COLUMN

コラム

【内部監査担当者向け】J-SOXの3点セットとは?〜作成目的や手順をサンプルを交えて解説〜

執筆者:茅原淳一(Junichi Kayahara)

監査法人から選ばれるために
IPOを目指すために知っておきたいポイント

今すぐダウンロード

上場を行う企業は内部統制報告制度(J-SOX)への対応が義務付けられています。

一般的に、対応を効率的に進める目的で、業務記述書・フローチャート・リスクコントロールマトリックス(RCM)というJ-SOXの3点セットと呼ばれる書類が作成されます。

そこで本記事では、J-SOXの3点セットについて、作成例を交えて作成の手順やポイントについて詳しく解説します。

内部統制報告制度(J-SOX)とは?

J-SOXとは「内部統制報告制度」のことをいいます。金融商品取引法に基づいて、上場企業は内部統制報告制度に対応をする必要があります。

金融庁によると、内部統制とは、基本的に業務の有効性・効率性、財務報告の信用性、事業活動
に関わる法令等の遵守並びに資産の保全の4つの目的が達成されていることの合理的な保証を得るために、業務に組み込まれ、組織内の全ての者によって遂行されるプロセスのことと定められています。

簡単に要約すると、内部統制とは企業が不正を行うことなく、業務が適正に行われていくための社内体制のことです。

内部統制については以下の記事もご参照ください。
内部統制とは?会社法・金融商品取引法での定義や方針を徹底解説!
IPOに内部統制が必要な理由とは?構築する目的・要素も解説!

内部統制の評価の進め方

内部統制の構築および運用は次の2つに分類されます。
・全社的な内部統制
・業務プロセスに係る内部統制

全社的な内部統制

金融庁が公開している「財務報告に係る内部統制の評価及び監査に関する実施基準」によると、全社的な内部統制は次のように記述されています。

全社的な内部統制は企業全体に広く影響を及ぼし、企業全体を対象とする内部統制であり、基本的には企業集団全体を対象とする内部統制を意味する。

全社的な内部統制を具体的に説明すると、企業全体の行動規範や業務分掌規定といった社内規定の制定や取締役会など経営陣のための会議の整備などが挙げられます。自社の内部統制の達成度合いを把握するためにチェックリストを作成することが多いです。企業の規模によっては、経営者自身がチェックリストによる評価が行われます。

業務プロセスに係る内部統制

業務プロセスに関する内部統制は、以下の、3つに分類されます。
・決算・財務報告にかかる業務プロセス
・売上・売掛金・棚卸資産などの固有の業務プロセス
・その他の業務プロセス

決算・財務報告にかかる業務プロセスは、合計残高資産表の作成や有価証券報告書の作成に関わる一連の過程のことをいいます。全社的な観点で評価を行うことが適切であるため、全社的な内部統制と同じくチェックリストを作成して評価を行います。

売上・売掛金・棚卸資産などの固有の業務プロセスは業務記述書、フローチャート、リスクコントロールマトリクス(RCM)のいわゆる3点セットを作成することで、業務を可視化することで評価を行います。

その他の業務プロセスは、事業目的に大きく関わる勘定科目と個別に評価対象に追加するべき重要なプロセスで穂床範囲の選び方が異なります。

次に内部統制報告制度(J-SOX)の3点セットについて解説を行っていきます。

内部統制報告制度(J-SOX)の3点セットとは?

内部統制報告制度(J-SOX)の対象となる企業は、一般的に「業務記述書」、「フローチャート」、「リスクコントロールマトリックス(RCM)」という書類を作成します。これらの書類はJ-SOX 3点セットと呼ばれています。

J-SOX 3点セットの作成は義務ではありませんが、J-SOX 3点セットを作成することで内部統制報告制度(J-SOX)への対応を効率よく進めることができるようになります。

J-SOX 3点セットの各書類の概要と作成する目的について以下で解説をします。

業務記述書

業務記述書は、企業の財務報告に関わる業務内容や手順を記述した書類になります。業務記述書を作成する目的は、業務の有効性を判断するための業務標準を明確にすることで、企業の内部統制評価の判断基準を明確にすることです。

業務記述書に記載する際は、業務取引が開始されてから会計記録が行われ、報告に至るまでの一連の流れがわかるように記述を行わなければなりません。その際、担当者や責任者などの体制図、業務方針、セキュリティに関する注意点やマニュアル、帳票名称などの詳細な情報も漏らすことなく記載をしなければなりません。

フローチャート

フローチャートは、業務のプロセスをフローチャートの形式で表すことで業務の流れや会計処理の過程とそこに関わるシステムおよびデータの流れが視覚的にわかりやすくしたものです。

フローチャートを作成する目的は、業務が要求元から情報システムへ反映されるまでの流れを社内全体で把握することです。取引と会計処理の流れを整理し、可視化することによって内部統制上のリスクを識別することが可能になります。

リスクコントロールマトリックス(RCM)

リスクコントロールマトリックスは、業務を行っていく上で想定されるリスクと、それぞれのリスクに対する統制活動(コントロール)の関係を対応付けて記述した表形式の書類になります。

リスクコントロールマトリックスを作成する目的は、業務上想定されるリスクとコントロールの関係性を明確にし、内部統制の実施状況を把握することです。

それぞれの業務内容についてリスクを判別し、評価する内部統制の過程によって、社内に顕在化するリスクをどのようにして抑えているのかを記述します。

J-SOXの3点セットの金融庁サンプル

J-SOXの3点セットの金融庁サンプルを紹介し、それぞれの書類の記入の例を紹介していきます。

業務記述書の記述例

金融庁が公開している業務記述書の参考例を紹介します。

金融庁「財務報告に係る内部統制の評価及び監査の基準並びに財務報告に係る内部統制の評価及び監査に関する実施基準の改訂について(意見書)」より「業務記述書(例)」を抜粋

上の例では、事業Aに係る卸売販売の一連のプロセスが工程ごとに文章で詳細に記載されています。

このように、業務記述書を作成することによって、必要な業務や業務ごとの作業工程を文章によって把握することができるようになります。そして、作業行程を理解することができるようになり、企業の内部統制評価の判断基準を明確にするという目的を達成することが可能になります。

フローチャートの記述例

金融庁が公開しているフローチャートの参考例を紹介します。

金融庁「財務報告に係る内部統制の評価及び監査の基準並びに財務報告に係る内部統制の評価及び監査に関する実施基準の改訂について(意見書)」より「業務の流れ図(例)」を抜粋

上の例では、事業Aに係る卸売販売プロセスに対して、受注や出荷、売上計上、請求のプロセスにおいていつ、どの部門がプロセスに関わるかをフローチャートを使うことで可視化しています。

このようにプロセスを可視化することで、業務の流れを部門を超えて社内全体で共有することができ、認識を共有した上で内部統制を進めることができるようになります。

リスクコントロールマトリックス(RCM)の記述例

リスクコントロールマトリックス(RCM)は誰が、何をするのかということではなく、業務上発生するリスクをどのようにコントロールしているかということを具体的に記載する必要があります。

金融庁が公開しているリスクコントロールマトリックスの参考例は以下の書類になります。

金融庁「財務報告に係る内部統制の評価及び監査の基準並びに財務報告に係る内部統制の評価及び監査に関する実施基準の改訂について(意見書)」より「リスクと統制の対応(例)」を抜粋

この例では、業務とそれに対するリスクの内容に加えて、統制の内容、要件、評価、評価内容が一列にまとめて記載されています。そのため、業務上のリスクとその統制の方法をこの書類をみることによって確認することが可能になっています。

リスクとコントロールをまとめて確認できるようにすることで、適切な評価が可能となり、業務上想定されるリスクとコントロールの関係性を明確にし、内部統制の実施状況を把握するという目的を達成することができます。

J-SOXの3点セットを作成する3ステップ

J-SOXの3点セットの作成手順については特に定められてはいませんが、ここでは一般的な作成手順について解説をしていきます。

作成時の手順についてまとめると以下の通りです。

1. 業務プロセス評価範囲を検討する
2. 業務記述書・フローチャートを作成する
3. リスクコントロールマトリクス(RCM)を作成する

1. 業務プロセスの評価範囲を検討する

J-SOXの3点セットを作成するにあたって、まずは業務プロセスの評価範囲の検討を行います。

業務プロセスの評価範囲を(1)重要性のない事業拠点の除外、(2)重要な事業拠点の選定、(3)重要な勘定科目による選定、(4)個別評価科目の追加選定の4つのステップで絞っていきます。

(1)業務プロセスの評価範囲は、本来全ての事業拠点が対象となりますが、企業にとってその業務が重要であるかという観点から、グループ連結売上高で全体の95%に入らない5%の事業拠点を評価範囲から除くことができます。

(2)対象となる拠点が決まったら次にその拠点の中で重要な事業拠点の選定を行います。グループ連結売上高で全体の2/3に達する拠点が重要な事業拠点として選定されます。

(3)重要な事業拠点において、重要な勘定科目に係る業務プロセスを評価対象として定めます。重要な勘定科目より、業務プロセス統制の評価範囲が決まります。

(4)最後にリスクが高い、予測・見積り、非定型取引等、個別に評価すべき科目を選定します。個別評価科目に係る業務プロセスを評価対象にするものになります。この個別に追加すべき勘定科目によって、個別プロセスの対象が定まります。

2. 業務記述書・フローチャートを作成する

業務プロセスの評価範囲の検討が終わったら、具体的にJ-SOXの3点セットの作成に取り掛かります。

3点セットの作成に当たって、業務を実際に行っている担当者へのヒアリングを行いましょう。そして、ヒアリングを元に把握した現状の業務フローを元に、業務記述書とフローチャートを完成させます。

ヒアリングを行う際には以下のようなポイントに注意しましょう。

・事前に関連する社内規程および業務マニュアルなどの資料を準備
・業務の順番に沿って担当者にヒアリング
・事前に業務のおおまかな流れとポイントを把握
・ヒアリングして作図をするというサイクルを続け、最終的に業務の流れを業務記述書とフローチャートに再現

また業務記述書とフローチャートの作成時には以下のようなポイントに注意する必要があります。
・5W1H(いつ、どこで、誰が、何を、なぜ、どのように)を明確化
・業務に関して実務担当者と権限者は明確に記載
・それぞれの書類間での齟齬、
・確認した書類や証憑の名称を正確に記述
・書類をシステムから出力した旨の記述
・システムによる内部統制やチェック機能である場合、その旨を記述

3. リスクコントロールマトリクス(RCM)を作成する

ここまで作成してきた業務記述書とフローチャートを分析して、財務報告の信頼性を損なうリスクが起こりうるポイントを検討して、顕在化するリスクを抽出し、そのリスクを防止・発見・是正するコントロールを作成します。

リスクコントロールマトリクス(RCM)の作成の流れは次のようになります。

(1)リスクが起こりうるポイントの検討
(2)顕在化するリスクの検討
(3)検討・抽出したリスクをリスクコントロールマトリクス(RCM)へ記入
(4)コントロールの確認
(5)リスクに対応したコントロール内容をリスクコントロールマトリクス(RCM)へ記入
(6)コントロール内容の説明文の作成

J-SOXの3点セット作成のポイント

人員規模に応じて「集中型」「分散型」のどちらかを選択

J-SOXの3点セットは、財務報告に係る業務内容について作成するので、部署間で連携し、全社で一丸となって対応する必要があります。3点セットの作成する型として「集中型」と「分散型」といった2つのパターンがあります。

J-SOXの3点セット作成における「集中型」

J-SOXの3点セット作成における「集中型」とは、3点セット作成のためのプロジェクトチームを組むことで作成を進めていくものになります。集中型は、新たにプロジェクトチームを組む必要があるため、ある程度の規模の大きな企業もしくは事業範囲を絞り狭い範囲で展開している企業に適した方法になります。

集中型には、3点セット作成を素早く行うことができるというメリットがある一方で、プロジェクトチームの担当者が中心となり作成を行うため、それぞれの部門と認識の齟齬が発生してしまう可能性があるというデメリットがあります。そのため、各業務を余すところなく理解できるように、プロジェクトチームの編成を工夫することが大切になります。

J-SOXの3点セット作成における「分散型」

J-SOXの3点セット作成における「分散型」とは、各部署ごとに3点セット作成を進めていくものになります。分散型は、事業内容が幅広い企業に適した方法です。

分散型には、各部署ごとに担当者が記載を行うため認識の齟齬が生まれにくいというメリットがあります。一方で、部署ごとに書類の様式がバラバラであったり、進捗管理が難しいなどのデメリットがあります。そのため、分散型で進める場合は中心メンバーを数人立てるなどして、部門ごとに円滑に進捗が管理できるような社内の環境づくりをしていくことが重要です。

共通のプロセスはできる限り統合

共通のプロセスはできる限り統合するようにしましょう。

業務の見直しを行っていると、別業務として扱われている業務でも、共通のプロセスをたどっているものもあります。そのため、同じような業務プロセスは統合し、評価対象となる業務とその工数を削減します。プロセスごとに評価をする過程もなくなり、担当者のJ-SOXの3点セット作成における負担が軽減され、さらに現場の業務も効率化されるという効果が得られます。

まとめ

いかがだったでしょうか。

本記事では、内部統制報告制度(J-SOX)の3点セットの内容・目的や作成例、作成時のポイントについて詳しく解説を行ってきました。

本記事が上場を目指しているスタートアップ・ベンチャー企業の経営者の方の参考になれば幸いです。最後までお読みいただきありがとうございます。

       
IPOを目指すために
知っておきたいポイント
  1. IPOまでのロードマップ
  2. N-3期の想定課題と解決策
  3. N-2~N-1期の想定課題と解決策
  4. 陥りがちな内部統制構築における課題
  5. 業務フロー構築
  6. 稟議制度とワークフロー
  7. 社内規程の構築
  8. コンプライアンスチェック
  9. 制度導入にお困りの場合
    ―SOICOのサービス紹介
    ―主な導入実績とお問い合わせ
  10. お問い合わせ方法

フォームに必要事項をご記入いただくと、
無料で資料ダウンロードが可能です。

この記事を書いた人

慶應義塾大学卒業後、新日本有限責任監査法人にて監査業務に従事。 その後クレディスイス証券株式会社を経て2012年KLab株式会社入社。 KLabでは海外子会社の取締役等を歴任。2016年上場会社として初の信託を活用したストックオプションプランを実施。 2015年医療系ベンチャーの取締役財務責任者に就任。 2018年よりSOICO株式会社の代表取締役CEOに就任。公認会計士。