業務プロセスに係る内部統制の整備にあたって、評価対象となる業務プロセスを識別したら、「業務記述書」「フローチャート」を作成し、業務プロセスを可視化します。
次に、当該業務プロセスにおいて、財務諸表の虚偽記載リスクを識別し、そのリスクを軽減するためのキーコントロールを選定します。
そして、このリスクとコントロールが対応している状況を整理し、「リスク・コントロール・マトリクス(RCM)」を作成します。
業務プロセスに係る内部統制の整備状況評価においては、このリスク・コントロール・マトリクス(RCM)を用いて、コントロールが有効に機能しているかどうかを評価することになります。
この記事では、リスク・コントロール・マトリクス(RCM)について簡単にまとめました。
※内部統制基準=「財務報告に係る内部統制の評価及び監査の基準」
※実施基準=「財務報告に係る内部統制の評価及び監査に関する実施基準」
J-SOXにおける「3点セット」
J-SOXにおいて、「業務記述書」「フローチャート」「リスク・コントロール・マトリクス(RCM)」は、一般的に3点セットと呼ばれています。
業務プロセスに係る内部統制を構築するには、評価対象となる業務プロセスを識別し、その業務プロセスにおける取引の流れや会計処理の過程を理解するため、まずは「業務記述書」と「フローチャート」を作成します。
業務記述書には、業務プロセス内に存在するリスクに関する情報が記載されます。
また、フローチャートにもリスクの所在が図示され、そのリスクに対応する統制(コントロール)を表す記号も合わせて記されます。
リスク・コントロール・マトリクス(RCM)は、業務記述書およびフローチャートに記載されたリスクと統制(コントロール)の情報をもとに作成される一覧表です。
リスク・コントロール・マトリクス(RCM)を作成することで、業務プロセスにおけるリスクに対して統制(コントロール)の整備が網羅されているか、その統制(コントロール)が有効であるかを確認することができます。
また、内部統制の整備状況の評価において、リスク・コントロール・マトリクス(RCM)を利用して評価手続を実施することになります。
なお、3点セットの作成は必須というわけではなく、小規模企業では組織構造や業務プロセスのシンプルさにより、業務マニュアル等で代用される場合もあります。
しかし、3点セットの形式で作成すれば、業務プロセスの担当部門や内部監査部門、監査法人等が業務プロセスに関する情報を共有するための有用な資料となり得ます。
リスク・コントロール・マトリクス(RCM)の作成
リスク・コントロール・マトリクス(RCM)の作成手順はおおよそ以下のようになります。
①フローチャートでリスクが発生する箇所を検討する
フローチャート上で、リスクの発生場所を検討し、リスク番号を記載します。
なお、業務プロセスの文書化に際し注目すべきリスクとは、財務報告に重要な影響を及ぼすもの(不正または誤謬(ミス)により虚偽記載が発生するリスク)に限られます。
※虚偽記載リスクの例については、以下の記事をご参照ください。
②リスクの発生により妨げられるアサーションを識別する
勘定科目や金額の計上・表示が正しいことを主張する以下の6つの要件を「アサーション」といいます。
識別されたリスクが発生した場合、どのアサーションの充足が妨げられるのかを検討します。
- 実在性:資産及び負債が実際に存在し、取引や会計事象が実際に発生していること
- 網羅性:計上すべき資産、負債、取引や会計事象をすべて把握していること
- 権利と義務の帰属:計上されている資産に対する権利及び負債に対する義務が企業に帰属していること
- 評価の妥当性:資産及び負債を適切な価額で計上していること
- 期間配分の適切性:取引や会計事象を適切な金額で記録し、収益及び費用を適切な期間に配分していること
- 表示の妥当性:取引や会計事象を適切に表示していること
※アサーションについては、以下の記事をご参照ください。
③識別したリスクとアサーションをリスク・コントロール・マトリクス(RCM)に記載する
①および②で識別したリスクとアサーションを、リスク・コントロール・マトリクス(RCM)に記載します。
フローチャート上に記載したリスク番号を転記し、フローチャートとリスク・コントロール・マトリクス(RCM)の関連性を明確にします。
④現状存在する統制(コントロール)を確認し、それがリスクを軽減しているかどうか検討する
業務記述書およびフローチャートを参照し、現状の統制(コントロール)の内容と、それがリスクを軽減しているかどうかを検討します。
業務プロセスにおける主な統制(コントロール)には、以下のようなものがあります。
- 承認:職務権限者による承認(上位者の承認や複数部署による承認がより強い統制となる)
- 照合:資料と資料を突き合わせて内容を確認(内部で作成された資料より外部で作成された資料がより強い証拠力を持つ)
- 検証:証憑を確認(内部で作成された文書より外部で作成された文書がより強い証拠力を持つ)
- 評価・分析:比率対比や比率分析等、指標となる数値を評価・分析し、異常値を発見
- アクセス制限:システムやネットワーク内のデータを操作または閲覧等が可能な担当者を制限
なお、統制(コントロール)の中でも重要な役割を持つものを、キーコントロールといいます。
※キーコントロールについては、以下の記事をご参照ください。
もし統制(コントロール)がリスクを十分に軽減していなければ、またはまったく統制(コントロール)が存在していなければ、まずは適切な統制(コントロール)活動を整備する必要があります。
⑤リスクに対応している統制(コントロール)をリスク・コントロール・マトリクス(RCM)に記載する
リスクに対応する統制(コントロール)について、以下のような事項をリスク・コントロール・マトリクス(RCM)に記載します。
- 統制(コントロール)の番号
- 統制(コントロール)の内容
- 統制(コントロール)の頻度
- 予防的統制か、発見的統制か
- システムによる自動的な統制か、マニュアル統制か
- キーコントロールか否か 等
⑥その他の記載事項
リスクやアサーション、統制(コントロール)の情報以外に、以下のような事項もリスク・コントロール・マトリクス(RCM)に記載します。
- 関連する規程や文書
- 担当部門責任者(プロセスオーナー)
- 関連するシステム
- 関連する勘定科目 等