内部統制の3点セットとは?J-SOX担当者向けに作り方を解説
結論
上場・IPO準備企業に必須の「内部統制の3点セット」(業務記述書・フローチャート・RCM)は、J-SOX対応と監査をスムーズに進めるための最重要基盤です。この記事では、その概要、役割、作成手順を実務視点で解説します。さらに、属人化や証跡管理の課題を乗り越え、内部統制を強化・効率化するためのDX(電子契約・ワークフロー)活用法までご紹介します。
上場企業やIPO準備企業では、金融商品取引法に基づく内部統制報告制度(いわゆるJ-SOX)への対応が避けて通れません。その実務の中核となるのが「内部統制の3点セット」です。内部統制の3点セットとは「業務記述書」、「フローチャート」、「RCM」(リスクコントロールマトリクス)の3つを指します。
これらは業務プロセスのリスクと統制を整理し、監査対応や内部統制評価の基盤となる重要な資料です。この記事では、J-SOX担当者向けに、内部統制の3点セットの概要、それぞれの役割、作成の進め方をわかりやすく解説します。
内部統制の3点セットとは
まずは、企業の経営企画・管理部門・総務部門として働くうえで大切な、内部統制の3点セットの概要を解説します。
J-SOXにおける3点セットの意味
内部統制の3点セットとは、J-SOXにおいて業務プロセスのリスクと統制を整理するために作成される基本資料です。具体的には「業務記述書」「フローチャート」「RCM(リスクコントロールマトリクス)」の3つを指します。
J-SOXの評価は、「全社的な内部統制」と「業務プロセスに係る内部統制」の2層構造で構成されます。全社統制は、企業風土・コンプライアンス体制・リスク評価のプロセスなど組織全体に影響する統制を指し、3点セットが対象とする業務プロセス統制の前提となります。
「業務記述書」「フローチャート」「RCM(リスクコントロールマトリクス)」の3点セットは、業務の流れ・想定されるリスク・それに対応する統制活動を体系的に整理するための文書であり、企業が内部統制の整備状況を説明する際の基盤資料となります。
【「業務記述書」「フローチャート」「RCM(リスクコントロールマトリクス)」のサンプル】
内部統制の評価における位置づけ
内部統制の評価では、まず業務プロセスを把握し、財務報告に影響を与えるリスクを特定したうえで、それに対応する統制が適切に設計・運用されているかを確認します。
この一連の評価の基礎資料となるのが3点セットです。監査法人や内部監査部門は、3点セットをもとに統制の設計や運用状況を確認します。つまり3点セットは、内部統制評価の出発点であり、監査対応においても重要な役割を担います。
なぜ3点セットが必要か
企業の業務は多くの部門や担当者が関わるため、業務の流れや統制の仕組みが暗黙知のままではリスクを適切に把握することができません。3点セットを作成することで、業務プロセス、リスク、統制の関係を体系立ててに整理し、業務の透明性を高めることができます。
また、監査対応だけでなく、業務改善や内部統制の見直しにも活用できるため、組織全体の管理体制を強化する重要なツールとなります。
内部統制の3点セットの構成要素
次に内部統制の3点セットである「業務記述書」「フローチャート」「RCM」(リスクコントロールマトリクス)の詳細を解説します。
業務記述書とは
業務記述書とは、業務プロセスの内容や手順を文章で整理した資料です。業務の開始から終了までの流れ、担当部署や担当者、使用するシステム、承認手続きなどを具体的に記載し、業務の全体像を把握できるようにします。
業務記述書は内部統制文書化の出発点となる資料です。現場の業務実態を整理し、後続のフローチャート作成やリスク分析を行うための基礎情報として活用されます。
フローチャートとは
フローチャートとは、業務プロセスの流れを図で表した資料です。担当部署ごとの業務手続き、承認の流れ、システム処理などを視覚的に整理することで、業務の全体構造を直感的に理解できるようになります。
業務記述書が文章による説明であるのに対し、フローチャートは業務の流れや役割分担を図で示す点が特徴です。業務の重複や承認漏れ、職務分掌の問題などを発見する際にも有効です。
なお、職務分掌とは、一人の担当者が取引の承認・実行・記録のすべてを行えないよう業務を分離する仕組みです。不正や誤謬の発生リスクを低減する内部統制の基本原則であり、フローチャートを通じて設計状況を確認することが重要です。
RCM(リスクコントロールマトリクス)とは
RCM(リスクコントロールマトリクス)は、業務プロセスにおけるリスクと、それに対応する統制活動を一覧で整理した表です。
業務ごとに想定される誤謬や不正のリスクを特定し、そのリスクを防止または発見するための統制手続きを対応付けて整理します。内部統制の設計状況を明確にするためには、統制の種類(予防統制・発見統制)や実施頻度、担当者などの記載が不可欠です。
なお、予防統制とはリスクの発生を事前に防ぐ統制(例:承認・権限設定)、発見統制とは発生後に検知・是正する統制(例:照合・レビュー)を指します。
3点セットの関係性
内部統制の3点セットは、それぞれ独立した資料ではなく、相互に関連しながら業務プロセスを整理する役割を持っています。
まず業務記述書で業務内容を文章で整理し、その内容をもとにフローチャートで業務の流れを図示します。そのうえで、業務プロセスの中で想定されるリスクと統制をRCMで整理します。
このように、業務の理解からリスク整理、統制設計へと段階的に整理することで、内部統制の全体像を体系的に把握できるようになります。
内部統制の3点セットの役割
次に内部統制の3点セットの役割を解説します。
業務プロセスを可視化できる
業務の流れや担当部署、承認手続きなどを体系的に整理することができます。文章と図で業務プロセスを整理することで、属人的になりがちな業務内容を可視化でき、業務の全体像を関係者が共通理解できるようになります。結果として、業務の抜け漏れや役割分担の問題にも気づきやすくなります。
リスクと統制を整理できる
業務プロセスの中で想定される誤謬や不正のリスクと、それを防止・発見するための統制活動を整理することが可能です。特にRCMでは、リスクと統制の関係を一覧で整理するため、どの業務にどの統制が対応しているかを明確に把握でき、統制の不足や過剰といった問題も把握しやすくなります。
監査対応をスムーズにできる
内部統制評価や監査法人による監査の際の重要な資料です。業務プロセスや統制の内容が体系的に整理されていれば、監査人に対して統制の設計や運用状況を説明しやすくなるでしょう。また、必要な資料が整理されていれば、監査手続きも効率的に進むため、監査対応の負担軽減にもつながります。
内部統制の3点セットの作り方
次に実際の作成手順を解説します。
対象業務の範囲を決める
J-SOXでは、財務報告に重要な影響を与える業務が対象となるため、すべての業務を網羅する必要はありません。
一般的には、まず財務報告に重要な影響を与える「重要な勘定科目」(売上高、売掛金、棚卸資産、固定資産など)を特定し、その勘定科目に紐づく業務プロセス(売上・購買・支払・在庫管理・固定資産管理など)を対象として選定します。
また、対象範囲の決定にあたっては、業務の重要性やリスクの大きさを踏まえて判断することが重要です。重要な勘定科目に紐づく業務だけでなく、不正や誤謬が発生する可能性の高い業務も考慮しながら、内部統制評価の対象となる業務プロセスを絞り込んでいきます。
重要性の判断にあたっては、金融庁の実施基準に基づき、売上高等に対する金額的重要性と、不正・誤謬の発生可能性(質的重要性)の両面から検討します。
業務担当者へヒアリングする
業務担当者へヒアリングを実施し、業務の開始から終了までの流れ、使用しているシステム、承認手続き、チェック作業などを具体的に確認します。マニュアルだけでは把握できない実務上の運用も多いため、実際の業務内容を丁寧に聞き取ることが重要です。
ヒアリングでは、誰がどのタイミングでなにを行うかを意識して整理すると、後の文書化作業が進めやすくなります。
業務フローを整理する
ヒアリングで得た情報をもとに、業務の流れを整理していきましょう。業務の開始点から終了点までを時系列で並べ、どの部署や担当者がどの業務を行っているかを明確にします。また、承認手続きやチェック作業、システム処理などのポイントも整理しておくとよいでしょう。
この段階で業務の全体像を把握できていれば、あとから行う業務記述書やフローチャートの作成がスムーズになります。業務の重複や不明確な役割が見つかることもあり、業務改善のきっかけになる場合も少なくありません。
業務記述書を作成する
業務記述書は、業務プロセスの流れを文章で説明する資料であり、内部統制の3点セットの基礎となる文書です。業務の開始から終了までの手続きを順序立てて記載し、担当部署や担当者、使用するシステム、承認手続きなどを具体的に整理します。
単なる業務説明ではなく、内部統制の観点から、どの段階でチェックや承認が行われているかも意識して記載することが重要です。
また、実務では「誰が」「いつ」「なにを確認するか」を明確にすることが求められます。たとえば、売上プロセスであれば、受注から出荷、売上計上、請求、入金確認までの流れを文章で整理します。
業務記述書は後続のフローチャート作成やRCM作成の基礎資料となるため、業務の実態と一致した内容になっていることが重要です。
フローチャートを作成する
フローチャートは、業務記述書で整理した業務プロセスを図で表した資料です。文章だけでは把握しにくい業務の流れを視覚的に理解できるようになります。担当部署ごとにスイムレーンを設け、その中に業務手続きや承認、システム処理などを配置して業務の流れを図で表す方法が一般的です。
フローチャートを作成する際は、業務の順序だけでなく、どの部署がどの役割を担っているかを明確にしましょう。承認手続きやチェックポイントを図の中に示すことで、内部統制の位置づけも把握しやすくなります。
また、業務の分担や承認の流れが可視化されれば、職務分掌の問題や業務の重複に気づくことも少なくありません。
RCMを作成する
RCM(リスクコントロールマトリクス)は、業務プロセスの中で想定されるリスクと、それに対応する統制活動を整理した表です。まず業務プロセスごとに誤謬や不正が発生する可能性のあるリスクを特定し、そのリスクを防止または発見するための統制手続きを整理します。
RCMには、リスクの内容だけでなく、統制の種類(予防統制・発見統制)、実施頻度、担当者などの記載も必要です。
売上プロセスであれば、「売上の過大計上」というリスクに対して「出荷データと売上データの照合」という統制を設定します。リスクと統制の対応関係を明確にすることで、内部統制の設計状況を体系的に把握できるようになります。
内部統制を強化するDX
内部統制強化を後押しする解決策のひとつとしてDXが挙げられます。
DXとは英語の「デジタルトランスフォーメーション(Digital Transformation)」の略で、日本語に直訳すると「デジタル変革」という意味です。
内部統制を強化するためのDXについて解説します。
承認フローの電子化
ワークフローシステムを活用して承認手続きを電子化すれば、申請~承認の可視化が可能です。承認履歴も自動的に記録されるため、内部統制上の証跡管理が容易になり、業務効率化と統制強化を同時に実現できます。
契約業務の電子化
契約書を電子契約サービスで管理すれば、契約締結のプロセスや承認履歴のデータ保存が可能です。書類の管理負担を減らし、契約内容や締結状況の一元管理もできるため、内部統制において重要な透明性の向上にもつながります。
証跡管理の自動化
取引データや承認履歴をシステム上で自動保存すれば、統制手続きの証跡を効率的に管理できます。証跡が電子データとして蓄積されるため、監査時の資料提出もスムーズになり、内部統制の運用負担を軽減する効果が期待できるでしょう。
電子契約が内部統制に有効な理由
内部統制の強化に役立つシステムの一つに電子契約が挙げられます。
電子契約とは、インターネット等の情報通信技術を利用し、電子ファイルに対して電子データ(電子署名・タイムスタンプ等)を記録して締結する契約のことを指します。
従来の紙契約では、「承認手続き」、「締結日時」、「契約内容の変更履歴」などの確認が難しく、証跡管理も煩雑になりがちです。
しかし、電子契約を導入することで、契約の作成から承認、締結までの履歴がシステム上に自動的に記録され、誰がいつ承認したかを明確に確認できるようになります。
また、電子署名やタイムスタンプにより契約書の改ざん防止にも対応でき、文書の真正性担保も可能です。契約書の保管や検索も容易になるため、監査対応の効率化にもつながります。
ただし、電子契約システム自体にも、アクセス権限管理・操作ログの保全・不正防止のための統制設計が必要であり、導入後の運用管理も含めて内部統制の観点から整備することが重要です。
まとめ
内部統制の3点セットは、業務プロセスを整理し、リスクと統制の関係を明確にするための重要な資料です。業務記述書、フローチャート、RCMを体系的に作成することで、業務の可視化や統制の整備、監査対応を円滑に進めることができます。
一方で、属人化や証跡管理の煩雑さといった課題も生じやすいため、DXの活用による業務の電子化や自動化も有効です。3点セットを単なる文書作成にとどめず、業務改善や内部統制強化につなげていくことが重要です。
なお、クラウドサインでは内部統制の強化のために電子契約サービスの導入をご検討される方に向けて、電子契約の基礎知識などをまとめた資料セットを無料でご提供しています。気になる方はぜひご活用ください。
この記事を書いたライター
高桑清人
中小企業診断士
前職ではBPO企業にて12年間、業務設計・品質管理・人材マネジメントなどの管理業務に従事。独立後は中小企業の経営支援に携わり、新規事業の立ち上げや事業計画策定を伴走型で支援。学習塾講師として16年・1万時間超の授業経験もあり、「聴く・伝える・支える」現場感を大切に活動している。
こちらも合わせて読む
この記事をシェアする
