リスク・コントロール・マトリクス

 リスク・コントロール・マトリクス(RCM)とは、重要勘定科目として特定された業務プロセスにおいて、監査基準である財務アサーションの違反を起こす可能性のあるリスクに対して、統制方法、優先度、対処手段等を一覧にした分析表です。

 業務プロセスにたいする内部統制が適切に計画されていることを監査するために用いられますので、内部統制の文書化には必須です。

 このマトリクスで必要となる記載項目を説明しておきましょう。
 
 ◆「対象業務」とその業務プロセスで抽出された「業務処理」で財務アサーションに反する「リスク事項」とリスク対策である「統制方法」を記述します。

ここまでが第1段階のリスク分析です。

 ◆第2段階ではリスク対策の実施方法を設定します。このリスクの統制方法の「優先度」と統制の「頻度」、対処の手段として「人手/IT化」、“予防的か”又は“事故発生後の対処か”を「予見的/発見的」という項目で区別して一覧表とします。

 こうすることで、内部統制に対するリスク箇所と対策が一望できるリスク表になるわけです。

 このアプリケーション業務プロセスに対するリスク分析は基本的分析を行いますが、その他に、

 IT統制のIT業務プロセスに対するRCMも文書化が必要になります。

IT統制でのRCMは対象業務が「全社レベル統制」、「IT全般統制」、「アプリケーション統制」に係る業務ですから、業務プロセスでのRCMとは対策が異なる箇所があります。

 アプリケーション統制は業務に直接関係する事柄ですので、業務RCMと対策は一致することになります。

 従って、IT統制のRCMは「全社レベル統制」と「IT全般統制」の対策事項が統制内容になります。

この統制内容はCOBITからの統制方針やITILやISMSからのIT業務規定レベルの対策となります。

 それでは、次回はこれらのIT統制に関する文書をITGIの 「ITガバナンス協会」のガイド資料から取り上げ、要点を説明していきましょう。

 今回はここで終わりです。

 次回は「IT統制に関する必要文書」をテーマに取り上げます。
  

シェアする

  • このエントリーをはてなブックマークに追加

フォローする