メディア MEDIA
内部統制の文書化はどうやるべき?3点セットが重要である理由を解説!

内部統制の有効性を評価するためには文書化が欠かせません。内部統制に関する文書は、経営者が内部統制を評価するだけに限らず、監査人が監査証拠として利用するケースがあるので注意が必要です。本記事では、内部統制においてなぜ文書化が重要であるのかを解説します。


内部統制においてなぜ文書化が必要なのか?

内部統制とは、企業が財務報告の信頼性を確保し、業務の効率化を図るためのプロセスや手続です。この内部統制の有効性を評価する上で、文書化は不可欠な要素になります。
文書化は、評価の際に役立てることができます。内部統制の具体的な実施方法や実施者を明確にすることで、その内部統制が実質的にリスクに対応したものなのか、どの程度リスクをカバーしているのか、といった点です。さらに、文書化された内部統制の手順やポリシーは、新入社員や異動者が業務に取り組む際のガイドラインとして機能し、一貫性のある業務遂行を支援します。
また、内部統制の文書化は、外部監査人による評価や監査の際にも重要な役割を果たし、企業が法令遵守やリスク管理を適切に行っていることを証明する手段となります。
客観的に判断するため
内部統制の文書化が重要なのは、経営者や監査人が内部統制の有効性を客観的に評価するためです。経営者は、有効な内部統制を構築し、その有効性を評価することに責任を負っています。文書化された内部統制は、この評価を行う上での基礎資料となり、経営者が内部統制の強化点や改善点を見極めるのに役立ちます。
客観的な判断は、内部統制が組織全体に浸透し、適切に機能しているかどうかを確認する上で不可欠です。
いつでも提示できるようにしておくため
文書化された内部統制のドキュメントは、外部監査人への報告資料として利用されます。これにより、企業は監査人に対して自社で行った内部統制の評価のやり方を示すことが可能です。
特に、金融商品取引法や会社法などの規制下で事業を行う企業にとっては、文書化された内部統制の記録が重要な証拠となります。これらの文書は、法令違反や不正行為が発生した場合の調査や是正措置の基礎となり、組織が適切にリスクを管理し、運用していることを証明する重要な資料となります。
上記の通り、内部統制の文書化は、自社が内部統制を評価するためにも、そして外部の監査人が内部統制評価を監査するにあたっても必要です。
内部統制の監査については、次の記事を参考にしてください。
内部統制と内部監査の違いは?両者の実施目的や内容・流れを解説
内部統制に関する文書の作成や保存は義務?

内部統制に関する文書の作成や保存に関して、財務報告に係る内部統制の評価及び監査の基準では、以下のように記載されています。
経営者は、財務報告に係る内部統制の有効性の評価手続及びその評価結果、並びに発見した不備及びその是正措置に関して、記録し保存しなければならない。
① 内部統制の記録
内部統制に係る記録の範囲、形式及び方法は一律に規定できないが、例えば、以下のような事項を記録し保存することが考えられる。
イ.財務報告に係る内部統制の整備及び運用の方針及び手続
ロ.全社的な内部統制の評価にあたって、経営者が採用する評価項目ごとの整備及び運用の状況
ハ.重要な勘定科目や開示項目に関連する業務プロセスの概要(各業務プロセスにおけるシステムに関する流れやITに関する業務処理統制の概要、使用されているシステムの一覧などを含む。)
ニ.各業務プロセスにおいて重要な虚偽記載が発生するリスクとそれを低減する内部統制の内容(実在性、網羅性、権利と義務の帰属、評価の妥当性、期間配分の適切性、表示の妥当性との関係を含む。また、ITを利用した内部統制の内容を含む。)
ホ.上記二.に係る内部統制の整備及び運用の状況
ヘ.財務報告に係る内部統制の有効性の評価手続及びその評価結果並びに発見した不備及びその是正措置
▪ 評価計画に関する記録
▪ 評価範囲の決定に関する記録(評価の範囲に関する決定方法及び根拠等を含む。)
▪ 実施した内部統制の評価の手順及び評価結果、是正措置等に係る記録
なお、記録の形式、方法等については、一律に規定されるものではなく、企業の作成・使用している記録等を適宜、利用し、必要に応じそれに補足を行っていくことで足りることに留意する。
特に、事業規模が小規模で、比較的簡素な構造を有している組織等においては、様々な記録の形式・方法をとりうる。例えば、当該会社の経営者からの社内への通達等、当該会社の作成している経営者から組織の内外の者に対する質問書、各業務の業務内容を前任者から後任者に伝達するための文書等、販売担当者が受注の際に作成した文書等、ソフトウェアのマニュアル、伝票や領収書などの原資料、受注入力後販売管理システムから出力される出荷指図書などの業務指示書等を適宜、利用し、必要に応じてそれに補足を行っていくことで足りることに留意する。
上記の通り、内部統制の評価に関して、必ずしも文書化は求められていません。しかし、上記の要求事項を記録し保存するためには、基本的に文書での管理が効率的です。
文書以外では、例えば、評価スケジュールはタイムラインの図として、評価範囲の決定根拠はExcelの数式として記録することも考えられます。
また、内部統制の整備状況や運用状況の評価において、原資料のコピーをチェックした場合、そのチェックマークを原資料のコピーに記載することで、記録として保存することもあります。
以上のように、必ずしも全てを文書にして残す必要はありませんが、客観的な第三者に対してどのように内部統制を評価したかを説明できるレベルでの記録と保存が求められます。
内部統制における文書が重要となる具体的な場面

内部統制に関する文書が特に重要となる場面には、内部監査の実施、及び内部統制監査の実施などがあります。以下では、内部統制における文書が重要となる具体的な場面を具体的に解説していきます。
内部監査で利用するケース
内部監査の過程では、内部統制に関する文書が中核的な役割を果たします。内部監査人は、文書化されたポリシー、手順、業務記述書などを基に、組織の内部統制の有効性を評価します。文書は、監査活動の計画段階でも、重要な情報源となり、特定のリスク領域やコントロールの弱点を特定するのに役立ちます。
また、内部監査人は、文書化された内部統制の運用状況を評価し、不備の判定をするためにこれらの文書を使用します。監査結果の報告や是正措置の提案においても、文書化された証拠は重要な根拠となるでしょう。内部統制に関する文書は、組織のコンプライアンス状況を客観的に示し、改善のための行動計画を策定する基礎となります。
内部統制監査で利用するケース
監査人は、内部統制に関する文書をもとに、実際の業務プロセスがどのように実施されているかを把握します。内部統制に関する文書は、監査人が組織のリスク管理とコントロールの枠組みを全体的に理解し、適切な評価を行うための基盤を提供します。これらは内部統制監査で不可欠な要素です。
内部監査…組織内部で行う監査。業務効率向上や、業務上の不正防止等のため。
内部統制監査…会計士・監査法人が行う監査。自社の内部統制が機能してるか評価するため。
内部統制における基本となる文書 〜内部統制の3点セット〜

「内部統制の3点セット」は、内部統制(特に業務プロセス)を体系的に評価する上で不可欠なものです。内部統制の3点セットには、業務記述書、フローチャート、そしてリスクコントロールマトリクスが含まれます。これらの文書は、企業の内部統制の有効性を評価するために、役立つものです。それぞれの文書は、企業の業務プロセスやリスク管理を可視化させ、内部統制の理解と評価に寄与します。
業務記述書
業務記述書は、企業の各業務プロセスにおける流れを詳細に記述した文書です。これには、特定の業務が開始される背景から、どのように実施され、最終的にどのように終了するかが記載されます。業務記述書は、各ステップでの責任者、実施されるタスク、必要な文書やシステム、さらにその業務に関連するコントロールの情報も含みます。
フローチャート
フローチャートは、業務プロセスの各段階を視覚的に表現した文書です。これは、業務記述書と連携して、業務プロセスの流れを直感的に理解するために役立ちます。フローチャートにより、業務プロセスの各ステップ、意思決定のポイント、関連する部門や個人、及び必要な文書やシステムが明確に示されるでしょう。
リスクコントロールマトリクス
リスクコントロールマトリクスは、想定されうるリスクと、それらに対応するコントロール(内部統制)を一覧で文書化したものです。このリスクコントロールマトリクスは、業務プロセスに潜む財務報告を誤るリスクを特定し、それらのリスクに対応するためのコントロールを明確にします。さらに、リスクの発生頻度や影響度を評価し、それぞれのリスクに対するコントロールの有効性を判断するために使います。
リスクコントロールマトリクスは評価だけでなく、組織のリスク管理プロセスの強化にも役立つものです。この文書は、リスクの洗い出し、未対応のリスクへの対策を支援します。
以上のような内部統制の3点セットは、企業がリスクを効果的に管理し、内部統制を評価するのに重要な役割を果たします。
内部統制の3点セットについては、以下の記事で詳しく解説していますので参考にしてください。
J-SOXで使用する内部統制の3点セットとは?語句解説から作成方法まで公開!
内部統制の文書化の手順

内部統制の文書化は、企業の内部統制の整備・運用状況を評価するための重要なステップです。文書化のプロセスは、業務記述書とフローチャートの作成、リスクとコントロールの設定、そしてリスクコントロールマトリクスの作成という3つの主要な段階に分けられます。各段階は、企業の内部統制の客観的な評価に不可欠です。
業務記述書とフローチャートのドラフト作成
内部統制文書化の第一段階として、業務記述書とフローチャートのドラフトを作成します。業務記述書は、企業の各業務プロセスの詳細を文書化し、業務の開始から終了までの各ステップ、関連する責任者、必要な文書やシステム、及びその業務に関連するコントロールを明記します。これは、企業内の業務の理解を深めるために不可欠です。
フローチャートは、業務プロセスの流れを視覚的に表現し、プロセスの各ステージでの意思決定のポイントや関連する部署を明確に示します。フローチャートの作成は、業務プロセスをより簡潔かつ直感的に理解するのに役立ちます。ドラフト作成段階では、プロセスの流れを可能な限り正確に記載し、関連部門からのフィードバックを取り入れて、ドキュメントを洗練させることが重要です。
リスクコントロールマトリクスを作成
内部統制の対象となる業務プロセスを、業務記述書とフローチャートを活用して可視化し、次に業務プロセスからどのようなリスクが発生する可能性があるかを特定します。特定された各プロセスにおけるリスクを特定し、さらに、それらに対する適切なコントロールを設定します。
リスクの特定には、過去の事例、業界のベストプラクティス、内部監査人の意見などを参考にするのがよいでしょう。重要なことは、リスクの発生確率と影響を考慮し、それに対応する適切な予防的コントロールと発見的コントロールを設計することです。
このプロセスでは、リスクの監視と管理のための具体的な手順や責任者を明確にすることが重要です。
また、設定されたコントロールが実効性を持ち、実際に業務プロセス内で機能するかどうかを評価し、必要に応じて調整を行います。
内部統制における文書管理方法
内部統制評価の効果的な実施には、文書管理が重要です。適切な文書管理システムを構築することで、企業は効率的かつ効果的に内部統制を評価できます。文書管理には、文書のファイリング、及び文書管理システムの導入などが挙げられます。
文書を区分ごとにファイリングする
文書の区分ごとのファイリングは、文書管理の効率化と秩序を保つために重要です。文書は種類別、部門別、プロジェクト別など、論理的なカテゴリに分類し、体系的に整理します。これにより、必要な文書を迅速に特定し、アクセスが容易になります。
文書のファイリングシステムは、利用者が直感的に文書を検索できるように設計されるべきです。また、文書のバージョン管理や変更履歴の追跡も重要な要素です。文書が更新された場合、古いバージョンとの差異が明確になるようにし、誤った情報に基づいて意思決定が行われないようにすることが重要です。
文書管理システムを取り入れる
現代の企業環境においては、効率的な文書管理のために専門の文書管理システムの導入が推奨されています。文書管理システムは、デジタル化された文書の保存、検索、共有を容易にするものです。これにより、物理的なファイリングスペースの削減、文書への迅速なアクセス、リモートアクセスの提供といったさまざまな利点が得られるでしょう。
文書管理システムには、以下のような機能が備わっているものがよいでしょう。
・セキュリティ機能(アクセスコントロールなども含む)
・バックアップ機能
これにより、文書のセキュリティが保たれ、災害やシステム障害時のデータ損失リスクが軽減されます。
文書管理の運用方法は、内部統制を客観的に評価するだけでなく、組織の効率性と透明性の向上にも寄与します。適切に実施された文書管理は、内部統制の信頼性を高め、監査や法規制への対応を効果的にサポートします。
内部統制の文書化のポイント

内部統制における文書化は、企業が適切な内部統制を実施していることを示す証拠として機能し、監査の際に重要な役割を果たすものです。内部統制における文書化において留意すべきポイントは以下の通りです。
1、明確さと正確さ
文書化された内部統制は、明確かつ詳細に記述されるべきです。これには、どこで、誰が、いつ、どのように、何をするのか、なぜ実施するのか、の詳細が含まれます。明確さと正確さは、内部統制を正しく理解及び評価するために不可欠です。
2、アクセスと更新の容易さ
内部統制に関する文書は、関連する内部統制評価担当者や監査人にとってアクセスしやすく、必要に応じて簡単に更新できる形式であることが望ましいです。
3、整合性と一貫性
文書化は、文書同士及び文書内で整合性と一貫性を保つことを目指すべきです。これにより、企業全体で統一された文書が出来上がり、どこにどのような情報が記載されているかがわかりやすくなります。
4、継続的な見直しと改善
内部統制の文書化は一度限りの作業ではありません。企業の業務プロセスやシステムの変化に応じて、文書は定期的に見直され、必要に応じて更新されるべきです。これにより、内部統制システムが現状に適合し、効果的に機能するでしょう。
内部統制における文書化は、評価や監査の基盤を提供します。これらのポイントに留意し、効果的に文書化することで、企業は適切な内部統制の評価を実施できます。
まとめ

本記事を通じて、内部統制の文書化が持つ重要性と、業務記述書、フローチャート、リスクコントロールマトリクスの「3点セット」がなぜ不可欠なのかを説明しました。経営者や監査人が内部統制の有効性を評価する際に、これらの文書は不可欠な資料です。したがって、内部統制の文書化は単なる形式的な作業ではなく、実質的にも必要なものであると理解すべきでしょう。
Co-WARCについて
Co-WARCでは、内部統制構築、J-SOXの立ち上げ支援を含め、コーポレート課題全般の支援を行っています。
何からすれば良いかわからないから相談したい、具体的な支援内容を知りたいなど、どんなお悩みでもお気軽にご相談ください。
コーポレート課題を解決するプロが最適な解決策をご提案します。



関連記事
-
2024.10.23内部統制と業務マニュアルの関係とは?作成のポイントも解説
-
2024.10.10IPO準備に必要なこととは?スケジュールや期間別にやることを紹介
-
2024.10.08PLCとは|業務プロセスに係る内部統制の概要と評価の手順を解説
-
2024.10.02IPOを目指す企業が準備すべき内部統制関連の業務について解説!
-
2024.09.25内部統制整備のポイントやメリットは?整備状況の評価についても解説
-
2024.09.18金融商品取引法における内部統制報告制度とは?会社法との違いから提出期限・記載事項まで解説!
-
2024.08.09内部統制評価で必要なサンプル数はどれくらい?一覧表を使って解説!
-
2024.07.22全社的な内部統制(ELC)とは?評価方法・CLC/PLCとの違いを解説
-
2024.07.09購買プロセスの内部統制のポイントは?購買業務の不正リスクも解説