平成26年度 春期 ITパスポート試験 公開問題 問39 解説 リスクコントロールマトリクス

この問題は、リスクコントロールマトリクス（RCM）の目的を理解しているかを問うものです。RCMを作成する目的は、企業内の各業務に潜むリスクに対して、現在行っている対策（コントロール）が有効に機能しているかを評価することにあります。したがって、実際に運用されているコントロールを対象に、そのリスクをどれだけ抑えられているかを評価するのが正解となります。

リスクコントロールマトリクス（RCM）とは

リスクコントロールマトリクスは、業務プロセスにおける「リスク」と、それに対応する「コントロール（統制項目）」を一覧表の形式で整理したものです。

通常、縦軸や横軸に「発生しうるリスク」を、もう一方に「そのリスクを防ぐための具体的なルールや仕組み（統制項目）」を配置します。単に仕組みを書き出すだけでなく、その仕組みがリスクをどれほど低減できているかを測定することで、内部統制が適切に機能しているか、あるいは不足している点がないかを見極めるために使用されます。

なぜ「実施している項目」と「リスクの低減度」なのか

aに入るべきは「実施している統制項目」です。マトリクスを作成する目的は「今ある仕組み」を検証することだからです。もし「候補となる統制項目」を記述してしまうと、それは現実の運用状況の評価ではなく、単なるアイデア出しや比較になってしまいます。

bに入るべきは「リスクの低減度」です。内部統制の評価において最も重要なのは、コスト（経済性）をどれだけかけるかではなく、その仕組みによって「リスクが許容できるレベルまで下がっているか」という有効性です。不十分なコントロールであればリスクが残存してしまいますし、過剰であれば業務効率を阻害します。これらを判断するために、リスクがどの程度低減されているかを評価するのです。

実務における活用

この知識は、システム監査や企業の内部統制報告制度（J-SOX法）の現場で必須となります。例えば、情報漏えいというリスクに対して、「パスワードの定期変更」や「アクセスログの監視」といった具体的な統制項目が表に記載されます。監査人はこの表を見て、実際にそれらのコントロールが機能しているかをサンプル調査などで確認します。

ITパスポート試験では、このような管理・運営に関わる専門用語を「何のために使うツールなのか」という本質的な目的から理解しておくことが、応用力を養う近道となります。

参考リンク

• 【ITパスポート】内部統制・リスクコントロールマトリクス（RCM）について解説
• J-SOX法対応！内部統制マトリクスの作成例とリスク評価のポイント（Qiita記事）
• 財務報告に係る内部統制の評価及び監査の基準（金融庁）