RCM(リスクコントロールマトリクス)の作成方法(J-SOX対応実務⑤)
内部統制報告制度(J-SOX)対応の実務 | 2013年1月4日今回は、弊社オリジナルの連載特集【内部統制報告制度(J-SOX)対応の実務】第8回目をお届けいたします。
J-SOX対応でお困りの方や、省力化を図りたい方は
|
「予算利益の達成にコミットしたい」上場会社、上場準備会社の皆様必見
|
今回はRCM(リスクコントロールマトリクス)作成のお話です。RCM作成は、J-SOX対応の「作業」で一番ボリュームが多い部分です。要領を得ずにやみくもに作業に取り掛かると作業量が膨大となり、非常に非効率となりますので、うまくポイントをつまみ、いかに無駄を省くかが重要となります。できる限りうまくお伝えできればと思うのですが、文章ですのでうまく伝えきれない部分があるかもしれませんが、どうぞお付き合いください。
1. RCMとは
RCM(リスク・コントロール・マトリクス)は文字通り、リスク(財務報告に虚偽記載を発生させるリスク:以下同じ)とそのリスクを低減させるためのコントロール(統制)の対応表のことをいいます。主に業務処理統制の整備評価・運用評価の際に用い、業務記述書(会社の業務の流れを記述したもの)とフローチャート(業務記述書を流れ図にしたもの)と合わせ、3点セットとよばれています。いわゆる「文書化」作業の一番ボリュームが大きくなるところであり、実務担当者としては作成に苦労を要する箇所となります。
リスクコントロールマトリクスに記載される項目として特に定められたものは存在しないため、各社に応じて記載事項やその形式は異なりますが、たとえば次のような内容が記載されます。
➣ 業務の内容
➣ 業務に内在するリスクの内容
➣ リスクに対応するコントロール(統制)の内容
➣ コントロールが整備・運用状況を評価するために実施する手続
➣ その他
「その他」には自動化されたコントロールか手動的なコントロールか、予防的コントロールか発見的コントロールか、コントロールの評価結果等の記載が想定されますが、記載項目は会社で必要と考えるものが含まれることになります。
ここに記載されるリスクの内容やコントロールの内容は会社に存在するリスクやコントロールであり、まずは会社の業務プロセスに内在するリスクを「漏れなく識別」します(ここ重要ですので、下記にて詳述します)。その上で、当該リスクを低減させるために会社で構築したコントロール(統制)を記載します。ここで記載されるコントロール(統制)が内部統制の有効性を判断する評価対象となるのです。
業務処理統制の有効性を行う場合には、RCMに記載されている会社の内部統制が有効に整備・運用されているのかという観点で行われ、その評価結果が記録されることになります。経営者が最終的に業務処理統制を含め、内部統制の有効性に関する意見表明を行う際には、一つ一つのコントロールの有効性評価の結果に基づくことになるため、RCMが内部統制の有効性評価を行う際に重要な位置を占めることとなります。
2. リスクを漏れなく識別する
J-SOXでは、財務報告に重要な虚偽記載が生じないように、有効な内部統制を構築することが目標となります。そのためには、重要な虚偽記載が生じるリスクが会社のどこに存在するのかを漏れなく把握することが非常に重要となります。これはちょうど医者が患部を特定するのと同じような意味合いです。「悪いところ(=リスク)」が分からないと、治療の施しようがありません。
【リスクを識別するために】
業務プロセスにおけるリスクを漏れなく識別するためには、まず業務プロセス自体の理解を深める必要があります。そのためには、業務記述書やフローチャート(業務記述書を流れ図にしたもの)の作成(文書化)による業務プロセスの可視化が重要となります。特に規模が大きい会社や、業務の種類が多い会社は、業務プロセスの概要を把握し理解するには、業務プロセスの文書化が必須だと考えられます。経営者(実際には実務担当者)は、可視化された業務を見ながら、どこにリスクがあるのかを識別していき、RCMを作成していくこととなります。
※ 業務プロセスが極めて単純であるような場合は、取引の流れなどの文書化をせずとも、経営者が有する情報等を基に、リスクを漏れなく識別することができるかもしれません。そのような場合は必ずしも業務プロセスに関する文書化が必要ではありません。
【リスクを漏れなく識別するための視点】
では、リスクとは具体的にどのような視点から識別すべきでしょうか。 財務報告に係る内部統制の評価及び監査に関する実施基準」に、適正な財務情報を作成するための要件として、実在性、網羅性、権利と義務の帰属、評価の妥当性、期間配分の適切性、表示の妥当性の6つの要件が挙げられています。 ここで、リスクとは「適正な財務諸表が作成されない」ことだったのを思い出すと、リスクは業務プロセスにおいて、6つの要件が「満たされなくなること」と捉えればよいでしょう。具体的には下記のような視点となります。
|
要件 |
要件の内容 |
リスクの内容 |
|
実在性 |
資産及び負債が実際に存在し、取引や会計事象が実際に発生していること |
財務報告に記載されている資産、負債、収益、費用が存在しない、ないし発生していないこと |
|
網羅性 |
計上すべき資産、負債、取引や会計事象をすべて記録していること |
計上すべき資産、負債、取引や会計事象の記録が漏れること |
|
権利と義務の帰属 |
計上されている資産に対する権利及び負債に対する義務が企業に帰属していること |
計上されている資産に対する権利及び負債に対する義務が企業に帰属していないこと |
|
評価の妥当性 |
資産及び負債を適切な価額で計上していること |
資産及び負債を適切な価額で計上していないこと |
|
期間配分の適切性 |
取引や会計事象を適切な金額で記録し、収益及び費用を適切な期間に配分していること |
収益及び費用 期間配分を誤ること |
|
表示の妥当性 |
取引や会計事象を適切に表示していること |
取引や会計事象が財務報告に適切に表示されていないこと |
実務上、業務プロセスにおいて特に考慮すべきは実在性と網羅性ですが(その他の要件は主に決算財務報告統制で考慮すべきものだったりします)、例えば、「出荷報告書作成」という業務プロセスがある場合、
実在性・・・出荷されていないにも関わらず出荷報告書が作成されるリスク(架空計上)
網羅性・・・出荷されているにも関わらず、出荷報告書が作成されないリスク(計上漏れ)
権利と義務の帰属・・・特筆するリスクなし
評価の妥当性・・・特筆するリスクなし
期間配分の適切性・・・出荷日を誤って入力するリスク(今期の売上が来期の売上となる)
表示の妥当性・・・特筆するリスクなし
という感じでリスクを識別していくこととなります。
それぞれの業務プロセスにおいて、上記6要件に関するリスクはないかという疑いを持って作業することで、網羅的なリスク抽出が可能となるでしょう。
3. コントロール(統制)の設定
上記手順によりリスクを識別した後は、当該リスクを低減するためのコントロール(統制)を設定する必要があります(コントロールは従来会社で行っているものと、これから新たに構築しなければならないものがあるでしょう)。 リスクが識別されていれば、それを低減させるためのコントロールを設定するのは比較的容易でしょう。
例えば上記の
「出荷されていないにも関わらず出荷報告書が作成されるリスク(架空計上)」
に対する統制を考える場合、
「出荷されたもののみ出荷報告書が作成される」
ということを、事前ないし事後に担保できればよいので、
「上長が出荷報告書と出荷証憑(宅急便の送り状控え等)を日次で照合し、出荷報告書に押印する」
というコントロールがあればよいのではないでしょうか(上記はあくまで「例」にすぎず、それぞれの会社にそれぞれのコントロールの設置があればよいです)。
なお、コントロールの手段には予防的なもの(予防的コントロール)と発見的なもの(発見的コントロール)があります。予防的コントロールは、財務報告の虚偽記載の元となる誤りや不正が発生しないように、事前予防的なコントロールを利かすものであり、日常の業務手続における一つ一つの取引レベルで用いられます。一方発見的コントロールは、起こってしまった誤りや不正を事後的に発見し、是正するというものです。
内部統制は、基本的に問題の発生を未然に防ぐ予防的コントロールを重視し、その上で統制をより徹底する為に発見的コントロールを設けます。内部統制の効果を高めるためには、強力な予防的統制が必要であり、これが弱いと発見的統制の効果も減少することとなります。
4.RCM(特にコントロール)記載の際のポイント
RCM(特にコントロール)を記載する際の留意点には、
➣ 5W1Hを意識して記載する ➣ 作成者以外がレビューを行い、内容が分かるか確認する
というものが挙げられます。
5W1Hを意識するというのは、「どのような目的で」、「いつ」、「どこで」、「誰が」、「何を」、「どのようにするか」、について明記することを意味します。
例えば、売上高の会計システムへの入力金額が正確であることを確かめる、というコントロール(統制)に関して記述を行う場合、
「会計システムへの売上の入力金額が正確であることを確かめるために、会計システムと請求書との内容を確認する」
という内容だと、そのコントロールの行為自体は理解できますが、責任の所在(誰)も分かりませんし、実施のタイミング(いつ)も把握できません。この内容は、記述担当者でなければ理解が困難となります。
一方5W1Hを意識した場合、
「会計システムへの売上の入力金額が正確であることを確かめるために、週に一回、経理部において、経理部長が、請求書と会計システムの入力データを照合し、その証跡として、会計システムから出力された伝票に押印する」
という記述となり、担当者以外でも内容の把握が容易となります。
とはいえ、記載の方法は会社によって工夫する必要があり、5W1Hを意識しすぎるといたずらに文書が長くなり、却って分かりづらいという場合は、それに対応した文書を記載すればよいでしょう。
いずれの場合であっても、内部監査や内部統制監査を意識し、作成者以外がレビューを行い、内容が分かるか確認することが重要です。
以上、RCMの作成のポイントを記載してみました。ところで、リスクとは「財務報告への虚偽記載が発生するリスク」ですので、それ以外はリスクとしてあげなくてよい点、ご留意ください。やみくもに色々なものを「リスク」としてRCMに記載している会社が多々見られますが、RCMに記載した以上、コントロールを設置する必要があり、評価対象となってしまいます。そんなことをすると非常に非効率ですので、是非そのようなことがないように注意して下さい。
また、監査法人から、制度趣旨で言う「リスクでないもの」をリスクとして識別するよう言われたら、徹底的に対抗して下さい。当社がコンサルした会社では、この視点からかなりのJ-SOX対応省力化が実現されました。貴社でもRCM上でリスクでないものをリスクとして掲げ、内部統制の評価対象としている場合、是非、省力化にチャレンジしてみてください。
では、今回はこの辺で失礼いたします。お読みいただきありがとうございました。
第2回 そもそも“内部統制”って何?
第8回 RCM(リスクコントロールマトリクス)の作成方法(J-SOX対応実務⑤)(今回)
第10回 コンサルタントやツールの活用法(J-SOX対応実務⑦)
第11回 監査法人が行う内部統制監査への対応(J-SOX対応実務⑧)
第13回 サンプル抽出についての留意点(J-SOX対応実務⑩)
第14回 開示すべき重要な不備について(J-SOX対応実務⑪)
第16回 経営者による内部統制報告書の作成方法(J-SOX対応実務⑬)
|
「予算利益の達成にコミットしたい」上場会社、上場準備会社の皆様必見
|
【その他のオリジナルレポート】
