startup-jam LegalOn Cloud

【サンプルあり】RCM(リスクコントロールマトリクス)とは? 作成手順も紹介!

【サンプルあり】RCM(リスクコントロールマトリクス)とは? 作成手順も紹介!

【IPO準備ガイドブック】フェーズごとに徹底解説!IPOを成功させるためのタスクとスケジュール

無料でダウンロードする

RCM(リスクコントロールマトリクス)は内部統制の整備や報告に欠かせない資料のひとつです。大企業やIPOを目指すスタートアップにとっては、不祥事を防ぐセーフティーネットとしても重要な役割を持ちます。一方で作成や提出に法的な義務がないRCMは、サンプルやひな型を目にする機会も少なく、書き方や使い方に悩む担当者も多いでしょう。

この記事ではRCMの基本知識や作成手順を、サンプルつきで、わかりやすくまとめました。内部統制報告制度についても併せて解説しています。

これから内部統制報告のためにRCMを作成する人は、ぜひ参考にしてください。

RCMは内部統制報告制度の3点セットの1つ

RCMは業務プロセスにおける「リスク」を「コントロール(統制)」するための「一覧表(マトリックス)」のことです。内部統制の整備あるいは報告書の作成時に使用されます。

RCMの作成自体は義務ではありませんが、内部統制がリスクの低減に十分貢献しているかどうか確認し、評価するために使われる資料です。

またRCMは「内部統制報告制度の3点セットの1つ」とも言われています。内部統制報告制度の3点セットとは、以下の3つです。

  • 業務記述書
  • フローチャート
  • RCM

業務記述書やフローチャートを使用して業務の流れを可視化し、RCMでリスク対策や評価をまとめ、記録します。

(参考:町田祥弘『内部統制の知識〈第3版〉』日経文庫)

RCMのサンプルと作成手順

RCMは以下の流れで作成します。

  1. フローチャート・業務記述書を作成する
  2. リスクと統制(コントロール)を設定する
  3. ヒアリングをもとに修正する

金融庁が公表している「財務報告に係る内部統制の評価及び監査の基準並びに財務報告に係る内部統制の評価及び監査に関する実施基準の改訂について(意見書)」では「リストと統制の対応(例)」として、RCMのサンプルが掲載されています。

ここでは金融庁のサンプルを例に、RCMの作成手順を見ていきましょう。

RCMのサンプル

RCMには形式や記載の決まりはありません。リストの内容とその対策・評価が、業務ごとにまとめられていれば大丈夫です。

金融庁のサンプルでは、以下のように記載されています。

 

金融庁「財務報告に係る内部統制の評価及び監査の基準並びに財務報告に係る内部統制の評価及び監査に関する実施基準の改訂について(意見書)」

記載内容は以下のとおりです。

  • 業務
  • リスクの内容
  • 統制の内容
  • 要件(実在性、網羅性、権利と義務の帰属、評価の妥当性、期間配分の適切性、表示の妥当性)
  • 評価
  • 評価内容

なお要件として挙げられている6つの項目は、監査人が財務諸表で確かめるべき目標とされる「監査要点(アサーション)」です。

参考:日本公認会計士協会「監査要点(アサーション)」

RCMでは①業務プロセスを分類して②具体的なリスクの内容をひとつずつ示し、③不正を防ぐための統制を検討して、④監査要点に沿って有効性を確認します。さらに⑤総合的な評価を行い、⑥必要に応じて、評価に関して記載すべきことを追記してください。

以下、具体的な作成手順を3ステップでまとめました。

手順①フローチャート・業務記述書を作成する

RCMを作成する準備として、まずはフローチャートと業務記述書を用意しましょう。それぞれの概要とサンプルは、以下のとおりです。

■フローチャート

個々の業務プロセスを書き出したものです。「業務の流れ図」とも言います。どこに不正が発生するリスクがあるか、把握するための資料です。

 

金融庁「財務報告に係る内部統制の評価及び監査の基準並びに財務報告に係る内部統制の評価及び監査に関する実施基準の改訂について(意見書)」

■業務記述書

業務の詳細を記録し、まとめたものです。フローチャートよりも詳細に、個々の業務をまとめます。

 

金融庁「財務報告に係る内部統制の評価及び監査の基準並びに財務報告に係る内部統制の評価及び監査に関する実施基準の改訂について(意見書)」

各業務プログラムを視覚化し、リスクの洗い出しを容易にするのが目的です。

(参考:町田祥弘『内部統制の知識〈第3版〉』日経文庫)

手順②リスクと統制(コントロール)を設定する

フローチャートと業務記述書から考えられるリスクは、業務別に分類し、リスクの大きさ・発生可能性・頻度等を分析して目標への影響を評価します。その後、対応する統制を設定しましょう。

具体的なリスクや統制活動の考え方は、以下のとおりです。

■リスク

組織目標の達成を阻害する要因です。大きく「外部的要因」と「内部的要因」に分類できます。

・外部的要因

天災や盗難、市場競争の激化など、組織を取り巻く外的なリスクの要因

・内部的要因

情報システムの故障・不具合や会計処理の誤謬・不正行為の発生のほか、個人情報情報の流失・漏洩など、組織の中で生ずる内的なリスクの要因

ここでのリスクは組織に負の影響、つまり損失を与えるリスクのみを指します。組織に利益をもたらす可能性は含まれません。性質に応じて識別されたリスクの大きさ、発生可能性、頻度等を分析し、目標への影響を評価します。

■統制活動

統制活動とは経営者の命令および指示が適切に実行されるために、業務のプロセスに組み込まれるものです。

主な統制活動(コントロール)には、以下のようなタイプに分類されます。

・予防的コントロール

不正行為が行われないよう、あらかじめ講じられる対策です。

・発見的コントロール

リスクが発生した場合、早期に発見できるようにする対策です。

・指揮的(指示的)コントロール

従業員が望ましい行動を取るように促す対策です。

・是正的コントロール

ほかのコントロールがうまく機能せず、リスクが発生しそうな場合に是正する対策です。

参考:金融庁「財務報告に係る内部統制の評価及び監査の基準並びに財務報告に係る内部統制の評価及び監査に関する実施基準の改訂について(意見書)」

一般社団法人日本内部監査協会「コントロールの理論と適用」

リスクの性質に合わせ、適切な統制活動を検討します。

手順③ヒアリングをもとに修正する

できあがったRCMは、修正を重ねることが重要です。

特に専属チームを立ててRCMを作成した場合、現場の生の声が入りにくく、実際の業務内容やリスクにそぐわない記載になる可能性が高まります。必ず現場の担当者にヒアリングをし、業務プロセスやリスクを確認してください。

また、統制活動が実際に実現可能なものであるかどうかのチェックも大切です。業務プロセスの中に無理なく、日常的に取り入れられる統制活動でなければ、期待した成果が得られなくなるおそれがあるからです。

現場の従業員の意見を取り入れ、実情にあったRCMに修正しましょう。

RCM作成時の3つの注意点

RCMを作成する際には、以下の3つのポイントに注意してください。

  1. 監査要点を確認する
  2. 現場のヒアリングをしっかり行う
  3. 5W1Hを明確にし、だれが読んでもわかるように記述する

それぞれ詳しく見ていきましょう。

監査要点を確認する

RCMでは要件として記載する監査要点をもとに、リスクを識別します。監査要点については、事前にしっかり理解しておくすることが重要です。

監査要点の概要は、以下のとおりです。

  • 実在性:資産及び負債が実際に存在し、取引や会計事象が実際に発生していること
  • 網羅性:計上すべき資産、負債、取引や会計事象を全て記録していること
  • 権利と義務の帰属:計上されている資産に対する権利及び負債に対する義務が企業に帰属していること
  • 評価の妥当性:資産及び負債を適切な価額で計上していること
  • 期間配分の適切性:取引や会計事象を適切な金額で記録し、収益及び費用を適切な期間に配分していること
  • 表示の妥当性:取引や会計事象を適切に表示していること

引用:金融庁「財務報告に係る内部統制の評価及び監査の基準並びに財務報告に係る内部統制の評価及び監査に関する実施基準の改訂について(意見書)」

各業務プロセスでは監査要点への影響を明確にしながら、虚偽記載が発生するリスクを識別しましょう。

現場のヒアリングをしっかり行う

RCMは現場の実情に沿ったものであることが大切です。フローチャートや業務記述書は業務プロセスを整理したものですが、現場での動きをすべて記載しているわけではありません。理論上は正しい内部統制でも、実際の業務ではうまく起動しない可能性があります。

RCMは業務上のリスクを減らし、不祥事を起こさないためのセーフティーネットです。事業所ごとに異なる環境に対応するためには、それぞれの特徴や違いを明確にし、きめ細かな検討を重ねる必要があります。「事務職だから」「営業職はいつもこうしているから」と慣習や一般論に偏ったRCMでは意味がありません。

必ず担当者にヒアリングし、修正を重ね、現実的に実行可能なRCMを作成してください。

5W1Hを明確に、だれが読んでもわかるようにする

RCMは内部統制報告や評価に使用する書類です。作成担当者だけでなく、だれが読んでも内容を理解できるようにしておきましょう。

わかりやすく記述するためには、5W1Hを明確にすることが重要です。5W1Hは「When(いつ)」「Where(どこで)」「Who(だれが)」「What(なにを)」「Why(なぜ)」「How(どのように)」の頭文字を取った言葉で、情報の整理に使われます。

特にRCMでは、だれが統制活動に責任を負うのかはっきりさせる必要があります。5W1Hの形式を意識することで、より伝わりやすいRCMになるでしょう。

RCMの作成体制

RCMの作成体制には一般的に、専属チームを立てる「集中型」と、部署や班などのグループごとに作成したRCMを後で統合する「分散型」があります。

それぞれの概要と、メリット・デメリットをまとめました。

【集中型】専属チームが組織全体のRCMを作成する

企業内に作成チームを立て、集中的にRCMを作成する方法です。効率的に作業が進み、短期間でRCMを作成できる点にメリットがあります。

ただしRCMを作成する間、担当の従業員はほかの業務に対応できません。また、該当の業務経験がない担当者が作成にあたると、ヒアリング後の修正に時間がかかったり、業務内容の理解が足りなかったりするかもしれません。

従業員に余裕があり、業務内容の確認等の作業がスムーズに進む環境が整っている場合にオススメの作成体制です。

【分散型】グループごとに作成したRCMを統合する

各部署でRCMを作成し、あとからひとつにまとめる体制です。担当者が業務プロセスをよく理解しているので、細かな現場の状況やリスクを盛り込みやすくなります。また、ヒアリングや修正も最小限で済むこともメリットのひとつです。

一方で完成までには、各部署からRCMが上がってくるのを待つ時間が必要です。さらに書式や情報の粒度にばらつきがあると、その都度修正しなくてはいけません。

業務が多岐にわたる企業や、最終的な統合作業に時間をかけられる企業に向いています。

そもそも内部統制報告制度とは?

内部統制とは、端的に言えば「企業などの組織内において、業務に支障を来たすようなリスクに対応するための決まりごとを設け、組織の中の人々がそれに基づいて業務を行っていくプロセス」(引用:町田祥弘『内部統制の知識〈第3版〉』日経文庫p.14)です。

企業は業務や従業員の行動に責任を負います。しかし企業規模が大きくなればなるほど、細部まで直接監視することはできません。そのために構築されるリスク管理体制が「内部統制」です。

内部統制には以下の4つの目的があります。

  • 業務の有効性・効率性
  • 財務報告の信頼性
  • 法令等の遵守
  • 資産の保全

内部統制は経営者の責任を明確にするだけでなく、企業にとっては不祥事を防ぐためのセーフティーネットの役割も果たすのです。

「金融商品取引法」では経営者は事業年度ごとに「内部統制報告書」を作成・提出し、公認会計士または監査法人の監査証明を受けることが定められています。これはアメリカのサーベインズ=オックスリー法(SOX法)に対応することから、「J-SOX法」「日本版SOX法」とも呼ばれる制度です。

(参考:町田祥弘『内部統制の知識〈第3版〉』日経文庫)

RCMについて解説しました

RCMは企業の内部統制において、重要な役割を果たす文書です。業務プロセスのリスクとその管理方法を一覧表にまとめたもので、業務記述書とフローチャートと共に「内部統制報告制度の3点セット」のひとつに数えられます。RCMでは各業務プロセスのリスクを識別し、対応する統制活動を設定します。作成時は監査要点の確認、現場へのヒアリング、5W1Hを意識した明確な記述が重要です。

作成体制には専属チームで集中的に作成する方法と、部署ごとに分散して作成する方法があります。企業の規模や状況に応じて選択してください。RCMは法的義務ではありませんが、不祥事防止と内部統制の効果的な実施に欠かせないツールです。適切に作成し、重要なセーフティーネットとして活用しましょう。

スタートアップのための戦略的なバックオフィス体制構築とは

Startup JAM編集部
執筆

Startup JAM編集部

Startup JAM編集

AI法務プラットフォーム「LegalOn Cloud」を提供する株式会社LegalOn Technologiesの、「Startup JAM-スタートアップ向けにビジネスの最前線をお届けするメディア-」を編集しています。

AI契約書レビューや契約書管理など
様々なサービスを選択してご利用できるハイスペック製品

製品についてはこちら