title: "リスクマネジメントのフレームワーク|ERM導入の実践ガイド"
slug: "hubspot-ai/governance-ipo/risk-management-framework-erm"
metaDescription: "全社的リスクマネジメント(ERM)のフレームワークと導入方法を解説。COSO ERMフレームワーク、リスクの特定・評価・対応の手順、リスクマップの作り方を紹介します。"
featuredImage: "https://www.start-link.jp/hubfs/blog-featured-images/management.webp"
blogAuthorId: "166212808307"
contentGroupId: "166203508570"
keywords: ["リスクマネジメント", "フレームワーク", "ERM", "全社的リスクマネジメント"]
category: "AW_governance-ipo"
「想定外」の事態が企業経営を揺るがすケースが増えています。パンデミック、サプライチェーンの断絶、サイバー攻撃、自然災害——これらのリスクに対して、事後対応ではなく事前の備えを組織的に行うのがリスクマネジメントです。
ERM(Enterprise Risk Management:全社的リスクマネジメント)とは、個別部門のリスク管理を統合し、組織全体としてリスクを把握・管理するフレームワークです。本記事では、ERMの基本概念と導入手順を解説します。
従来のリスク管理が「部門ごとのサイロ型」だったのに対し、ERMは「全社統合型」でリスクを管理します。
| 項目 | 従来型リスク管理 | ERM |
|---|---|---|
| 範囲 | 部門単位 | 全社統合 |
| 視点 | リスクの回避・低減 | リスクと機会のバランス |
| 責任者 | 各部門の管理者 | CRO(最高リスク責任者)or 経営層 |
| 報告先 | 各部門の上長 | 取締役会 |
ERMの国際標準とされるCOSO ERM(2017年改訂版)は、以下の5つの構成要素で構成されています。
| 構成要素 | 内容 |
|---|---|
| ガバナンスと文化 | リスク管理の基盤となる組織文化と統制構造 |
| 戦略と目標設定 | 事業戦略との整合性を踏まえたリスク許容度の設定 |
| パフォーマンス | リスクの特定・評価・優先順位付け・対応 |
| レビューと修正 | リスク管理の有効性の検証と改善 |
| 情報・伝達・報告 | リスク情報の適時適切な共有 |
全社的にリスクを洗い出します。以下のカテゴリごとにブレインストーミングやインタビューで特定します。
| リスクカテゴリ | 例 |
|---|---|
| 戦略リスク | 市場変化、競合動向、技術革新 |
| 財務リスク | 為替変動、金利上昇、資金繰り |
| オペレーショナルリスク | 業務ミス、システム障害、人材流出 |
| コンプライアンスリスク | 法令違反、訴訟、規制変更 |
| レピュテーションリスク | ブランド毀損、SNS炎上 |
| 外部リスク | 自然災害、パンデミック、地政学リスク |
特定したリスクを、影響度と発生可能性の2軸で評価します。
| 評価基準 | レベル1 | レベル2 | レベル3 | レベル4 |
|---|---|---|---|---|
| 影響度 | 軽微 | 中程度 | 重大 | 壊滅的 |
| 発生可能性 | 稀 | 起こりうる | 可能性高い | ほぼ確実 |
影響度と発生可能性のマトリクスにリスクをマッピングし、優先順位を可視化します。
| 軽微 | 中程度 | 重大 | 壊滅的 | |
|---|---|---|---|---|
| ほぼ確実 | 中 | 高 | 極高 | 極高 |
| 可能性高い | 低 | 中 | 高 | 極高 |
| 起こりうる | 低 | 低 | 中 | 高 |
| 稀 | 低 | 低 | 低 | 中 |
各リスクに対して、以下の4つの対応戦略から選択します。
| 戦略 | 内容 | 適する場面 |
|---|---|---|
| 回避 | リスクのある活動自体をやめる | リスクが許容範囲を大きく超える |
| 低減 | 統制活動でリスクを下げる | コスト対効果が見合う |
| 移転 | 保険やアウトソーシングでリスクを第三者に移す | 専門的な対応が必要 |
| 受容 | リスクを認識した上で許容する | リスクが小さく対策コストが見合わない |
リスク管理の有効性を定期的に検証し、取締役会に報告します。
ERMは現場のリスク管理担当者だけでは機能しません。経営層が「リスクマネジメントは経営の重要課題である」と位置づけ、取締役会のアジェンダに組み込むことが必須です。
組織がどの程度のリスクを許容するかを明確に定義します。リスクアペタイトが定義されていないと、「この程度のリスクは取ってよいのか」の判断が個人に委ねられ、一貫性のない意思決定になります。
ERMの本来の目的は、リスクを恐れて何もしないことではなく、リスクと機会のバランスを取りながら企業価値を最大化することです。
営業プロセスにおけるオペレーショナルリスク(案件の放置、データ入力漏れ、承認フローの逸脱)は、CRMのモニタリング機能で可視化できます。HubSpotでは、商談の滞留アラート、必須項目の未入力チェック、パイプラインの異常値検知などをダッシュボードで自動モニタリングできます。
内部統制の基本で述べた統制活動と、ERMのリスク対応策を連動させることで、組織全体のリスクガバナンスが強化されます。経営会議アジェンダの設計にリスクレビューの議題を組み込むことも有効です。