内部統制の3点セットとは

経営コンサルタントとして、内部統制構築支援やIFRSコンバージョン支援に携わるとともに、各種実務セミナー講師としても活躍中。
内部統制の「3点セット」とは、金融商品取引法の要請に従って、財務報告の信頼性を確保するために作成される主要文書のことです。
多くの上場会社は、業務プロセスを整理・可視化するために、「業務記述書」「フローチャート」「リスク・コントロール・マトリックス(RCM)」の3つの文書を作成します。それぞれの内容を確認してみましょう。
業務記述書

画像引用元:金融庁『財務報告に係る内部統制の評価及び監査の基準』 (https://www.fsa.go.jp/singi/singi_kigyou/kijun/20230407_naibutousei_kansa.pdf)
業務記述書とは、業務プロセスにおいて実施している業務内容を、その流れにそって詳細に記述し、誰が何をどのように行うのか、どんな文書を作成するのかなどを明確にした書類です。
業務記述書によって、業務プロセスの手順、実施内容、担当者の責任範囲、実施されている統制(コントロール)、利用されている文書などを把握できます。
さらに、記述を通じて業務を客観的に見直す機会が増え、問題や重複作業を洗い出す助けにもなります。言わば、企業の行動指針や手順をテキストにまとめた地図のような存在です。
フローチャート

画像引用元:金融庁『財務報告に係る内部統制の評価及び監査の基準』 (https://www.fsa.go.jp/singi/singi_kigyou/kijun/20230407_naibutousei_kansa.pdf)
フローチャートは、業務の流れを図式化したものです。たとえば「伝票を受け取る」「内容を確認する」「システムに入力する」などのステップを四角やひし形の記号で示して、矢印で結びます。
文章だけでは見えづらい分岐や処理手順をひと目で理解できるので、業務の全体像をつかむうえでとても便利です。
図で表すことで、無駄な工程を省くヒントが見つかったり、関係部署とのすれ違いを解消したりする効果も期待できます。
リスク・コントロール・マトリックス(RCM)

画像引用元:金融庁『財務報告に係る内部統制の評価及び監査の基準』 (https://www.fsa.go.jp/singi/singi_kigyou/kijun/20230407_naibutousei_kansa.pdf)
RCMは、業務上のリスクと、それを抑えるための対策(コントロール)を一覧にまとめた表です。
たとえば「売上の計上ミスが起きる可能性がある」「それを防ぐには上長承認とシステムのチェックが必要」というように、危険とそれを防ぐ手段を対応づけます。
この表を作ると、重要なリスクがきちんと対処されているかを確認しやすくなり、抜け漏れを防ぐ効果も高まります。業務記述書やフローチャートとあわせて活用すれば、どこにリスクが潜むかを把握し、何をどのように管理・監督すればいいかを整理しやすくなるでしょう。
3点セット作成のポイント
対象業務の明確化
評価範囲としている業務プロセスは何なのか、財務報告にどのような影響があるのかという最終ゴールを意識して作成しましょう。
例えば、販売プロセスであれば、売上高が正しく計上されることがゴールになります。
現場担当者が行う業務には多岐多様なものがありますが、担当者が行う業務を文書化するのではなく、ゴールである売上計上につながる業務を文書化する、ということを意識しましょう。
対象業務の細分化
業務プロセスの全容を一つの書類にまとめるのは難しい場合があります。
その場合、対象となる業務プロセスを細分化して文書化を進めることになります。
例えば、販売プロセスであれば、見積、受注、出荷、売上計上など、サブプロセス単位にわけて文書を作成します。
作成の流れ
会社によって作成の手順はまちまちですが、一般的な流れは、以下のようになります。
- 業務記述書やフローチャートを利用して、対象とする業務の全体を把握
- 業務記述書の内容を詳細化
- 業務プロセスのリスクと実施しているコントロールを把握
- リスクとコントロールをRCMにまとめて漏れ抜けをチェック
- 最後に3文書の整合性をとって完成させる
エクセル・ワードで作成する場合、フローチャートの修正には手間がかかるため、業務記述書とRCMが完成してから、最後にフローチャートを作成することがあります。
全体から詳細へ
最初から一つ一つの業務を詳細に記載すると、全部を書き終わる前に力尽きてしまいます。
まずは、対象業務を大雑把に把握し、少しずつ詳細化するように進めましょう。
例えば、受注プロセスを文書化する場合、その中に含まれるステップとして、注文書の受領、注文書の確認、システム入力、注文請書の発行など、大きな流れを抑えた後に、それぞれを詳細に記載します。
コントロールに該当する業務については、5W1Hを意識して記載しましょう。
アサーションの理解
洗い出すリスクは、財務報告リスクです。
財務報告リスクは、影響をあたえる勘定科目と、実在性や網羅性といったアサーションの観点から洗い出します。
業務の有効性や効率性に関するリスクは、J-SOX上は識別する必要はありません。
実際の業務を反映
業務プロセスで使用されている実際の証憑を確認したり、担当者にインタビューを実施することで、実際に行われている業務を把握しましょう。
RCMの活用
業務を把握した後に、RCMの形式でリスクとコントロールを整理すると、自社で対応が十分でなかったリスクに気がつくことがあります。
現状対応できていないリスクに対しては、今後の対応策(コントロール)を検討しましょう。
現場の意見の反映
新たにコントロールを検討する場合、現場担当者が理解できないものや実現不可能なものでは、実際に運用されることはありません。
どのようなコントロールが効果的なのか、適宜現場の意見を取り入れながら設計しましょう。
文書間の整合性
業務記述書、フローチャート、RCMに記載された内容の整合性を確認しましょう。
エクセルやワードで作成していると、業務プロセスを見直す中で、フローチャートは修正したが、RCMに反映してなかったなど矛盾がよく発生します。
継続的な見直し
上場準備期間中は、社内管理体制の見直しが各部署で行われるとともに、システムの変更や人員の増加によって、刻々と業務プロセスが変わっていきます。
3点セットは一度作成して終わりではなく、上場までの期間において、何度も更新していくと思ってください。
3点セットを作成し、業務プロセスを整理・可視化することは、簡単な作業だと思われることがあります。
確かに、会社の業務を一番良く把握しているのは、各担当者ですが、担当者だけで作成すると、人によって記載のレベルが異なる、現場の細かい視点ばかりが入ってしまう、声の大きい人の主張が通る、財務報告の観点がもれる、などの問題が発生しがちです。
③点セットは、今後の財務報告リスクや統制評価のもととなる資料であるため、勘所を押さえておかないと、毎年毎年、余計な作業時間が発生することになりかねないのです。
社内リソースで進めつつも、要所要所で外部からの目を取り入れつつ、効率的に進めてください。

しています!
上智大学経済学部卒業。大原簿記学校講師、青山監査法人(当時)勤務を経て、1998年KPMGニューヨーク事務所に入社。
2002年以降は、KPMG東京事務所(現あずさ監査法人)にて外資系企業の法定監査、デューデリジェンス、SOX法対応支援業務を担当する。
現在は、経営コンサルタントとして、内部統制構築支援やIFRSコンバージョン支援に携わるとともに、各種実務セミナー講師としても活躍中。
著書『フローチャート式ですぐに使える内部統制の入門と実践』他。
コントロールソリューションズでは、内部統制に関わるセミナーを随時開催しています。佐々野氏のセミナーは分かりやすいと好評のため、「すぐに相談までは進めない」という方はセミナーでお話を聞いてみてはいかがでしょうか?
今年も1年間かけて実施してきた財務報告に係る内部統制の評価について、結果を取りまとめる時期になりました。内部統制報告書の提出にむけた全体作業を念頭におきながら、最終的に重要な不備が残ることがないようにロールフォワードや再テスト等を進めていきましょう。なお、改訂実施基準が施行されたため、期中に不備等が見つかると追加で評価しなければならない可能性があります。自社の評価範囲に影響するような不備は早めに把握し、内部統制の構築と評価が期末までに完了するよう進めることが大切です。 本講座では、期末前後の評価作業、有効性の判断方法、内部統制報告書の作り方、改訂に伴う評価範囲への影響等について、最近の各社及び監査法人の動向等をふまえ、随所に設例、事例を織り込みながら、実務本位の解説で定評ある講師がわかり易くご指導いたします。
海外進出先での政情不安や急激な為替変動、クラウドサービス利用に伴うリスク等、昨今企業が直面するリスクは、増大かつ多様化しており、リスク管理の重要性が高まっています。従来型のリスクに対して各部門が都度場当たり的に対応するのではなく、リスク情報をタイムリーに認識・集約したうえで効率的・効果的に対応するためには、全社的な視点から計画的に実施する、いわゆる全社的リスクマネジメント(ERM)体制の構築と実践が不可欠です。法的にも、会社法、金融商品取引法、コーポレートガバナンスコードにおいて、グループ全体を含めた先を見越した全社的リスク管理体制の整備が求められています。しかし、具体的にどのような構築・運用が望ましいかは、各社各様であるため、ERMの導入が困難になっています。本講座では、ERMの構築からその後のPDCAサイクルにおける実務上の重要ポイントについて、具体例を用いて直面する課題とともに初心者にもわかり易く解説します。また、ERMの一環として、危機管理マニュアルや事業継続計画の策定についても合わせて説明します。
今年も1年間かけて実施してきた財務報告に係る内部統制の評価について、結果を取りまとめる時期になりました。内部統制報告書の提出にむけた全体作業を念頭におきながら、最終的に重要な不備が残ることがないようにロールフォワードや再テスト等を進めていきましょう。
なお、改訂実施基準が施行されたため、期中に不備等が見つかると追加で評価しなければならない可能性があります。自社の評価範囲に影響するような不備は早めに把握し、内部統制の構築と評価が期末までに完了するよう進めることが大切です。
本講座では、期末前後の評価作業、有効性の判断方法、内部統制報告書の作り方、改訂に伴う評価範囲への影響等について、最近の各社及び監査法人の動向等をふまえ、随所に設例、事例を織り込みながら、実務本位の解説で定評ある講師がわかり易くご指導いたします。
海外進出先での政情不安や急激な為替変動、クラウドサービス利用に伴うリスク等、昨今企業が直面するリスクは、増大かつ多様化しており、リスク管理の重要性が高まっています。
従来型のリスクに対して各部門が都度場当たり的に対応するのではなく、リスク情報をタイムリーに認識・集約したうえで効率的・効果的に対応するためには、全社的な視点から計画的に実施する、いわゆる全社的リスクマネジメント(ERM)体制の構築と実践が不可欠です。法的にも、会社法、金融商品取引法、コーポレートガバナンスコードにおいて、グループ全体を含めた先を見越した全社的リスク管理体制の整備が求められています。しかし、具体的にどのような構築・運用が望ましいかは、各社各様であるため、ERMの導入が困難になっています。
本講座では、ERMの構築からその後のPDCAサイクルにおける実務上の重要ポイントについて、具体例を用いて直面する課題とともに初心者にもわかり易く解説します。また、ERMの一環として、危機管理マニュアルや事業継続計画の策定についても合わせて説明します。
企業不祥事や製品事故の増加に伴い、コーポレート・ガバナンス強化が進み、監査役等の責任が重くなっています。本講座では、監査役やスタッフ向けに、役割・責任や実務ポイントを具体例を交えてわかりやすく解説します。
内部統制制度が浸透する一方で、運用面での課題や作業効率化のニーズが高まっています。本講座では、J-SOXの背景や体制、全社統制構築に関する基本知識を、実務に精通した講師がわかりやすく解説します。
内部統制制度が浸透する一方で、運用上の課題や効率化に対するニーズが高まっています。本講座では、業務プロセスやIT全般統制の評価について、記載例を用いながら、実務に精通した講師が基本知識やノウハウをわかりやすく解説します。