内部統制とは、企業が組織の事業活動を支援する目的を達成するために会社の内部に構築する仕組みです。

事業活動を開始すると、企業は様々なリスクに晒されることになります。これらのリスクを適切に管理し、事業活動の継続性を確保するための仕組みが内部統制です。

内部統制を適切に評価するためには、内部統制の3点セットと呼ばれる「1. 業務記述書」「2. フローチャート」「3. リスクコントロールマトリクス（RCM）」を作成するのが一般的です。3点セットを作成することで、内部統制のための仕組みをより強固にすることができます。

本記事では、内部統制の3点セットについてわかりやすく解説していきます。内部統制の3点セットについて、基本的な語句の解説から作成方法まで丁寧に解説しますのでぜひ参考にしてください。

内部統制報告制度とは

内部統制報告制度とは、企業が財務報告の信頼性を確保するために、内部統制を適切に構築、運用、評価、報告することを求める制度です。

内部統制報告制度は、組織の業務プロセスや内部のルール、手続が適切に設計され、運用されていることを確認し、公表することでステークホルダー（投資家、顧客、従業員など）に対する企業の透明性を高め、企業価値の向上に寄与します。

内部統制報告制度の一環として、経営者は内部統制の有効性に関する評価を定期的に行い、結果を社会に報告する必要があるでしょう。

内部統制報告制度の導入により、企業は組織全体でリスク管理の体制を見直し、強化する機会を得ます。例えば、異なる部門間で共通して行われるプロセスの統合や、網羅的なリスクの洗い出しなどを通じて、潜在的なリスクの早期発見や未然の防止策の立案、そして財務報告の信頼性の向上が進められます。

また、IPOを目指す企業にとって、内部統制報告制度の整備は特に重要です。上場に際しては、企業がさまざまな規制要件を満たす必要があり、中でも内部統制の強化は欠かせません。適切な内部統制を構築し、その運用に関する評価結果を報告することで、企業は投資家からの信頼を獲得し、事業の拡大や資金調達の機会を広げることができます。

内部統制とIPOについては、次の記事を参考にしてください。

IPOを目指す企業が準備すべき内部統制まわりの業務について解説！

内部統制は３点セット？

内部統制の3点セットとは、企業が業務プロセスにおけるリスクとコントロールを整理するための基本的な文書群のことです。

この３点セットは、業務記述書、フローチャート、そしてリスクコントロールマトリクスから構成されています。

以下では、それぞれの役割について詳しく解説していきます。

①業務記述書

業務記述書は、特定の業務プロセスに関連する詳細な情報を文書化したものです。これには、目的、範囲、責任、手続、およびその他の関連情報が含まれています。

業務記述書は、業務プロセスの構造と流れを理解するための基本文書となります。これは、内部統制の設計や実施、そして評価において、一貫性と標準化を保証するための重要なリソースです。

業務記述書を適切に作成し維持することで、内部監査や第三者による監査を円滑に進めることができます。

②フローチャート

フローチャートは、企業の業務プロセスを図解化し、それがどのように機能しているかを視覚的に理解するためのものです。

これにより、プロセスの流れを視覚的に理解することができます。フローチャートは、業務の一連の活動、関与する担当者、各段階での意思決定ポイント、そしてシステム間のインタラクションを明確に示します。

③リスクコントロールマトリクス

リスクコントロールマトリクスとはフローチャートや業務記述書を作成した過程で検出された財務報告の信頼性に関するリスクとそれに対応するコントロールを記載した表のことです。リスク、アサーション、コントロールの内容、実施頻度、実施者などを一覧化し、最終的にキーコントロールの特定を行うために作成します。

内部統制3点セットを作る手順は？

内部統制3点セットの作成は、組織の財務報告プロセスを強化し、コンプライアンスを確保するための重要なステップです。

このプロセスは、業務プロセスの評価範囲の決定、業務プロセスの理解、業務記述書やフローチャートの作成、そしてリスクコントロールマトリクスの作成に分かれています。

Excelでの内部統制3点セットの作成方法は、次の記事を参考にしてください。

内部統制3点セットとは？Excelで作成するメリットやコツも紹介

業務プロセスの理解

最初に、業務プロセスの理解が不可欠です。企業は、業務プロセスについて、何をするのか、誰が実施するのか、いつ実施するのか、何のシステムを利用しているか、そして、なぜ必要なのか、を理解する必要があります。

効果的な3点セットの作成には、これらの要素を漏れなく洗い出し、業務プロセスを正しく理解することが求められます。

業務プロセスの評価範囲を決める

次に、業務プロセスの評価範囲を決定する必要があります。売上、売掛金、棚卸資産といった企業の事業目的に大きく関わる重要な勘定科目に至る業務プロセスは基本的に評価対象に含めなければいけません。

また、売上に関わる業務プロセスも、例えば、国内販売、海外販売、など種類ごとにプロセスが異なる場合、重要性が乏しいものを除いて原則評価対象に含める必要があります。

なお、売上、売掛金、棚卸資産の3勘定以外にも、個別の業種、企業の置かれた環境や事業の特性に応じて、評価対象とすべきと判断するケースもあります。

業務記述書やフローチャートを作成する

業務プロセスの可視化と文書化は、リスクコントロールマトリクスを作成するために不可欠です。業務記述書は、正しく理解した業務プロセスの内容に関して、具体的に記述することが求められます。

一方、フローチャートは、図や矢印を用いて、業務記述書の内容をわかりやすく図示することがポイントになります。

リスクコントロールマトリクスを作る

業務記述書とフローチャートを作成した後、リスクコントロールマトリクスを作成します。

リスクコントロールマトリクスは、3点セットの中でも特に重要なものであり、内部統制の有効性を評価する上で欠かせない資料となります。

リスクとコントロールとは？

リスクコントロールマトリクスの作成に先立ち、「リスク」と「コントロール」の理解が不可欠です。

内部統制報告制度における「リスク」とは、財務報告の信頼性に影響を及ぼす不確実性のことを指し、「コントロール」は、そのリスクを緩和または排除するための措置や手続を指します。

リスクコントロールマトリクスの作成は、業務プロセスに関連する全ての潜在的なリスクを特定することから始まります。

リスクコントロールマトリクスにおける「リスク」とは、財務報告の信頼性を損なう可能性がある事象や状況、特に6つのアサーション（監査要点）に影響を及ぼすものです。

たとえば、売掛金であれば「実在性(本当に存在しているかどうか)」や「評価の妥当性(回収可能性がどれくらいあるか)」が、財務報告の信頼性に大きな影響を与えます。

ほかにも、借入金であれば「網羅性(全ての借入金が網羅されているか)」も大きな影響を与えるため、重点的にコントロールすることが必要とされます。

「コントロール」は、これらのリスクを発見、予防、あるいは減少させるための内部手続や措置を指します。

コントロールの実施は、リスクの性質や担当者、部署の特性に応じて変化し、承認や照合、上長によるレビューなど多岐にわたります。

「リスク」の基準

「リスク」の評価には、発生の可能性と影響の程度を考慮することが重要です。リスクを効果的に管理するためには、組織が直面する具体的なリスクを特定し、それらが業務プロセスや企業全体の目標にどのように影響を与えるかを分析する必要があります。リスクの基準を設定することで、企業はリスクの優先順位をつけ、適切なコントロール措置を適用することができます。

「コントロール」の役割

「コントロール」の主な役割は、特定されたリスクを緩和し、不正行為、エラー、または過失から組織を保護することです。効果的なコントロール措置は、予防的、検出的、修正的なアクションを含み、それぞれが特定のリスクに対してどのように機能するかに応じて設計されています。コントロールの適切な設計と実施により、財務報告の信頼性を確保できます。

内部統制3点セットを作る際のポイント

内部統制の3点セット作成は、企業の財務報告の信頼性を高め、潜在的なリスクの予防・管理に寄与します。効率的に3点セットを作成するには、明確な方針、緻密なリスク分析、適切なコントロールの設定、そして各プロセスの責任者の明確化が必要です。さらに、業務プロセスが共通する部分は統合するなど、業務プロセス自体を見直すことも効率化に繋がります。

５W１Hのフレームワークを意識する

3点セットを作成する際には、5W1H（いつ、どこで、誰が、何を、なぜ、どのように）のフレームワークを意識することが重要です。このアプローチは、業務プロセスを網羅的に理解し、業務記述書やフローチャートを作成するうえで、漏れなく必要な情報を収集するのに役立ちます。

ツールを使って効率よく行う

内部統制の整備やJ-SOXへの対応は事業者にとって大きな負担となるものです。そのため、会社によっては、J-SOX専用のツールを活用して効率的に対応しています。以下では、おすすめのツールを３つ紹介していきます。

iGrafxSOX+

iGrafxSOX+は、株式会社サン・プラニング・システムズが開発・運用している内部統制の支援ツールです。

SOX+(ソックスプラス)を利用すれば、業務プロセスの可視化とリスク・コントロールの設定を行うことができ、業務記述書・リスクコントロールマトリクスといった内部統制３点セットを簡単に作成することが可能です。

直感的に操作可能なツールであるため、誰でも簡単に利用できるという特徴があります。操作トレーニング研修なども実施されているため、誰でも利用しやすいツールとして活用されています。

QPR J-SOX

QPR J-SOX( (キューピーアールジェイソックス)は、日本のSOX法に準拠するために、企業の文書プロセスを自動化し、透明化するツールです。

QPR J-SOXツールは、業務プロセス、記述、リスク、制御の詳細を一箇所で管理し、リスクとコントロールのマトリクスの作成を可能にします。

このシステムは、業務プロセスの流れから文書作成、そして効果の評価までを継続的に管理する機能も備えています。また、日本語と英語を含む多言語に対応しており、Web上で作成された文書の確認も可能です。海外拠点を持つ企業にも適しています。

SOX+

SOX＋は、株式会社日立が開発した内部統制支援ツールです。

SOX＋では、プロセス図を描く機能により、企業の業務手順を容易に図示し、全体の流れや重要な問題点を明確にできます。内部統制の文書化に関するニーズに、効果的かつ低コストで対応します。

SOX+の主な特徴は作業の効率化です。多くの便利な機能により、業務プロセスの図面の作成や修正を迅速に行うことが可能。リスクとコントロールの視覚的評価機能も備えており、作成された業務プロセスの図にリスクとコントロールを直感的に関連付けて評価できます。

さらに、リスクとコントロールの情報を、リスクコントロールマトリクスとしてExcel形式で簡単に出力できます。また、リスクコントロールマトリクスに入力されたデータを業務プロセス図に取り込むことも可能です。

smoove J-SOX

smoove J-SOX（スムーブジェイソックス）は、株式会社WARCが開発したJ-SOX業界初のSaaS※2で、公認会計士監修のもとJ-SOX（日本版SOX法）対応を効率化・合理化するツールです。

smoove J-SOXでは、3点セット作成から整備評価、運用評価までの全作業をシームレスに完結することができます。

フローチャート、RCM、業務記述書の3点セット作成・更新の負担を大幅に軽減し、作成時間を50%削減※1することが可能で、フローチャートを更新すればRCMも自動反映されるため、手作業によるミスを防ぎ、効率的な運用を行えます。

また、煩雑になりがちな根拠資料やサンプル管理もシステム上で一元化でき、評価調書の専用画面で業務を標準化・効率化でき、監査法人も含めた関係者間のコミュニケーション円滑化を実現します。

さらに、公認会計士による導入・運用サポートも付いているため、J-SOX対応に不安がある企業も安心して導入・運用を進められます。J-SOX対応の課題を解決し、企業のガバナンス強化を強力に支援するツールです。

※1 当社公認会計士による３点セット作成時間をExcelとsmoove J-SOXで比較計測した結果
※2 当社調べ

まとめ

本記事では、企業が事業の効果的な運営とリスク管理を確保するための重要なツールである内部統制の3点セットに焦点を当て、その概念と作成方法について詳細に解説しました。

3点セットは、「フローチャート」、「業務記述書」、そして「リスクコントロールマトリクス」から構成され、企業の内部プロセスを可視化し、リスクに対応したコントロールが漏れなく整備されているか、コントロールは有効か、といった評価の実効性を担保する資料です。

3点セットは、内部統制の評価と同時に、内部統制の強化・見直しにも大いに役に立つでしょう。

---

Co-WARCについて

Co-WARCでは、内部統制構築、J-SOXの立ち上げ支援を含め、コーポレート課題全般の支援を行っています。

何からすれば良いかわからないから相談したい、具体的な支援内容を知りたいなど、どんなお悩みでもお気軽にご相談ください。

コーポレート課題を解決するプロが最適な解決策をご提案します。