回避 | リスクを発生させる活動自体を中止 | 特定事業・取引からの撤退 |
| ②リスク低減 | リスクの発生確率や影響度を下げる | セキュリティ強化、内部統制整備 |
| ③リスク移転 | リスクを第三者と共有・分散する | 保険加入、業務のアウトソーシング |
| ④リスク受容 | 対応コストが過大な場合などに残余リスクを受け入れる | 軽微リスクの意図的な保有 |


ステップ5:モニタリングとレビュー


ERMは一度構築して終わりではありません。定期的なレビューと見直しが、最も重要なプロセスとも言えます。環境が変わればリスクも変わります。チェックリストやKPIを活用してERMの有効性を定期評価し、必要に応じてフレームワーク全体をアップデートしていく姿勢が求められます。


PwCのグローバル調査(2022 Global Risk Survey)では、重要リスク上位5項目のうち「市場環境」「ビジネス・オペレーティングモデル」「サイバーセキュリティ」「外部環境変化」「地政学リスク」が挙げられており、これらはいずれも外部環境変化に関連するものです。また、同社の国内企業サーベイでは約8割の企業が「過去3年間で地政学リスクが上昇した」と回答しています。


モニタリングが条件です。


PwC Japan:全社的リスク管理(ERM)の動向。2022年のグローバルサーベイ結果やトップダウンアプローチの解説があり、最新のERM実務動向を把握するのに役立ちます。


ERMフレームワークが形骸化する原因と金融に強い人が押さえる実務ポイント

ERMフレームワークを導入したにもかかわらず、うまく機能しない企業は少なくありません。日本内部監査協会の資料によれば、本格的なERMの導入は現在も「多くの日本企業において未実施」の状態です。なぜ機能しないのでしょうか。


形骸化の3大原因


🔴 ① ERMがコンプライアンス対応の「義務」に矮小化される


最もよく見られるケースです。本来は経営戦略と統合されるべきERMが、「監査・規制対応のためのチェックボックス作業」として認識されてしまいます。リスクリストを毎年同じ内容で更新するだけの「形式的なERM」に陥ると、環境変化を全く捉えられなくなります。これは痛いですね。


🔴 ② 特定のリスクだけに偏る


財務報告リスクやコンプライアンスリスクなど、「分かりやすいリスク」にだけ目が向き、地政学リスクや戦略リスクなど本質的に重要なリスクが見落とされます。「リスクと戦略が関連付けられていない」「ボトムアップのみのリスク特定」がその背景にあります。


🔴 ③ 経営トップのコミットが弱い


ERMは経営層が主体的にコミットしなければ機能しません。「リスク管理は担当部署がやること」という意識が経営トップに残っている限り、現場のリスク情報は経営判断に反映されません。ERMリーダーが「社内で十分な支援を受けられていない」状態がこれに当たります。


金融に関心を持つ人が特に意識すべきポイント:リスクアペタイト


ERMフレームワークの中で、金融的な観点から特に重要な概念が「リスクアペタイト(Risk Appetite)」です。リスクアペタイトとは、組織が戦略目標を達成するために「意図的に受け入れるリスクの量・種類」のことです。いわば「どれだけのリスクを取って、どれだけのリターンを狙うか」を明示するものです。


SOMPO HDやソニー生命保険など、ERMを経営の中核に据えた企業では、「リスクアペタイトフレームワーク」を通じて、資本・リスク・リターンのバランスを統合的に管理しています。ソニー生命保険は、ESR(経済価値ベースのリスク量に対する資本の比率)を主要な健全性指標として、一定の範囲内に保つよう継続的に管理しています。


つまり「ERMはリスクを減らすだけのもの」という認識は、半分しか正しくありません。適切なリスクを「意図的に取ること」で企業価値を高める、という攻めの側面こそERMの本質です。ERMの本質だけは覚えておいてください。


金融機関では、バーゼル規制(銀行の自己資本規制)やソルベンシーII(保険会社の健全性規制)といった外部規制がERMフレームワークの構築を事実上義務付ける形になっており、リスクアペタイトの設定と開示が求められています。こうした規制対応という側面からも、ERMは「知らないと損する」知識といえます。


形骸化しないERMにするための実務的な対策としては、以下の3点が有効です。


- 📊 リスクを戦略目標と紐づけて管理し、取締役会レベルで定期的に審議する
- 🔄 ボトムアップとトップダウンのアプローチを組み合わせる
- 🌍 シナリオ分析を活用して、外部環境変化(地政学リスク・技術革新など)を捉える


日本内部監査協会:COSO ERMフレームワークのコンプライアンスリスク管理への適用(日本語PDF)。ERMを実際のコンプライアンス管理にどう適用するか、具体的な視点が詳述されています。


ERMフレームワークの独自視点:投資家・アナリストが「ERM開示」をどう読むか

ここまでは企業側がERMをどう構築・運用するかを解説してきました。しかし金融に関心を持つ人にとって、もう一つ重要な視点があります。それは「投資家・アナリストとして、企業のERM開示をどう読むか」という視点です。


現在、日本の上場企業は有価証券報告書の「事業等のリスク」欄にリスク情報を記載する義務があります。2022年の金融庁の方針変更以降、この記載内容の充実化が図られ、企業がどのようなERMフレームワークを持っているかが、投資判断に直結する情報として注目されています。


ERM開示を読む3つのチェックポイント


✅ ① リスクが戦略目標と紐づいているか


単に「○○リスクがあります」と列挙するだけでなく、「そのリスクが自社の中長期戦略にどう影響し、どう対処するか」まで踏み込んで開示しているかどうかが、ERMの成熟度を示す指標になります。リスクと戦略が切り離されている開示は、ERM体制の未成熟を示すサインとも読めます。


✅ ② リスクアペタイトの水準が具体的に示されているか


優れたERM開示には、「どの程度のリスクを受け入れる方針か」を具体的な指標(ESR、VaR、リスク量など)で示したリスクアペタイト情報が含まれます。これがあると、投資家はその企業のリスクテイク姿勢を数値で把握でき、類似企業との比較も可能になります。


✅ ③ エマージングリスクへの言及があるか


地政学リスク、気候変動リスク、AIによる業務変革リスクなど、現時点では財務インパクトが見えにくいリスク(エマージングリスク)に対して、経営陣が先手を打っているかどうかです。これへの言及がある企業は、ERMが「形式的な対応」ではなく「経営の羅針盤」として機能していると判断できます。


PwCのサーベイでは、ERMが機能していない企業の典型として「ERMの議論が陳腐化しており、管理対象のリスクが毎年同じ」というケースが挙げられています。投資家の立場からは、このような開示を見たとき「経営環境の変化をキャッチアップできていないリスク」として評価することも必要になります。


逆に言えば、ERMフレームワークを深く理解することで、決算書や有価証券報告書のリスク開示セクションを「本当のリスク管理力を測るレンズ」として活用できるようになります。これは使えそうです。


企業分析・投資判断の精度を高めたい場合、ERMに関する学術的・実務的な知識を体系的に習得できる資格として「CIA(公認内部監査人)」が知られています。CIAはCOSO-ERMを中心とした内部監査・リスク管理の国際資格で、アビタスなどの専門スクールが日本語での学習コースを提供しています。ERMを「使える知識」として定着させたい方の選択肢として参考にする価値があります。


金融庁:「事業等のリスク」の開示例(PDF)。有価証券報告書における具体的なリスク開示の書き方や、リスクアペタイトフレームワークの言及例が掲載されており、企業開示を読む際の参考になります。