業務の流れ図、業務記述書、RCMを、監査対応のための書類ではなく、リスク・統制・証跡・責任分界を説明できる経営管理インフラとして整理します。
業務の流れ図、業務記述書、RCMを、監査対応のための書類ではなく、リスク・統制・証跡・責任分界を説明できる経営管理インフラとして整理します。
3点セットは、業務の実態と統制の根拠を説明できる状態にするための基礎資料です。
業務プロセス統制の文書化(3点セット)とは、一般に、業務プロセスに係る内部統制を説明・評価するために作成される「業務の流れ図」「業務記述書」「リスク・コントロール・マトリックス(RCM)」の3種類の文書を指します。ただし、法令や金融庁・企業会計審議会の基準が、常にこの名称や様式での作成を一律に求めているわけではありません。
実務では、財務報告に係る内部統制の評価、監査人との協議、内部監査、IPO準備、グループ会社管理、委託先管理、システム変更管理、証跡管理を成立させる基礎資料として使われます。重要なのは、文書を作ること自体ではなく、取引の発生から承認、記録、処理、報告までの流れを可視化し、虚偽表示・不正・誤謬・権限逸脱・証跡欠落・IT依存リスクを統制活動と結び付けて説明できる状態を作ることです。
次の重要ポイントは、3点セットが何をつなぐ資料かを示しています。読者にとって重要なのは、会計・監査だけでなく、法務、内部監査、コンプライアンス、IT、事業部門、子会社管理が同じ業務実態を見られる点です。ここから、3点セットを単なる提出物ではなく、責任分界と改善の土台として読む必要があることが分かります。
業務の流れ、リスク、統制、証跡、責任者、評価結果を一体で説明し、監査対応、不祥事調査、規程改定、システム改修、教育、モニタリング強化へつなげます。
次の比較一覧は、企業法務の観点から3点セットが持つ主な機能を整理しています。なぜ重要かというと、問題発生後に「誰が、どの証拠に基づき、どの統制に依拠していたか」を説明する必要があるためです。各項目から、証拠構造、責任分界、再発防止までを文書化段階で設計する視点を読み取ってください。
承認、照合、レビュー、例外処理、職務分掌、システム制御について、残すべき証跡を設計します。
営業、購買、経理、法務、IT、子会社、委託先、外部専門家の役割を明確にします。
虚偽表示、不正会計、資産流用、権限逸脱、規制違反を、どの時点で防止・発見するかを示します。
不備が見つかった場合に、規程改定、承認権限見直し、システム改修、教育、モニタリング強化へつなげます。
内部統制、業務プロセス統制、3点セットの関係を整理します。
内部統制とは、企業が一定の目的を合理的に達成するため、業務に組み込む管理プロセスです。金融庁・企業会計審議会の内部統制基準では、業務の有効性・効率性、報告の信頼性、法令等の遵守、資産の保全という4つの目的を達成するため、組織内の全ての者によって遂行されるプロセスとして整理されています。
また、内部統制は、統制環境、リスクの評価と対応、統制活動、情報と伝達、モニタリング、ITへの対応という6つの基本的要素から構成されるとされています。文書化は内部統制そのものではありませんが、内部統制が適切に設計され、運用され、評価され、改善されていることを説明するための補助線です。
次の表は、3点セットの各文書が担う役割を比較しています。なぜ重要かというと、3文書の役割を混同すると、手順説明だけでリスク分析が抜けたり、統制記述だけで証跡が抜けたりするためです。列ごとの違いから、業務の流れ、詳細手順、リスクと統制の対応を分けて読み取ってください。
| 文書 | 実務上の呼称 | 主な目的 |
|---|---|---|
| 業務の流れ図 | 業務の流れを示す図、業務手順図 | 業務の流れ、部門間連携、システム連携、承認・照合ポイントを視覚化します。 |
| 業務記述書 | ナラティブ、業務説明書 | 図だけでは分からない手順、担当、頻度、証跡、例外処理を文章で説明します。 |
| RCM | リスク・コントロール・マトリックス、リスクと統制の対応表 | リスク、アサーション、統制、証跡、統制責任者、評価結果を一覧化します。 |
次の表は、文書化を進める際の4段階を整理しています。重要なのは、3点セットが単なる資料作成ではなく、実態把握から証跡設計までを接続する作業だという点です。不十分な場合の問題を見れば、どの段階が弱いと評価や監査で説明しにくくなるかを読み取れます。
| 段階 | 内容 | 不十分な場合の問題 |
|---|---|---|
| 実態把握 | 現場の業務、システム、承認、帳票、例外処理を把握します。 | 現場では異なる処理をしている状態になります。 |
| リスク分析 | どの段階で虚偽表示、不正、誤謬、規制違反が起き得るかを考えます。 | リスクのない手続説明にとどまり、統制評価になりません。 |
| 統制設計 | リスクを低減する承認、照合、分掌、制限、レビュー、ログ確認等を定義します。 | 統制が抽象的になり、誰が何を確認するのか分かりにくくなります。 |
| 証跡設計 | 統制が実施されたことを示す記録を定めます。 | 実施していても証明しにくくなります。 |
日本のJ-SOXは、金融商品取引法に基づく内部統制報告制度として理解されています。金融商品取引法第24条の4の4は、一定の有価証券報告書提出会社に対し、財務計算に関する書類その他の情報の適正性を確保するために必要な体制について評価した内部統制報告書を、有価証券報告書と併せて提出する仕組みを置いています。
会社法上も、取締役の職務執行が法令・定款に適合することを確保する体制や、株式会社および企業集団の業務の適正を確保するために必要な体制が問題になります。したがって、3点セットは直接にはJ-SOX対応の資料であっても、取締役会、監査役等、善管注意義務、監督義務、グループガバナンスの議論と無関係ではありません。
次の時系列は、3点セットをめぐる主要な基準・実務指針の動きを整理しています。時期を押さえることが重要なのは、評価対象年度や監査人との協議で、どの基準を前提に文書化を見直すかが変わるためです。日付と適用開始時期の順番から、2023年改訂と2025年監査実務指針の位置付けを読み取ってください。
財務報告の適正性を確保する体制について、経営者評価と内部統制報告書の提出が問題になります。
ガバナンスおよび全組織的なリスク管理と一体で内部統制を整備・運用する考え方がより明確になりました。
財務報告に係る内部統制の評価および監査から適用されるとされています。
財務報告内部統制監査基準報告書第1号の改正が公表されました。
連結会計年度および事業年度に係る内部統制監査から適用する旨が示されています。
次の表は、法令・基準ごとに3点セットとの関係を比較しています。読者にとって重要なのは、3点セット自体が条文上の提出書類ではなくても、経営者評価、監査、会社法上の体制整備を支える証拠になる点です。列の対応から、どの場面でどの説明が求められやすいかを確認してください。
| 制度・基準 | 主な焦点 | 3点セットとの関係 |
|---|---|---|
| 金融商品取引法上の内部統制報告制度 | 財務報告の信頼性 | 業務プロセスの理解、リスク識別、統制識別、整備・運用評価、証跡確認の基礎資料になります。 |
| 会社法上の内部統制システム | 業務の適正、法令遵守、企業集団管理 | 取締役会、監査役等、グループガバナンス、善管注意義務の議論を支える資料になります。 |
| 2023年改訂内部統制基準・実施基準 | ガバナンス、リスク管理、IT、報告信頼性 | 単なるJ-SOX作業ではなく、全社的なリスク管理と接続して見直す必要があります。 |
| 監査実務指針 | 経営者評価の根拠と監査手続 | 資料の見た目ではなく、リスク識別、統制記述、証跡、評価範囲、不備判断との整合が見られます。 |
業務の流れ図、業務記述書、RCMの記載要素と品質条件を整理します。
業務の流れ図は、受注、与信確認、出荷指示、出荷、売上計上、請求、入金消込、返品・値引処理などを、部門、担当者、システム、帳票、承認、照合、例外処理とともに示す文書です。取引の開始、承認、記録、処理、報告を含めて把握するため、会計処理に至る接続点も示す必要があります。
次の表は、業務の流れ図に含めるべき要素を整理しています。これが重要なのは、責任分界、証跡、IT依存、例外処理を図上で確認できないと、RCMや業務記述書との接続が弱くなるためです。各行から、どの情報が監査・法務上の意味を持つかを読み取ってください。
| 要素 | 説明 | 法務・監査上の意味 |
|---|---|---|
| 部門・担当 | 営業、購買、倉庫、経理、法務、IT、子会社、委託先などを示します。 | 責任分界と職務分掌を明確にします。 |
| 業務ステップ | 受注、承認、登録、出荷、検収、請求、入金などを示します。 | 取引の流れを把握します。 |
| 帳票・データ | 注文書、契約書、出荷指示書、納品書、請求書、仕訳データなどを示します。 | 証拠資料と監査証跡を特定します。 |
| システム | 販売管理、購買管理、在庫、会計、ワークフロー、電子契約などを示します。 | IT全般統制・業務処理統制との接続点を示します。 |
| 統制ポイント | 承認、照合、レビュー、入力制限、例外承認などを示します。 | RCMの統制記述と結び付きます。 |
| リスクポイント | 架空取引、二重計上、未承認発注、締日誤り、権限逸脱などを示します。 | RCMのリスク記述と結び付きます。 |
| 例外処理 | 返品、値引、赤伝、緊急発注、手入力修正、マスタ変更などを示します。 | 不正・誤謬が集中しやすい領域を明確にします。 |
業務記述書は、業務の流れ図だけでは表現しきれない手順、担当者、判断基準、承認条件、例外処理、証跡、関連規程、システム操作、頻度を文章で説明します。監査人、内部監査人、新任担当者、法務部門、子会社管理部門、外部専門家、システム担当者が業務を短時間で理解するために重要です。
次の表は、業務記述書に含める項目を示しています。なぜ重要かというと、手順の粒度が粗いと統制を評価できず、細かすぎると更新できない資料になるためです。項目ごとに、誰が、いつ、何を、どの基準で、どの証跡を残すかを確認してください。
| 項目 | 内容 |
|---|---|
| 対象プロセス・組織 | 販売、購買、在庫、固定資産、人件費、資金、決算、本社、支店、子会社、海外拠点、委託先などを定義します。 |
| 業務目的・関連規程 | 業務が何を達成するためのものか、販売管理規程、与信規程、購買規程、決裁規程、契約管理規程などとどう接続するかを示します。 |
| 関連システム | ERP、会計システム、ワークフロー、電子契約、販売管理などを示します。 |
| インプット・アウトプット | 注文書、契約書、発注依頼、検収書、勤怠データ、請求書、仕訳、支払データ、売上データなどを示します。 |
| 具体的手順 | 誰が、いつ、何を、どの基準で、どの証跡を残して実施するかを示します。 |
| 統制手続・例外処理 | 承認、照合、レビュー、権限設定、例外承認、緊急処理、手修正、取消、返品、値引、締後処理などを示します。 |
| 証跡・頻度・責任者 | 承認ログ、チェックリスト、照合印、レビューコメント、システムログ、都度、日次、月次、四半期、年次、責任者を示します。 |
| 改訂履歴 | 作成日、改訂日、改訂理由、承認者を示します。 |
RCMの本質は、「このリスクに対して、この統制が、この頻度で、この担当者により、この証跡をもって実施されるため、リスクが合理的に低減される」と説明することです。リスク記述は抽象化し過ぎず、発生箇所、原因、影響を具体化する必要があります。
次の表は、RCMでよく用いられる標準項目をまとめています。重要なのは、統制内容を検証可能な粒度にすることです。項目を横に追うことで、リスク番号から評価結果・改善策までが一貫しているかを確認してください。
| 項目 | 内容 |
|---|---|
| プロセス・サブプロセス | 販売、購買、在庫、固定資産、人件費、決算、受注、出荷、売上計上、請求、入金などを示します。 |
| リスク番号・リスク内容 | R-001などの番号と、何が誤る、漏れる、不正に行われる可能性があるかを示します。 |
| 関連アサーション | 実在性、網羅性、権利と義務、評価、期間帰属、表示などを示します。 |
| 統制番号・統制内容 | C-001などの番号と、誰が、何を、どの基準で確認し、どの証跡を残すかを示します。 |
| 統制種別・頻度 | 予防的統制、発見的統制、手作業統制、IT自動統制、レビュー統制、都度、日次、月次、四半期、年次などを示します。 |
| 統制責任者・証跡 | 部門、役職、担当者、承認ログ、照合表、例外レポート、レビューコメントなどを示します。 |
| キーコントロール・評価 | 重要統制か否か、質問、観察、閲覧、再実施、ウォークスルー、評価結果、不備、改善策を示します。 |
次の比較一覧は、RCMの統制記述で避けるべき抽象表現と、検証しやすい具体表現を並べたものです。なぜ重要かというと、監査・内部監査・法務調査では「確認した」という言葉だけでは証跡や判断基準が分からないためです。悪い記述の問題点と良い記述の具体性を見比べ、記載の粒度を確認してください。
| 悪い記述 | 問題点 | 良い記述 |
|---|---|---|
| 担当者が確認します。 | 誰が、何を、何と照合するかが不明です。 | 営業管理課長は、日次で販売管理システムから出力される受注一覧を注文書と照合し、不一致がある場合は差異理由を一覧表に記入し、承認ログを残します。 |
| 上長が承認します。 | 承認基準と証跡が不明です。 | 500万円以上の新規取引については、与信規程に基づき営業部長および経理部長が与信限度額を承認し、ワークフロー上に承認履歴を保存します。 |
| システムで制御しています。 | 何の制御かが不明です。 | 販売管理システムは、有効登録された顧客コード以外では受注入力できない設定とし、マスタ新規登録は経理部マスタ管理者のみが実施します。 |
| 法務が確認します。 | 対象・基準・証跡が不明です。 | 法務部は、標準契約書からの重要変更、損害賠償上限の撤廃、個人情報取扱い、知財帰属、海外準拠法を含む契約について、契約管理システム上でレビューコメントを残します。 |
方針決定から版管理まで、10段階で進めます。
作成の出発点は、経営者または内部統制責任者が、文書化の目的、対象範囲、責任者、スケジュール、利用ツール、レビュー手続を決めることです。法務部門は、文書の保存期間、アクセス権限、秘密情報管理、弁護士相談記録との分離、社内規程との整合、委託先契約との整合を確認します。
次の時系列は、3点セットを作成し、維持するまでの10段階を示しています。順番が重要なのは、対象プロセスの選定やウォークスルーを飛ばすと、現場実態と文書がずれやすくなるためです。各段階で何を固め、次の段階に何を引き渡すかを読み取ってください。
目的、対象範囲、責任者、スケジュール、ツール、レビュー手続を決定します。
売上、購買、在庫、人件費、固定資産、資金、決算、ITなどを重要性とリスクで選定します。
組織図、規程、権限一覧、帳票、承認履歴、前年度資料、内部監査報告、監査人指摘を集めます。
代表的な取引を選び、取引の発生から会計処理・報告までの証跡を追跡します。
業務開始点、終了点、部門、担当、システム、承認、照合、例外処理、会計処理への接続点を示します。
各ステップの実施者、承認者、頻度、証跡、例外処理、判断基準を文章で補足します。
財務報告、法令遵守、資産保全、業務効率に重大な影響がある箇所を具体化します。
重要なリスクを低減する承認、照合、レビュー、自動統制、IT全般統制との関係を確認します。
リスク、統制、証跡、頻度、責任者、評価手続、評価結果、不備・改善策を対応させます。
現場、経理、内部統制担当、内部監査、法務、IT、必要に応じ監査人が確認し、改訂履歴を残します。
次の表は、評価対象プロセスを選ぶ際の観点を整理しています。なぜ重要かというと、すべての業務を同じ粒度で文書化すると、更新不能な資料が増えるためです。金額、リスク、変化、過去不備、IT依存、法務・規制の観点を組み合わせ、優先順位を読み取ってください。
| 観点 | 内容 |
|---|---|
| 金額的重要性 | 売上、売掛金、棚卸資産、原価、人件費など財務諸表への影響が大きいかを見ます。 |
| リスク重要性 | 不正、見積り、複雑な契約、関連当事者、規制違反、海外取引があるかを見ます。 |
| 変化 | システム変更、組織再編、M&A、子会社新設、委託先変更があったかを見ます。 |
| 過去不備 | 過年度に不備、監査指摘、内部通報、不祥事があったかを見ます。 |
| IT依存 | 自動処理、マスタ、インターフェース、アクセス権限に依存しているかを見ます。 |
| 法務・規制 | 契約、許認可、個人情報、下請法、輸出管理、独禁法、労務等のリスクがあるかを見ます。 |
次の判断の流れは、作成した3点セットをそのまま承認してよいかを確認する順番を示しています。重要なのは、形式が整っているだけでは足りず、現場実態、証跡、規程、システム、例外処理まで一致しているかを見る点です。上から順に確認し、分岐では不足があれば差し戻すと読み取ってください。
ヒアリングとウォークスルーの結果と一致しているかを見ます。
重要リスクごとに統制、証跡、責任者、頻度があるかを見ます。
決裁権限、職務分掌、権限設定、マスタ管理と矛盾がないかを確認します。
手順、証跡、統制、例外処理、版管理を補います。
作成日、改訂日、改訂理由、承認者、次回見直し時期を記録します。
3文書の対応関係と、主要プロセス別の文書化ポイントを確認します。
3点セットは、それぞれ独立した文書ではありません。業務の流れ図、業務記述書、RCMが相互に対応していなければ、実務上の信頼性は大きく低下します。たとえば、図では営業部長承認、業務記述書では課長承認、RCMでは経理部照合と書かれている場合、単なる記載ミスではなく、統制不備または評価不能の原因になり得ます。
次の表は、3点セットの整合性を点検する視点を整理しています。なぜ重要かというと、文書間で承認者・証跡・手順が違うと、監査や不祥事調査でどれが正しい運用だったかを説明しにくくなるためです。各行から、どの文書同士を突き合わせるべきかを読み取ってください。
| 整合性チェック | 確認内容 |
|---|---|
| 流れ図と業務記述書 | 業務の流れ図の各ステップが業務記述書で説明されているかを確認します。 |
| 流れ図とRCM | 業務の流れ図上のリスク・統制ポイントがRCMに反映されているかを確認します。 |
| 業務記述書とRCM | RCMの統制内容が、業務記述書上の実際の手続として説明されているかを確認します。 |
| RCMと証跡 | RCM記載の証跡が実在し、取得可能かを確認します。 |
| RCMと評価調書 | 評価手続、サンプル件数、評価結果がRCMの統制と対応しているかを確認します。 |
| 3点セットと規程 | 決裁権限、職務分掌、契約管理、情報管理規程と矛盾していないかを確認します。 |
| 3点セットとシステム | 権限設定、マスタ管理、変更管理、ログ管理と矛盾していないかを確認します。 |
次の一覧は、主要な業務プロセスごとに文書化で重点的に見る事項を整理しています。重要なのは、売上、購買、在庫、人件費、固定資産、決算で、リスクの性質と証跡が異なる点です。各項目から、自社の重要プロセスでどの統制を深掘りすべきかを読み取ってください。
与信、反社確認、契約審査、受注入力、出荷、検収、売上計上、値引、返品、期末締処理、関連当事者取引を確認します。
売上不正リスク発注依頼、見積取得、業者選定、発注承認、検収、請求書照合、支払承認、取引先マスタ変更を確認します。
購買職務分掌入庫、出庫、移動、実地棚卸、棚卸差異、評価減、廃棄承認、外部倉庫からの証跡受領を確認します。
在庫数量・評価採用、入社登録、給与マスタ変更、勤怠承認、給与計算、支払、退職、出向、賞与、役員報酬承認を確認します。
労務個人情報投資稟議、契約、発注、検収、資産登録、減価償却、実査、除却承認、リース、建設仮勘定を確認します。
資産承認決算チェックリスト、開示チェックリスト、見積りレビュー、連結パッケージ、注記作成、開示委員会資料を確認します。
決算見積りIT全般統制、業務処理統制、契約・規制・証跡管理を接続します。
現代の業務プロセスは、ERP、販売管理、購買管理、在庫管理、人事給与、会計、ワークフロー、電子契約、クラウドストレージ、BI、RPA、AI支援ツールなどに依存しています。ITを利用した内部統制は、システム環境全体に関するIT全般統制と、入力チェック・自動計算・自動承認などの業務処理統制に分けて考える必要があります。
次の表は、3点セット上の記載とIT統制の関係を示しています。なぜ重要かというと、「自動処理」と書くだけでは、マスタ、権限、変更管理、連携エラーを評価できないためです。各行から、業務処理統制を支えるIT全般統制まで確認する必要があることを読み取ってください。
| 3点セット上の記載 | IT統制との関係 |
|---|---|
| 受注入力は得意先マスタ登録済み顧客のみ可能 | 得意先マスタ管理、アクセス権限、変更ログが必要です。 |
| 売上データは販売管理から会計へ自動連携 | インターフェース管理、ジョブログ、エラー処理が必要です。 |
| 電子承認システムで部長承認 | 承認ルート設定、権限管理、代理承認管理が必要です。 |
| 価格は価格マスタから自動反映 | 価格マスタ変更承認、変更履歴、適用日管理が必要です。 |
| 例外レポートを月次レビュー | レポート抽出条件、完全性・正確性の確認が必要です。 |
次の比較一覧は、IT統制の文書化でよく起きる問題と影響を整理しています。読者にとって重要なのは、会計監査だけでなく、個人情報保護、営業秘密管理、サイバーセキュリティ、電子帳簿保存、訴訟証拠、行政調査にも影響する点です。問題と影響の組み合わせから、IT・法務・内部監査が連携すべき領域を読み取ってください。
| 問題 | 影響 |
|---|---|
| 自動処理とだけ記載しています。 | 自動統制のロジック、マスタ、権限、変更管理が評価できません。 |
| 権限一覧が最新ではありません。 | 退職者、異動者、兼務者の権限リスクが残ります。 |
| マスタ変更の承認証跡がありません。 | 価格、取引先、銀行口座、勘定科目の不正変更リスクが残ります。 |
| クラウド・SaaSの委託先管理が不足しています。 | データ保全、監査権、障害対応、再委託管理が不明になります。 |
| RPA・AI処理の変更管理がありません。 | 自動処理の誤りや無断変更が発見されにくくなります。 |
次の一覧は、法務・コンプライアンスの観点で3点セットに組み込むべき重点論点を示しています。重要なのは、財務報告に直接見えない契約・規制・証跡管理が、引当金、偶発債務、売上取消、行政処分、開示に影響し得る点です。各項目から、どの統制に法務部門が関与すべきかを読み取ってください。
販売プロセスを例に、リスク、アサーション、統制、証跡を対応させます。
販売プロセスでは、取引開始、受注、出荷、価格・値引、期末処理、請求などの各段階で、リスクと統制を具体化します。実務では、会社の業種、取引形態、会計方針、システム、規程に応じて修正する必要があります。
次の表は、販売プロセスにおける簡易RCM例です。なぜ重要かというと、リスク、アサーション、統制、頻度、責任者、証跡を横並びで確認することで、統制の抜けや証跡不足を見つけやすくなるためです。各行から、どのリスクにどの統制を当て、どの証跡で説明するかを読み取ってください。
| No. | サブプロセス | リスク | アサーション | 統制内容 | 頻度 | 責任者 | 証跡 |
|---|---|---|---|---|---|---|---|
| R-01 | 新規取引開始 | 与信未承認または反社未確認の取引先に販売します。 | 回収可能性、法令遵守、資産保全 | 営業部が申請し、経理部が与信限度額を確認し、法務・コンプライアンス部が反社確認を実施したうえで、承認済みワークフローに基づき取引先マスタを登録します。 | 都度 | 経理部長、法務責任者 | ワークフロー承認履歴、反社確認記録、与信資料 |
| R-02 | 受注 | 未承認または架空の受注が入力されます。 | 実在性 | 有効な取引先マスタに登録された顧客のみ受注入力可能とし、受注入力後、営業管理課長が注文書と受注データを日次で照合します。 | 日次 | 営業管理課長 | 受注一覧、注文書、照合記録 |
| R-03 | 出荷 | 出荷していない商品について売上が計上されます。 | 実在性 | 売上計上は出荷入力データを起点に自動作成され、経理担当者が月次で出荷一覧と売上一覧の差異を確認し、差異理由を記録します。 | 月次 | 経理課長 | 出荷一覧、売上一覧、差異分析表 |
| R-04 | 価格・値引 | 契約と異なる単価または未承認値引で請求されます。 | 評価 | 価格マスタの新規登録・変更は営業部申請、経理部確認、営業部長承認に限定し、値引率が基準を超える場合は本部長承認を要します。 | 都度 | 営業部長、経理部 | 価格マスタ変更申請、承認ログ |
| R-05 | 期末処理 | 期末日前後の売上計上時期が誤ります。 | 期間帰属 | 経理部は期末前後の出荷、検収、売上計上データを抽出し、契約条件および会計方針に基づき売上計上時期をレビューします。 | 四半期・年次 | 経理部長 | カットオフチェックリスト、レビュー記録 |
| R-06 | 請求 | 売上計上済み取引が請求されない、または二重請求されます。 | 網羅性、実在性 | 請求書発行前に、販売担当者が売上伝票と請求予定一覧を照合し、経理担当者が未請求一覧を月次確認します。 | 月次 | 営業管理課、経理課 | 請求予定一覧、未請求一覧、照合記録 |
次の比較一覧は、売上プロセスのアサーションと典型的リスク、統制例を対応させています。重要なのは、同じ売上でも実在性、網羅性、評価、期間帰属、表示で見ているリスクが異なる点です。列を横に読むことで、どの統制がどのアサーションを支えているかを確認してください。
| アサーション | 典型的リスク | 統制例 |
|---|---|---|
| 実在性 | 実在しない売上が計上されます。 | 出荷データ、受領書、契約書、請求書を照合します。 |
| 網羅性 | 出荷済み取引が売上計上されません。 | 出荷一覧と売上計上一覧を月次で照合します。 |
| 評価 | 金額、単価、値引、税区分が誤ります。 | 価格マスタ、契約条件、請求データを照合します。 |
| 期間帰属 | 期末前後の売上計上時期が誤ります。 | 出荷日、検収日、契約条件、会計方針に基づく締処理レビューを行います。 |
| 表示 | 取引区分や注記が誤ります。 | 関連当事者、収益認識、代理人取引等をレビューします。 |
形骸化、抽象記述、証跡不足、IT軽視、法務リスク漏れを防ぎます。
3点セットで最も多い問題は形骸化です。前年度ファイルをコピーし、日付だけ更新する、旧システム名が残る、電子ワークフロー化されたのに承認印が証跡欄に残る、といった状態では、監査対応にも経営管理にも使いにくくなります。
次の一覧は、よくある不備と改善方向を整理しています。重要なのは、不備を単なる記載ミスとして片付けず、統制の整備・運用・評価可能性に影響する問題として扱う点です。各項目から、どの改善策を3点セットに反映すべきかを読み取ってください。
年次更新だけでなく、組織変更、システム変更、規程改定、M&A、委託先変更、内部通報、監査指摘を更新トリガーにします。
実施者、頻度、対象、基準、証跡、例外処理を含め、検証できる表現に直します。
承認ログ、チェックリスト、差異分析表、レビューコメント、電子署名、タイムスタンプ、システムログを設計します。
退職者や部署変更、外部委託化、電子化を反映し、責任者と実施者を更新します。
アクセス権限、マスタ変更、プログラム変更、ジョブ管理、バックアップ、障害対応を確認します。
下請法、個人情報、贈収賄、輸出管理、労務未払いなど、財務報告に波及し得るリスクを組み込みます。
次の表は、3点セットの品質を評価する観点を整理しています。なぜ重要かというと、見た目が整っていても、正確性、完全性、評価可能性、更新可能性が弱ければ、監査や不祥事対応で使えないためです。良い状態と悪い状態を比べ、自社資料のどこに改善余地があるかを読み取ってください。
| 評価観点 | 良い状態 | 悪い状態 |
|---|---|---|
| 正確性 | 現場実態、規程、システムと一致しています。 | 過年度コピー、旧部署、旧システムが残っています。 |
| 完全性 | 重要な標準処理と例外処理を含みます。 | 例外処理、手入力、締後処理が漏れています。 |
| 明瞭性 | 第三者が読んでも業務と統制を理解できます。 | 社内用語や略語が多く、担当者以外には分かりにくくなっています。 |
| 評価可能性 | 統制の実施者、頻度、証跡、基準が明確です。 | 確認するという表現だけで検証できません。 |
| 整合性 | 業務の流れ図、業務記述書、RCM、規程、証跡が一致しています。 | 文書間で承認者・手順・証跡が異なります。 |
| 更新可能性 | 改訂履歴、オーナー、更新トリガーが明確です。 | 誰が更新するか不明です。 |
| リスク対応性 | 重要リスクとキーコントロールが明確です。 | 手続説明だけでリスク分析がありません。 |
| IT接続性 | システム、権限、マスタ、変更管理が接続しています。 | 自動処理という説明だけです。 |
| 法務接続性 | 契約、規制、証跡、責任分界が反映されています。 | 会計処理だけで法務リスクが見えません。 |
次の表は、成熟度を5段階で整理しています。段階を分けることが重要なのは、いきなり最高水準を目指すより、現状がどこにあり、次に何を整えるべきかを決めやすいためです。レベル1から5へ進むにつれて、文書が存在する状態から、経営管理に活用される状態へ進むことを読み取ってください。
| レベル | 状態 |
|---|---|
| 1 | 文書が存在しない、または現場メモにとどまります。 |
| 2 | 3点セットはありますが、過年度コピーで実態と乖離しています。 |
| 3 | 主要プロセスについて、現場実態と一致した3点セットが整備されています。 |
| 4 | 3点セットが評価調書、規程、システム権限、証跡管理、改善計画と連動しています。 |
| 5 | 業務変更、システム変更、法令改正、不祥事、内部監査指摘をトリガーに継続更新され、経営管理・法務・監査に活用されています。 |
中小上場会社、IPO準備会社、外部委託、クラウド、グループ会社管理の要点です。
中小上場会社やIPO準備会社では、人員、時間、システム、内部監査体制に制約があります。大企業と同じ粒度で全プロセスを文書化しようとすると、更新不能な3点セットが大量に発生します。重要なのは、リスクベースで優先順位を付けることです。
次の表は、IPO準備や初期整備で優先されやすい10領域を整理しています。なぜ重要かというと、限られた体制では、財務影響とリスクが高い領域から整備する方が現実的だからです。番号の順に、自社で最初に文書化すべき領域を検討してください。
| 優先順位 | 最初に文書化すべき領域 | 主な確認点 |
|---|---|---|
| 1 | 売上・売掛金・入金 | 受注、出荷、検収、売上計上、請求、入金消込を確認します。 |
| 2 | 仕入・買掛金・支払 | 発注、検収、請求書照合、支払承認、取引先マスタを確認します。 |
| 3 | 棚卸資産 | 入出庫、実地棚卸、棚卸差異、評価減、廃棄を確認します。 |
| 4 | 人件費 | 入社、勤怠、給与、退職、賞与、役員報酬を確認します。 |
| 5 | 固定資産 | 投資稟議、検収、資産登録、償却、実査、除却を確認します。 |
| 6 | 資金管理 | 入出金、銀行権限、資金繰り、送金承認を確認します。 |
| 7 | 決算・開示 | 決算チェック、注記、連結、開示レビューを確認します。 |
| 8 | IT全般統制 | アクセス、変更、運用、委託先管理を確認します。 |
| 9 | 契約・決裁・反社確認 | 契約審査、決裁権限、反社確認の組み込みを確認します。 |
| 10 | 子会社・関連会社管理 | 親会社承認、連結パッケージ、現地規程、現地システムを確認します。 |
次の一覧は、外部委託・クラウド利用時に契約や3点セットへ反映すべき項目を整理しています。重要なのは、自社外で発生する処理、承認、ログ、エラー、障害、再委託、データ返却、監査対応も内部統制の説明に含まれる点です。各項目から、委託先に求める証跡と責任分界を読み取ってください。
委託先と自社の処理範囲、承認範囲、エラー対応範囲を明確にします。
稼働率、復旧時間、障害時の報告義務、代替手続を定めます。
契約終了時の返却、削除、バックアップ、移行支援を確認します。
アクセス権限、暗号化、再委託管理、インシデント通知を定めます。
監査協力、資料提供、内部統制報告書・保証報告書の提供を定めます。
親会社規程、子会社権限、連結手順、現地法令、海外送金、制裁、贈収賄防止を確認します。
監査人に説明すべき事項と、よくある疑問を一般情報として整理します。
監査人に対しては、3点セットの形式ではなく、評価対象プロセスをどのように選定したか、重要なリスクをどのように識別したか、キーコントロールをどのように選定したか、統制が設計上有効といえる理由は何か、運用証跡は何かを説明できることが重要です。
次の一覧は、監査対応で説明すべき事項を整理しています。なぜ重要かというと、監査人は資料の美しさではなく、経営者評価の根拠として、評価範囲、統制識別、証跡、不備判断の整合を確認するためです。項目ごとに、事前に用意すべき説明と証跡を読み取ってください。
重要性、リスク、変化、過去不備、IT依存、法務・規制リスクに基づく説明を準備します。
重要な虚偽表示、不正、誤謬、法令違反、権限逸脱、証跡欠落のリスクを具体化します。
統制が設計上有効といえる理由、頻度、責任者、証跡、IT統制との関係を説明します。
承認ログ、照合記録、レビューコメント、例外レポート、差異分析表を提示できるようにします。
例外・不備をどのように識別し、原因分析し、是正計画へつなげたかを整理します。
契約条件、偶発債務、行政調査、個人情報、委託先契約、取締役会報告に関する確認を整理します。
一般的には、法律が「業務の流れ図、業務記述書、RCM」という名称・様式での作成を一律に義務付けているわけではないとされています。ただし、内部統制評価と監査を実務上成立させるためには、業務プロセスの流れ、リスク、統制、証跡を説明する資料が必要になる可能性があります。具体的な開示・監査対応は、会社の状況に応じて弁護士、公認会計士等の専門家へ相談する必要があります。
一般的には、重要プロセスでは両方を整備することが望ましいとされています。ただし、会社規模、プロセスの複雑性、IT環境、監査人との協議状況によって合理化できる可能性があります。具体的な粒度は、評価対象とリスクに応じて専門家と確認する必要があります。
一般的には、内部統制担当または経理が中心になり、現場部門、法務、IT、内部監査が関与する形が多いとされています。リスクは現場、会計影響は経理、法令・契約リスクは法務、システム依存はIT、統制評価は内部監査が知るため、複数部署でレビューする必要があります。
一般的には、第三者が読んで、誰が、いつ、何を、何と照合し、どの基準で判断し、どの証跡を残すかが分かる粒度が必要とされています。ただし、全画面操作まで書く必要があるとは限りません。重要リスクとキーコントロールを評価できる粒度を、会社の実態に応じて決める必要があります。
一般的には、監査人の指摘は重視されます。ただし、会社は経営者評価の責任主体として、リスク、統制、証跡、代替統制、費用対効果を踏まえて合理的に判断する必要があります。意見が分かれる場合は、指摘の趣旨を確認し、統制目的を満たす別の方法があるかを協議することが考えられます。
一般的には、法務部門が全てのRCMを作成する必要はありません。ただし、契約条件、決裁権限、規制対応、個人情報、秘密情報、委託先管理、不祥事対応、証跡保全、取締役会報告に関係する統制には関与する必要があります。具体的な役割分担は、会社の組織体制に応じて定める必要があります。
一般的には、不備の原因を分析し、リスク記述、統制内容、証跡、担当者、頻度、例外処理、IT設定、規程、教育を見直します。是正後は、業務の流れ図、業務記述書、RCM、評価調書、不備管理表を整合させる必要があります。
一般的には、不要にはならないとされています。電子化により証跡は取りやすくなる一方、承認ルート、権限設定、代理承認、アクセス権限、ログ保管、契約原本管理、データ改ざん防止、システム変更管理を文書化する必要があります。具体的な対応は、IT統制と契約管理の状況に応じて確認する必要があります。
作成後の確認項目を、全体、各文書、法務観点に分けて点検します。
チェックリストは、3点セットを作って終わりにしないための点検道具です。作成責任者、レビュー責任者、承認者、版管理、規程・システムとの整合、監査指摘の反映を継続的に確認します。
次の表は、3点セット全体の点検項目を整理しています。重要なのは、対象範囲と責任者が曖昧なままでは、更新と承認の責任が不明になる点です。各項目を確認し、文書管理の土台があるかを読み取ってください。
| 全体チェック | 確認すること |
|---|---|
| 対象範囲 | 対象プロセスと対象組織が明確です。 |
| 責任者 | 作成責任者、レビュー責任者、承認者が明確です。 |
| 版管理 | 作成日、改訂日、改訂理由、版番号が記録されています。 |
| 現場確認 | 現場部門が内容を確認しています。 |
| 整合性 | 規程、決裁権限、システム設定と整合しています。 |
| 変更点 | 前年度からの変更点が整理されています。 |
| 指摘反映 | 監査人・内部監査の指摘が反映されています。 |
次の表は、業務の流れ図、業務記述書、RCMの点検項目を横断的に整理しています。なぜ重要かというと、3文書のどれか一つだけが整っていても、評価可能性は十分にならないためです。文書ごとの項目を見比べ、同じ業務ステップが一貫して説明されているかを確認してください。
| 文書 | 点検項目 |
|---|---|
| 業務の流れ図 | 部門・担当・システム、取引の開始・承認・記録・処理・報告、会計処理への接続点、承認・照合・レビュー・入力制限、例外処理、帳票・データ・証跡の流れを確認します。 |
| 業務記述書 | 各ステップの実施者、判断基準、承認基準、例外基準、関連規程、関連システム、帳票、証跡の名称、保存場所、保存責任者を確認します。 |
| RCM | リスクの具体性、アサーションとの対応、統制内容の検証可能性、統制責任者、頻度、証跡、キーコントロール、IT自動統制、評価結果、不備、是正計画を確認します。 |
次の表は、法務観点の点検項目を整理しています。重要なのは、契約・規制・情報管理・不祥事対応・取締役会報告が、会計プロセスの外側に見えても、内部統制と財務報告に波及し得る点です。各項目から、法務部門がレビューすべき接続点を読み取ってください。
| 法務チェック | 確認すること |
|---|---|
| 契約・決裁・規制 | 契約審査、決裁権限、反社確認、与信、輸出管理、個人情報、下請法等が必要な業務に組み込まれています。 |
| 委託先契約 | 監査協力、資料提供、情報管理、再委託、障害報告が含まれています。 |
| 証跡管理 | 個人情報・営業秘密が含まれる場合、アクセス権限と保存ルールが明確です。 |
| 見直しトリガー | 不祥事、内部通報、訴訟、行政調査が3点セットの見直しトリガーになっています。 |
| 報告ルート | 取締役会・監査役等への報告ルートが整備されています。 |
3点セットを、企業価値を守るガバナンス・インフラとして活用します。
業務プロセス統制の文書化(3点セット)は、単なるJ-SOX対応書類ではありません。業務の流れ図は業務の流れを示し、業務記述書は手順と証跡を説明し、RCMはリスクと統制を対応させます。3つが整合して初めて、会社は、自らの業務プロセスについて、どのリスクを認識し、どの統制により低減し、どの証跡により説明できるかを明らかにできます。
次の重要ポイントは、3点セットの最終目標をまとめたものです。重要なのは、資料を作ることではなく、業務、リスク、統制、証跡、責任、改善を説明できる状態を作ることです。この状態が実現すると、内部統制は形式的な監査対応から、企業価値を守るガバナンス・インフラへ変わります。
企業法務、経理、内部監査、IT、事業部門、子会社管理、外部専門家が同じ業務実態を見ながら、リスク、統制、証跡、改善を継続的に更新することが実務上の要点です。