RCM

RCMとは

RCMとは、Risk Control Matrix（リスクコントロールマトリックス）の頭文字を取った略語で、業務の流れのなかで識別されたリスクと、リスクに対応する為のコントロールの関係を一覧にしたものです。

IPOの準備プロセスでは、J-SOX対応として「3点セット」と呼ばれる文書を作成することになりますが、その３点のうちの1つがこのRCMです。RCMは、３点セットのなかでも業務記述書とフローチャートを踏まえて最後に作成することが一般的であり、内部統制評価においてはこれを正確に作成することが重要です。

RCMの基本的な構成とポイント

RCMは、業務記述書の一連の業務の中で、誤りを未然に防ぐ、もしくは事後的に発見するための業務（統制活動）を抽出し、一覧表としたものです。
下の図は、金融庁が公表している「財務報告に係る内部統制の評価及び監査の基準」においてRCMの参考例として示されているもので、必ずしもこの様式による必要はないとされていますが、こちらをベースに解説していきましょう。

（財務報告に係る内部統制の評価及び監査の基準より抜粋）

上図 ①リスクの内容 には、作成した業務記述書の中で、重要な業務プロセスにかかる勘定科目に発生しうるリスクを記載します。例えば、②のリスク「受注入力の金額を誤る」とは、これが防止発見されずに業務が進むと会計上の売上債権と売上高の計上を誤ることを意味します。
そして、③統制の内容 が一連の業務の中で、このリスクを防止もしくは発見するための業務となっています。
また右隣の④要件 の欄は「アサーション」とも呼ばれ、財務報告の信頼性のために確かめるべき目標のことで「監査要点」を指します。簡単にいえば、その業務のリスクは財務報告上でどんなリスクになるか、ということですので、リスクの性質に対応して設定します。例えば、受注入力の金額を誤るリスクは売上債権と売上高の計上の誤りにつながるため、実際に売上が存在するかという⑤実在性 や、漏れなく計上されているかという⑥網羅性 が設定されます。

なお、上図はあくまで参考例ですので記載がありませんが、統制行為の頻度（日次・月次等）や種類（手作業統制かIT統制か）、キーコントロール（統制上の要点）であるか否かを判断して記載していくことが一般的です。

キーコントロールとは、各業務における内部統制（統制活動）の中で、統制行為として効果の高いものや、他の統制活動では代替不能な統制活動を指します。 キーコントロールや統制頻度等の記入欄を含めたRCMは、下図のようなイメージです。

リスク・コントロール・マトリクス（例）

（当社作成）

RCMの作成方法（概要）

RCMの大まかな作成方法は以下のようになります。

RCMの作成上の注意点

前述したアサーションは、6つ（実在性・網羅性・権利と義務の帰属・評価の妥当性・期間配分の適切性・表示の妥当性）に分類されていますので、識別したリスクに対して、このリスクにはどのアサーションを設定するか検討する必要があります。
ただし、適切に設定するには相当程度の知識や経験を要する部分ですので、監査法人出身者やJ-SOX経験者が担当することが望ましいです。

最後に、全体として注意したいのは、J-SOXのための文書としてあくまで「財務報告の信頼性」に関する部分に絞って検討する必要があるということです。
よくある失敗として、「フローチャート」及び「業務記述書」の作成段階から、財務報告の信頼性に関係のない実務を入れてしまい、冗長化、煩雑化してしまったり、それらにもリスクを認識してしまい、財務報告の信頼性に関係のない評価手続きを延々と入れてしまう、などがあります。
そうならないためにも、やはり監査法人出身者やJ-SOX経験者など、いわゆる勘所がわかる方が担当されることが望ましい業務と言えます。