PR
PR
リスクコントロールマトリクスとは
リスクコントロールマトリクス(RCM)は、業務で起こり得るリスクと、それを抑えるコントロールを対応づけて並べた一覧表です。どの業務で何が問題になり得るか、その対策が誰によりいつ実行され、どの証跡で確かめられるかを一目で把握できます。内部統制の設計と運用を見える化する基本資料として用いられます。
背景にはJ-SOXなどで求められる統制の有効性確認があります。例えば「誤った支払」というリスクに対し、「請求書と発注書の照合」や「承認者の二重チェック」などの統制を結び付けます。実施頻度や担当、ITか手作業かといった属性も記録し、抜け漏れを防ぎます。
RCMは業務フロー図や業務記述書と併用すると有効です。流れをフローで掴み、手順を記述書で確認し、RCMでリスクと統制の対応を検証します。統制の過不足を見直しやすくなり、責任分担が明確になり、監査説明もスムーズになります。内部統制を支える要の資料です。
