2σ Guide

業務プロセス統制の文書化(3点セット)
企業法務・内部統制・監査の要点

業務の流れ図、業務記述書、RCMを、監査対応のための書類ではなく、リスク・統制・証跡・責任分界を説明できる経営管理インフラとして整理します。

3 中核文書
4 内部統制の目的
6 基本的要素
本ページは株式会社Dプロフェッションズ(医師/医療機関/弁護士/弁護士法人ではありません)が運営しています。
一般的な情報提供を目的としており医療上の助言や法律相談等を行うものではありません。
広告(PR)を掲載しています。広告は編集内容や推奨を意味しません。
Video

業務プロセス統制の文書化(3点セット) 企業法務・内部統制・監査の要点

業務の流れ図、業務記述書、RCMを、監査対応のための書類ではなく、リスク・統制・証跡・責任分界を説明できる経営管理インフラとして整理します。

動画を読み込み中…
2σ GUIDE ・ VIDEO
業務プロセス統制の文書化(3点セット) 企業法務・内部統
制・監査の要点
業務の流れ図、業務記述書、RCMを、監査対応のための書類ではなく、リスク・統制・証跡・責任分界を説明できる経営管理インフラとして整理します。
動画の文字起こし(全文テキスト)

2σ GUIDE ・ VIDEO

  • 業務プロセス統制の文書化(3点セット) 企業法務・内部統制・監査の要点
  • 業務の流れ図、業務記述書、RCMを、監査対応のための書類ではなく、リスク・統制・証跡・責任分界を説明できる経営管理インフラとして整理します。

POINT 1

  • 業務プロセス統制の文書化(3点セット)の全体像
  • 3点セットは、業務の実態と統制の根拠を説明できる状態にするための基礎資料です。
  • 3点セットは企業統治上の設計図です
  • 説明責任
  • 証拠構造

POINT 2

  • 業務プロセス統制の文書化(3点セット)で押さえる定義
  • 内部統制、業務プロセス統制、3点セットの関係を整理します。
  • 内部統制とは、企業が一定の目的を合理的に達成するため、業務に組み込む管理プロセスです。
  • なぜ重要かというと、3文書の役割を混同すると、手順説明だけでリスク分析が抜けたり、統制記述だけで証跡が抜けたりするためです。
  • 重要なのは、3点セットが単なる資料作成ではなく、実態把握から証跡設計までを接続する作業だという点です。

POINT 3

  • 業務プロセス統制の文書化(3点セット)と法令・基準
  • 1. 内部統制報告制度:財務報告の適正性を確保する体制について、経営者評価と内部統制報告書の提出が問題になります。
  • 2. 内部統制基準・実施基準の改訂意見書:ガバナンスおよび全組織的なリスク管理と一体で内部統制を整備・運用する考え方がより明確になりました。
  • 3. 改訂基準・改訂実施基準の適用:財務報告に係る内部統制の評価および監査から適用されるとされています。
  • 4. 監査実務指針の改正公表:財務報告内部統制監査基準報告書第1号の改正が公表されました。
  • 5. 改正監査実務指針の適用:連結会計年度および事業年度に係る内部統制監査から適用する旨が示されています。

POINT 4

  • 業務プロセス統制の文書化(3点セット)を構成する3文書
  • 業務の流れ図、業務記述書、RCMの記載要素と品質条件を整理します。
  • 業務の流れ図で見るべき要素
  • 業務記述書で補うべき項目
  • RCMでリスクと統制を結び付ける

POINT 5

  • 業務プロセス統制の文書化(3点セット)の作成手順
  • 1. 現場実態を確認:ヒアリングとウォークスルーの結果と一致しているかを見ます。
  • 2. リスクと統制を対応:重要リスクごとに統制、証跡、責任者、頻度があるかを見ます。
  • 3. 規程・システムと整合していますか:決裁権限、職務分掌、権限設定、マスタ管理と矛盾がないかを確認します。
  • 4. 修正・差し戻し:手順、証跡、統制、例外処理、版管理を補います。
  • 5. 承認・版管理:作成日、改訂日、改訂理由、承認者、次回見直し時期を記録します。

POINT 6

  • 業務プロセス統制の文書化(3点セット)の整合性と対象プロセス
  • 3文書の対応関係と、主要プロセス別の文書化ポイントを確認します。
  • 3点セットは、それぞれ独立した文書ではありません。
  • 業務の流れ図、業務記述書、RCMが相互に対応していなければ、実務上の信頼性は大きく低下します。
  • 各行から、どの文書同士を突き合わせるべきかを読み取ってください。

POINT 7

  • 業務プロセス統制の文書化(3点セット)とIT・法務論点
  • 責任分担
  • 経営者、取締役会、監査役等、内部監査、法務、IT、事業部門の役割を明確にします。
  • 決裁権限
  • 3点セット上の承認者と決裁権限規程上の承認者が一致しているかを確認します。

POINT 8

  • 業務プロセス統制の文書化(3点セット)で使う販売RCM例
  • 販売プロセスを例に、リスク、アサーション、統制、証跡を対応させます。
  • 販売プロセスでは、取引開始、受注、出荷、価格・値引、期末処理、請求などの各段階で、リスクと統制を具体化します。
  • 実務では、会社の業種、取引形態、会計方針、システム、規程に応じて修正する必要があります。
  • 各行から、どのリスクにどの統制を当て、どの証跡で説明するかを読み取ってください。

まとめ

  • 業務プロセス統制の文書化(3点セット) 企業法務・内部統
  • 業務プロセス統制の文書化(3点セット)の全体像:3点セットは、業務の実態と統制の根拠を説明できる状態にするための基礎資料です。
  • 業務プロセス統制の文書化(3点セット)で押さえる定義:内部統制、業務プロセス統制、3点セットの関係を整理します。
  • 業務プロセス統制の文書化(3点セット)と法令・基準:J-SOX、会社法、改訂内部統制基準、監査実務指針の位置付けを確認します。
  • 本動画は一般的な情報提供であり、法律上の助言ではありません。記載の数値・金額・期間は目安です。個別事情で結論は変わります。
Overview

業務プロセス統制の文書化(3点セット)の全体像

3点セットは、業務の実態と統制の根拠を説明できる状態にするための基礎資料です。

業務プロセス統制の文書化(3点セット)とは、一般に、業務プロセスに係る内部統制を説明・評価するために作成される「業務の流れ図」「業務記述書」「リスク・コントロール・マトリックス(RCM)」の3種類の文書を指します。ただし、法令や金融庁・企業会計審議会の基準が、常にこの名称や様式での作成を一律に求めているわけではありません。

実務では、財務報告に係る内部統制の評価、監査人との協議、内部監査、IPO準備、グループ会社管理、委託先管理、システム変更管理、証跡管理を成立させる基礎資料として使われます。重要なのは、文書を作ること自体ではなく、取引の発生から承認、記録、処理、報告までの流れを可視化し、虚偽表示・不正・誤謬・権限逸脱・証跡欠落・IT依存リスクを統制活動と結び付けて説明できる状態を作ることです。

次の重要ポイントは、3点セットが何をつなぐ資料かを示しています。読者にとって重要なのは、会計・監査だけでなく、法務、内部監査、コンプライアンス、IT、事業部門、子会社管理が同じ業務実態を見られる点です。ここから、3点セットを単なる提出物ではなく、責任分界と改善の土台として読む必要があることが分かります。

3点セットは企業統治上の設計図です

業務の流れ、リスク、統制、証跡、責任者、評価結果を一体で説明し、監査対応、不祥事調査、規程改定、システム改修、教育、モニタリング強化へつなげます。

次の比較一覧は、企業法務の観点から3点セットが持つ主な機能を整理しています。なぜ重要かというと、問題発生後に「誰が、どの証拠に基づき、どの統制に依拠していたか」を説明する必要があるためです。各項目から、証拠構造、責任分界、再発防止までを文書化段階で設計する視点を読み取ってください。

Accountability

説明責任

取締役会、経営者、内部監査、監査役等、外部監査人が、内部統制の設計と運用を説明する基礎資料になります。

Evidence

証拠構造

承認、照合、レビュー、例外処理、職務分掌、システム制御について、残すべき証跡を設計します。

Boundary

責任分界

営業、購買、経理、法務、IT、子会社、委託先、外部専門家の役割を明確にします。

Risk

不正・誤謬リスク

虚偽表示、不正会計、資産流用、権限逸脱、規制違反を、どの時点で防止・発見するかを示します。

Remediation

是正・再発防止

不備が見つかった場合に、規程改定、承認権限見直し、システム改修、教育、モニタリング強化へつなげます。

注意このページは一般的な情報提供です。個別の開示、監査、訴訟、不祥事調査、IPO審査、行政対応では、弁護士、公認会計士、税理士、内部監査専門家、システム監査人等へ具体的に相談する必要があります。
Section 01

業務プロセス統制の文書化(3点セット)で押さえる定義

内部統制、業務プロセス統制、3点セットの関係を整理します。

内部統制とは、企業が一定の目的を合理的に達成するため、業務に組み込む管理プロセスです。金融庁・企業会計審議会の内部統制基準では、業務の有効性・効率性、報告の信頼性、法令等の遵守、資産の保全という4つの目的を達成するため、組織内の全ての者によって遂行されるプロセスとして整理されています。

また、内部統制は、統制環境、リスクの評価と対応、統制活動、情報と伝達、モニタリング、ITへの対応という6つの基本的要素から構成されるとされています。文書化は内部統制そのものではありませんが、内部統制が適切に設計され、運用され、評価され、改善されていることを説明するための補助線です。

次の表は、3点セットの各文書が担う役割を比較しています。なぜ重要かというと、3文書の役割を混同すると、手順説明だけでリスク分析が抜けたり、統制記述だけで証跡が抜けたりするためです。列ごとの違いから、業務の流れ、詳細手順、リスクと統制の対応を分けて読み取ってください。

文書実務上の呼称主な目的
業務の流れ図業務の流れを示す図、業務手順図業務の流れ、部門間連携、システム連携、承認・照合ポイントを視覚化します。
業務記述書ナラティブ、業務説明書図だけでは分からない手順、担当、頻度、証跡、例外処理を文章で説明します。
RCMリスク・コントロール・マトリックス、リスクと統制の対応表リスク、アサーション、統制、証跡、統制責任者、評価結果を一覧化します。

次の表は、文書化を進める際の4段階を整理しています。重要なのは、3点セットが単なる資料作成ではなく、実態把握から証跡設計までを接続する作業だという点です。不十分な場合の問題を見れば、どの段階が弱いと評価や監査で説明しにくくなるかを読み取れます。

段階内容不十分な場合の問題
実態把握現場の業務、システム、承認、帳票、例外処理を把握します。現場では異なる処理をしている状態になります。
リスク分析どの段階で虚偽表示、不正、誤謬、規制違反が起き得るかを考えます。リスクのない手続説明にとどまり、統制評価になりません。
統制設計リスクを低減する承認、照合、分掌、制限、レビュー、ログ確認等を定義します。統制が抽象的になり、誰が何を確認するのか分かりにくくなります。
証跡設計統制が実施されたことを示す記録を定めます。実施していても証明しにくくなります。
Section 02

業務プロセス統制の文書化(3点セット)と法令・基準

J-SOX、会社法、改訂内部統制基準、監査実務指針の位置付けを確認します。

日本のJ-SOXは、金融商品取引法に基づく内部統制報告制度として理解されています。金融商品取引法第24条の4の4は、一定の有価証券報告書提出会社に対し、財務計算に関する書類その他の情報の適正性を確保するために必要な体制について評価した内部統制報告書を、有価証券報告書と併せて提出する仕組みを置いています。

会社法上も、取締役の職務執行が法令・定款に適合することを確保する体制や、株式会社および企業集団の業務の適正を確保するために必要な体制が問題になります。したがって、3点セットは直接にはJ-SOX対応の資料であっても、取締役会、監査役等、善管注意義務、監督義務、グループガバナンスの議論と無関係ではありません。

次の時系列は、3点セットをめぐる主要な基準・実務指針の動きを整理しています。時期を押さえることが重要なのは、評価対象年度や監査人との協議で、どの基準を前提に文書化を見直すかが変わるためです。日付と適用開始時期の順番から、2023年改訂と2025年監査実務指針の位置付けを読み取ってください。

金融商品取引法

内部統制報告制度

財務報告の適正性を確保する体制について、経営者評価と内部統制報告書の提出が問題になります。

2023年4月7日

内部統制基準・実施基準の改訂意見書

ガバナンスおよび全組織的なリスク管理と一体で内部統制を整備・運用する考え方がより明確になりました。

2024年4月1日以後開始事業年度

改訂基準・改訂実施基準の適用

財務報告に係る内部統制の評価および監査から適用されるとされています。

2025年2月14日

監査実務指針の改正公表

財務報告内部統制監査基準報告書第1号の改正が公表されました。

2025年4月1日以後開始年度

改正監査実務指針の適用

連結会計年度および事業年度に係る内部統制監査から適用する旨が示されています。

次の表は、法令・基準ごとに3点セットとの関係を比較しています。読者にとって重要なのは、3点セット自体が条文上の提出書類ではなくても、経営者評価、監査、会社法上の体制整備を支える証拠になる点です。列の対応から、どの場面でどの説明が求められやすいかを確認してください。

制度・基準主な焦点3点セットとの関係
金融商品取引法上の内部統制報告制度財務報告の信頼性業務プロセスの理解、リスク識別、統制識別、整備・運用評価、証跡確認の基礎資料になります。
会社法上の内部統制システム業務の適正、法令遵守、企業集団管理取締役会、監査役等、グループガバナンス、善管注意義務の議論を支える資料になります。
2023年改訂内部統制基準・実施基準ガバナンス、リスク管理、IT、報告信頼性単なるJ-SOX作業ではなく、全社的なリスク管理と接続して見直す必要があります。
監査実務指針経営者評価の根拠と監査手続資料の見た目ではなく、リスク識別、統制記述、証跡、評価範囲、不備判断との整合が見られます。
Section 03

業務プロセス統制の文書化(3点セット)を構成する3文書

業務の流れ図、業務記述書、RCMの記載要素と品質条件を整理します。

業務の流れ図で見るべき要素

業務の流れ図は、受注、与信確認、出荷指示、出荷、売上計上、請求、入金消込、返品・値引処理などを、部門、担当者、システム、帳票、承認、照合、例外処理とともに示す文書です。取引の開始、承認、記録、処理、報告を含めて把握するため、会計処理に至る接続点も示す必要があります。

次の表は、業務の流れ図に含めるべき要素を整理しています。これが重要なのは、責任分界、証跡、IT依存、例外処理を図上で確認できないと、RCMや業務記述書との接続が弱くなるためです。各行から、どの情報が監査・法務上の意味を持つかを読み取ってください。

要素説明法務・監査上の意味
部門・担当営業、購買、倉庫、経理、法務、IT、子会社、委託先などを示します。責任分界と職務分掌を明確にします。
業務ステップ受注、承認、登録、出荷、検収、請求、入金などを示します。取引の流れを把握します。
帳票・データ注文書、契約書、出荷指示書、納品書、請求書、仕訳データなどを示します。証拠資料と監査証跡を特定します。
システム販売管理、購買管理、在庫、会計、ワークフロー、電子契約などを示します。IT全般統制・業務処理統制との接続点を示します。
統制ポイント承認、照合、レビュー、入力制限、例外承認などを示します。RCMの統制記述と結び付きます。
リスクポイント架空取引、二重計上、未承認発注、締日誤り、権限逸脱などを示します。RCMのリスク記述と結び付きます。
例外処理返品、値引、赤伝、緊急発注、手入力修正、マスタ変更などを示します。不正・誤謬が集中しやすい領域を明確にします。

業務記述書で補うべき項目

業務記述書は、業務の流れ図だけでは表現しきれない手順、担当者、判断基準、承認条件、例外処理、証跡、関連規程、システム操作、頻度を文章で説明します。監査人、内部監査人、新任担当者、法務部門、子会社管理部門、外部専門家、システム担当者が業務を短時間で理解するために重要です。

次の表は、業務記述書に含める項目を示しています。なぜ重要かというと、手順の粒度が粗いと統制を評価できず、細かすぎると更新できない資料になるためです。項目ごとに、誰が、いつ、何を、どの基準で、どの証跡を残すかを確認してください。

項目内容
対象プロセス・組織販売、購買、在庫、固定資産、人件費、資金、決算、本社、支店、子会社、海外拠点、委託先などを定義します。
業務目的・関連規程業務が何を達成するためのものか、販売管理規程、与信規程、購買規程、決裁規程、契約管理規程などとどう接続するかを示します。
関連システムERP、会計システム、ワークフロー、電子契約、販売管理などを示します。
インプット・アウトプット注文書、契約書、発注依頼、検収書、勤怠データ、請求書、仕訳、支払データ、売上データなどを示します。
具体的手順誰が、いつ、何を、どの基準で、どの証跡を残して実施するかを示します。
統制手続・例外処理承認、照合、レビュー、権限設定、例外承認、緊急処理、手修正、取消、返品、値引、締後処理などを示します。
証跡・頻度・責任者承認ログ、チェックリスト、照合印、レビューコメント、システムログ、都度、日次、月次、四半期、年次、責任者を示します。
改訂履歴作成日、改訂日、改訂理由、承認者を示します。

RCMでリスクと統制を結び付ける

RCMの本質は、「このリスクに対して、この統制が、この頻度で、この担当者により、この証跡をもって実施されるため、リスクが合理的に低減される」と説明することです。リスク記述は抽象化し過ぎず、発生箇所、原因、影響を具体化する必要があります。

次の表は、RCMでよく用いられる標準項目をまとめています。重要なのは、統制内容を検証可能な粒度にすることです。項目を横に追うことで、リスク番号から評価結果・改善策までが一貫しているかを確認してください。

項目内容
プロセス・サブプロセス販売、購買、在庫、固定資産、人件費、決算、受注、出荷、売上計上、請求、入金などを示します。
リスク番号・リスク内容R-001などの番号と、何が誤る、漏れる、不正に行われる可能性があるかを示します。
関連アサーション実在性、網羅性、権利と義務、評価、期間帰属、表示などを示します。
統制番号・統制内容C-001などの番号と、誰が、何を、どの基準で確認し、どの証跡を残すかを示します。
統制種別・頻度予防的統制、発見的統制、手作業統制、IT自動統制、レビュー統制、都度、日次、月次、四半期、年次などを示します。
統制責任者・証跡部門、役職、担当者、承認ログ、照合表、例外レポート、レビューコメントなどを示します。
キーコントロール・評価重要統制か否か、質問、観察、閲覧、再実施、ウォークスルー、評価結果、不備、改善策を示します。

次の比較一覧は、RCMの統制記述で避けるべき抽象表現と、検証しやすい具体表現を並べたものです。なぜ重要かというと、監査・内部監査・法務調査では「確認した」という言葉だけでは証跡や判断基準が分からないためです。悪い記述の問題点と良い記述の具体性を見比べ、記載の粒度を確認してください。

悪い記述問題点良い記述
担当者が確認します。誰が、何を、何と照合するかが不明です。営業管理課長は、日次で販売管理システムから出力される受注一覧を注文書と照合し、不一致がある場合は差異理由を一覧表に記入し、承認ログを残します。
上長が承認します。承認基準と証跡が不明です。500万円以上の新規取引については、与信規程に基づき営業部長および経理部長が与信限度額を承認し、ワークフロー上に承認履歴を保存します。
システムで制御しています。何の制御かが不明です。販売管理システムは、有効登録された顧客コード以外では受注入力できない設定とし、マスタ新規登録は経理部マスタ管理者のみが実施します。
法務が確認します。対象・基準・証跡が不明です。法務部は、標準契約書からの重要変更、損害賠償上限の撤廃、個人情報取扱い、知財帰属、海外準拠法を含む契約について、契約管理システム上でレビューコメントを残します。
Section 04

業務プロセス統制の文書化(3点セット)の作成手順

方針決定から版管理まで、10段階で進めます。

作成の出発点は、経営者または内部統制責任者が、文書化の目的、対象範囲、責任者、スケジュール、利用ツール、レビュー手続を決めることです。法務部門は、文書の保存期間、アクセス権限、秘密情報管理、弁護士相談記録との分離、社内規程との整合、委託先契約との整合を確認します。

次の時系列は、3点セットを作成し、維持するまでの10段階を示しています。順番が重要なのは、対象プロセスの選定やウォークスルーを飛ばすと、現場実態と文書がずれやすくなるためです。各段階で何を固め、次の段階に何を引き渡すかを読み取ってください。

Step 01

基本方針と体制を決めます

目的、対象範囲、責任者、スケジュール、ツール、レビュー手続を決定します。

Step 02

評価対象プロセスを決めます

売上、購買、在庫、人件費、固定資産、資金、決算、ITなどを重要性とリスクで選定します。

Step 03

既存資料を集めます

組織図、規程、権限一覧、帳票、承認履歴、前年度資料、内部監査報告、監査人指摘を集めます。

Step 04

ヒアリングとウォークスルーを行います

代表的な取引を選び、取引の発生から会計処理・報告までの証跡を追跡します。

Step 05

業務の流れ図を作成します

業務開始点、終了点、部門、担当、システム、承認、照合、例外処理、会計処理への接続点を示します。

Step 06

業務記述書を作成します

各ステップの実施者、承認者、頻度、証跡、例外処理、判断基準を文章で補足します。

Step 07

リスクを識別します

財務報告、法令遵守、資産保全、業務効率に重大な影響がある箇所を具体化します。

Step 08

統制を識別し、キーコントロールを選びます

重要なリスクを低減する承認、照合、レビュー、自動統制、IT全般統制との関係を確認します。

Step 09

RCMを作成します

リスク、統制、証跡、頻度、責任者、評価手続、評価結果、不備・改善策を対応させます。

Step 10

レビュー、承認、版管理を行います

現場、経理、内部統制担当、内部監査、法務、IT、必要に応じ監査人が確認し、改訂履歴を残します。

次の表は、評価対象プロセスを選ぶ際の観点を整理しています。なぜ重要かというと、すべての業務を同じ粒度で文書化すると、更新不能な資料が増えるためです。金額、リスク、変化、過去不備、IT依存、法務・規制の観点を組み合わせ、優先順位を読み取ってください。

観点内容
金額的重要性売上、売掛金、棚卸資産、原価、人件費など財務諸表への影響が大きいかを見ます。
リスク重要性不正、見積り、複雑な契約、関連当事者、規制違反、海外取引があるかを見ます。
変化システム変更、組織再編、M&A、子会社新設、委託先変更があったかを見ます。
過去不備過年度に不備、監査指摘、内部通報、不祥事があったかを見ます。
IT依存自動処理、マスタ、インターフェース、アクセス権限に依存しているかを見ます。
法務・規制契約、許認可、個人情報、下請法、輸出管理、独禁法、労務等のリスクがあるかを見ます。

次の判断の流れは、作成した3点セットをそのまま承認してよいかを確認する順番を示しています。重要なのは、形式が整っているだけでは足りず、現場実態、証跡、規程、システム、例外処理まで一致しているかを見る点です。上から順に確認し、分岐では不足があれば差し戻すと読み取ってください。

作成後レビューの判断の流れ

現場実態を確認

ヒアリングとウォークスルーの結果と一致しているかを見ます。

リスクと統制を対応

重要リスクごとに統制、証跡、責任者、頻度があるかを見ます。

規程・システムと整合していますか

決裁権限、職務分掌、権限設定、マスタ管理と矛盾がないかを確認します。

不足あり
修正・差し戻し

手順、証跡、統制、例外処理、版管理を補います。

不足なし
承認・版管理

作成日、改訂日、改訂理由、承認者、次回見直し時期を記録します。

Section 05

業務プロセス統制の文書化(3点セット)の整合性と対象プロセス

3文書の対応関係と、主要プロセス別の文書化ポイントを確認します。

3点セットは、それぞれ独立した文書ではありません。業務の流れ図、業務記述書、RCMが相互に対応していなければ、実務上の信頼性は大きく低下します。たとえば、図では営業部長承認、業務記述書では課長承認、RCMでは経理部照合と書かれている場合、単なる記載ミスではなく、統制不備または評価不能の原因になり得ます。

次の表は、3点セットの整合性を点検する視点を整理しています。なぜ重要かというと、文書間で承認者・証跡・手順が違うと、監査や不祥事調査でどれが正しい運用だったかを説明しにくくなるためです。各行から、どの文書同士を突き合わせるべきかを読み取ってください。

整合性チェック確認内容
流れ図と業務記述書業務の流れ図の各ステップが業務記述書で説明されているかを確認します。
流れ図とRCM業務の流れ図上のリスク・統制ポイントがRCMに反映されているかを確認します。
業務記述書とRCMRCMの統制内容が、業務記述書上の実際の手続として説明されているかを確認します。
RCMと証跡RCM記載の証跡が実在し、取得可能かを確認します。
RCMと評価調書評価手続、サンプル件数、評価結果がRCMの統制と対応しているかを確認します。
3点セットと規程決裁権限、職務分掌、契約管理、情報管理規程と矛盾していないかを確認します。
3点セットとシステム権限設定、マスタ管理、変更管理、ログ管理と矛盾していないかを確認します。

次の一覧は、主要な業務プロセスごとに文書化で重点的に見る事項を整理しています。重要なのは、売上、購買、在庫、人件費、固定資産、決算で、リスクの性質と証跡が異なる点です。各項目から、自社の重要プロセスでどの統制を深掘りすべきかを読み取ってください。

01

販売・売上

与信、反社確認、契約審査、受注入力、出荷、検収、売上計上、値引、返品、期末締処理、関連当事者取引を確認します。

売上不正リスク
02

購買・支払

発注依頼、見積取得、業者選定、発注承認、検収、請求書照合、支払承認、取引先マスタ変更を確認します。

購買職務分掌
03

棚卸資産

入庫、出庫、移動、実地棚卸、棚卸差異、評価減、廃棄承認、外部倉庫からの証跡受領を確認します。

在庫数量・評価
04

人件費・労務

採用、入社登録、給与マスタ変更、勤怠承認、給与計算、支払、退職、出向、賞与、役員報酬承認を確認します。

労務個人情報
05

固定資産

投資稟議、契約、発注、検収、資産登録、減価償却、実査、除却承認、リース、建設仮勘定を確認します。

資産承認
06

決算・財務報告

決算チェックリスト、開示チェックリスト、見積りレビュー、連結パッケージ、注記作成、開示委員会資料を確認します。

決算見積り
Section 07

業務プロセス統制の文書化(3点セット)で使う販売RCM例

販売プロセスを例に、リスク、アサーション、統制、証跡を対応させます。

販売プロセスでは、取引開始、受注、出荷、価格・値引、期末処理、請求などの各段階で、リスクと統制を具体化します。実務では、会社の業種、取引形態、会計方針、システム、規程に応じて修正する必要があります。

次の表は、販売プロセスにおける簡易RCM例です。なぜ重要かというと、リスク、アサーション、統制、頻度、責任者、証跡を横並びで確認することで、統制の抜けや証跡不足を見つけやすくなるためです。各行から、どのリスクにどの統制を当て、どの証跡で説明するかを読み取ってください。

No.サブプロセスリスクアサーション統制内容頻度責任者証跡
R-01新規取引開始与信未承認または反社未確認の取引先に販売します。回収可能性、法令遵守、資産保全営業部が申請し、経理部が与信限度額を確認し、法務・コンプライアンス部が反社確認を実施したうえで、承認済みワークフローに基づき取引先マスタを登録します。都度経理部長、法務責任者ワークフロー承認履歴、反社確認記録、与信資料
R-02受注未承認または架空の受注が入力されます。実在性有効な取引先マスタに登録された顧客のみ受注入力可能とし、受注入力後、営業管理課長が注文書と受注データを日次で照合します。日次営業管理課長受注一覧、注文書、照合記録
R-03出荷出荷していない商品について売上が計上されます。実在性売上計上は出荷入力データを起点に自動作成され、経理担当者が月次で出荷一覧と売上一覧の差異を確認し、差異理由を記録します。月次経理課長出荷一覧、売上一覧、差異分析表
R-04価格・値引契約と異なる単価または未承認値引で請求されます。評価価格マスタの新規登録・変更は営業部申請、経理部確認、営業部長承認に限定し、値引率が基準を超える場合は本部長承認を要します。都度営業部長、経理部価格マスタ変更申請、承認ログ
R-05期末処理期末日前後の売上計上時期が誤ります。期間帰属経理部は期末前後の出荷、検収、売上計上データを抽出し、契約条件および会計方針に基づき売上計上時期をレビューします。四半期・年次経理部長カットオフチェックリスト、レビュー記録
R-06請求売上計上済み取引が請求されない、または二重請求されます。網羅性、実在性請求書発行前に、販売担当者が売上伝票と請求予定一覧を照合し、経理担当者が未請求一覧を月次確認します。月次営業管理課、経理課請求予定一覧、未請求一覧、照合記録

次の比較一覧は、売上プロセスのアサーションと典型的リスク、統制例を対応させています。重要なのは、同じ売上でも実在性、網羅性、評価、期間帰属、表示で見ているリスクが異なる点です。列を横に読むことで、どの統制がどのアサーションを支えているかを確認してください。

アサーション典型的リスク統制例
実在性実在しない売上が計上されます。出荷データ、受領書、契約書、請求書を照合します。
網羅性出荷済み取引が売上計上されません。出荷一覧と売上計上一覧を月次で照合します。
評価金額、単価、値引、税区分が誤ります。価格マスタ、契約条件、請求データを照合します。
期間帰属期末前後の売上計上時期が誤ります。出荷日、検収日、契約条件、会計方針に基づく締処理レビューを行います。
表示取引区分や注記が誤ります。関連当事者、収益認識、代理人取引等をレビューします。
Section 08

業務プロセス統制の文書化(3点セット)の不備と品質基準

形骸化、抽象記述、証跡不足、IT軽視、法務リスク漏れを防ぎます。

3点セットで最も多い問題は形骸化です。前年度ファイルをコピーし、日付だけ更新する、旧システム名が残る、電子ワークフロー化されたのに承認印が証跡欄に残る、といった状態では、監査対応にも経営管理にも使いにくくなります。

次の一覧は、よくある不備と改善方向を整理しています。重要なのは、不備を単なる記載ミスとして片付けず、統制の整備・運用・評価可能性に影響する問題として扱う点です。各項目から、どの改善策を3点セットに反映すべきかを読み取ってください。

形骸化

年次更新だけでなく、組織変更、システム変更、規程改定、M&A、委託先変更、内部通報、監査指摘を更新トリガーにします。

統制が抽象的

実施者、頻度、対象、基準、証跡、例外処理を含め、検証できる表現に直します。

証跡がない

承認ログ、チェックリスト、差異分析表、レビューコメント、電子署名、タイムスタンプ、システムログを設計します。

実態と不一致

退職者や部署変更、外部委託化、電子化を反映し、責任者と実施者を更新します。

IT全般統制を軽視

アクセス権限、マスタ変更、プログラム変更、ジョブ管理、バックアップ、障害対応を確認します。

法務・規制リスク漏れ

下請法、個人情報、贈収賄、輸出管理、労務未払いなど、財務報告に波及し得るリスクを組み込みます。

次の表は、3点セットの品質を評価する観点を整理しています。なぜ重要かというと、見た目が整っていても、正確性、完全性、評価可能性、更新可能性が弱ければ、監査や不祥事対応で使えないためです。良い状態と悪い状態を比べ、自社資料のどこに改善余地があるかを読み取ってください。

評価観点良い状態悪い状態
正確性現場実態、規程、システムと一致しています。過年度コピー、旧部署、旧システムが残っています。
完全性重要な標準処理と例外処理を含みます。例外処理、手入力、締後処理が漏れています。
明瞭性第三者が読んでも業務と統制を理解できます。社内用語や略語が多く、担当者以外には分かりにくくなっています。
評価可能性統制の実施者、頻度、証跡、基準が明確です。確認するという表現だけで検証できません。
整合性業務の流れ図、業務記述書、RCM、規程、証跡が一致しています。文書間で承認者・手順・証跡が異なります。
更新可能性改訂履歴、オーナー、更新トリガーが明確です。誰が更新するか不明です。
リスク対応性重要リスクとキーコントロールが明確です。手続説明だけでリスク分析がありません。
IT接続性システム、権限、マスタ、変更管理が接続しています。自動処理という説明だけです。
法務接続性契約、規制、証跡、責任分界が反映されています。会計処理だけで法務リスクが見えません。

次の表は、成熟度を5段階で整理しています。段階を分けることが重要なのは、いきなり最高水準を目指すより、現状がどこにあり、次に何を整えるべきかを決めやすいためです。レベル1から5へ進むにつれて、文書が存在する状態から、経営管理に活用される状態へ進むことを読み取ってください。

レベル状態
1文書が存在しない、または現場メモにとどまります。
23点セットはありますが、過年度コピーで実態と乖離しています。
3主要プロセスについて、現場実態と一致した3点セットが整備されています。
43点セットが評価調書、規程、システム権限、証跡管理、改善計画と連動しています。
5業務変更、システム変更、法令改正、不祥事、内部監査指摘をトリガーに継続更新され、経営管理・法務・監査に活用されています。
Section 09

業務プロセス統制の文書化(3点セット)のIPO・委託先対応

中小上場会社、IPO準備会社、外部委託、クラウド、グループ会社管理の要点です。

中小上場会社やIPO準備会社では、人員、時間、システム、内部監査体制に制約があります。大企業と同じ粒度で全プロセスを文書化しようとすると、更新不能な3点セットが大量に発生します。重要なのは、リスクベースで優先順位を付けることです。

次の表は、IPO準備や初期整備で優先されやすい10領域を整理しています。なぜ重要かというと、限られた体制では、財務影響とリスクが高い領域から整備する方が現実的だからです。番号の順に、自社で最初に文書化すべき領域を検討してください。

優先順位最初に文書化すべき領域主な確認点
1売上・売掛金・入金受注、出荷、検収、売上計上、請求、入金消込を確認します。
2仕入・買掛金・支払発注、検収、請求書照合、支払承認、取引先マスタを確認します。
3棚卸資産入出庫、実地棚卸、棚卸差異、評価減、廃棄を確認します。
4人件費入社、勤怠、給与、退職、賞与、役員報酬を確認します。
5固定資産投資稟議、検収、資産登録、償却、実査、除却を確認します。
6資金管理入出金、銀行権限、資金繰り、送金承認を確認します。
7決算・開示決算チェック、注記、連結、開示レビューを確認します。
8IT全般統制アクセス、変更、運用、委託先管理を確認します。
9契約・決裁・反社確認契約審査、決裁権限、反社確認の組み込みを確認します。
10子会社・関連会社管理親会社承認、連結パッケージ、現地規程、現地システムを確認します。

次の一覧は、外部委託・クラウド利用時に契約や3点セットへ反映すべき項目を整理しています。重要なのは、自社外で発生する処理、承認、ログ、エラー、障害、再委託、データ返却、監査対応も内部統制の説明に含まれる点です。各項目から、委託先に求める証跡と責任分界を読み取ってください。

業務内容と責任分界

委託先と自社の処理範囲、承認範囲、エラー対応範囲を明確にします。

サービス水準・障害対応

稼働率、復旧時間、障害時の報告義務、代替手続を定めます。

データ所有権・返却・削除

契約終了時の返却、削除、バックアップ、移行支援を確認します。

秘密情報・個人情報

アクセス権限、暗号化、再委託管理、インシデント通知を定めます。

監査権・資料提供

監査協力、資料提供、内部統制報告書・保証報告書の提供を定めます。

グループ会社管理

親会社規程、子会社権限、連結手順、現地法令、海外送金、制裁、贈収賄防止を確認します。

Section 10

業務プロセス統制の文書化(3点セット)の監査対応とFAQ

監査人に説明すべき事項と、よくある疑問を一般情報として整理します。

監査人に対しては、3点セットの形式ではなく、評価対象プロセスをどのように選定したか、重要なリスクをどのように識別したか、キーコントロールをどのように選定したか、統制が設計上有効といえる理由は何か、運用証跡は何かを説明できることが重要です。

次の一覧は、監査対応で説明すべき事項を整理しています。なぜ重要かというと、監査人は資料の美しさではなく、経営者評価の根拠として、評価範囲、統制識別、証跡、不備判断の整合を確認するためです。項目ごとに、事前に用意すべき説明と証跡を読み取ってください。

Scope

評価対象の選定

重要性、リスク、変化、過去不備、IT依存、法務・規制リスクに基づく説明を準備します。

Risk

リスク識別

重要な虚偽表示、不正、誤謬、法令違反、権限逸脱、証跡欠落のリスクを具体化します。

Control

キーコントロール

統制が設計上有効といえる理由、頻度、責任者、証跡、IT統制との関係を説明します。

Evidence

運用証跡

承認ログ、照合記録、レビューコメント、例外レポート、差異分析表を提示できるようにします。

Issue

不備と是正

例外・不備をどのように識別し、原因分析し、是正計画へつなげたかを整理します。

Legal

法務関与

契約条件、偶発債務、行政調査、個人情報、委託先契約、取締役会報告に関する確認を整理します。

Q1. 3点セットは法律上必ず作成しなければなりませんか。

一般的には、法律が「業務の流れ図、業務記述書、RCM」という名称・様式での作成を一律に義務付けているわけではないとされています。ただし、内部統制評価と監査を実務上成立させるためには、業務プロセスの流れ、リスク、統制、証跡を説明する資料が必要になる可能性があります。具体的な開示・監査対応は、会社の状況に応じて弁護士、公認会計士等の専門家へ相談する必要があります。

Q2. 業務の流れ図と業務記述書は両方必要ですか。

一般的には、重要プロセスでは両方を整備することが望ましいとされています。ただし、会社規模、プロセスの複雑性、IT環境、監査人との協議状況によって合理化できる可能性があります。具体的な粒度は、評価対象とリスクに応じて専門家と確認する必要があります。

Q3. RCMは誰が作るべきですか。

一般的には、内部統制担当または経理が中心になり、現場部門、法務、IT、内部監査が関与する形が多いとされています。リスクは現場、会計影響は経理、法令・契約リスクは法務、システム依存はIT、統制評価は内部監査が知るため、複数部署でレビューする必要があります。

Q4. どの程度細かく書けばよいですか。

一般的には、第三者が読んで、誰が、いつ、何を、何と照合し、どの基準で判断し、どの証跡を残すかが分かる粒度が必要とされています。ただし、全画面操作まで書く必要があるとは限りません。重要リスクとキーコントロールを評価できる粒度を、会社の実態に応じて決める必要があります。

Q5. 監査人から修正を求められた場合はどう考えますか。

一般的には、監査人の指摘は重視されます。ただし、会社は経営者評価の責任主体として、リスク、統制、証跡、代替統制、費用対効果を踏まえて合理的に判断する必要があります。意見が分かれる場合は、指摘の趣旨を確認し、統制目的を満たす別の方法があるかを協議することが考えられます。

Q6. 法務部門はどこまで関与すべきですか。

一般的には、法務部門が全てのRCMを作成する必要はありません。ただし、契約条件、決裁権限、規制対応、個人情報、秘密情報、委託先管理、不祥事対応、証跡保全、取締役会報告に関係する統制には関与する必要があります。具体的な役割分担は、会社の組織体制に応じて定める必要があります。

Q7. 内部統制不備が見つかった場合、3点セットはどう更新しますか。

一般的には、不備の原因を分析し、リスク記述、統制内容、証跡、担当者、頻度、例外処理、IT設定、規程、教育を見直します。是正後は、業務の流れ図、業務記述書、RCM、評価調書、不備管理表を整合させる必要があります。

Q8. 電子契約やワークフローを導入すれば3点セットは不要になりますか。

一般的には、不要にはならないとされています。電子化により証跡は取りやすくなる一方、承認ルート、権限設定、代理承認、アクセス権限、ログ保管、契約原本管理、データ改ざん防止、システム変更管理を文書化する必要があります。具体的な対応は、IT統制と契約管理の状況に応じて確認する必要があります。

Section 11

業務プロセス統制の文書化(3点セット)の実務チェックリスト

作成後の確認項目を、全体、各文書、法務観点に分けて点検します。

チェックリストは、3点セットを作って終わりにしないための点検道具です。作成責任者、レビュー責任者、承認者、版管理、規程・システムとの整合、監査指摘の反映を継続的に確認します。

次の表は、3点セット全体の点検項目を整理しています。重要なのは、対象範囲と責任者が曖昧なままでは、更新と承認の責任が不明になる点です。各項目を確認し、文書管理の土台があるかを読み取ってください。

全体チェック確認すること
対象範囲対象プロセスと対象組織が明確です。
責任者作成責任者、レビュー責任者、承認者が明確です。
版管理作成日、改訂日、改訂理由、版番号が記録されています。
現場確認現場部門が内容を確認しています。
整合性規程、決裁権限、システム設定と整合しています。
変更点前年度からの変更点が整理されています。
指摘反映監査人・内部監査の指摘が反映されています。

次の表は、業務の流れ図、業務記述書、RCMの点検項目を横断的に整理しています。なぜ重要かというと、3文書のどれか一つだけが整っていても、評価可能性は十分にならないためです。文書ごとの項目を見比べ、同じ業務ステップが一貫して説明されているかを確認してください。

文書点検項目
業務の流れ図部門・担当・システム、取引の開始・承認・記録・処理・報告、会計処理への接続点、承認・照合・レビュー・入力制限、例外処理、帳票・データ・証跡の流れを確認します。
業務記述書各ステップの実施者、判断基準、承認基準、例外基準、関連規程、関連システム、帳票、証跡の名称、保存場所、保存責任者を確認します。
RCMリスクの具体性、アサーションとの対応、統制内容の検証可能性、統制責任者、頻度、証跡、キーコントロール、IT自動統制、評価結果、不備、是正計画を確認します。

次の表は、法務観点の点検項目を整理しています。重要なのは、契約・規制・情報管理・不祥事対応・取締役会報告が、会計プロセスの外側に見えても、内部統制と財務報告に波及し得る点です。各項目から、法務部門がレビューすべき接続点を読み取ってください。

法務チェック確認すること
契約・決裁・規制契約審査、決裁権限、反社確認、与信、輸出管理、個人情報、下請法等が必要な業務に組み込まれています。
委託先契約監査協力、資料提供、情報管理、再委託、障害報告が含まれています。
証跡管理個人情報・営業秘密が含まれる場合、アクセス権限と保存ルールが明確です。
見直しトリガー不祥事、内部通報、訴訟、行政調査が3点セットの見直しトリガーになっています。
報告ルート取締役会・監査役等への報告ルートが整備されています。
Section 12

業務プロセス統制の文書化(3点セット)のまとめ

3点セットを、企業価値を守るガバナンス・インフラとして活用します。

業務プロセス統制の文書化(3点セット)は、単なるJ-SOX対応書類ではありません。業務の流れ図は業務の流れを示し、業務記述書は手順と証跡を説明し、RCMはリスクと統制を対応させます。3つが整合して初めて、会社は、自らの業務プロセスについて、どのリスクを認識し、どの統制により低減し、どの証跡により説明できるかを明らかにできます。

次の重要ポイントは、3点セットの最終目標をまとめたものです。重要なのは、資料を作ることではなく、業務、リスク、統制、証跡、責任、改善を説明できる状態を作ることです。この状態が実現すると、内部統制は形式的な監査対応から、企業価値を守るガバナンス・インフラへ変わります。

説明できる状態を作ることが最終目標です

企業法務、経理、内部監査、IT、事業部門、子会社管理、外部専門家が同じ業務実態を見ながら、リスク、統制、証跡、改善を継続的に更新することが実務上の要点です。

Reference

参考資料

公的資料・法令

  • 金融庁・企業会計審議会「財務報告に係る内部統制の評価及び監査の基準並びに財務報告に係る内部統制の評価及び監査に関する実施基準の改訂について(意見書)」
  • 金融庁「財務報告に係る内部統制の評価及び監査の基準並びに財務報告に係る内部統制の評価及び監査に関する実施基準の改訂について(意見書)の公表について」
  • e-Gov法令検索「金融商品取引法」
  • e-Gov法令検索「財務計算に関する書類その他の情報の適正性を確保するための体制に関する内閣府令」
  • e-Gov法令検索「会社法施行規則」

監査・保証実務資料

  • 日本公認会計士協会「財務報告内部統制監査基準報告書第1号『財務報告に係る内部統制の監査』の改正」
  • 日本公認会計士協会「保証業務実務指針3402『受託業務に係る内部統制の保証報告書に関する実務指針』」