A.リスクコントロールマトリックス(以下「RCM」といいます)には、いかなる種類のリスクが存在していて、そのリスクはいかなるポイントで生じているかという情報が、業務フローチャートと関連付けられて記されています。そして、これらのリスクは、経営者のアサーション(言明)のうちでいかなるアサーションを阻害するものであるか、認識されたリスクに対していかなる統制を会社はしているか、それはいかなる種類のコントロールであるかというようなことが分かるようになっています。また、運用テストの方法や結果までの記載をシートの横に展開させることで、RCMの中で内部統制の整備状況と運用状況の全てが、コンパクトに表現されます。したがって、RCMは内部統制の文書化において中心となる文書であるといえます。
中心文書といえるRCMの作成に当たり、次のような問題に直面すると思われます。
・財務報告に係るリスクとしていかなるリスクが存在するのかが思い付かない。
・いかなるポイントでリスクが生じるのかが特定できない。
・リスクに対応する経営者のアサーションの関連付けができない。
・RCMを作成した際に、リスクに対応するコントロールがないか思い付かない。代替的コントロールもないか思い付かない。あるべきコントロールも思い付かない。
・キーコントロール(いくつかあるコントロールのうちで最も有効なコントロール)が判断できない。
・現状のコントロールが全てのアサーションを達成しているのかが判定できない。
・コントロールの記載内容が曖昧であるために、いざ運用のテストを行おうとしてもテスト方法がイメージできない(テストプランが立てられない)。
