内部統制の3点セットとは
経営コンサルタントとして、内部統制構築支援やIFRSコンバージョン支援に携わるとともに、各種実務セミナー講師としても活躍中。
内部統制の3点セットとは?
内部統制の「3点セット」とは、金融商品取引法(J-SOX)への対応において、企業の財務報告の信頼性を確保するために作成が求められる主要な文書群のことです。「業務記述書」「フローチャート」「リスク・コントロール・マトリックス(RCM)」の3つの文書を指します。
なぜ今「3点セット」が重要なのか?
- J-SOX対応の必須要素:
上場企業および上場準備企業にとって、有効な内部統制の構築・運用とその文書化は法的な要請です。
3点セットはその中心的な役割を担います。 - 業務の可視化と効率化:
3点セットの作成プロセスを通じて、自社の業務プロセスが明確になり、非効率な点やリスクが潜む箇所を発見できます。
これは業務改善の重要なツールとなります。 - 組織内の共通認識:
業務の手順やリスク、管理体制を客観的な文書にすることで、
部署間や担当者間の認識齟齬を防ぎ、円滑な業務遂行を助けます。
このページでわかること
- 3点セット(業務記述書、フローチャート、RCM)の基本的な内容と役割
- 効率的かつ効果的な3点セットの作成ステップとポイント
- 作成時によくある課題とその解決策
- 作成した3点セットの具体的な活用方法
基本解説:3点セットを理解する
3点セットは、それぞれ異なる役割を持つ文書ですが、相互に連携し、一体となって業務プロセスとそれに係るリスク・コントロールを表現します。
1. 業務記述書:業務を文章で詳細に記述
画像引用元:金融庁『財務報告に係る内部統制の評価及び監査の基準』 (https://www.fsa.go.jp/singi/singi_kigyou/kijun/20230407_naibutousei_kansa.pdf)
- 役割:
業務プロセスにおける具体的な作業内容、手順、担当者、使用する帳票やシステムなどを、文章で時系列に沿って記述します。
誰が、いつ、どこで、何を、どのように行っているかを明確にする、いわば「業務手順のテキスト版」です。 - わかること:
個々の作業の詳細、担当者の責任範囲、統制活動(コントロール)の内容、関連文書など。 - ポイント:
客観的な事実に基づき、5W1Hを意識して具体的に記述します。
2. フローチャート:業務の流れを図で可視化
画像引用元:金融庁『財務報告に係る内部統制の評価及び監査の基準』 (https://www.fsa.go.jp/singi/singi_kigyou/kijun/20230407_naibutousei_kansa.pdf)
- 役割:
業務記述書の内容を、定められた記号(開始/終了、処理、判断、帳票、システムなど)と矢印を用いて図式化したものです。
「業務プロセスの視覚的な地図」と言えます。 - わかること:
業務全体の流れ、部門間の連携、処理の分岐点、承認プロセスなどを一目で把握できます。 - ポイント:
記号のルールを統一し、流れが分かりやすくなるよう、複雑になりすぎない範囲で作成します。
3. リスク・コントロール・マトリックス (RCM):リスクと統制を一覧化
画像引用元:金融庁『財務報告に係る内部統制の評価及び監査の基準』 (https://www.fsa.go.jp/singi/singi_kigyou/kijun/20230407_naibutousei_kansa.pdf)
- 役割:
業務プロセスに潜む財務報告上のリスク(例:売上の過大計上リスク)と、そのリスクを低減するための統制活動(コントロール)(例:上長による承認、システムによる自動チェック)を識別し、両者を紐付けて一覧にした表形式の文書です。「リスク管理の要約表」の役割を果たします。 - わかること:
どのようなリスクが存在するか、それに対してどのような対策が講じられているか、対策は十分か、などを評価・管理できます。 - ポイント:
識別すべきは財務報告リスクであり、そのリスクがどの財務諸表項目(勘定科目)のどのアサーション(実在性、網羅性など)に関連するかを明確にします。
なぜ3つで1セットなのか?
これら3つの文書は、それぞれ単独でも意味を持ちますが、相互に補完し合うことで、より深く業務プロセスを理解し、内部統制の有効性を担保することができます。
- 業務記述書で詳細な手順を確認し、
- フローチャートで全体の流れと分岐を把握し、
- RCMでリスクと対策の対応関係を評価する。
このように連携させることで、文書間の整合性が取れ、抜け漏れのない内部統制の文書化が可能になります。
【参考】 なぜ金融商品取引法で求められるのか?
過去の企業不祥事を背景に、投資家保護の観点から企業情報の信頼性を高める必要性が認識されました。特に財務報告の適正性を確保するため、経営者自らが内部統制を整備・運用し、その有効性を評価・報告する制度(内部統制報告制度、通称 J-SOX)が導入されました。
3点セットは、この内部統制の状況を客観的に示し、評価するための基礎資料として位置づけられています。
実践編:3点セットを作成・活用する
ここでは、実際に3点セットを作成し、有効に活用するためのステップ、ポイント、課題解決策を解説します。
作成のステップ・バイ・ステップガイド
一般的な作成手順を示します。会社の状況に合わせて調整してください。
ステップ1:準備 - 対象業務の選定とゴール設定
- 対象業務の特定:
財務報告に重要な影響を与える業務プロセス(例:販売、購買、在庫管理、固定資産管理など)を特定します。全社的なリスク評価に基づいて優先順位をつけましょう。 - ゴールの明確化:
そのプロセスを通じて達成すべき財務報告上の目的(アサーション)は何かを明確にします。(例:販売プロセスなら「売上高が実在し、網羅的に、正確な金額で、適切な期間に計上されること」) - 関係者への説明:
作成に関わる部署(事業部門、経理、ITなど)に目的とスケジュールを説明し、協力を依頼します。
ステップ2:情報収集 - 業務の現状把握
- ヒアリング:
業務担当者に実際の作業内容、手順、使用しているシステムや帳票、判断基準などを詳しく聞きます。複数名に聞くことで客観性を高めます。 - 資料確認:
既存の業務マニュアル、規定、帳票サンプル、システムの操作画面などを収集・確認します。 - 現場観察 (ウォークスルー):
実際に業務が行われている現場を見て、ヒアリング内容や資料との整合性を確認します。
ステップ3:文書化 (1) - 業務記述書・フローチャートの作成
- 収集した情報をもとに、業務の流れを整理します。
- 業務記述書:
5W1Hを意識し、具体的な作業手順を文章で記述します。誰が何をしているか、どんな情報を使っているかを明確にします。 - フローチャート:
業務記述書の内容を図式化します。標準的な記号を用い、部門や担当者ごとの流れ(スイムレーン)を明確にすると分かりやすくなります。 - Tips:
最初から完璧を目指さず、まずは大まかな流れを捉え、徐々に詳細化していくと効率的です。業務の粒度(どこまで細かく書くか)は、リスクの重要性に応じて調整します。
ステップ4:文書化 (2) - リスク・コントロールの識別 (RCM作成)
- 作成した業務記述書・フローチャートをもとに、業務プロセスに潜む財務報告リスクを洗い出します。
- 「何が起こると財務諸表が間違ってしまうか?」という視点で考えます。
- 洗い出したリスクが、どの勘定科目のどのアサーション(実在性、網羅性、権利と義務の帰属、評価の妥当性、期間配分の適切性、表示の妥当性)に関連するかを明確にします。
- 特定したリスクに対して、現在実施されている統制活動(コントロール)を識別します。(例:上長の承認、システムによる自動計算、残高照合、アクセス権限管理など)
- リスクとコントロールをRCMの形式に整理し、対応関係を明確にします。コントロールが十分にリスクを低減できているか、未対応のリスクはないかを確認します。
- コントロールについては、実施者、実施頻度、実施方法、利用する帳票やレポートなども具体的に記述します(5W1H)。
ステップ5:文書間の整合性チェック
- 作成した業務記述書、フローチャート、RCMの内容に矛盾や食い違いがないかを確認します。
- 特に、業務プロセスに変更があった場合、関連するすべての文書が修正されているか注意が必要です。
ステップ6:レビューと承認
- 作成した3点セットを、関連する部署の担当者や責任者、必要に応じて内部監査部門などにレビューしてもらいます。
- フィードバックを受けて修正し、最終的な承認を得ます。
作成時のよくある課題と解決策
課題1:「どこまで詳細に書けばいいか分からない(粒度が揃わない)」
まずは財務報告リスクが高い箇所を重点的に詳細化します。リスクとの関連性が低い作業は簡略化するなど、重要性に応じてメリハリをつけましょう。部署間で粒度を合わせるための共通ルールを設けることも有効です。
課題2:「現場の担当者から十分な情報が得られない、協力的でない」
なぜ3点セットが必要なのか、目的とメリット(業務の可視化、負担軽減の可能性など)を丁寧に説明し、理解と納得を得ることが重要です。ヒアリング時間を事前に調整し、相手の負担に配慮しましょう。経営層からの協力要請も有効な場合があります。
課題3:「財務報告リスクやアサーションの概念が難しい」
経理部門や監査担当者、外部専門家などに相談しましょう。具体的な勘定科目と紐づけて、「売上計上における実在性リスクとは何か?」のように具体例で考えると理解しやすくなります。金融庁の実施基準や関連書籍で学習することも有効です。
課題4:「ExcelやWordでの作成・修正・管理が大変」
下記「効率化のヒント」で触れるような専用ツールの導入を検討するのも一案です。まずは、ファイル命名規則や版管理ルールを明確にするだけでも管理しやすくなります。
効率化のヒント
- テンプレート・サンプルの活用: 自社で標準テンプレートを用意したり、信頼できる外部のサンプルを参考にしたりすることで、作成効率と品質の均一化を図れます。(※テンプレート例は別途ご用意ください)
- ツールの活用検討:
- Excel/Word: 最も手軽ですが、修正や整合性確保に手間がかかる場合があります。マクロや連携機能を工夫して使うことも可能です。
- 内部統制文書化支援ツール/GHRツール: 3点セット作成に特化した機能を持つツールがあります。効率化と管理負荷軽減が期待できます。
- BPM (Business Process Management) ツール: 業務プロセス全体のモデリング機能を持つツールの一部が活用できる場合があります。
- プロセスマイニングツール: システムログから実際の業務プロセスを可視化・分析するツール。現状把握や継続的モニタリングに役立つ可能性があります。
- 外部専門家の活用: 自社リソースだけで作成が難しい場合や、客観的な視点を取り入れたい場合は、コンサルタントや監査法人などの専門家の支援を検討しましょう。
作成後の活用シーン
3点セットは作成して終わりではありません。様々な場面で活用することで、その価値を最大限に引き出すことができます。
- 内部監査・外部監査への対応: 整備状況・運用状況の評価対象として、監査人に提出・説明するための基礎資料となります。
- 業務改善・効率化: 可視化された業務プロセスや識別されたリスク・コントロールを見直すことで、ボトルネックの解消、無駄な作業の削減、自動化の検討など、業務改善のヒントが得られます。
- 新人研修・業務引継ぎ: 新しい担当者が業務内容や手順、リスク管理のポイントを理解するための教材として活用できます。
- システム導入・改修: 現状の業務プロセス(As-Is)を正確に把握し、新しいシステム要件(To-Be)を定義するためのインプット情報となります。
応用・発展編:より深く理解する
内部統制の実務経験者や監査担当者向けに、より深い知識と最新動向について解説します。
3点セットと内部統制評価の関係:
- 3点セットは、内部統制の整備状況評価(統制が適切に設計されているか)の主要なインプットとなります。RCMに記載されたリスクとコントロールが、財務報告リスクを適切に低減する設計になっているかを評価します。
- また、運用状況評価(設計された統制が、実際にその通り継続的に運用されているか)においても、テスト対象となるコントロールの特定や、テスト結果の記録との関連付けに利用されます。
- 評価の結果、発見された不備(重要な欠陥、開示すべき重要な不備)は、3点セット(特にRCM)の修正や改善計画の策定に繋がります。
J-SOX改訂動向と3点セットへの影響:
内部統制報告制度は、社会情勢や企業環境の変化に合わせて見直しが行われています。
改訂内容によっては、評価範囲の見直し、リスク評価の重点化、IT統制の文書化・評価の深化などが求められ、3点セットの内容や作成・更新プロセスに影響を与える可能性があります。常に最新動向を注視し、対応していく必要があります。
DX時代における内部統制文書化の進化:
デジタルトランスフォーメーション (DX) の進展に伴い、業務プロセスはより複雑化・自動化しています。
- プロセスマイニングなどのテクノロジーを活用し、システムログから実際の業務プロセスを客観的に可視化・分析することで、3点セット作成の効率化や、継続的なモニタリングによる統制逸脱の早期発見などが期待されています。
- 文書化ツールも進化しており、クラウドベースでの共同編集や、他のシステムとの連携機能などが強化されています。
経営層・管理職向けポイント
経営層や管理職の皆様にとって、3点セットは単なる担当者向けの文書ではありません。企業経営における重要な意味を持ちます。
3点セットが示すもの:
- 自社の主要な業務プロセスがどのように運営され、管理されているかの「見える化」された姿です。
- 財務報告に係るリスクがどこに存在し、それに対してどのような対策(コントロール)が講じられているかを示します。これは、リスクマネジメント体制の有効性を測る指標の一つとなります。
経営判断における活用:
- 3点セットを通じて業務の実態やリスクを把握することで、より実効性のある経営判断(例:業務改善指示、システム投資判断、内部監査計画の承認など)に繋がります。
- 適切な内部統制が整備・運用されていることを示す基礎資料となり、企業の信頼性向上、コーポレートガバナンス強化に貢献します。
担当部署への適切な指示・監督のために:
- 3点セットの作成・維持には、現場担当者の多大な労力がかかります。その重要性を理解し、必要なリソース(人員、時間、予算、ツール導入支援など)を提供することが重要です。
- 作成された3点セットの内容について担当部署から定期的に報告を受け、形骸化していないか、ビジネスの変化に合わせて適切に見直されているかを確認・監督する視点が求められます。
3点セットを作成し、業務プロセスを整理・可視化することは、簡単な作業だと思われることがあります。
確かに、会社の業務を一番良く把握しているのは、各担当者ですが、担当者だけで作成すると、人によって記載のレベルが異なる、現場の細かい視点ばかりが入ってしまう、声の大きい人の主張が通る、財務報告の観点がもれる、などの問題が発生しがちです。
③点セットは、今後の財務報告リスクや統制評価のもととなる資料であるため、勘所を押さえておかないと、毎年毎年、余計な作業時間が発生することになりかねないのです。
社内リソースで進めつつも、要所要所で外部からの目を取り入れつつ、効率的に進めてください。
まとめ
内部統制の3点セットは、J-SOX対応のためだけでなく、企業の業務プロセスを可視化し、リスクを管理し、継続的な改善を促すための重要なツールです。
- 業務記述書、フローチャート、RCMは相互に連携し、業務の実態とリスク管理体制を明確にします。
- 作成には手間がかかりますが、ステップを踏み、効率化のヒントを活用することで、効果的に進めることができます。
- 作成後は、監査対応だけでなく、業務改善や人材育成など、積極的に活用することが重要です。
- ビジネス環境やIT技術の変化、法規制の動向に合わせて、継続的に見直し、更新していくことが不可欠です。
しています!
上智大学経済学部卒業。大原簿記学校講師、青山監査法人(当時)勤務を経て、1998年KPMGニューヨーク事務所に入社。
2002年以降は、KPMG東京事務所(現あずさ監査法人)にて外資系企業の法定監査、デューデリジェンス、SOX法対応支援業務を担当する。
現在は、経営コンサルタントとして、内部統制構築支援やIFRSコンバージョン支援に携わるとともに、各種実務セミナー講師としても活躍中。
著書『フローチャート式ですぐに使える内部統制の入門と実践』他。
コントロールソリューションズでは、内部統制に関わるセミナーを随時開催しています。佐々野氏のセミナーは分かりやすいと好評のため、「すぐに相談までは進めない」という方はセミナーでお話を聞いてみてはいかがでしょうか?
不祥事の再発が絶えない中、不正リスク対応がより重要になっています。本セミナーでは、不正の背景や実例をもとに原因を検証し、予防や早期発見に必要な社内体制やチェックポイントを解説。内部監査・不正調査の留意点もわかりやすく学べます。
会計不正の増加を受け、内部統制の評価基準が改訂され、リスク重視の実効的な評価が求められています。本講座では、J-SOX制度の要点や構築・評価の基本作業、効率化のポイントを解説。リモート対応や新基準への実務対応も盛り込み、わかりやすく学べます。
企業の成長に伴い、内部監査の重要性は一層高まっています。特に上場を目指す企業では、投資家を含むステークホルダーの信頼確保の観点から、内部監査体制の整備が不可欠です。
本セミナーでは、2024年改訂の内部監査基準を踏まえ、基本的な進め方を実務に沿って解説。実務初心者や体制見直しを検討する方にも役立つ内容です。
企業不祥事が後を絶たない中、不正リスクへの対応強化が重要視されています。本セミナーでは、不正の背景や手口を事例と共に分析し、早期発見・予防に向けた実務上の対応策を解説。内部監査や不正調査を行う際の留意点についても、具体的に学べる内容です。
複雑化するリスクに対応するため、グループ全体での全社的リスクマネジメント(ERM)体制の構築が重要性を増しています。本セミナーでは、ERMの基本から運用の実効性向上、体制高度化の視点までを解説。BCPや危機管理マニュアルの整備に役立つ具体策も紹介します。
内部統制の担当に任命された方や、周辺知識を強化したい方、上場準拠で内部統制に取り組む企業の方を対象に、J-SOXの基礎から評価手順までを2日間で丁寧に解説します。実務で直面する課題や最新の制度改正も網羅し、事例を交えながらわかりやすく学べる実践的な講座です。
リスクの多様化が進む中、グループ全体での情報集約と対応が求められ、ERM(全社的リスクマネジメント)の重要性が高まっています。本セミナーでは、ERMの基本から実効性ある運用、体制高度化のポイントまでを丁寧に解説。BCPや危機管理マニュアルの整備にも役立つ実務的な内容です。
企業不祥事が後を絶たない中、不正リスク対応の重要性が高まっています。本セミナーでは、実際の事例を交えながら不正の背景や手口を分析し、早期発見・予防のための社内体制やチェックポイントを解説。内部監査・不正調査時の留意点も学べます。
内部統制の新任担当者や情報収集を進めたい方に向け、J-SOXの基本から全社統制・業務統制の整備・評価手順までを2日間で解説。制度改定や新会計基準など最新動向も踏まえ、事例を交えながら実務に役立つ知識をわかりやすく学べる講座です。
内部監査体制の整備は、不祥事対応に限らず業務の健全化・効率化にも貢献します。本セミナーでは、基本知識や実務手順を具体例と共に解説。監査の進め方に不安がある方や、立ち上げ段階の方にも役立つ内容で、DXの動向や実践事例も取り上げます。