リスク・コントロール・マトリックス(RCM)2009.3.4 |
質 問
財務報告に係る内部統制における「リスク・コントロール・マトリックス(RCM)」について、教えてください。
回 答
1.定義
RCMは、実在性等の「適切な財務情報を作成するための要件」、「虚偽記載が発生するリスク」、そして、「リスクを低減する内部統制」の対応表です。フローチャート、業務記述書、RCMをまとめて、一般に「3点セット」と呼ばれます。RCMについては、「財務報告に係る内部統制の評価及び監査に関する実施基準」(以下、実施基準という)において、(参考3)に「リスクと統制の対応」という表題で例示されています。
(RCMの例:実施基準(参考3)より抜粋)
2.RCMの作成上の留意事項
RCMの作成においては、「虚偽記載が発生するリスク」を網羅的に識別することが、最も重要です。リスクの識別を漏らしてしまうと、内部統制の不備に気づかず、財務諸表に虚偽記載が生じかねません。リスクを網羅的に識別するためには、業務プロセスの流れに沿って、各段階で、実在性等の「適切な財務情報を作成するための要件」を阻害する要因は何があるかを複数人で考えて行く方法が有効です。
3.RCMの利用
実施基準の(参考3)の表では、「業務」から「要件」の列までで、RCMの対応表としての機能が十分にあります。しかし、経営者による業務プロセスの評価時にも利用することを意図して、「評価」「評価内容」の2列が追加されていると考えられます。
この部分に、例えば以下のような項目を記載することで、評価を効率的に実施でき、また、実施基準で必要とされている「評価手続等の記録」に対応することができると考えられます。
(項目例)
