RCMとは、業務に潜むリスクとそれに対応する統制活動の状況を記述した表。リスクコントロールマトリクス。Risk Control Matrix。

目次 1 RCMの概要 2 RCMの記載内容 3 RCMの作成 3.1 活動の特定 3.2 リスクの識別 3.3 リスクの分類 3.3.1 全社的なリスク or 業務プロセスのリスク 3.3.2 経験済みリスク or 未経験リスク 3.4 リスクの分析・評価 3.5 リスクへの対応 3.5.1 リスクの回避 3.5.2 リスクの低減 3.5.3 リスクの移転 3.5.4 リスクの受容 4 関連記事

RCMの概要

RCMとは、リスクとそのリスクのコントロール方法（リスクに対処するためにとった策）の関連を整理した表（マトリクス）のことで、内部統制の6要素の

• 「リスクの評価と対応」

に関係が深い。企業は目標の達成を阻害する要因をリスクとして分析・評価し、その結果に見合った対応をとらなければならない。そのようなリスクに対する企業の内部統制状況をまとめて文書にしたものがRCMである。RCMの最大の目的は「リスクの可視化」である。

RCMの記載内容

RCM（リスクコントロールマトリックス）は、金融商品取引法の内部統制報告制度に対応する際の推奨3ツール（3点セット）の一つである。RCM内で重要なリスク項目になるのは「財務報告の信憑性を損なうリスク」であり、重要なリスク項目については重点的にコントロールを検討・実践し、その旨をRCMに記述する必要がある。具体的な記述内容は以下の通り。

1. リスク

   リスク内容について

2. 関連勘定科目

   そのリスクによって影響を受ける決算書の項目

3. アサーション（監査要点）

   経営書による報告書の適正性の主張。5種類に分けられる。

   1. 実在性と発生についての主張・・・資産や負債、取引がその会計期間に実在している旨の主張。架空取引等の記載が無い事の証明。
   2. 網羅性についての主張・・・記録されるべき取引および事象がすべて反映されている旨の主張。
   3. 評価と配分についての主張・・・資産、負債、資本、収益、費用が財務諸表に適正に反映されている旨の主張。
   4. 権利と義務についての主張・・・資産の権利や負債義務が会社にある旨の主張。
   5. 表示と開示についての主張・・・財務諸表の特定の構成要素が適切に区分され、記述され、開示されている旨の主張。

4. リスクの重要性

   リスクの影響度、発生確率。

5. コントロール

   そのリスクに対するコントロールについて。

   1. 内容・・・具体的なコントロール策の内容
   2. 頻度・・・どのくらいの頻度で実施するのか。例えば、月次・週次・随時など。
   3. 目標・・・リスクになる要素のどの部分を補填するのか。例えば、完全性・正確性・正当性・継続性など。
   4. タイプ・・・コントロール策がリスクにどのように働きかけるのかについて。例えば、コントロールは自動か手動か、防止的か発見的かなど。

6. リスク評価

   リスクの重要性、コントロールなどを勘定し、そのリスクを総合的に評価する。

RCMの作成

RCMの作成手順は、以下のようになる。

1. 活動の特定
2. リスクの識別
3. リスクの分類
4. リスクの分析・評価
5. リスクへの対応

活動の特定

企業の活動を特定し、すべてのビジネスプロセスを定義する。これによって、企業の活動範囲や活動内容が把握される。この段階は、3点セットの残りの二つである「業務フロー図」と「業務記述書」と共通になる。

リスクの識別

リスクとは、組織目標の達成を阻害する（負の影響を与える）要因をいう。具体的には、

• 市場競争の激化
• 為替や資源相場の変動

などの外部的要因と、

• 情報システムの故障・不具合
• 会計処理の誤謬・不正行為の発生
• 個人情報及び高度な経営判断に関わる情報の漏洩

などの内部的要因がある。組織目標の達成に影響を与える可能性のある事象を把握し、そのなかにどのようなリスクがあるのかを特定する。リスクは、全社的なレベルから業務プロセスのレベルまで様々な段階で存在するので、各段階において適切にリスクを識別することが重要になる。

リスクの分類

識別したリスクを分類するが、その際の分類の軸となるのは以下のようなもの。

• 全社的なリスク or 業務プロセスのリスク
• 経験済みリスク or 未経験のリスク

全社的なリスク or 業務プロセスのリスク

全社的なリスクとは、組織全体の目標の達成を阻害するリスクのこと。

• キャッシュ・フローの状況の異常な変動
• 特定の取引先・製品・技術等への依存
• 訴訟事件等の発生
• 経営者個人への依存

等がこれに当たる。明確な経営方針・戦略の策定、取締役会・監査役・監査委員会の機能の強化など組織全体を対象とする統制の整備・運用が必要になる。

業務プロセスのリスクとは、各業務プロセスにおける目標の達成を阻害するリスクのこと。

• プロセス内で使用するリソースの不足
• 一作業への依存
• 作業についての虚偽報告

等がこれに当たる。中途状況の把握に役立つKPIの設置やリアルタイムで業務の実行を監視するBAMの導入など業務の中に組み込まれた統制活動で対応する。

経験済みリスク or 未経験リスク

過去の業務実績からリスクを分類する。経験済みリスクに対しては過去の対応を参考にする。未経験のリスクに対してはより慎重な対応が求められる。ただし、経験済みリスクも外部変化などで新たなリスクに変化している場合もあるので注意が必要になる。

リスクの分析・評価

上記のリスクの発生可能性とその影響度を分析し、リスクの重要性を見積もる。重要性が高いものから、どのような対応策を講じるべきかを評価する。

リスクへの対応

リスクへの対応には、

• 回避
• 低減
• 移転
• 受容
• 上記の組み合わせ

等がある｡

リスクの回避

リスクの原因となる活動を中止すること。リスクの発生可能性や影響度が非常に大きい場合やリスク管理が困難な場合に選択される。

リスクの低減

リスクの発生可能性や影響を低くするため、新たな統制を設けること。

リスクの移転

リスクを外部に転嫁することでリスクの影響度を低くすること。例えば、保険への加入など。

リスクの受容

対応を取らない、つまりリスクを受け入れること。事前対応のコストが効果を上回る場合やリスクが顕在化した後でも対応が可能である場合に選択する。

リスクへどのように働きかけるかを決定した後に

• どのくらいの頻度で実施するのか
• 完全性・正確性・正当性・継続性などリスクのどの部分を補填するのか
• 対応策は自動的に行うのか手動で行うのか、防止的な策なのか発見時にとる策なのか

などの詳細を決定していく。

リスクコントロールマトリクスの形式に関して、金融庁の「財務報告に係る内部統制の評価及び監査に関する実施基準」でのサンプルは、

• 「業務プロセス名」
• 「リスクの内容」
• 「統制の内容」
• 「監査要件」
• 「リスク評価」
• 「リスク評価内容」

の6つの項目から構成されている。

関連記事

• 内部統制
• J-SOX
• 3点セット