ermフレームワークで金融リスクを戦略的に管理する方法

ermフレームワークで金融リスクを戦略的に管理する方法

金融情報

ermフレームワークで金融リスクを戦略的に管理する

ERMを正しく導入しても、リーマンショックで7割超の金融機関が損失を出しました。


📋 この記事の3ポイント
🏗️
ERMフレームワークとは何か

COSO-ERM(2017年改訂版)を中心に、5つの構成要素と20の原則で成り立つ全社的リスク管理の枠組みを解説します。

⚠️
機能しない理由と落とし穴

「手段が目的化」しやすいERMの失敗パターンと、リーマンショックで露呈した限界を具体的に解説します。

金融機関・投資家が使える実践ポイント

リスクアペタイト設定から戦略との統合まで、ERMを実際に機能させるための具体的なステップを紹介します。


ermフレームワークの基本:COSOとは何か

ERMフレームワークとは、組織が直面するあらゆるリスクを体系的に識別・評価・対応する仕組みのことです。 中でも最も広く参照されるのが「COSO-ERM(Committee of Sponsoring Organizations of the Treadway Commission)」で、2004年に第1版が公表され、2017年に大幅改訂されました。 abitus.co(https://www.abitus.co.jp/column_voice/cia/column_voice22.html)


COSOの名称は設立団体の略称で、米国の主要な会計・監査団体5つが共同で運営しています。 日本でも金融庁や日本内部監査協会が参照基準として位置付けており、銀行・保険・投資会社を問わず導入が進んでいます。 iiajapan(https://www.iiajapan.com/leg/data/ERM_TOP.html)


ERMという言葉は「Enterprise Risk Management(全社的リスク管理)」の頭文字です。 部門単位でリスクを管理する従来型の手法と違い、グループ全体を俯瞰してリスクのポートフォリオを把握する点が特徴です。 pwc(https://www.pwc.com/jp/ja/knowledge/prmagazine/pwcs-view/202212/41-03.html)


ermフレームワーク 2017年改訂版の5要素と20原則

2017年版COSO-ERMは、5つの構成要素と20の原則で体系化されています。 旧版(2004年)の8つの構成要素から大幅に再編され、「戦略との統合」が新たに強調されました。 javcerm(https://javcerm.jp/download/journal/2018-03.pdf)


5つの構成要素は以下のとおりです。 legalontech(https://www.legalontech.com/jp/startup-jam/coso)


  • 🏛️ ガバナンスとカルチャー(原則1〜5):取締役会の監督責任・リスク文化の確立
  • 🎯 戦略と目標設定(原則6〜10):リスク選好(リスクアペタイト)と経営目標の整合
  • 🔍 パフォーマンス(原則11〜16):リスクの識別・評価・優先順位付け・対応
  • 📊 レビューと改訂(原則17):変化する環境への適応
  • 📡 情報・伝達・報告(原則18〜20):リスク情報の共有と報告


旧版では「目標設定」「事象の識別」など8項目が横並びでしたが、2017年版は戦略立案の段階からリスクを組み込む設計に変わりました。 これは「リスク管理=守りの話」という固定観念を覆す重要な転換点です。 javcerm(https://javcerm.jp/download/journal/2018-03.pdf)


つまり、ERMは守るためだけでなく、攻めの意思決定にも使う枠組みです。 newton-consulting.co(https://www.newton-consulting.co.jp/bcmnavi/column/20170421_cosoerm2017.html)


ermフレームワークで使うリスクアペタイトの設定方法

リスクアペタイト(Risk Appetite)とは「組織が戦略目標を追求する中で許容できるリスクの量と種類」です。 ERMの核心概念であり、ここを設定しないままリスクマップを作っても「役に立っている気がしない」という状態に陥ります。 saa.or(https://www.saa.or.jp/dc/sale/apps/journal/JournalShowDetail.do?goDownload=&itmNo=35196)


金融機関での具体的な設定例を見ると、銀行なら「自己資本比率8%を下回るリスクは許容しない」「特定セクターの与信集中は総資産の15%以内」といった定量的な閾値で表現することが一般的です。 保険会社では「ソルベンシー比率が150%を下回るような事象を重大リスクとして管理する」という形が多用されています。 jp.smartsheet(https://jp.smartsheet.com/content/enterprise-risk-management-framework-model)


設定の手順は3ステップです。


  1. 経営目標を確認し、それを脅かすリスクカテゴリー(市場・信用・流動性・オペレーショナル)を列挙する
  2. 各カテゴリーについて「許容できる最大損失額」または「発生確率の上限」を数値で決める
  3. 設定した閾値を取締役会が承認し、全社に周知する


リスクアペタイトが数値化されていないと、現場と経営層でリスクへの感覚がズレます。 例えばトップが「数百万円の損失リスクは積極的にとれ」と考えている一方、管理部門が「数百万円の損失可能性は絶対に排除すべき」と動いていた結果、意思統一が取れず好機を逃した事例が国内でも報告されています。 newton-consulting.co(https://www.newton-consulting.co.jp/bcmnavi/column/20150718_to_function_erm.html)


これは痛いですね。


ermフレームワークが機能しなかったリーマンショックの教訓

2008年のリーマンショックは、ERMフレームワーク関係者にとって最大の衝撃でした。 金融業界は「あらゆる業界の中で最も強力で成熟したリスクマネジメント能力がある」と広く認識されていたにもかかわらず、世界的な金融危機で深刻な打撃を受けたからです。 javcerm(https://javcerm.jp/download/journal/2018-03.pdf)


失敗の原因として浮かび上がったのは、主に3点です。 acfe(https://www.acfe.jp/wp-content/uploads/2016/10/japan-conference-7th-report_11.pdf)


  • ❌ 経営層のbuy-in(同意・支援)が得られていなかった:ERMはリスク部門だけが使う「書類仕事」になっていた
  • ❌ 相関リスクの見逃し:住宅ローン証券化商品・保険デリバティブが同時に動くシナリオをモデルに組み込んでいなかった
  • ❌ 内部監査機能の不全:独立したアシュアランスが機能せず、問題の早期発見が遅れた


この反省を踏まえ、2017年版COSO-ERMでは「エマージングリスク(新興リスク)」の識別と、リスクの「速度・複雑性・持続性・回復度」といった新しい評価軸が追加されました。 javcerm(https://javcerm.jp/download/journal/2018-03.pdf)


意外ですね。ERM導入済みでも危機を防げなかった事実は、「導入=安心」という思い込みを正す重要な教訓です。 acfe(https://www.acfe.jp/wp-content/uploads/2016/10/japan-conference-7th-report_11.pdf)


ERMの機能不全を防ぐための参考情報として、ニュートンコンサルティングによる国内向け解説コラムが役立ちます。


ERMはなぜ機能しないのか|リスク管理Navi(ニュートンコンサルティング)


ermフレームワークと金融機関の投資家が知っておくべき独自視点:ESGリスクとの統合

ERMフレームワークの次の進化として注目されているのが、ESGリスクとの統合です。 従来のERMが扱う市場リスク・信用リスク・流動性リスクに加え、気候変動リスク・社会的リスク・ガバナンスリスクをERMの枠組みに組み込む動きが2020年代に入って急速に広がっています。 controlrisks(https://www.controlrisks.com/jp/our-thinking/japanese/emerging-risk-iso-ts31050)


金融に関心を持つ個人投資家にとって、この点は意外に重要です。たとえば、ある企業がERMを導入していても、ESGリスクをスコープ外にしていた場合、気候関連規制が強化された際に想定外の損失が発生するリスクがあります。 実際、欧州の金融監督機関(EBA)は2024年から気候リスクのERMへの組み込みを大手金融機関に義務付けており、日本でも金融庁がガイドラインを整備中です。 controlrisks(https://www.controlrisks.com/jp/our-thinking/japanese/emerging-risk-iso-ts31050)


ESGとERMの統合状況を把握するには、企業が公開している「統合報告書」や「リスク管理体制の開示」を読む習慣が有効です。 SOMPOホールディングスなど国内大手保険グループは、ERMの枠組みの中に気候・自然災害リスクを明示的に位置付けており、IR資料から確認できます。 sompo-hd(https://www.sompo-hd.com/company/risk/deployment/)


これは使えそうです。


新興リスクへのERM対応については、Control Risksによる解説が参考になります。


新興リスクにどう備える?ISO/TS31050が示す全社的リスク管理の進化|Control Risks


ermフレームワークの実践:金融機関向けの導入ステップと活用ツール

ERMを「書類仕事」で終わらせないためには、実務的な導入ステップを押さえることが重要です。 一般的には年1回のフェーズI(全社リスクの洗い出し・評価・優先順位付け)と、日常的なフェーズII(選定されたリスクへの継続モニタリング)の2段階で運用します。 jipdec.or(https://www.jipdec.or.jp/library/report/20181018.html)


具体的な進め方は以下のとおりです。


  1. リスクインベントリの作成:市場・信用・流動性・オペレーショナル・コンプライアンス・戦略リスクをカテゴリー別に列挙する
  2. リスクマトリックスの作成:縦軸に「影響度」、横軸に「発生可能性」をとり、各リスクをプロットする(例:影響度5段階×発生確率5段階の25マスのヒートマップ)
  3. リスクアペタイトの設定と取締役会承認:数値化した許容閾値を取締役会が正式に承認する
  4. KRI(主要リスク指標)の設定:閾値に近づいたことを早期警戒するモニタリング指標を定める
  5. 定期レビューと報告:四半期ごとにリスクプロファイルを更新し、経営層・取締役会に報告する


活用ツールとして、SmartsheetなどのプロジェクトツールにERMテンプレートが用意されており、中小規模の金融機関でも比較的低コストで導入できます。 野村総合研究所のERMグロッサリーでは用語の標準定義を無料で確認できるため、社内の用語統一に役立ちます。 nri(https://www.nri.com/jp/knowledge/glossary/erm.html)


ERM(統合型リスク管理)用語解説|野村総合研究所(NRI)


ERMは導入して終わりではなく、継続的に更新することで初めて機能します。 PwC Japanの調査では、ERMの成熟度を5段階で評価した場合、「戦略との統合」と「リスクデータのインフラ整備」の2点が最も成熟度に差がつきやすい領域と報告されています。 この2点を優先的に整備することが、ERMを実質的に機能させる近道です。 pwc(https://www.pwc.com/jp/ja/knowledge/prmagazine/pwcs-view/202212/41-03.html)


ERMの全体像をさらに深く学びたい場合は、日本内部監査協会が公開しているERM資料集が包括的な情報源になります。


ERM資料集|日本内部監査協会