• 更新日 : 2024年7月12日

内部統制におけるRCMとは？作成手順やポイント・サンプルを紹介【テンプレート付き】

上場やIPOのために、内部統制を進めようとしている企業のなかには、RCM（リスクコントロールマトリックス）が何のことか分からず困っている人もいるでしょう。RCM（リスクコントロールマトリックス）は内部統制における重要なツールなため、理解しておかないと内部統制をうまく進められない恐れがあります。

本記事では内部統制におけるRCMの概要を解説したうえで、RCMの作成手順や作成例、作成する際のポイントなどを解説します。これから内部統制を進めたい企業の担当者はぜひ参考にしてください。

内部統制におけるRCMとは

RCM（リスクコントロールマトリックス）とは、業務によって生じるリスクとリスクに対応する手段について「対応表」にしたもののことを指します。業務ごとに生じうるリスクを識別・評価して、内部統制によってどのようにリスクを低減しているのか記載します。

RCMは、企業の内部で不正や違法な行為などが行われないようにあらかじめ仕組みを作って対策を打つ内部統制を把握するための3点セットのひとつに数えられるものです。内部統制を把握するための3点セットには、RCMの他に業務記述書とフローチャートが存在します。

業務記述書とは

内部統制における業務記述書とは、業務内容を文章に起こして可視化したもののことを指します。そうすることで、起こりうるリスクやリスクに対する内部統制を発見できます。

リスクとコントロールを明確にしたうえで、作業担当者・作業内容・作業手順を理解することが目的です。

フローチャートとは

フローチャートとは、業務プロセスを図に起こして可視化したもののことです。取引や会計処理の流れを整理することで、内部統制上のリスクを認識できます。

全体的な流れを把握したうえで、業務プロセスを確認できればフローチャートの役割を果たしたと言えます。

RCMの作成手順

RCMを作成したいものの、具体的な作成手順がわからない人もいるでしょう。ここでは、RCMの作成手順を紹介します。具体的には、以下のとおりです。

1. 業務記述書とフローチャートのドラフト作成
2. リスクとコントロールの設定
3. 業務記述書やフローチャートをもとに作成

①業務記述書とフローチャートのドラフト作成

最初に、各部門にヒアリングして作成した資料などを対象に、業務記述書とフローチャートのドラフト（草案）を作成します。ドラフト作成には、時現場部門から職務権限規程・作業手順書・システムマニュアルなどを受け取り、確認しながら進めると良いでしょう。

②リスクとコントロールの設定

次に、業務記述書・フローチャートのドラフトを現場の担当者と一緒に確認したうえで、リスク・コントロールを設定していきます。とくに、実施者・システム・証憑等、現行業務との相違を確認することで、修正すべき箇所が明確になるでしょう。

リスクを設定する際には、アサーションに関する深い知識が必要です。アサーションとは、財務報告リスクの監査要点のことを指します。アサーションについて深く理解している社員に担当させることをおすすめします。

③業務記述書やフローチャートをもとに作成

最後にRCMを作成して3点セットが完成します。ドラフトや、現場担当と話し合って浮き彫りになった修正点を確認しながら、慎重にRCMを作成していきましょう。

RCM作成のコツは、統制内容をできるだけ具体的に記載することです。業務記述書やフローチャートの確認をもとに、統制内容・業務内容を明らかにして臨んでください。

RCMの作成例

RCMに記載する項目をリストで紹介します。

• 業務内容
• リスクの内容
• 統制の内容
• 要件（実在性・網羅性・権利と義務の帰属・評価の妥当性・期間配分の適切性・表示の妥当性）
• 評価
• 評価内容

なお、以下のリンクからRCMのテンプレートをダウンロードできます。RCMを1から作成することに不安を感じている人は、ぜひご活用ください。

RCMの作成体制

RCMの作成体制には、集中型と分散型の2種類が存在します。ここでは、それぞれの作成体制の特徴やメリット・デメリットなどを解説します。

集中型

企業内でプロジェクトチームを組み、文書化を進めることを集中型と言います。

集中型は、社内にある程度のリソースがないと人員を割り当てられないため、成立しません。また、プロジェクトチームのメンバーは各業務を実際に行っているわけではないため、業務内容に理解が及んでいないままRCMを含む3点セットを用意してしまう恐れがあります。

一方、メリットとしては素早く問題解決ができる・効率的に作業ができる・作業の進捗状況を管理できる、といったことが挙げられます。以上のことから、集中型は特定の事業に特化している企業に向いている方法だと言えるでしょう。

分散型

分散型は、企業全体ではなく部署ごとに文書化を進める作成体制を指します。

日頃から業務に携わっている担当者が文書を作成するため、修正の発生が少ない点がメリットです。また、改めて社内リソースを募らなくてよい点も利点だと言えるでしょう。一方、進捗の管理がしにくい点や文書の形式が揃っていない点はデメリットとして挙げられます。

このことから、分散型は事業内容が多岐にわたる企業や、プロジェクトチーム形成のために社内リソースを割けない企業に向いていると言えるでしょう。

RCMを作成するポイント

RCMを作成する際には、5W1H を意識して記載する必要があります。具体的には、どのような目的で・いつ・どこで・誰が・何を・どのようにするか、といった視点ではっきりと記入すると良いでしょう。

また、作成者以外がレビューを行い、内容が分かるか確認することも重要です。作成者にしか内容がわからないRCMでは、社内に浸透せず意味をなさない恐れがあります。

その他にも、業務プロセスを深く理解したうえでRCMを作成することもポイントのひとつです。業務担当者に深くヒアリングをしたり、業務担当者が文書作成を行ったりすれば、よりクオリティの高いRCMが完成するでしょう。

内部統制におけるRCMのテンプレート – 無料ダウンロード

内部統制の構築と維持は、企業のリスク管理とコンプライアンスを確保する上で不可欠です。特に、リスクとコントロールのマトリックス（RCM）は、全社統制の効果的な運用において中心的な役割を果たします。しかし、RCMを一から作成するのは、多くの企業にとって膨大な時間と労力を要する作業です。

無料のテンプレートでは、自社の内部統制フレームワークに合わせてカスタマイズすることが可能です。
テンプレートを活用することで内部統制の精度を高め、企業ガバナンスの向上に貢献しましょう。

マネーフォワード クラウドで内部統制強化に成功した事例

マネーフォワード クラウド会計Plusでは、会計業務におけるさまざまな悩みを解決し、効率化をサポートします。
こちらでは、マネーフォワード クラウド会計Plusを導入して内部統制強化に成功した事例をご紹介します。

株式会社Hajimari様の事例

マネーフォワード クラウド会計Plusを導入して内部統制強化に成功した株式会社Hajimari様。

フリーランスと企業のマッチングサービスを中心に8事業を展開している同社は、会社の成長に伴い内部統制強化が必要になりました。

マネーフォワード クラウド会計Plusを導入したことで、申請や承認のログが残るようになり、「いつ誰が申請したのか、いつ誰が承認したのか」ということが明確になりました。それにより、当初の目的であった内部統制強化を実現しました。

また、コメント機能を活用することで、申請者と承認者のコミュニケーションがスムーズになるだけでなく、仕訳と紐づく形でやりとりの履歴を残すことができるようになりました。確認作業がシステム内で完結でき、コミュニケーションにかかる負担が軽減されました。

内部統制を強化することで「守りのコーポレート」を磐石の体制にしつつ、「攻めのコーポレート」を作り上げ、会社のビジョン実現に貢献しています。

マネーフォワード クラウド事例

内部統制強化とコミュニケーションコストの削減に成功 - 「マネーフォワード クラウド会計Plus」導入事例

「自立した人材を増やし、人生の幸福度を高める。」というビジョンの実現を目指し、フリーランスと企業のマッチングサービスを中心に8事業を展開している株式会社Hajimari。会社の規模拡大に伴い内部統制強化の必要性を感じ、マネーフォ…

まとめ

RCMは、内部統制を進めるために必要な3点セットのひとつです。RCMを作成する際には、業務記述書とフローチャートのドラフト作成→リスクとコントロールの設定→業務記述書やフローチャートをもとに作成、といった手順を踏む必要があります。

また、RCMには業務内容・リスクの内容・統制の内容・要件・評価・評価内容を盛り込む必要があります。作成体制には集中型・分散型の2種類が存在するため、適切なほうを選択しましょう。本記事を参考に精度の高いRCMを作成し、内部統制を効率的に進めてみてください。

よくある質問

RCMとはどういったもの？

RCM（リスクコントロールマトリックス）とは、内部統制を把握するために用意される3点セットのひとつを指します。他にも、3点セットには業務記述書とフローチャートがあります。 RCMには、「リスクに対してどのようにコントロールしているか」を具体的に記載する必要があります。また、RCMを作成する際のポイントとしては、5W1Hを意識して記載すること・作成者以外がレビューを行い内容が分かるか確認すること・業務プロセスを深く理解することなどが挙げられます。

RCMの作成プロセスは？

RCMの作成プロセスは、以下のとおりです。

1. 業務記述書とフローチャートのドラフト作成
2. リスクとコントロールの設定
3. 業務記述書やフローチャートをもとに作成

• 監修：中川崇

  田園調布坂上事務所代表。広島県出身。大学院博士前期課程修了後、ソフトウェア開発会社入社。退職後、公認会計士試験を受験して2006年合格。2010年公認会計士登録、2016年税理士登録。監査法人2社、金融機関などを経て2018年4月大田区に会計事務所である田園調布坂上事務所を設立。現在、クラウド会計に強みを持つ会計事務所として、ITを駆使した会計を武器に、東京都内を中心に活動を行っている。

関連記事

# 社内管理
ISMSの不適合とは？処置と是正処置の違い、事例、対応プロセスを徹底解説
ISMS（情報セキュリティマネジメントシステム）の認証取得や維持を目指す中で、「不適合」という言葉は避けて通れません。不適合は組織のセキュリティ体制に潜む弱点を可視化し、改善へと導くための重要なシグナルです。これを単なる問題点ではなく、情報…
詳しくみる
# 社内管理
販売業務プロセスの内部統制は？段階別にリスクとポイントをわかりやすく解説
販売業務プロセスに内部統制を実施することで、無駄なキャッシュややり取りが起きていないかをチェックし、改善させることができます。では具体的にどのようなことを行うのでしょうか。本記事では、販売業務のプロセスの概要とプロセスごとの内部統制のポイン…
詳しくみる
# 社内管理
コーポレートガバナンス・コードとは？基本原則や特徴・改定ポイントを解説
2014年6月に政府は日本企業の稼ぐ力を取り戻すべく「日本再興戦略」を策定し、具体的施策のひとつとして「コーポレートガバナンス・コード」作成を掲げました。しかし、そもそもコーポレートガバナンスとは何かを理解しきれていない人も少なくありません…
詳しくみる
# 社内管理
不正トライアングルとは？事例をもとに原因と対策を解説
不正防止は、投資家からの資金調達を目指す、もしくは将来的にIPOを検討しているスタートアップ企業にとって、投資家からの信頼を獲得して規制当局の要件を遵守する上で重要です。そして、不正防止を考える際に重要な理論が不正トライアングルです。 不正…
詳しくみる
# 社内管理
IPO準備企業の経理の役割とは？上場準備における業務内容を解説
IPOを実現するためには、透明性の高い財務報告とコンプライアンスの遵守が欠かせません。 上場企業として遜色のない内部体制を構築し、監査も増えることから、経理業務をしっかりと行える人材を配置することが大切です。 そこで本記事では、IPO準備に…
詳しくみる
# 社内管理
内部統制システムとは？どんな会社に運用が義務付けられているのか、事例も交えて解説
内部統制を整備することで、企業の経済的損失や信頼の失墜を未然に防ぐことができます。この内部統制を正常に運用するための仕組みが「内部統制システム」です。企業価値を向上させるには欠かせないシステムでもあります。 本記事では、内部統制システムの概…
詳しくみる