近年、日本企業において全社的リスク管理(Enterprise Risk Management/ERM)の導入が広がり、さらにその高度化に取り組む企業も増えています。その背景には、COSO ERMフレームワークの改訂、日本版コーポレートガバナンス・コードにおける「取締役会によるリスク管理体制の監督責任」の明示などがあります。企業のグローバル化に伴い、従来以上に強固なリスク管理が求められるようになったこともその要因です。

特に注目すべきは、経営戦略とリスク管理を統合するトップダウン型のアプローチへのシフトです。従来の各部門主体によるボトムアップ型リスク管理は、現場での網羅性に強みを持つ一方で、経営戦略との連動性や、全社事業に重大な影響を与えるリスクの特定に課題がありました。これに対して、経営陣が主導して重大リスクを特定し、方向性を示すことで、経営目標達成や企業価値向上と結びつける枠組みがより重視されつつあります。

日本の会社法や内部統制制度におけるリスクの定義は「組織目標の達成を阻害する要因」に限定され、いわゆる「マイナスのリスク」への対応が中心となってきました。しかし、一部の先進的な企業では、リスクを事業機会として捉え積極的に活用する姿勢も広がりつつあります。例えば、地政学的リスクを踏まえてサプライチェーンを再編し、結果的に調達の多様性や競争力を高めるといった取り組みです。

全社的リスク管理の実践にあたり、参照される代表的なフレームワークにはCOSO-ERMとISO 31000があります。COSO-ERMは事業体全体でのリスク管理を対象とし、ISO 31000は組織のあらゆるレベルに適用可能な「考え方」を示しています。両者の基本理念は大きく異なるものではありませんが、いずれのフレームワークを参照したとしても、実装段階で多くの日本企業が課題に直面し、その実効性には差が生じているのが実情です。実際に「前例を踏襲して取り組んでいるだけ」「会社に実質的な価値をもたらしていない」「形骸化している」などと認識している経営者も少なくありません。こうした背景から、リスクマネジメントの現場では以下のような声がしばしば聞かれます。

リスク管理が事務作業に閉じている

リスク評価に偏重し 実質的なリスク対応に結びつかない
経営との連携不足 戦略面での活用が弱い

 

ISO/TS31050が提起した新たな3つの視点

本記事で焦点を当てたいのは、従来のISO 31000を補完する新しいガイドラインとして2023年10月に発行されたISO/TS31050です。本ガイドラインは「レジリエンスを強化するためのエマージングリスクマネジメントの指針」をテーマに掲げ、従来のリスクアセスメントや対応手法を、新興リスク(エマージングリスク)にも適用できるよう拡張することを目的としています。

発行の時期を振り返ると、新型コロナウイルスの発生、ミャンマーのクーデター、ロシアによるウクライナ侵攻などの事象が続いた直後でした。このような環境において、ISO/TS31050は、これまでのリスクマネジメント手法だけではもはや不十分であるという国際的な認識を背景に誕生したといえます。このガイドラインが示す視点は、現代のERMの進化を方向づけるものであり、主に下記の3点にまとめることができます。

  1. 企業が見るべきリスク範囲の拡大(新興リスク):
    • 近年のリスク環境は、地政学的リスク、気候変動、社会的分断、テクノロジーの急激な進化など、従来の想定を超える不確実性に覆われている。
    • 従来型のリスクマネジメントは既知リスクへの対応には有効だが、新興リスクについてはデータ不足や予測困難性から、早期検知や包括的把握が難しく、意思決定が後手に回りがち。
    • 企業はリスクの対象範囲を広げ、弱いシグナルや初期兆候をとらえる仕組みを構築し、戦略レベルでの検討を強化する必要がある。
  2. レジリエンスの向上: 
    • 昨今のリスクは、単独で発生するのではなく、複数のリスクが連鎖し企業に深刻な影響を与える傾向。
    • 従来の予防中心の枠組みでは、想定外の事態に直面した際の復旧能力や持続性に課題が残る。
    • 今後は、危機の発生を前提とした体制構築が求められる。復旧能力を経営戦略や業務設計に組み込み、レジリエンスを単なる防御策ではなく、むしろ競争優位の源泉とすることが重要。
  3. リスクインテリジェンスサイクルの導入: 
    • 新興リスクは急速に出現・変化するため、リスク情報の鮮度と活用力が企業の存続を左右する。
    • 実務においては、不完全で断片的なデータが多く、分析や意思決定に活用できないケースも少なくない。
    • 「スキャニング→収集→分析→意思決定→行動→フィードバック」というリスクインテリジェンスサイクルを導入し、情報を単なるデータから知識・インテリジェンスへと昇華させ、戦略・戦術・オペレーションの各段階で一貫して活用することが不可欠。

これら3つの視点のうち、特に①企業が見るべきリスク範囲の拡大(新興リスク)は他の2つの前提条件です。従来の全社的リスク管理が扱ってきた「内部起因のコントロール可能なリスク」(品質不正、贈収賄、会計不正、労働法違反など)に加えて「外部起因で予見困難なコントロール不可能なリスク」まで対象範囲が広がっている以上、企業は必然的にリスクマネジメントの枠組みを進化させざるを得ません。ISO/TS31050は、単なるISO 31000の延長ではなく、不確実性に強い企業体質への変革を促すものと言えます。

ISO/TS31050とは? 新興リスク(エマージングリスク) を管理するためのガイドラインを提示する国際規格。既存のリスクマネジメント標準である ISO 31000 を補完するものとして位置づけられている。
COSO-ERMとは? COSO(トレッドウェイ委員会組織委員会)が発行したフレームワーク。組織が戦略的目標を達成にむけて、リスクを体系的に管理するためグローバルで広く採用されている。①ガバナンスと文化②戦略と目標設定③パフォーマンス④レビューと改訂⑤情報・コミュニケーション・報告 の5つの主要素で成り立っている。COSOはCommittee of Sponsoring Organizations of the Treadway Commissionの略で、米国の複数の会計・監査団体によって設立された委員会。

平時と有事をシームレスにつなぐために

全社的リスク管理(ERM)は、もはや「守りの仕組み」にとどまるものではなく、不確実性の高い環境において、企業の持続可能性と競争力を戦略的に高めるための枠組みへと進化しています。ISO/TS31050が示す新たな視点は、日本企業にとってもERMをより広い視野でとらえ、発展させていくうえで欠かせない中核的な指針といえるでしょう。 

コントロール・リスクスは、「地政学的リスク分析力」「危機対応力」「コンサルティング力」という3つの強み・専門性を掛け合わせて、平時から有事まで一貫して支援できる独自の全社的リスク管理(ERM)支援サービスを提供しています。

コントロール・リスクスが実現する平時と有事をつなぐ全社的リスク管理(ERM)

  • 地政学的リスク分析力:創業以来、培ってきた政治リスク分析の実績を基盤に、世界中の専門家ネットワークとリアルタイムのインテリジェンスを活用し、複雑化する国際環境が企業に及ぼす影響を明らかにします。
  • 危機対応力:海外有事・安全管理における長年の現場経験を活かし、迅速で実効的な対応を支援。有事対応にとどまらず、レジリエンスの全サイクル(備え・対応・復旧)を支える取組みをクライアントとともに実践します。
  • コンサルティング力:長年にわたり数多くのグローバル企業のリスク/クライシスマネジメントを支援してきた専門家チームが、経営層との対話設計から、仕組み・体制づくり、運用フェーズまで伴走します。企業の成熟度や業種特性に合わせた柔軟なアプローチにより、リスクマネジメントを着実に進化させます。

リスクマネジメントの必要性を理解しながらも「どこから手をつけるべきか分からない」と悩む企業は少なくありません。コントロール・リスクスは、不確実性が高まる時代において、日本企業がグローバル市場で競争力を維持・向上できるよう、クライアントとともに考え、ともに実行しながら、変化に強い全社的リスク管理(ERM)の構築を実現していきます。自社の状況や課題に合った全社的リスク管理(ERM)を模索されている企業の皆様、下記フォームより是非お問い合わせください。

執筆者: Hirohiko Takeda

お問い合わせ先

DOTCOM - Japanese - Enquiry via Our Thinking articles
姓**
 
 
 
名**
 
 
 
会社名**
 
 
 
Eメール*
 
 
 
部署名**
 
 
 
役職*
 
 
 
*
 
 
 
電話番号
 
 
 
問い合わせ