この記事は約 5 分で読めます。
内部統制制度は、企業の不正防止や財務状況の安定、外部からの信頼性の確保などを目的とし、組織の内部統制を図るための制度です。「J-SOX」とも呼ばれるこの制度への対応を円滑に行うために、「業務記述書」「フローチャート」「リスクコントロールマトリックス(RCM)」という3つの書類(内部統制3点セット)を作成する必要があります。
本記事では、内部統制3点セットの概要から作成時のポイント、作成に役立つソフトまで詳しく紹介します。内部統制に必要な書類の具体的な作成方法を押さえ、業務効率化を促すためにぜひお役立てください。
→ダウンロード:IT活用のリスク管理を強化できる内部統制対策ガイドブック
内部統制報告制度(J-SOX)とは
金融商品取引法において、内部統制報告制度(J-SOX)は「経営者による評価及び報告と監査人による監査を通じて、財務報告に係る内部統制について有効性を確保するための制度」と説明されています。企業の違法行為の防止や財務状況への信頼性の確保などに向けて、内部統制の有効性を評価、報告することが目的です。
J-SOX法については、以下の記事に詳しく解説しているので参考にしてください。
内部統制報告の作成と監査は、上場企業に対して法的に義務付けられています。中小企業など対象外の企業にとっては義務ではありませんが、企業の透明性を担保するために有用な制度であるため、採り入れることが推奨されています。
内部統制の3点セットとは
内部統制報告制度に対応するために、経営者が主導となって書類を準備する必要があります。内部統制に効率よく対応するために使われるのが「内部統制(J-SOX)3点セット」と呼ばれる以下の3つの書類です。
- 業務記述書
- フローチャート
- リスクコントロールマネジメント(RCM)
具体的には、業務記述書およびフローチャートを使って業務プロセスを可視化し、RCMで各業務のリスクを把握、統制する方法を明確にします。業務記述書とRCMを統合したチェックシートで代用することも可能です。
内部統制への対応に3点セットの作成は必須ではありませんが、各業務プロセスを可視化し、適正な評価を実施するために3つの書類が必要となります。
内部統制3点セットの必要性と目的
内部統制3点セットを作成する主な目的は、業務や会計処理の過程を把握し、リスクやその制御について明確に示して財務報告の信頼性を確保することです。企業における業務プロセスは、一般的に就業規程やマニュアル、法令などに基づき正しく遂行されている必要があります。
また、業務の有効性を含め、内部監査室など独立した部門が評価を下した上で、監査法人からの監査を受けます。そのため、業務手順を文章や図解を使って可視化し、業務の全体像を適切に理解するために「業務記述書」と「フローチャート」を作成します。
さらに、「リスクコントロールマトリックス(RCM)」では、業務記述書やフローチャートから想定されるリスクを識別し、内部統制の流れを一覧としてまとめます。RCMを作成し、内部統制の有効性を評価した結果により、適切な財務処理を担保していることの証明になります。
業務記述書やフローチャートを作成した後で、想定されるリスクに対する業務がない場合、内部統制に有用な業務を追加する必要があります。
ここからは、内部統制3点セットの各書類について、より詳しく解説します。
業務記述書
業務記述書は、業務の内容や手順などのプロセスを文章でまとめた書類です。業務の目的や作業の範囲、実際の手順、担当者などを具体的に記述し、業務内容の把握を促します。フローチャートが図解で示されているのに対し、業務記述書では文章で業務プロセスを可視化します。
各業務について「5W1H(いつ、どこで、誰が、何を、なぜ、どのように)」の要素を意識してまとめることで、詳細が分かりやすくなります。また、使用するシステムや帳票などは、正式名称を記載することで、担当者以外の人でも各工程の作業内容や手順に潜むリスクを確認できます。
金融庁が公開している業務記述書のサンプルを以下に示しますので、参考にしてください。
出典:金融庁
フローチャート
フローチャートは、業務記述書の内容を図で記載した書類です。作業の流れや関連部署、使用するシステム、データの流れなどをフローチャート形式でまとめることで、業務の全体的な流れを視覚的に理解しやすくなります。
また、フローチャートの分析を通じて、業務の問題点やリスクの特定が可能になり、内部統制の整備や運用、改善点の発見にも役立ちます。
注意点として、フローチャートは業務記述書と比較した際に整合性が取れていることが重要です。ただし、業務記述書とフローチャートの内容が部分的に重複する場合、フローチャートに業務の詳細まで記載し、業務記述書の作成を省略できる場合もあります。
出典:金融庁
リスクコントロールマトリクス(RCM)
リスクコントロールマトリクスは、英語の「Risk Control Matrix」の頭文字を取って「RCM」とも呼ばれます。業務プロセスにおいて発生しうる不正やミスなどのリスクと、それに対する制御方法をまとめたものです。
業務記述書とフローチャートを使って洗い出した全てのリスクに対し、どのようなコントロールが可能かという網羅性や、制御の有効性を評価するために作成します。RCMにより、各業務で想定されるリスクとその対応が一目で確認でき、内部統制によるリスク低減の可能性を判断できます。
出典:金融庁
内部統制3点セット作成のポイント
ここからは、内部統制3点セットの具体的な作成方法を解説していきます。一般的に、内部統制3点セットは「業務記述書→フローチャート→リスクコントロールマトリクス(RCM)」の順で作成します。
業務記述書を作成する前の業務プロセスの把握や評価範囲の決定を含め、各段階での作成ポイントについて詳しく見ていきましょう。
1. 業務プロセスの把握と評価範囲の検討
まずは、内部統制(J-SOX)3点セットの対象となる業務プロセスの評価範囲を決定します。担当者にヒアリングを実施し、現場の状況を正確に把握すると同時に、社内規程や業務マニュアルを分析して想定されるリスクを洗い出します。
そして、リスクが発生する可能性や影響の度合いに応じて効果的かつ効率的な内部統制の手続きを計画します。各業務において起こり得るリスクを管理し、財務報告における信頼性を確保することが重要です。
基本的には、全社的な内部統制においては全ての事業拠点が評価対象です。ただし、予算や人員などによる制約もあるため、限られたリソースを効果的に活用し、優先順位の高いものから取り組みましょう。
なお、以前は内部統制の評価範囲について「前連結会計年度の連結売上高の概ね3分の2」といった目安が有効とされていました。しかし、2023年4月の内部統制実施基準の改訂ではこうした基準を「機械的に適用すべきではない」と記載されています。
2. 業務記述書・フローチャートの作成
内部統制の範囲を決定したら、業務記述書とフローチャートの作成に取り掛かります。業務記述書とフローチャートの完成度は、この後に作成するRCMの作成効率にも影響するため、抜け漏れのないよう作ることが大切です。
書類作成は、おおまかに以下の手順で進めます。
- 社内規程や業務マニュアル、帳票などの資料を準備する
- 業務の担当者に作業手順に沿ってヒアリングを実施する
- 業務記述書とフローチャートを作成する
現場担当者へのヒアリングでは、業務の一連の流れと重要なポイントを押さえながら、実際の業務を正確に把握します。一度のヒアリングで全ての情報をまとめることは難しいため、ヒアリングと作成を繰り返しながら、現場の業務に忠実になるよう完成させましょう。
なお、作成時には以下の点に注意が必要です。
- 「5W1H(いつ、どこで、誰が、何を、なぜ、どのように)」を明確に記載する
- 確認に使用した書類や出力した書類があれば併せて明記しておく
- システムによる内部統制やチェック機能に従った場合はその旨も記載する
- 業務記述書とフローチャートとの整合性が取れているか必ずチェックする
3. リスクコントロールマトリクス(RCM)の作成
業務記述書とフローチャートが完成したら、リスクコントロールマトリクス(RCM)の作成に移ります。RCMでは、業務記述書とフローチャートを分析し、財務報告の信頼性を確保する上で想定されるリスクを抽出して、その制御対応と共に記載します。
おおまかな作成手順は以下の通りです。
- フローチャートを使ってリスクの発生箇所と内容を洗い出す
- 1で抽出したリスクをRCMへ転記する
- リスクのコントロール内容を記載する
どのようなリスクが予測されるか、さまざまな視点から検討する必要があります。リスクの具体例としては、「不正取引の発生」「データの改ざん」などです。各リスクに対応するコントロール内容としては「取引の承認権限の付与」「システムのアクセス管理」などが挙げられます。
リスクとそれに対する制御対応の内容を確認する際には、業務記述書とフローチャートにおける該当箇所も確認した上で、内容を一覧として作成します。
リスクコントロールマトリクス(RCM)の作成方法についてより詳しく知りたい方は以下の記事をご覧ください。
内部統制3点セット作成に使えるツールとサービス
内部統制3点セットを作成する際には、ツールやソフトを使うと便利です。代表的なものには、内部統制ツールとエクセルがあります。それぞれの特徴やメリット・デメリットなどを説明していきます。
内部統制ツール
内部統制ツールとは、内部統制3点セットの作成を効率化するためのツールです。ツールには文書のテンプレートを搭載したものが多いため、1から手作業で文章化するよりも作成時間を短縮できます。
また、データの一元管理により、監査での文章共有も容易になるでしょう。3点セット全てを同じシステムで作成することで文書間の整合性が取れるため、人の手によるチェックが不要になり、業務負担の軽減につながります。
ただし、ツール導入のデメリットとしてコストがかかる点が挙げられます。ツールによって料金体系は異なりますが、多くの場合、導入時の初期費用とランニングコストが発生します。また、初期設定や社員が操作に慣れるためのトレーニングなどのリソースも必要です。
メリットとデメリットを総合的に検討しながら、自社に合ったツールを選ぶことが重要です。社員の手作業や紙媒体が多い企業では、人為ミスを避け、業務効率化を図るためにもツールの導入を検討すると良いでしょう。
エクセル、Google スプレッドシート
多くの企業で使用されているエクセルやGoogle スプレッドシートは、内部統制3点セットの作成にも向いています。高い知名度を誇るエクセルは、多くの社員が基本的な操作に慣れており、新しいツールやソフトウェアへ順応する必要がありません。既存のリソースを活用してすぐに内部統制を進められるため、導入コストを抑えられます。
また、自社独自のフォーマットを容易に作成でき、最適な形で3点セットの文書を管理・運用できるでしょう。
ただし、多数のユーザーが1つのエクセルを同時に編集しようとすると、操作が重くなる可能性があります。また、エクセルの自動化や統合機能には一定の制限があるため、マニュアルで入力や更新を行う必要があり、正確さや効率の確保において課題が残ります。
加えて、業務プロセスごとに内部統制3点セットを作成するとなると複数のファイルができあがるため、フォーマットや更新方法を統一し、利用者に理解、厳守するよう促すことも重要です。
エクセルでの内部統制3点セットの作成は、業務プロセスが少ない企業や、リソースやコスト面で制限の多いスタートアップや中小企業におすすめです。
内部統制3点セットはツールを活用して効率的に作成しよう!
内部統制報告制度(J-SOX)に対し、効率的に対応するには「業務記述書」「フローチャート」「リスクコントロールマトリックス(RCM)」という内部統制3点セットが必要です。3点セットの作成を通じて、業務プロセスにおけるリスクを可視化し、必要な対処法を明確化できます。
作成時には業務の担当者にヒアリングを行い、忠実な業務内容を記した業務記述書とフローチャートを作成すると共に、リスクを抽出してRCMに記載するとスムーズです。内部統制ツールやエクセルなど自社に合ったツールを活用することで、効率的かつ効果的な作成、運用、管理が実現します。
