本ウェブサイトでは、Cookieを利用しています。本ウェブサイトを継続してご利用いただく際には、当社のCookieの利用方針に同意いただいたものとみなします。
CIA- 2024/05/28公開
RCM(リスクコントロールマトリクス)とは?作成手順や注意点を解説
RCM(リスクコントロールマトリクス)は内部統制報告制度の「3点セット」の1つとして位置づけられており、内部統制の整備・運用状況を評価するための重要なツールとして活用されています。
本記事では、RCMの概要と作成手順、注意点について解説します。
目次
RCM(リスクコントロールマトリクス)とは
RCM(リスクコントロールマトリクス)の作成手順
RCM(リスクコントロールマトリクス)における監査要点
RCM(リスクコントロールマトリクス)作成時の注意点
内部統制に関わる上で内部監査の知識も欠かせない
RCM(リスクコントロールマトリクス)は3点セットの1つ
RCM(リスクコントロールマトリクス)とは
RCM(リスクコントロールマトリクス)とは、業務プロセスにおいて想定されるリスクとそれに対応する統制活動(コントロール)の関係を一覧化した表(マトリクス)です。
リスクとコントロールの関係を明確にして、内部統制の整備・運用状況を評価するためのツールとして広く活用されています。業務プロセスとリスクが一目で分かるため、経営者が経営判断の意思決定をする際にも役立ちます。
RCMは、「業務記述書」「フローチャート」とともに、内部統制報告制度の「3点セット」の1つに位置づけられています。
内部統制報告制度とは、財務報告の信頼性を確保するための制度です。金融商品取引法によって、上場企業には内部統制の整備・運用状況の評価と報告が義務付けられています。
RCMの作成は義務ではありませんが、リスク低減や監査の効率化に重要な役割を果たしています。
関連記事:アビタス CIA「J-SOX(内部統制報告制度)の監査対象や必要な3点セットを解説」
RCM(リスクコントロールマトリクス)の作成例
RCMの作成項目は、厳密に定められているわけではありませんが、一般的に業務プロセスやリスク、統制の内容、評価結果などを記載します。
ここでは、金融庁の作成例を基に、必要な項目について見ていきましょう。
引用:金融庁「財務報告に係る内部統制の評価及び監査の基準並びに財務報告に係る内部統制の評価及び監査に関する実施基準の改訂について(意見書)」
この作成例に記されている内容は次の通りです。
- 業務
- リスクの内容
- 統制の内容
- 要件(実在性・網羅性・権利と業務の帰属・評価の妥当性・期間配分の適切性・表示の妥当性)
- 評価
- 評価内容
RCMを有効に活用するためには、業務プロセスに潜在するリスクを漏れなく識別し、適切な統制活動を設定することが重要です。
RCM(リスクコントロールマトリクス)の作成手順
RCMの作成手順は次の通りです。
- 1. 業務記述書・フローチャートの作成
- 2. リスクの設定
- 3. コントロール(統制)の設定
- 4. 修正点を踏まえたRCMの作成
詳しく見ていきましょう。
1. 業務記述書・フローチャートの作成
RCMを作成するためには、現状の業務プロセスを明文化しなければなりません。そのためには、業務記述書やフローチャートを作成する必要が生じます。
まず、業務記述書を作成しましょう。業務記述書は、内部統制の対象となる業務内容を5W1Hで記す書類です。
現場の担当者へのヒアリングが欠かせません。あわせて、社内規程や業務マニュアルを詳細に分析することも大切です。
次に、業務記述書をまとめて図式化したフローチャートを作成します。
2. リスクの設定
業務記述書とフローチャートを参照しながら、業務プロセスに潜在するリスクを漏れなく識別することが重要です。識別したリスクを分類し、発生可能性と影響度を評価します。
また、6つの監査要点(アサーション)とそれぞれのリスクを突き合わせて、要件が満たされているかどうかを確認します。
監査要点が満たされないリスクについては、重点的な対応が必要です。リスクと統制活動のバランスを考慮した上で、必要に応じて、業務プロセスの変更などを検討しましょう。
6つの監査要点の詳細については、後述します。
3. コントロール(統制)の設定
リスクの設定後は、それぞれのリスクに対応するコントロールを設定します。コントロールには予防的、発見的、是正的の3つのタイプがあります。
| タイプ | 概要 |
|---|---|
| 予防的コントロール | リスクの発生を未然に防止する |
| 発見的コントロール | リスクが発生した場合に早期に発見する |
| 是正的コントロール | 指摘された問題を改善する |
予防的コントロールを重視し、できるだけリスクが発生しないような対策を講じましょう。その上で、万一リスクが発生した場合に早期に発見するための対策が必要です。
コントロールを設定する際は、「誰がどのようにコントロールするのか」を明確にすることが求められます。
参照:金融庁「財務報告に係る内部統制の評価及び監査の基準並びに財務報告に係る内部統制の評価及び監査に関する実施基準の改訂について(意見書)」
4. 修正点を踏まえたRCMの作成
RCMを作成したら、設定したリスクとコントロールについて、現場の担当者と十分な話し合いを行いましょう。担当者の意見を基に、RCMの内容の修正や改善を行います。
例えば、リスクの評価、コントロールの有効性、実務上の実現可能性などについて、担当者の視点を反映させることが重要です。
現場担当者の意見を取り入れ、実態に即した実効性の高いRCMを完成させましょう。
RCM(リスクコントロールマトリクス)における監査要点
RCMにおいては、監査要点(アサーション)を確認することも重要です。
監査要点(アサーション)とは、財務諸表の適切性を監査する際に確認すべき要点を指し、下表の6項目があります。金融庁も、業務プロセスの評価に必要な項目としています。
| 監査要点 | 概要 |
|---|---|
| 実在性 | 記録された取引や資産が実際に発生していることを確認 |
| 網羅性 | 発生した全ての取引や事象が漏れなく記録されていることを確認 |
| 権利と義務の帰属 | 記録された資産や負債が適切に自社に帰属していることを確認 |
| 評価の妥当性 | 資産や負債の評価が適切に行われていることを確認 |
| 期間配分の適切性 | 収益と費用の計上時期や期間配分が適切であることを確認 |
| 表示の妥当性 | 取引内容や財務諸表上の表示科目が適切であることを確認 |
リスクを識別するにあたっては、不正や誤謬が発生した際に、上記のどの監査要点に影響を及ぼすのかを理解することが大切です。
関連記事:アビタス CIA「アサーション(監査要点)とは?意味と6つの構成要素を解説」
参照:金融庁「財務報告に係る内部統制の評価及び監査の基準並びに財務報告に係る内部統制の評価及び監査に関する実施基準の改訂について(意見書)」
RCM(リスクコントロールマトリクス)作成時の注意点
RCMは内部統制の中核となるツールです。また、経営者や監査人からの信頼を得るためには、現場の担当者の声を反映した適切な資料を作成しなければなりません。
ここでは、実効性の高いRCMを作成するための注意点を4つ紹介します。
- 5W1Hを踏まえた記述を行う
- 適切なリスクとコントロールの設定を意識する
- 実務担当者にヒアリングを行う
- 担当領域を明確化する
詳しく見ていきましょう。
5W1Hを踏まえた記述を行う
RCMを含め、内部統制報告制度の3点セット(業務記述書・フローチャート・RCM)を作る際は5W1Hを意識した記述が欠かせません。
具体的には次のようになります。
| 項目 | 内容 |
|---|---|
| When(いつ) | 実施時期 |
| Where(どこで) | 実施場所・対象範囲 |
| Who(誰が) | 担当者 |
| What(何を) | リスクやコントロールの内容 |
| Why(なぜ) | 実施目的 |
| How(どのように) | 実施方法 |
5W1Hを明確にすることで、リスクとコントロールの関係性が明瞭になり、内部統制の実効性を高められます。実務担当者や監査人とのコミュニケーションを円滑にするためにも有効です。
適切なリスクとコントロールの設定を意識する
財務報告の信頼性を確保するためには、各業務のリスクを正確に把握し、適切なリスクを設定しなければなりません。
担当者にヒアリングをして作成する業務記述書、それを基に作成するフローチャート、さらにそれら2つを基に作成するRCMの3点セットが深くつながっていることを意識し、それぞれの作成に臨むことが重要です。
コントロール不足だとリスク発生の可能性が高まります。一方で、コントロールが過剰になると業務効率が低下することにも注意しましょう。適切なバランスを保ちながら運用することが大切です。
実務担当者にヒアリングを行う
RCMの作成にあたっては、実務担当者への丁寧なヒアリングが欠かせません。ヒアリングを通じて、業務プロセスの実態や潜在的なリスクを把握できます。
ヒアリングの際は、RCM作成という目的を伝えた上で、業務の具体的な手順や課題、担当者が考える潜在的なリスクについて詳しく聞き取りましょう。
リスク分析の精度を上げるには、実務担当者の経験や知見を引き出すことが重要です。担当者との対話を重ねることで、実態に即した実効性の高いRCMを作成できるでしょう。
担当領域を明確化する
RCMをはじめとした内部統制3点セット(業務記述書・フローチャート・RCM)を作る際は、業務プロセスごとに担当者を明確にすることが大切です。
各現場のメンバーは自らの業務を熟知しており、リスクの特定や対応策の立案がスムーズに進められます。そのため、RCM作成担当は各現場の業務に精通した責任者や担当者が最適です。
RCM作成後は、それに基づいて業務を進めていくことになります。各責任者や担当者が作成することで、その内容やリスクコントロールについて現場の理解が得やすくなります。
また、RCMは作成して終わりではなく、適用しながら改善していく必要があります。各現場の責任者や担当者が作成することで、更新や改善を効率的に進められる点もメリットです。
内部統制に関わる上で内部監査の知識も欠かせない
内部統制の仕組みを構築し適切に運用するためには、内部監査の知識が欠かせません。
内部監査とは、不正の防止や業務の効率化を目的として、財務会計や業務について調査・評価・報告・助言を行うものです。
業務記述書、フローチャート、RCMといった内部統制3点セットの作成だけでなく、それらが実際に有効に機能しているかを確認するのも内部監査の役割です。
内部監査の関連資格を取得することで、内部監査の知識を体系的に身につけることが可能です。
アビタスのCIAプログラムは、内部監査の専門知識だけでなく、ビジネスに関わる幅広い知識を習得学習できます。
内部統制の実務に関わる人にとって、内部監査の知見は必須のスキルといえます。体系的な学習を通じて、内部監査の専門性を高めれば、より実効性の高い内部統制の構築が可能になります。
関連ページ:アビタス CIA「公認内部監査人(CIA)とは?取得するメリット、他資格比較」
まずは無料の説明会にご参加ください。
RCM(リスクコントロールマトリクス)は3点セットの1つ
RCMは、業務プロセスに潜在するリスクと対応するコントロールを一覧表の形で整理したものです。「業務記述書」「フローチャート」とともに、内部統制報告制度の「3点セット」として位置づけられています。
RCMを作成・活用することで、組織のリスク管理とガバナンスの強化が図れます。RCMの作成では、業務担当者へのヒアリングが重要です。業務プロセスや潜在リスクを的確に把握することで、実効性の高いRCMを作成できます。
RCMは、作成するだけにとどまらず、適切に活用し必要に応じて改善することがリスクの軽減や業務の効率化、企業の発展につながります。
CIA(公認内部監査人)の合格を目指すならアビタス
アビタスでは2005年にCIAプログラムを開講して以来、圧倒的な合格実績を挙げ続けています。合格率を上げるために、オリジナル教材と講師の質の良さにこだわっています。
講師は対法人向けの内部監査の実務研修も行っており、専門分野の知識だけでなく、ティーチングスキルにも優れているのが魅力です。
また通学・通信を併用できるコースや、スキマ時間で学習できるコンテンツなども揃えており、忙しい社会人でも効率よく学習できる環境が整っています。
CIAをはじめとする内部監査に関する資格取得を目指している方は、ぜひアビタスの利用を検討してみてください。
まずは無料の説明会にご参加ください。
合わせてお読みください
-
最近のエントリー
- カテゴリから探す
-