Knowledge base
HOME > ナレッジベースTOP > リスクコントロールマトリクス(RCM)

ナレッジベース

リスクコントロールマトリクス(RCM)

投稿日時:2008年5月12日 20:00

リスクコントロールマトリクスは、内部統制の有効性を評価する際に会社のリスクの存在とそれに対応するコントロール(内部統制)を対応付けて表示することにより、適切なコントロールがどのような意図で存在するのかを明確にするために作成されます。また一般にはRCM(Risk Control Matrix)と呼ばれます。
内部統制報告制度においては、いわゆる文書化三点セットの一つとして作成されることが多く、内部統制の有効性を評価する際に利用する文書となります。この文書を基礎として内部統制の有効性評価が行われることになるため、実質的に作成が必須になると考えられます。

リスクコントロールマトリクスに記載される項目として特に定められたものは存在しないため、各社に応じて記載事項やその形式は異なりますが、たとえば次のような内容が記載されます。
・業務
・リスクの内容
・統制の内容
・要件
・評価内容
・その他
その他には自動化された内部統制か否か、防止的コントロールか発見的コントロールか、コントロールの重要性、コントロールの評価結果などの記載が想定されますが、記載項目は会社で必要と考えるものが含まれることになります。
記載されるリスクの内容やコントロールの内容は会社に存在するリスクやコントロールであり、フローチャートや業務記述書において識別すべきリスクを網羅的に識別した結果がまず記載され、そのリスクの統制上の要件をどのように満たすかを含めて、実際のコントロールが記述されます。フローチャートや業務記述書とRCMとの関連性を明確にするために、識別するリスクやコントロールに番号を付し、対応関係を明確にすることが多く行われています。そして、ここで記載されるコントロールが内部統制の有効性を評価する対象となります。
内部統制の有効性を行う場合には、リスクコントロールマトリクスに記載されている会社の内部統制が有効に整備・運用されているのかという観点で行われ、その評価結果が記録されることになります。経営者が最終的に内部統制の有効性に関する意見表明を行う際には、一つ一つのコントロールの有効性評価の結果に基づくことになるため、リスクコントロールマトリクスが内部統制の有効性評価を行う際に重要な位置を占めます。
なお、図で示しているリスクコントロールマトリクスは一例です。記載項目は会社ごとに異なるとしても、一般にはこのような形式であることが多いと思いますが、識別したリスクとコントロールを文字通り行列(マトリクス)のような形式で表示するリスクコントロールマトリクスも比較的多く見かけることがあります。