ERM の全体像 ── COSO と ISO31000

リスクを部門ごとに切り分けて見るのが従来型の管理だ。財務は財務、品質は品質、コンプライアンスはコンプライアンス。これに対して、戦略と一体で全社を横断して見るのが ERM（全社的リスクマネジメント）になる。世界の二大規範が、COSO ERM と ISO 31000 だ。本稿は、二つの枠組みの構造と使い分け、そして資材審査がそのどこに座るのかを整理する。

01個別管理の足し算では、見落とすものがある

従来のリスク管理は、部門ごとに完結していました。為替は財務部、製品事故は品質部門、広告の逸脱は審査部門。それぞれが自分の持ち場を守る形です。一見すると合理的に見えます。

問題は、リスクが部門の境界を越えて連鎖するときに起きます。個別リスクの足し算では、リスク同士の相関や、一つの綻びが別の領域へ波及するドミノを捉えられない。一件の資材逸脱が、当局対応・報道・信頼低下・資本コスト上昇へと連鎖する経路（第 9 回で扱う）は、審査部門だけを見ていては見えません。だから経営は、リスクを「目的 → リスク → 対応」という一本の線で全社をつなぐ枠組みを置きます。これが ERM の出発点です。

02二大規範 ── COSO ERM と ISO 31000

ERM の枠組みには、広く参照される二つの規範があります。米国の COSO が示した COSO ERM 2017 と、国際標準化機構の ISO 31000:2018 です。狙いは近いものの、出自と力点が違います。

COSO ERM 2017 は、リスクマネジメントを戦略とパフォーマンスに統合する枠組みで、「ガバナンスと文化／戦略と目標設定／パフォーマンス／レビューと是正／情報・伝達・報告」の 5 要素・20 原則で構成されます。土台に置かれるのが「ガバナンスと文化」で、ここが崩れると上の要素も機能しません。一方の ISO 31000 は、特定の業種や組織に縛られない汎用の枠組みで、「原則」「枠組み（リーダーシップとコミットメント）」「プロセス（リスク特定・分析・評価・対応）」の三層で整理されています。

03どちらを使うか ── 統治寄りの COSO、汎用の ISO

二つは対立するものではありません。COSO は内部統制と地続きで、取締役会の監督や統治の文脈に乗せやすい。報酬・評価・統制活動まで含めて語るとき、COSO の 5 要素は経営の言葉と噛み合います。これは、社外取締役が独立した立場で執行を監督する仕組み（取締役会の視点 第 4 回）と同じ統治の延長線上にあります。

対して ISO 31000 は汎用フレームとして、現場のリスクアセスメントの手順を組み立てるのに向く。プロセスが明示されているため、個別の審査や評価の作業へ落とし込みやすい。多くの企業は、統治レベルで COSO を、運用レベルで ISO を、というように重ねて使います。どちらが正しいかではなく、いま自分がどの階層の話をしているのかで選ぶ。そう整理すると、二つの規範の関係は混乱しません。

04資材審査は、ERM の統制活動の一プロセス

では、資材審査はこの枠組みのどこに座るのか。COSO ERM で言えば、審査は統制活動の一つであり、ISO 31000 で言えばリスク対応のプロセスに当たります。発信前の資材を点検して逸脱を止める行為は、全社のリスク管理の一環として、明確な居場所を持っています。

この位置づけを押さえると、審査の説明が変わります。審査を「現場にダメ出しをする孤立した検閲」として語れば、営業との対立しか生まれません。「これは ERM の統制活動の一プロセスです」と全社の枠組みのなかで語れば、審査は経営の目的に資する機能として理解される。COSO が内部統制寄り、ISO が汎用フレーム寄りという違いを知っていれば、相手が統治の話をしているのか運用の話をしているのかを聞き分け、同じ土俵で対話できます。枠組みの名前を共有することは、審査員が経営と同じ言葉を持つことでもあります。