企業内の業務プロセスにおいて、不正・ミスが発生し得るリスクと、それに対処する方策を列挙した表。内部統制の構築・評価にあたり作成すべき文書の1つ。
日本版SOX法(企業改革法)への対応や、内部統制強化の課題としてよく言われるのが、「業務プロセスを可視化して把握するための文書を大量に作らなければならない」ということです。例えば、米国で上場する野村ホールディングスは、米国SOX法に対応するために約5000ページもの文書を作成しました。
作成すべき文書のうち主なものは、販売、購買など業務ごとに業務プロセスを記述した「業務記述書」と、書類の流れや承認手続きなどを図示した「フローチャート」「リスク・コントロール・マトリクス(RCM)」の3つです。これらは「(SOX法対応のための)3点セット」と呼ばれることもあります。
3点セットの中でも、一般になじみが薄いのが、RCMでしょう。RCMとは、その名の通り、リスクとコントロール(統制=リスクに対処するための方策)の関連を整理した表(マトリクス)のことです。
◆効果
リスクを可視化
「旅費精算業務」を例にとれば、リスクを書く欄に「出張していないのに旅費を支払ってしまうかもしれない」、その隣のコントロールを記す欄には「経理部が精算内容と添付された切符・搭乗券の現物を必ず照合する」と書きます。1つのリスクに対して、複数のコントロールを書き込むこともあります。
RCMを見て、コントロールが不十分だったり、本当は実行されていないようなら、業務を見直す必要があります。RCMに記載し得るリスクは「法令違反」「社内規則違反」など様々です。コンサルティング会社などが提供する業種別・業務分野別のひな型を参考にRCMを作る企業もあります。
日本版SOX法の中核となる「金融商品取引法」は、今年6月に成立しました(詳細は163ページ)。同法への対応を主眼に置いた場合、重要なリスク項目は、「財務報告の信頼性を損なうリスク」です。お金の動きに関係し、しかも金額などの点で財務報告に与える影響が大きいリスクは、RCMに盛り込み、コントロールを検討・実践する必要があります。
◆事例
250業務を記述
米国で上場するTDKは、今期(2007年3月期)から米SOX法の本格適用を受けます。内部統制を構築するために、販売や資金管理、情報システムなど、業務分野・拠点ごとに約250の業務プロセスを定義。それぞれについてリスクを洗い出し、RCMを作成しました。
RCMは表計算ソフトで作成するのが一般的です。ただし、大企業であれば全社で何百ものRCMを管理する必要があります。管理しやすくするために、専用の文書管理システムを使う企業もあります。
