内部統制3点セットとは？概要・目的・作成手順と効率化ツール

内部統制報告制度（J-SOX）で重要な役割を果たす「内部統制3点セット」。本記事では、3点セットの概要から、作成目的、具体的な作成手順、作成時のポイント、効率化に役立つツールまで詳しく解説します。

内部統制3点セットとは？

内部統制3点セットとは、企業が財務報告の信頼性を確保し、業務の有効性・効率性、法令遵守を達成するために整備・運用する内部統制を評価する上で重要な3つの文書群を指します。具体的には、業務記述書、フローチャート、リスクコントロールマトリックス（RCM）で構成されます。 これらの文書は、企業の内部統制がどのように設計され、運用されているかを明確に示すものであり、経営者や監査役、内部監査人などが内部統制の状況を把握し、評価するために不可欠な情報源となります。内部統制は、組織の規模や業種、事業内容に応じて適切に設計・運用される必要があり、3点セットは、その過程を文書化し、可視化するためのツールとして機能します。 内部統制3点セットは、J-SOX法（金融商品取引法）における財務報告に係る内部統制の評価においても重要な役割を果たします。企業は、自社の内部統制が有効に機能していることを証明するために、3点セットを作成し、評価結果を報告する必要があります。適切な3点セットの作成は、企業の信頼性を高め、投資家やステークホルダーからの信頼を得る上で非常に重要です。

3点セットの構成要素

内部統制3点セットは、業務記述書、フローチャート、リスクコントロールマトリックス（RCM）の3つの要素で構成されています。 業務記述書は、業務の手順や流れを文章で詳細に記述したものです。誰が、何を、どのように行うのかを明確にすることで、業務の標準化と効率化を促進します。また、業務の担当者が変更になった際にも、スムーズな引継ぎを可能にする役割も担います。 フローチャートは、業務の流れを図で表現したものです。業務記述書を視覚的に表現することで、業務全体の流れや各工程におけるリスクポイントを把握しやすくします。フローチャートは、業務の改善や効率化のための議論のベースとしても活用されます。 リスクコントロールマトリックス（RCM）は、業務プロセスにおけるリスクと、それに対応するコントロール（統制活動）を一覧表にしたものです。リスクが顕在化した場合の影響と発生頻度を評価し、適切なコントロールが実施されているかを検証します。RCMは、内部統制の有効性を評価するための重要なツールとなります。

各文書の役割と目的

業務記述書は、業務プロセスを詳細に記述し、業務内容の理解を深める役割を担います。誰が、いつ、どのような手順で業務を行うのかを明確にすることで、業務の標準化、属人化の排除、ミスの削減に貢献します。また、新規担当者への教育資料としても活用でき、早期の戦力化を支援します。 フローチャートは、業務プロセスを視覚的に表現し、プロセスの全体像とリスクポイントを把握しやすくします。業務の流れを可視化することで、ボトルネックの発見や改善点の洗い出しが容易になり、業務効率の向上に繋がります。また、関係者間での共通認識の醸成にも役立ちます。 リスクコントロールマトリックス（RCM）は、業務プロセスにおけるリスクとコントロールを明確にし、内部統制の有効性を評価する役割を担います。リスクが顕在化した場合の影響と発生頻度を評価し、それに見合ったコントロールが適切に実施されているかを検証することで、リスク管理体制の強化に繋がります。RCMは、内部監査や外部監査における評価の基礎資料としても活用されます。

3点セット作成の必要性

内部統制3点セットを作成することは、企業が内部統制を適切に整備・運用し、その有効性を評価するために不可欠です。3点セットは、内部統制の状況を可視化し、関係者間の情報共有を促進することで、内部統制の改善活動を支援します。 また、内部統制3点セットは、J-SOX法（金融商品取引法）における財務報告に係る内部統制の評価においても重要な役割を果たします。企業は、自社の内部統制が有効に機能していることを証明するために、3点セットを作成し、評価結果を報告する必要があります。 さらに、内部統制3点セットは、企業のガバナンス強化にも貢献します。経営者は、3点セットを通じて内部統制の状況を把握し、必要な改善策を講じることで、企業の健全な成長を促進することができます。投資家やステークホルダーからの信頼を得るためにも、適切な内部統制の整備・運用と、その証拠となる3点セットの作成は非常に重要です。

内部統制3点セットの作成手順

内部統制3点セットを作成する際には、以下の手順で進めることが一般的です。まず、評価範囲を決定し、どの業務プロセスを対象とするかを明確にします。次に、対象となる業務プロセスを可視化するために、業務記述書とフローチャートを作成します。そして、業務プロセスにおけるリスクを洗い出し、それに対応するコントロールを特定します。最後に、リスクコントロールマトリックス（RCM）を作成し、コントロールの有効性を評価します。これらの手順を丁寧に進めることで、内部統制の状況を正確に把握し、改善に繋げることができます。 また、3点セットの作成は一度きりではなく、定期的に見直しを行うことが重要です。業務プロセスやリスクは常に変化するため、3点セットもそれに応じて更新する必要があります。定期的な見直しを行うことで、内部統制の有効性を維持し、変化に対応できる体制を構築することができます。

1. 評価範囲の決定

内部統制3点セットを作成する最初のステップは、評価範囲の決定です。これは、どの業務プロセスを内部統制の評価対象とするかを明確にする作業です。評価範囲は、企業の規模、業種、事業内容、リスクなどを考慮して決定する必要があります。通常、財務報告に重要な影響を与える可能性のある業務プロセスが評価範囲に含まれます。 例えば、売上計上プロセス、仕入・支払プロセス、在庫管理プロセス、固定資産管理プロセスなどが挙げられます。評価範囲を決定する際には、経営者や関連部署と連携し、十分な検討を行うことが重要です。評価範囲が不明確な場合、3点セットの作成作業が無駄になったり、重要なリスクが見過ごされたりする可能性があります。

2. 業務プロセスの可視化

評価範囲が決定したら、次に業務プロセスの可視化を行います。これは、業務記述書とフローチャートを作成するプロセスです。業務記述書は、業務の手順や流れを文章で詳細に記述したものであり、誰が、何を、どのように行うのかを明確にします。フローチャートは、業務の流れを図で表現したものであり、業務全体の流れや各工程におけるリスクポイントを把握しやすくします。 業務記述書とフローチャートを作成する際には、現場担当者へのヒアリングを行い、実際の業務の流れを正確に把握することが重要です。また、関係部署との連携も不可欠です。複数の部署が関わる業務プロセスの場合、各部署の役割と責任を明確にする必要があります。

3. リスクとコントロールの洗い出し

業務プロセスの可視化が完了したら、次にリスクとコントロールの洗い出しを行います。リスクとは、業務プロセスにおいて目標達成を阻害する可能性のある事象を指します。コントロールとは、リスクを軽減または防止するために実施される活動を指します。 リスクを洗い出す際には、業務プロセスを詳細に分析し、どのようなリスクが存在するかを検討します。例えば、誤謬、不正、情報漏洩、法令違反などが挙げられます。コントロールを洗い出す際には、各リスクに対応するためにどのようなコントロールが実施されているかを検討します。例えば、承認、牽制、証拠書類の保管、システムによる自動チェックなどが挙げられます。 リスクとコントロールの洗い出しは、内部統制の有効性を評価する上で非常に重要なプロセスです。リスクとコントロールが適切に洗い出されていない場合、内部統制の欠陥が見過ごされ、重大な問題が発生する可能性があります。

4. RCMの作成と評価

リスクとコントロールの洗い出しが完了したら、最後にリスクコントロールマトリックス（RCM）を作成し、コントロールの有効性を評価します。RCMは、リスク、コントロール、リスクの評価、コントロールの評価などを一覧表にしたものです。RCMを作成することで、リスクとコントロールの関係を明確にし、コントロールが適切に機能しているかを評価することができます。 コントロールの評価は、コントロールが設計どおりに機能しているか、実際に運用されているか、有効にリスクを軽減しているかなどを検証することで行います。評価の結果、コントロールが不十分である場合は、改善策を検討し、実施する必要があります。RCMは、内部統制の有効性を継続的に評価し、改善していくための重要なツールとなります。

内部統制3点セット作成のポイント

内部統制3点セットを作成する際には、いくつかの重要なポイントがあります。まず、現場担当者を巻き込み、彼らの知識や経験を最大限に活用することです。現場担当者は、業務プロセスを最も良く理解しており、リスクやコントロールに関する貴重な情報を提供してくれます。次に、5W1H（誰が、いつ、どこで、何を、なぜ、どのように）を明確に記述することです。これにより、業務プロセスが明確になり、リスクやコントロールを特定しやすくなります。そして、リスクとコントロールの関連性を明確にすることです。どのリスクに対して、どのコントロールが有効であるかを明確にすることで、内部統制の有効性を評価しやすくなります。 これらのポイントを踏まえることで、より効果的な内部統制3点セットを作成することができます。また、3点セットの作成は、単なる文書作成作業ではなく、内部統制の改善活動の一環として捉えることが重要です。

現場担当者の巻き込み

内部統制3点セットを作成する上で、現場担当者を巻き込むことは非常に重要です。現場担当者は、日々の業務の中で実際に業務プロセスを経験しており、そのプロセスにおけるリスクやコントロールについて最も深い知識を持っています。彼らの意見や知見を収集し、3点セットに反映させることで、より実効性の高い内部統制を構築することができます。 現場担当者を巻き込む方法としては、ヒアリング、ワークショップ、アンケートなどが挙げられます。ヒアリングでは、業務プロセス、リスク、コントロールについて詳細な情報を収集します。ワークショップでは、関係者を集めて意見交換や議論を行い、共通認識を形成します。アンケートでは、広範囲の担当者から効率的に情報を収集します。 現場担当者の協力を得るためには、3点セット作成の目的や意義を十分に説明し、理解を得ることが重要です。また、彼らの意見が尊重され、3点セットに反映されることを保証することも大切です。

5W1Hの明確化

業務記述書を作成する際には、5W1H（Who, When, Where, What, Why,How）を明確に記述することが重要です。これにより、業務プロセスが明確になり、関係者間の認識のずれを防ぐことができます。

Who（誰が）:誰がその業務を担当するのかを明確にします。役職名や担当者名を具体的に記述します。

When（いつ）: いつその業務を行うのかを明確にします。頻度（毎日、毎週、毎月など）やタイミング（月末、期末など）を具体的に記述します。

Where（どこで）: どこでその業務を行うのかを明確にします。場所（部署名、システム名など）を具体的に記述します。

What（何を）: 何をするのかを明確にします。業務内容を具体的に記述します。

Why（なぜ）: なぜその業務を行うのかを明確にします。業務の目的や必要性を記述します。

How（どのように）: どのようにその業務を行うのかを明確にします。具体的な手順や方法を記述します。

5W1Hを明確にすることで、業務プロセスが明確になり、リスクやコントロールを特定しやすくなります。また、新規担当者への教育資料としても活用でき、早期の戦力化を支援します。

リスクとコントロールの関連性

リスクコントロールマトリックス（RCM）を作成する際には、リスクとコントロールの関連性を明確にすることが重要です。どのリスクに対して、どのコントロールが有効であるかを明確にすることで、内部統制の有効性を評価しやすくなります。 リスクとコントロールの関連性を記述する際には、コントロールがリスクをどのように軽減または防止するのかを具体的に説明します。例えば、「売上計上における誤謬のリスクに対して、請求書と出荷伝票の照合を行うことで、誤った金額での売上計上を防止する」といったように記述します。 リスクとコントロールの関連性を明確にすることで、コントロールが適切に設計され、運用されているかを評価することができます。また、コントロールが不十分である場合は、改善策を検討し、実施する必要があります。