内部統制報告制度（J-SOX）とは、企業の不正を防止し、財務報告の信頼性を確保するために導入された制度です。上場企業は対応が義務付けられています。

内部統制報告を実施する際は、業務の流れを可視化することが望ましいとされています。その際に、「業務記述書」「フローチャート」「リスクコントロールマトリックス（RCM）」の3点を作成するのが一般的です。

本記事では内部統制報告を行う際に作成が求められる3点セットについて解説します。

目次
内部統制報告制度（J-SOX）とは
内部統制報告制度（J-SOX）における3点セットとサンプル
内部統制3点セットの作成手順
内部統制を進める上でおすすめの資格
内部統制の3点セットは重要な役割を果たす

内部統制報告制度（J-SOX）とは、企業の不正防止や、財務報告の信頼性確保、内部統制が有効に機能しているかどうかを評価し、報告を行う制度です。

2000年代初頭の相次ぐ不祥事を受け2008年に導入された制度で、金融商品取引法によって、上場企業は内部統制報告の作成と監査を受けることが義務付けられています。

2023年には導入以来、初めてとなる大幅な改訂が行われました。改訂の大きなポイントは次の3つです。

• 内部統制の基本的枠組み
• 財務報告に係る内部統制の評価及び報告
• 財務報告に係る内部統制の監査

2024年4月1日以降に開始する事業年度から、改訂内容を踏まえた内部統制の評価・報告が求められます。

関連記事：アビタス CIA「J-SOX（内部統制報告制度）とは？2023年改訂内容を徹底解説」

内部統制報告制度（J-SOX）に対応する際に、次の3点を一緒に作成するのが一般的です。

• 業務記述書
• フローチャート
• リスクコントロールマトリックス（RCM）

この3点は、業務の流れや会計処理の過程を把握するためのもので、業務プロセスにおける財務報告リスクやリスクコントロールを明確にするために必要な文書です。

この3点セットの作成は義務ではありません。しかし、これらを作成することで、財務報告の信頼性を確保し、効率的に進めることが可能になります。

効果的に業務プロセスを評価するために、3点セットの作成が推奨されています。

業務記述書は、内部統制の対象となる業務内容を5W1Hで明文化した書類です。業務の目的や範囲、実施手順、担当者、時期などを具体的に記述することで、業務内容を把握できます。

金融庁によるサンプルはこちらです。

引用：金融庁「財務報告に係る内部統制の評価及び監査の基準」p92

このサンプルでは、卸売販売のプロセスが工程ごとに文書で記載されています。業務手順を可視化することで、業務担当者はもちろんそれ以外の人も、作業手順や業務に潜むリスクを容易に確認できます。

業務記述書は、業務の可視化や標準化の促進、リスクの特定、コントロールの評価にも活用できるため、内部統制の整備や運用において欠かせない文書といえるでしょう。

フローチャートは業務記述書の内容をまとめて図式化したものです。「業務の流れ図」とも呼ばれています。業務プロセスを可視化するため、業務の流れ全体を把握できます。

また、フローチャートを分析することで、業務の問題点やリスクの特定が容易になります。そのため、内部統制の整備や運用状況を評価し、改善点を見いだすために有用です。

金融庁によるサンプルはこちらです。

引用：金融庁「財務報告に係る内部統制の評価及び監査の基準」p91

サンプルを見ても分かる通り、フローチャートは、一目見ただけで全体の流れを直感的に把握できるのが特徴です。フローチャートを作成する際は、業務記述書との整合性を確保しなければなりません。

ただし、業務記述書とフローチャートの内容は一部重複するため、場合によってはフローチャートに業務の詳細を付記し、業務記述書の作成を省略するケースもあります。

リスクコントロールマトリックス（RCM）は、業務上発生する可能性があるリスクとそのコントロール（内部統制手続）方法を一覧表にまとめたものです。

業務記述書やフローチャートを基に作成し、RCMを作成すると業務ごとに想定されるリスクとその対応策が一目で把握できます。

金融庁によるサンプルはこちらです。

引用：金融庁「財務報告に係る内部統制の評価及び監査の基準」p93

RCMは、内部統制の整備や運用状況を評価する際の基礎資料となる書類です。

RCMを使えば、リスクがどの程度軽減できるのかを容易に判断できます。

リスクとコントロールの網羅性や整合性を確認するためのツールとしても活用できます。

内部統制において3点セットの作成は義務ではありません。しかし、効果的に業務プロセスを評価するためには作成すべき書類です。

具体的には、次の手順で作成します。

1. 1.現状の業務プロセスの把握
2. 2.評価範囲の決定
3. 3.業務記述書・フローチャートの作成
4. 4.リスクコントロールマトリックス（RCM）の作成

詳しく見ていきましょう。

内部統制3点セットを作成するときは、まず、現状の業務プロセスを把握します。

具体的には、現場の状況を確認するために、関連する担当者にヒアリングを行います。あわせて、社内規程や業務マニュアルを詳細に分析することが大切です。

詳細な調査で、現場での業務を正確に把握します。ここで得た情報を基に、発生可能なリスクを洗い出し、発生可能性や影響度に応じて最適な内部統制の手続きを実施します。

業務プロセス内のリスクを適切に管理し、財務報告の信頼性を確保するには、リスクの特性に応じて、最も効果的かつ効率的なコントロールを設計し、実施することが重要です。

次に、内部統制の評価範囲を決定します。全ての業務プロセスを評価対象にするのが理想ですが、多くの場合予算や人材の制約があるため、優先順位の高いところを中心に実施することになります。

評価範囲の決定には、財務報告に与える影響の大きさや、過去における内部統制不備の有無なども考慮します。リスクの高い領域を優先的に評価することで、限られたリソースを有効に活用し、内部統制の実効性を高めることができるでしょう。

これまで、評価対象とする重要な事業拠点や業務プロセスを選定する指標として、「売上高等のおおむね3分の1」や「売上、売掛金及び棚卸資産の3勘定」という内容が例示されていました。

しかしながら、2023年4月の内部統制実施基準の改訂では、これらを「機械的に適用すべきでない」という記載が加えられています。この点は留意しておきましょう。

参照：企業会計審議会「財務報告に係る内部統制の評価及び監査の基準並びに財務報告に係る内部統制の評価及び監査に関する実施基準の改訂について（意見書）」

業務記述書の作成では、まず業務プロセスを細分化し、各ステップの目的と役割を明確にします。作成の際は、システムや帳票の正式名称を正確に記載することが重要です。

業務記述書は、実際に業務を行う担当者にヒアリングを実施して作成します。ヒアリングでは、業務の流れや注意点、課題などを詳しく聞き取りましょう。

次に、業務記述書を基に、業務の流れを視覚的に表現したフローチャートを作成します。フローチャートは、業務プロセスの全体像を一目で把握するためのツールです。

業務記述書とフローチャートは、互いに補完し合う関係にあります。両者を丁寧に作成することで、業務プロセスの可視化と潜在的なリスクの識別が可能になります。

業務記述書とフローチャートを分析し、リスクコントロールマトリックス（RCM）を作成します。2つの文書を詳細に検討し、業務プロセスに潜むリスクを洗い出しましょう。

洗い出したリスクを、RCMの「リスクの内容」欄に具体的に記述します。例えば、「不正取引の発生」「データの改ざん」「承認漏れ」などです。

次に、各リスクに対して適切なコントロールを設計します。コントロールは、リスクの発生防止や発生したリスクを早期に検知・是正するための手続きです。例えば、「取引の承認プロセスの導入」「システムへのアクセス制限」「定期的な監査の実施」などが挙げられます。

設計したコントロールの内容は、RCMの「統制の内容」欄に記載します。その際、コントロールの実施方法や頻度、担当者などを明確に示すことが重要です。

内部統制の業務を正確にこなすには、専門的な知識が必要です。内部統制を進める上で役立つ資格を3つ紹介します。

• IPO・内部統制実務士
• 上級内部統制実務士
• CIA（公認内部監査人）

それぞれの資格について詳しく見ていきましょう。

関連記事：アビタス CIA「内部統制に役立つ関連資格7選｜取得のメリットや得られる知識を解説」

IPO・内部統制実務士は、IPOと内部統制に関する幅広い知識と実務スキルを備えた人材を認定する資格です。

上場準備や内部統制の責任者を目指す人に最適で、資格認定されるとIPOプロセスや内部統制の構築・運用に必要な専門知識を持つことの証となります。

株式上場を目指す企業や、内部統制の強化を図る企業に対して、高い価値を持つ人材であることをアピールできます。

資格取得後、2年ごとに資格の更新が必要です。年3回程度の講習会を受講することで、常に最新の情報を習得できる点も強みといえるでしょう。

参照：一般社団法人日本経営調査士協会「IPO・内部統制実務士」

上級内部統制実務士は、「IPO・内部統制実務士」資格の上級資格にあたります。内部統制の構築・評価・改善に関する高度な知識とスキルを有する専門家であることを示す資格です。

経営者や監査役、内部監査部門、経理部門など内部統制に関わる人材を対象としています。資格取得には、内部統制の基本的な知識に加え、リスクマネジメントやITの活用、不正対策などのより専門的な知見が必要です。

実務内容を問われるため、実際に内部統制システムの構築・運用・評価等を行う人にとって、役立つ資格といえるでしょう。

参照：一般社団法人日本経営調査士協会「IPO・内部統制実務士」

CIA（公認内部監査人）とは、内部監査に関する活動を行っているIIAが認定する唯一の国際的な資格です。試験は日本語で受験できます。

CIAに合格するには、内部監査の理論や実務、関連法規、リスクマネジメント、ITの活用など幅広い知識を習得しなければなりません。取得すると内部監査の知識・スキルを有する専門家として認められます。

CIAは、内部監査部門のみならず、経営者や監査役、外部監査人からも信頼される資格です。国際的な認知度が高く、キャリアアップやスキルアップを目指す内部監査人にとって、取得すべき資格の1つといえるでしょう。

関連ページ：アビタス CIA「公認内部監査人（CIA）とは？取得するメリット、他資格比較」

まずは無料の説明会にご参加ください。

内部統制報告制度は、企業不正を防止し、財務報告の信頼性を高めるための制度です。

上場企業には内部統制が義務付けられており、内部統制報告の際には、「業務記述書」「フローチャート」「リスクコントロールマトリックス（RCM）」の3点セットを作成することが推奨されています。

3点セットにより、業務の流れを文書化し、潜在的なリスクを特定し、適切な統制活動を設計できます。業務プロセスを可視化し、リスクとその対策を一覧化することで、効率的な内部統制の構築と運用が可能になります。

これらの書類を作成・活用し、内部統制の実効性を高めましょう。

アビタスでは2005年にCIAプログラムを開講して以来、圧倒的な合格実績を挙げ続けています。合格率を上げるために、オリジナル教材と講師の質の良さにこだわっています。

講師は対法人向けの内部監査の実務研修も行っており、専門分野の知識だけでなく、ティーチングスキルにも優れているのが魅力です。

また通学・通信を併用できるコースや、スキマ時間で学習できるコンテンツなども揃えており、忙しい社会人でも効率よく学習できる環境が整っています。

CIAをはじめとする内部監査に関する資格取得を目指している方は、ぜひアビタスの利用を検討してみてください。

まずは無料の説明会にご参加ください。