RCM
RCMとは、Risk Control Matrixの頭文字を取った略語で、業務の流れのなかで識別されたリスクと、リスクに対応する為のコントロールの関係を一覧にしたものです。
IPOの準備プロセスでは、J-SOX対応として「3点セット」と呼ばれる文書を作成することになりますが、その3点のうちの1つがこのRCMです。
RCMの具体的な作成方法は以下のとおりです。
具体的なRCMの作成方法(概要)
|
①まずは対象となる業務プロセスの「3点セット」のうち、「フローチャート」及び「業務記述書」を作成します。 ②次に、①で作成した「フローチャート」及び「業務記述書」をもとに、業務を理解し、リスクがどこにあるか網羅的に検討します(※)。 ③リスクが把握できたら、そのリスクを軽減するためのコントロール(=内部統制)がどこにあるか検討します。 ④リスクとコントロールが識別出来たら、それらを対応させてRCMを作成します。 |
RCMの参考例
(出典:財務報告に係る内部統制の評価及び監査の基準より抜粋)
なお、上記の図では「要件」と表記されていますが、リスクとコントロールだけでなくいわゆる「アサーション」を設定する必要があります。
アサーションとは、財務報告の信頼性のために確かめるべき目標のことで「監査要点」を指します。簡単にいえば、その業務のリスクは財務報告上でどんなリスクになるか、ということです。
アサーションは、上記のように6つ(実在性・網羅性・権利と義務の帰属・評価の妥当性・期間配分の適切性・表示の妥当性)に分類されていますので、識別したリスクに対して、このリスクにはどのアサーションを設定するか検討する必要があります。
ただし、適切に設定するには相当程度の知識や経験を要する部分ですので、監査法人出身者やJ-SOX経験者が担当することが望ましいです。
作成の注意点
最後に、全体として注意したいのは、J-SOXのための文書としてあくまで「財務報告の信頼性」に関する部分に絞って検討する必要があるということです。
よくある失敗として、「フローチャート」及び「業務記述書」の作成段階から、財務報告の信頼性に関係のない実務を入れてしまい、冗長化、煩雑化してしまったり、それらにもリスクを認識してしまい、財務報告の信頼性に関係のない評価手続きを延々と入れてしまう、などがあります。
そうならないためにも、やはり監査法人出身者やJ-SOX経験者など、いわゆる勘所がわかる方が担当されることが望ましい業務と言えます。
響きパートナーズ株式会社
響きパートナーズは、IPO支援を行なうコンサルティング会社です。ベンチャー企業の経営支援・IPO支援のプロフェッショナルとして、毎年、国内で上場する企業のおよそ10社に1社をご支援しています。当社では、IPOに関する課題をお持ちのお客様に、アドバイスだけでなくコンサルタントが実際に手を動かして、課題解決に向けて伴走支援いたします。
伊東 誌郎
公認会計士。有限責任あずさ監査法人にて、上場会社の法定監査およびIPO監査、ショートレビュー、その他アドバイザリー業務等に従事。2018年に響きパートナーズに参画、パートナーを務める。