リスクコントロールマトリクス【RCM】Risk Control Matrix

リスクコントロールマトリクスとは?

業務プロセスに潜在する様々なリスクを列挙し、それぞれについて実施している統制(コントロール)を対応付けて記述した表。企業などの内部統制の実施状況を把握するために作成される。
リスクコントロールマトリクスのイメージ画像

業務プロセスごとにどのようなリスクが存在するかを洗い出し、それぞれのリスクに対応する統制活動を紐づける形で整理する。例えば、「売上の過大計上」というリスクに対して「上長による承認」という統制が設定される。これにより、リスクと統制の対応関係を視覚的に把握できる。

リスクコントロールマトリクスに記載される項目は組織によって異なるが、一般的には、リスクの内容、発生可能性、影響度、統制の種類(予防的・発見的)、実施頻度、担当者、証跡の種類などが含まれる。これらを一つの表に集約することで、統制の網羅性、重複、抜け漏れを確認しやすくなる。

この表は一度作成して終わりではなく、定期的な見直しが必要とされる。業務プロセスの変更、新たなリスクの発生、情報システムの改修など様々な業務上の変化に対応して適宜更新することで、常に現状に即した統制状況を把握し続けることができる。

日本では2008年に導入された金融商品取引法上の内部統制報告制度(J-SOX)を契機に広く普及したとされる。上場企業は財務報告に関わる内部統制の有効性を評価、開示する義務を負うことになり、その評価作業を体系的に進める標準的な手法としてリスクコントロールマトリクスが定着した。「業務フロー図」(フローチャート)、「業務記述書」と共に作成されることが多く、3つを合わせて内部統制の「3点セット」と呼ばれることがある。

他の辞典等による「リスクコントロールマトリクス」の解説 (外部サイト)

資格試験などの「リスクコントロールマトリクス」の出題履歴

▼ ITパスポート試験
平26春 問39】 構築された内部統制の整備状況を評価するために、リスクコントロールマトリクスを利用する。リスクコントロールマトリクスの利用に関する次の記述中の、a、b に入れる字句の適切な組合せはどれか。
この記事の著者 : (株)インセプト IT用語辞典 e-Words 編集部
1997年8月より「IT用語辞典 e-Words」を執筆・編集しています。累計公開記事数は1万ページ以上、累計サイト訪問者数は1億人以上です。学術論文や官公庁の資料などへも多数の記事が引用・参照されています。