- 2023. 12. 06
- 業務改善・業務効率   
- 経営管理
RCMの導入と活用により組織の安全を守り、未来への安心を築こう
内部統制におけるRCM(Risk Control Matrix, リスクコントロールマトリックス)は、組織がリスクを効果的に管理し、不正行為や過失から身を守るための貴重な文書です。この記事では、RCMの基本概念から作成手順、ポイントまでを詳しく探求します。組織が成功するためには、リスクを正確に特定し、適切なコントロール(統制)策を選定することが不可欠です。内部統制におけるRCMの導入は、組織の透明性と信頼性を高め、長期的な成功に向けた一歩になることでしょう。
- 目次
-
内部統制におけるRCM
RCMとは、リスクのコントロール(統制)についての、マトリックス表(行列の表)のことです。リスクとは業務プロセスにおけるさまざまなリスクのことで、代表的なものが財務報告に虚偽記載を発生させるリスクです。
内部統制を把握するための3点セット
RCMは内部統制を把握するための3点セットのひとつに数えられるものです。内部統制を把握するための3点セットには、RCMのほかに「業務記述書」と「フローチャート」が存在します。内部統制におけるRCMは、リスクの特定、評価、管理を効果的に行うための文書であり、リスク要素とリスク統制を「対応表」として一覧にしたものです。
内部統制の3点セットを簡単に説明すると、以下のとおりです。
業務記述書
業務記述書は、組織内の業務プロセスやタスクに関する詳細な説明や手順を含む文書です。これにより、特定の業務がどのように実行されるかを理解できます。
フローチャート
フローチャートは、業務プロセスを視覚的に表現するための図表です。プロセスのステップや決定点、情報の流れを示し、業務記述書を補完し、プロセスの可視化と理解を支援します。
RCM(リスクコントロールマトリックス)
RCMは、リスク管理のツールであり、特定の業務プロセスやシステムにおけるリスク要因とそれに対するコントロール策を示すマトリックスです。業務記述書とフローチャートの情報を基に、潜在的なリスクを特定し、リスクを軽減するための対策を選定します。RCMは内部統制を向上させ、リスク管理を効果的に行うための手法として使用されます。
要するに、業務記述書とフローチャートは業務プロセスを文書化し可視化するためのツールであり、RCMはそれらの情報を基にリスク管理を行う手法です。組織がこれらの要素を統合的に使用することで、内部統制の強化とリスクの最小化に貢献します。
RCMのリスクコントロールとは
組織はRCMを使用して、主要なリスク要因を明確にし、それらに対する適切なコントロール策を開発します。これにより、不正行為や過失を軽減し、業務プロセスの信頼性と透明性を向上させることができます。RCMは内部統制の一部として、リスクの最小化と組織の目標達成を支援するのです。
不正または誤謬により、虚偽記載が発生するリスクを識別するに当たっては、内部統制の基本的要素ごとに内容を検討することが重要です。各要素の統制上の要点を理解することで、適切なコントロール案が策定できるからです。金融庁の「財務報告に係る内部統制の評価及び監査の基準」では、6つのアサーション(監査要件)について下記のように説明しています。
a.実在性-資産及び負債が実際に存在し、取引や会計事象が実際に発生していること
b.網羅性-計上すべき資産、負債、取引や会計事象を全て記録していること
c.権利と義務の帰属-計上されている資産に対する権利及び負債に対する義務が企業に帰属していること
d.評価の妥当性-資産及び負債を適切な価額で計上していること
e.期間配分の適切性-取引や会計事象を適切な金額で記録し、収益及び費用を適切な期間に配分していること
f.表示の妥当性-取引や会計事象を適切に表示していること
引用:財務報告に係る内部統制の評価及び監査の基準 | 金融庁 |(PDF)
RCMの作成手順と項目
RCMを作成するうえで、一般的な手順と必要項目を解説します。
作成手順
業務の理解とリスクの特定
RCMを作成する準備段階としては、システムやプロセスの理解から始め、潜在的なリスク要因を特定します。これらは、業務記述書とフローチャートを活用することで対応可能です。
自社のシステムやプロセスに応じたリスクを把握することで、適切な対策を選定し、RCMを作成することができるでしょう。
リスクの内容を具体化
リスクの内容を具体化するためには、6つのアサーション(監査要件)と突き合わせて、要件が満たされるか確認していきます。逆にいえば要素のプロセスにおいて、アサーションが満たされない場合や状況が「リスク」であるといえます。
だれが、どのようにリスクをコントロールするのかを明確化
例えば、特定の会計処理の「実在性」を確保したいのであれば、日次で上長が会計処理と処理に係る書類(請求書や契約書)との突き合わせを行うというように、コントロール方法を明確化します。
このような手順でRCMを作成したあとは、モニタリングと改善を行い文書の有効性を確保します。
RCMに記載する項目
RCMに記載する項目は、例えば以下のとおりです。
- 業務内容
- リスクの内容
- 統制の内容
- 6つの要件
- 評価
- 評価内容
上記は、金融庁の「財務報告に係る内部統制の評価及び監査の基準並びに財務報告に係る内部統制の評価及び監査に関する実施基準の改訂について(意見書)」より抜粋したものです。ただし、RCMに記載される項目は、特に定められていないため、各社のシステムやプロセスに応じて記載事項やその形式は異なります。
RCMの作成体制
RCMの作成体制は組織ごとに異なりますが、代表的なものを2つ紹介します。
社内で単独のプロジェクトチームを発足させ、組織全体のRCMを作成する
専属のチームが取り組むため、効率的に作成できるメリットがあります。一方で、チームメンバーは各業務への理解が浅い可能性があります。
有効なRCMを作成するためには組織内の異なる部門や専門家の協力が必要であり、トップマネジメントのサポートも欠かせません。
部署や部門ごとにRCMを作成し、統合する
該当業務に携わっている部署内・部門内の担当者が文書を作成する方法です。業務を理解している現場で作成されるため、リスクを見落としにくく、かつ現実的な案の策定が可能でしょう。
ただし、最終的に社内全体で整合性が必要なので、コミュニケーションと情報共有によって意思決定のプロセス統合を円滑に行えるようにします。各部署が組織全体のリスク管理を意識しながら、RCMを作成する文化が育成されることが望ましいです。
RCMを作成するポイント
リスクコントロールマトリックスでは、リスクの正確な把握と網羅的かつ有効なコントロールを設定することが重要です。そのようなRCMを作成するためのポイントを紹介します。
業務プロセスの理解
特定の業務プロセスを「知っている」だけでは足りず、社内全体でその業務がどのような意義を持つかを理解することが求められます。情報の共有とコミュニケーションを強化し、組織全体でリスク意識を高めることが不可欠です。
だれが見ても分かりやすく
5W1Hを意識して作成しましょう。特に部署・部門ごとに作成する場合は(作成者にとっては)当たり前すぎて「だれが」「いつ」などの情報が抜けやすくなります。
3点セットの役割を意識する
分かりやすく書こうとすると、長文になってしまいがちです。業務内容の把握は「業務記述書」と「フローチャート」にあるので、2つを補完する文章を心掛けると、簡潔なRCMが作成できます。
これらのポイントを意識すると、最終的にRCMは柔軟性を持ち、組織のリスク管理戦略をサポートするための有効な文書となることでしょう。
RCMの適切な活用は長期的な成功に向けた一歩
内部統制におけるRCMは、組織がリスク管理を強化し、内部のプロセスやシステムを効果的に保護するための重要な文書です。本記事では、RCMの基本から具体的な作成手順、成功の鍵となるポイントを解説しました。リスクの特定と評価、コントロール策の選定を通じて、組織は潜在的な脅威を軽減し、信頼性を高めます。また、RCMの作成を通じて情報共有とコミュニケーションを強化することで、組織全体のリスク意識向上につながります。企業がRCMを適切に作成・活用することで、リスクに対する迅速かつ効果的な対応が可能となります。長期的な成功に向けて、企業の組織力を引き上げることができるでしょう。