2σ Guide

J-SOX 3点セット
業務記述書・業務の流れ図・RCM

財務報告リスクを見える形にし、法務・会計・内部監査・ITが同じ認識で評価と改善へ進むための実務ポイントを整理します。

3文書業務記述書・図・RCM
2024年4月改訂基準の適用開始
9手順範囲決定から是正まで
本ページは株式会社Dプロフェッションズ(医師/医療機関/弁護士/弁護士法人ではありません)が運営しています。
一般的な情報提供を目的としており医療上の助言や法律相談等を行うものではありません。
広告(PR)を掲載しています。広告は編集内容や推奨を意味しません。
Video

J-SOX 3点セット 業務記述書・業務の流れ図・RCM

財務報告リスクを見える形にし、法務・会計・内部監査・ITが同じ認識で評価と改善へ進むための実務ポイントを整理します。

動画を読み込み中…
2σ GUIDE ・ VIDEO
J-SOX 3点セット 業務記述書・業務の流れ図・RCM
財務報告リスクを見える形にし、法務・会計・内部監査・ITが同じ認識で評価と改善へ進むための実務ポイントを整理します。
動画の文字起こし(全文テキスト)

2σ GUIDE ・ VIDEO

  • J-SOX 3点セット 業務記述書・業務の流れ図・RCM
  • 財務報告リスクを見える形にし、法務・会計・内部監査・ITが同じ認識で評価と改善へ進むための実務ポイントを整理します。

POINT 1

  • J-SOX 3点セットの位置づけ
  • 制度、業務、リスク、統制、証跡のつながりを実務担当者向けに整理します。
  • 業務記述書
  • 業務の流れ図
  • 重要な判断は、弁護士、公認会計士、監査法人、税理士、内部監査部門、情報セキュリティ専門家等と協議して確定する必要がある。

POINT 2

  • J-SOX 3点セットの要旨
  • 制度、業務、リスク、統制、証跡のつながりを実務担当者向けに整理します。
  • 読み手にとって重要な確認順序や相互の違いを押さえ、自社資料で不足している点を見つけてください。
  • 重要な点は、3点セットという名称そのものが法律条文で固定的に定義されたものではないということである。
  • 実務ではこれが、業務の流れ図、業務記述書、RCMという3点セットとして定着している。

POINT 3

  • J-SOXの制度趣旨と法的根拠
  • 制度、業務、リスク、統制、証跡のつながりを実務担当者向けに整理します。
  • 1.1 J-SOXとは何か
  • 1.3 2023年改訂・2024年適用が3点セット実務に与える意味
  • J-SOXとは、一般に、日本の金融商品取引法に基づく 内部統制報告制度を指す実務上の呼称である。

POINT 4

  • 「3点セット」は何のために作るのか
  • 1. 業務実態を把握する:取引開始、承認、記録、処理、報告、例外処理を確認する。
  • 2. 財務報告リスクを識別する:実在性、網羅性、評価、期間配分、表示などへの影響を見る。
  • 3. 統制と証跡で説明できるか確認する:誰が、何を、何と照合し、どの証跡を残すかを具体化する。
  • 4. 不備・是正へ接続:原因、影響範囲、是正策、再テストを管理する。
  • 5. 整備・運用評価へ進む:キーコントロール、サンプル、監査人説明に展開する。

POINT 5

  • J-SOX 3点セットの業務記述書
  • 制度、業務、リスク、統制、証跡のつながりを実務担当者向けに整理します。
  • 3.1 業務記述書の定義
  • 3.2 業務記述書に記載すべき主要項目
  • 3.3 業務記述書の良否を分ける実務ポイント

POINT 6

  • J-SOX 3点セットの業務の流れ図
  • 制度、業務、リスク、統制、証跡のつながりを実務担当者向けに整理します。
  • 4.1 業務の流れ図の定義
  • 4.2 業務の流れ図に入れるべき要素
  • 4.3 業務の流れ図作成の実務ルール

POINT 7

  • J-SOX 3点セットのRCM
  • 制度、業務、リスク、統制、証跡のつながりを実務担当者向けに整理します。
  • 5.1 RCMの定義
  • 5.2 RCMの基本構成
  • 5.3 RCMのサンプル ― 販売・売上プロセス

POINT 8

  • 3点セットの作成手順
  • 制度、業務、リスク、統制、証跡のつながりを実務担当者向けに整理します。
  • 6.1 手順1 ― 評価範囲を決める
  • 6.2 手順2 ― 対象プロセスを分解する
  • 6.3 手順3 ― 現場ヒアリングとウォークスルーを行う

まとめ

  • J-SOX 3点セット 業務記述書・業務の流れ図・RCM
  • J-SOX 3点セットの位置づけ:制度、業務、リスク、統制、証跡のつながりを実務担当者向けに整理します。
  • J-SOX 3点セットの要旨:制度、業務、リスク、統制、証跡のつながりを実務担当者向けに整理します。
  • J-SOXの制度趣旨と法的根拠:制度、業務、リスク、統制、証跡のつながりを実務担当者向けに整理します。
  • 本動画は一般的な情報提供であり、法律上の助言ではありません。記載の数値・金額・期間は目安です。個別事情で結論は変わります。
Overview

J-SOX 3点セットの位置づけ

制度、業務、リスク、統制、証跡のつながりを実務担当者向けに整理します。

この記事は、J-SOX対応の3点セット(業務記述書・業務の流れ図・RCM)について、企業法務、内部統制、内部監査、会計監査、経理、IT、リスクマネジメントの視点を統合して解説する専門記事である。想定読者は、上場会社、上場準備会社、上場会社グループの子会社、内部統制の整備を求められる会社、または企業法務・コンプライアンスに関連して「J-SOXで何を作ればよいのか」「3点セットは何のためにあるのか」「どこまで詳細に作るべきか」に悩む実務担当者である。

ただし、この記事は個別案件に対する法律意見、監査意見、会計処理の助言ではない。実際のJ-SOX対応では、会社の事業、組織、上場市場、監査人との協議、内部統制上のリスク、会計方針、IT環境、海外子会社の状況等により結論が変わり得る。重要な判断は、弁護士、公認会計士、監査法人、税理士、内部監査部門、情報セキュリティ専門家等と協議して確定する必要がある。

次の3つの項目は、J-SOX 3点セットがどの読み手に何を示す資料なのかを並べたものです。文書の目的が混同されると評価範囲、統制証跡、監査人説明がずれやすいため重要です。左から文書の役割、実務上の焦点、関与部門の順に読み、自社で誰がどの資料を更新するかを確認してください。

Document 01

業務記述書

取引開始から会計処理・報告までを文章で説明し、担当部署、証憑、承認、例外処理、証跡保存を言語化します。

Document 02

業務の流れ図

部門間・システム間の流れ、承認点、分岐、データ連携を見える形にし、責任分界と統制点を把握しやすくします。

Document 03

RCM

財務報告上のリスク、統制、統制証跡、整備評価、運用評価を対応づけ、テストと不備評価の土台にします。

Section 01

J-SOX 3点セットの要旨

制度、業務、リスク、統制、証跡のつながりを実務担当者向けに整理します。

J-SOX対応でよくいう「3点セット」とは、一般に次の3種類の文書を指す。

次の一覧は、J-SOX 3点セットの要旨に関係する項目を整理したものです。読み手にとって重要な確認順序や相互の違いを押さえ、自社資料で不足している点を見つけてください。

文書実務上の意味主な役割
業務記述書業務プロセスを文章で説明する文書取引の開始、承認、記録、処理、報告、例外処理、証跡、担当部署を言語化する
業務の流れ図業務プロセスを図で表す文書部門間・システム間の流れ、承認点、分岐、証憑、データ連携を視覚化する
RCMRisk Control Matrix、リスク・コントロール・マトリックス財務報告上のリスク、関連する統制、統制証跡、評価結果を対応づける

重要な点は、3点セットという名称そのものが法律条文で固定的に定義されたものではないということである。金融庁・企業会計審議会の内部統制基準・実施基準は、業務プロセスについて取引の流れや会計処理の過程を必要に応じて図や表で整理し、虚偽記載リスクと統制の対応を検討することを求める枠組みを示しており、その参考例として「業務の流れ図」「業務記述書」「リスクと統制の対応」が示されている。実務ではこれが、業務の流れ図、業務記述書、RCMという3点セットとして定着している。

したがって、J-SOX対応の3点セット(業務記述書・業務の流れ図・RCM)は、形式的な提出物ではなく、経営者が財務報告に係る内部統制を整備・運用し、有効性を評価するための実務的な証拠体系である。監査人に見せるためだけの資料ではなく、経営者、CFO、法務、経理、内部監査、IT、現場部門が、同じ業務実態と同じリスク認識を共有するための共通言語である。

Section 02

J-SOXの制度趣旨と法的根拠

制度、業務、リスク、統制、証跡のつながりを実務担当者向けに整理します。

1.1 J-SOXとは何か

J-SOXとは、一般に、日本の金融商品取引法に基づく内部統制報告制度を指す実務上の呼称である。米国のSarbanes-Oxley Act、いわゆるSOX法になぞらえて「J-SOX」と呼ばれるが、日本では単独の「J-SOX法」という法律が存在するわけではない。制度の中核は、金融商品取引法、内部統制府令、企業会計審議会の内部統制基準・実施基準、監査実務指針等により構成される。

金融商品取引法は、一定の有価証券報告書提出会社に対して、財務計算に関する書類その他の情報の適正性を確保するための体制について評価した報告書、すなわち内部統制報告書の提出を求めている。内部統制報告制度は、投資者保護と資本市場の信頼を支える制度であり、経営者が財務報告に係る内部統制を自己評価し、外部監査人がその報告に対して内部統制監査を行う構造を採る。

1.2 内部統制の4つの目的と6つの基本的要素

企業会計審議会の内部統制基準は、内部統制を、業務に組み込まれ、組織内の全ての者により遂行されるプロセスとして位置づける。改訂後の基本的枠組みでは、内部統制の目的として、業務の有効性及び効率性、報告の信頼性、事業活動に関わる法令等の遵守、資産の保全が示され、これを支える基本的要素として、統制環境、リスクの評価と対応、統制活動、情報と伝達、モニタリング、ITへの対応が挙げられている。

このうちJ-SOXの実務で中心になるのは、財務報告の信頼性に直接関係する内部統制である。ただし、実務上は法令遵守、契約管理、権限管理、ITセキュリティ、文書保存、人事異動、職務分掌、取締役会・監査役等による監督などが財務報告の信頼性に影響することが少なくない。そのため、企業法務の担当者にとってもJ-SOXは「会計部門だけの仕事」ではない。

1.3 2023年改訂・2024年適用が3点セット実務に与える意味

2023年4月、企業会計審議会は内部統制基準・実施基準の改訂を公表した。改訂基準・改訂実施基準は、2024年4月1日以後開始する事業年度の財務報告に係る内部統制の評価及び監査から適用される。

この改訂の実務上の重要点は、単に文言が変わったことではない。経営者による評価範囲の決定について、適切なリスクアプローチを徹底し、評価範囲をどのように決めたかについての説明・開示が重視されるようになった点にある。内部統制府令ガイドラインも、評価範囲の記載について、財務報告への金額的・質的影響や発生可能性を考慮し、全社的な内部統制の評価結果を踏まえて業務プロセスに係る評価範囲を合理的に決定した旨を記載すること、重要な事業拠点の選定指標、事業目的に大きく関わる勘定科目、個別追加した事業拠点・業務プロセス等を併せて記載することを示している。

つまり、現在のJ-SOX対応では、「売上高の大きい拠点を機械的に選んだ」「前年と同じ範囲でよい」「監査法人から言われた3点セットを更新した」というだけでは不十分になりやすい。3点セットは、評価範囲の妥当性、リスク認識、統制上の要点、是正状況を説明する基礎資料として、より重い意味を持つ。

Section 03

「3点セット」は何のために作るのか

制度、業務、リスク、統制、証跡のつながりを実務担当者向けに整理します。

2.1 3点セットの目的

J-SOX対応の3点セット(業務記述書・業務の流れ図・RCM)の目的は、単に監査法人に提出する資料をそろえることではない。主目的は次の5つである。

次の判断の流れは、3点セットを「作成物」ではなく評価に使う資料として見る順番を示しています。順番がずれると、先に様式を埋めても重要リスクや証跡が後から不足しやすいため重要です。上から下へ、業務実態を確認し、リスクを特定し、統制と証跡で説明できるかを読み取ってください。

3点セットを評価に使う順番

業務実態を把握する

取引開始、承認、記録、処理、報告、例外処理を確認する。

財務報告リスクを識別する

実在性、網羅性、評価、期間配分、表示などへの影響を見る。

統制と証跡で説明できるか確認する

誰が、何を、何と照合し、どの証跡を残すかを具体化する。

不足あり
不備・是正へ接続

原因、影響範囲、是正策、再テストを管理する。

説明可能
整備・運用評価へ進む

キーコントロール、サンプル、監査人説明に展開する。

第一に、業務実態を把握することである。受注、出荷、検収、売上計上、請求、入金、債権管理といった業務は、現場では当然のように処理されていても、経営者や法務・経理・監査人には見えにくいことがある。業務記述書と業務の流れ図は、暗黙知を明文化する。

第二に、財務報告上のリスクを識別することである。例えば、売上プロセスでは架空売上、売上の前倒し計上、請求漏れ、単価誤り、返品・値引の未反映、債権回収可能性の見積り誤り等が問題になる。RCMは、これらのリスクを会計上の要件、すなわち実在性、網羅性、権利と義務の帰属、評価の妥当性、期間配分の適切性、表示の妥当性等と結びつける。

第三に、リスクを低減する統制を特定することである。承認、照合、システム制御、職務分掌、例外レポート確認、マスタ変更承認、棚卸、証憑保存などが、どのリスクをどの程度低減しているかを明確にする。

第四に、統制の整備・運用評価を可能にすることである。統制が設計上リスクを十分に低減しているか、実際に運用されているか、証跡が残っているかを評価するには、統制内容、実施者、頻度、証拠、例外対応が明確でなければならない。

第五に、不備の是正と継続改善を可能にすることである。内部統制の不備が見つかった場合、3点セットがあれば、どの業務、どのリスク、どの統制、どの証跡、どの部門に問題があるかを特定しやすい。

2.2 3点セットの関係を一言で表す

3点セットの関係は、次のように整理できる。

業務記述書は「文章で説明する」文書、業務の流れ図は「図で見せる」文書、RCMは「リスクと統制を対応させる」文書である。

同じ業務プロセスを3つの角度から見るため、3点セットの間に矛盾があってはならない。業務記述書には承認があると書いてあるが、業務の流れ図には承認点がない。業務の流れ図にはシステム照合があるが、RCMには統制として登録されていない。RCMには月次レビューとあるが、業務記述書には誰が何を見るか記載されていない。これらは典型的な不整合であり、J-SOX対応の品質を大きく下げる。

Section 04

J-SOX 3点セットの業務記述書

制度、業務、リスク、統制、証跡のつながりを実務担当者向けに整理します。

3.1 業務記述書の定義

業務記述書とは、評価対象となる業務プロセスについて、取引の開始から会計処理・報告に至るまでの流れを文章で記述した文書である。例えば販売プロセスであれば、見積、契約、受注、与信確認、出荷、検収、売上計上、請求、入金、債権管理、返品・値引・貸倒処理までを、関係部署、使用システム、証憑、承認、例外処理とともに説明する。

実施基準は、重要な業務プロセスについて、取引の流れや会計処理の過程を必要に応じて図や表で整理し、理解することを示している。業務記述書は、その文章版の中心資料である。

3.2 業務記述書に記載すべき主要項目

業務記述書は、会社により様式が異なるが、専門的なJ-SOX対応では少なくとも次の項目を含めることが望ましい。

次の一覧は、J-SOX 3点セットの業務記述書に関係する項目を整理したものです。読み手にとって重要な確認順序や相互の違いを押さえ、自社資料で不足している点を見つけてください。

項目記載内容実務上の注意点
プロセス名販売、購買、在庫、固定資産、人件費、決算・財務報告等評価範囲と一致させる
対象範囲対象会社、拠点、部門、システム、勘定科目子会社・委託先・海外拠点の範囲を明確にする
業務目的何を達成する業務か経営目的と財務報告目的を分ける
登場部署・役職営業、出荷、経理、法務、承認者、システム管理者等職務分掌と権限規程に整合させる
取引開始条件契約締結、注文書受領、発注依頼、稟議承認等法務・契約審査との接点を明記する
使用書類・データ契約書、注文書、検収書、請求書、仕訳データ等電子証跡・紙証跡の保存場所を区別する
使用システム販売管理、購買管理、会計、電子承認システム等インターフェースとマスタ管理に注意する
会計処理仕訳、計上タイミング、勘定科目、消費税区分等会計方針・収益認識基準と整合させる
統制活動承認、照合、例外チェック、権限設定、レビュー等RCM上の統制IDと対応させる
例外処理返品、値引、キャンセル、手入力、緊急処理等不正リスクが高い領域として詳細化する
証跡承認ログ、チェックリスト、照合表、レビューコメント等「誰が・いつ・何を確認したか」が分かる証跡にする
関連規程権限規程、職務分掌規程、契約規程、経理規程等法務部門のレビュー対象にする
改訂履歴作成者、改訂日、改訂理由、承認者システム変更・組織変更時の更新漏れを防ぐ

3.3 業務記述書の良否を分ける実務ポイント

よい業務記述書は、現場担当者の作業手順書ではなく、財務報告リスクを理解するための記述である。したがって、細かい操作マニュアルを漫然と貼り付けるのではなく、財務報告に影響する判断、承認、データ生成、会計処理、例外処理を中心に書く必要がある。

例えば「営業担当者が受注を入力する」とだけ書くのでは不十分である。J-SOX対応では、誰が受注入力できるのか、注文書との照合はあるのか、得意先マスタは誰が登録・変更するのか、与信限度を超える受注はどう扱うのか、契約条件と売上計上条件は一致しているのか、受注データはどのように出荷・売上・請求に連携するのかまで確認する必要がある。

3.4 法務担当が業務記述書を見るべき理由

企業法務の観点では、業務記述書は契約実務と会計実務の接点を確認する資料である。特に次の点は法務担当が関与すべきである。

契約締結権限と売上計上の関係である。営業部門が実質的に合意した取引が、正式な契約承認前に出荷・売上計上される場合、契約成立、履行義務、検収条件、キャンセル条項、返品条件、価格変更条項が財務報告に影響する。

規程と実態の乖離である。権限規程上は部長承認が必要であるのに、実務では営業マネージャーが口頭承認している場合、統制上の証跡が残らず、統制の運用評価が困難になる。

証拠保全である。契約書、注文書、検収書、請求書、承認ログ、電子メール、チャット、電子契約データがどこに保存されるかは、内部統制だけでなく、紛争対応、税務調査、不正調査にも関係する。

Section 05

J-SOX 3点セットの業務の流れ図

制度、業務、リスク、統制、証跡のつながりを実務担当者向けに整理します。

4.1 業務の流れ図の定義

業務の流れ図とは、業務プロセスを図として表現し、部門、担当者、システム、証憑、承認、分岐、データ連携を可視化する文書である。金融庁の実施基準でも、参考例として「業務の流れ図」が示されている。

業務記述書は文章で詳細を説明するが、文章だけでは部門間の責任分界、データの受け渡し、承認点、例外処理の分岐が見えにくい。業務の流れ図は、業務プロセスの全体像を短時間で把握するための資料であり、ウォークスルー、監査人協議、内部監査、システム変更影響分析において特に有用である。

4.2 業務の流れ図に入れるべき要素

J-SOX対応の業務の流れ図には、少なくとも次の要素を含めるべきである。

次の一覧は、J-SOX 3点セットの業務の流れ図に関係する項目を整理したものです。読み手にとって重要な確認順序や相互の違いを押さえ、自社資料で不足している点を見つけてください。

要素意味
スイムレーン部門・役職・システムごとの担当領域営業、法務、出荷、経理、販売管理システム
開始点・終了点プロセスの範囲注文書受領から入金消込まで
業務処理具体的な作業受注入力、出荷指図、売上計上
承認点権限者による承認受注承認、値引承認、マスタ変更承認
照合点情報の一致確認注文書と受注データ、出荷報告と売上データ
判断・分岐条件に応じた処理与信超過、返品、例外承認、手入力
証憑業務・統制の証拠契約書、注文書、検収書、請求書、ログ
システム・データ情報処理と連携受注ファイル、売上ファイル、会計連携
統制IDRCMとの対応C-Sales-01、C-Revenue-03等
例外処理通常とは異なる処理手動売上計上、緊急出荷、月末調整

4.3 業務の流れ図作成の実務ルール

業務の流れ図は美しい図である必要はないが、読み手が誤解しない図でなければならない。専門実務では次のルールが重要である。

第一に、部門別のスイムレーンを用いる。誰が何をしているかが分からない業務の流れ図は、職務分掌の検討に使えない。特に営業部門と経理部門、申請者と承認者、システム管理者と業務ユーザーは分けて表示する。

第二に、統制点を明示する。単なる業務処理と統制活動を区別するため、承認、照合、レビュー、例外チェック、システム制御には統制IDを付す。これによりRCMとの対応が明確になる。

第三に、データ連携を明示する。販売管理システムから会計システムへ自動連携されるのか、Excelで加工されるのか、手入力されるのかは、リスクの大きさに直結する。自動連携であればIT全般統制やインターフェース統制、手入力であれば入力誤り・改ざんリスクの検討が必要になる。

第四に、例外処理を省略しない。通常取引だけを書いた業務の流れ図は、実務上もっとも危険な例外処理を見落とす。返品、値引、キャンセル、月末修正、手動仕訳、権限外承認、システム障害時の代替処理を明示する。

4.4 業務の流れ図の悪い例

典型的な悪い業務の流れ図は、次のようなものである。

  • 「受注」から「売上」まで矢印が一本でつながっているだけで、誰が処理するか分からない。
  • システムの自動処理と人の確認が区別されていない。
  • 承認があるのに承認者、承認基準、証跡がない。
  • RCMの統制IDと対応していない。
  • 例外処理が「必要に応じ対応」とだけ記載されている。
  • 前年度の流れを流用し、組織変更・システム変更を反映していない。

J-SOX対応の業務の流れ図では、図を見た第三者が、どこでリスクが発生し、どこでリスクが低減されるかを理解できることが重要である。

Section 06

J-SOX 3点セットのRCM

制度、業務、リスク、統制、証跡のつながりを実務担当者向けに整理します。

5.1 RCMの定義

RCMとは、Risk Control Matrix、すなわちリスク・コントロール・マトリックスの略であり、業務プロセスごとに、財務報告上のリスク、関連する会計上の要件、リスクを低減する統制、統制の実施者、頻度、証跡、評価結果を一覧化した文書である。金融庁の実施基準では「リスクと統制の対応」の参考例が示されており、実務上のRCMはこれを発展させたものといえる。

3点セットの中で、RCMは最もJ-SOX評価に直結する。業務記述書と業務の流れ図は業務理解の資料であるが、RCMは評価対象とする統制を決め、整備状況・運用状況をテストし、不備を評価するための基礎資料である。

5.2 RCMの基本構成

RCMの様式は会社ごとに異なるが、専門的なJ-SOX対応では次の項目を含めることが望ましい。

次の一覧は、J-SOX 3点セットのRCMに関係する項目を整理したものです。読み手にとって重要な確認順序や相互の違いを押さえ、自社資料で不足している点を見つけてください。

項目内容注意点
プロセス販売、購買、在庫、固定資産、決算等評価範囲と一致させる
サブプロセス受注、出荷、売上計上、請求、入金等業務の流れ図の区分と対応させる
リスクIDR-Sales-01等統制IDと区別する
リスク内容虚偽記載につながる具体的リスク抽象的すぎる記載を避ける
関連勘定科目売上高、売掛金、棚卸資産等財務報告への影響を明確にする
財務報告上の要件実在性、網羅性、評価、期間配分等会計監査の視点と接続する
統制IDC-Sales-01等業務記述書・流れと一致させる
統制内容誰が、何を、何と照合し、どう判断するか「確認する」だけでは不十分
統制種別予防的、発見的、手作業、IT依存、IT自動等テスト方法に影響する
実施者部署・役職申請者と承認者の分離を確認する
頻度都度、日次、月次、四半期、年次サンプル件数や証跡に影響する
証跡承認ログ、照合表、レビュー記録等「証跡なし」は原則として評価困難
キーコントロール判定重要統制か否か統制過多を避ける
整備評価結果有効、不備あり等設計上リスクを低減できるか
運用評価結果有効、不備あり等実際に継続運用されたか
不備内容未実施、証跡不足、権限不備等是正計画に接続する
是正状況是正済、対応中、未対応等期末までの対応を管理する
関連IT統制アクセス権限、変更管理、ジョブ管理等IT部門と連携する

5.3 RCMのサンプル ― 販売・売上プロセス

以下は、簡略化した販売・売上プロセスのRCM例である。実務では会社固有の契約条件、システム、証跡、会計方針に合わせて詳細化する。

次の一覧は、J-SOX 3点セットのRCMに関係する項目を整理したものです。読み手にとって重要な確認順序や相互の違いを押さえ、自社資料で不足している点を見つけてください。

リスク財務報告上の要件統制内容種別頻度証跡
実在しない注文に基づき売上が計上される実在性受注入力者とは別の販売責任者が、注文書と受注データを照合し、販売管理システム上で承認する予防的・手作業/IT依存都度注文書、受注承認ログ
出荷していない商品について売上が計上される実在性・期間配分売上データは出荷完了データを基礎に自動生成され、経理担当者が月次で出荷日と売上計上日を照合する発見的・IT依存月次出荷売上一覧、照合表、レビュー記録
請求すべき取引が請求されない網羅性経理担当者が売上計上一覧と請求書発行一覧を照合し、未請求取引を確認する発見的・手作業月次請求照合表、未請求リスト
誤った単価・条件で売上が計上される評価の妥当性契約単価・見積条件の変更は権限者承認を要し、マスタ変更ログを月次で確認する予防的/発見的・IT依存都度/月次価格変更申請、承認ログ、マスタ変更一覧
期末前後の売上が誤った期間に計上される期間配分の適切性経理部門が期末前後の出荷・検収・売上計上データを抽出し、計上時期の妥当性を確認する発見的・手作業四半期/年次カットオフ検証表、証憑

この表で重要なのは、リスクと統制が一対一で単純に対応するとは限らない点である。一つの統制が複数のリスクを低減する場合もあれば、一つの重大なリスクに複数の統制が必要な場合もある。RCMの目的は、形式的に行を埋めることではなく、財務報告上の重要リスクを合理的に低減する統制の組合せを説明することにある。

5.4 RCMで避けるべき記載

RCMで避けるべき記載は、抽象的・精神論的・証跡不明の記載である。

例えば、リスク欄に「売上が誤る可能性がある」とだけ書くのは不十分である。何が誤るのか、架空売上なのか、単価誤りなのか、期間帰属誤りなのか、請求漏れなのかを特定する必要がある。

統制欄に「担当者が確認する」とだけ書くのも不十分である。誰が、何を、何と照合し、どの基準で判断し、例外があればどう対応し、どの証跡を残すのかを明確にする必要がある。

証跡欄に「メール」「Excel」とだけ書くのも危険である。どのメール、どのフォルダ、どのExcel、誰の承認、改ざん防止、保存期間、レビューコメントの有無まで確認しなければ、運用評価で証拠として使いにくい。

Section 07

3点セットの作成手順

制度、業務、リスク、統制、証跡のつながりを実務担当者向けに整理します。

6.1 手順1 ― 評価範囲を決める

3点セットを作る前に、まずJ-SOXの評価範囲を決める必要がある。評価範囲は、会社並びに連結子会社及び持分法適用会社について、財務報告の信頼性に及ぼす影響の重要性を考慮して決定される。2023年改訂後は、金額的影響だけでなく、質的影響や発生可能性、全社的な内部統制の評価結果を踏まえた合理的な範囲決定がより重視される。

評価範囲が曖昧なまま3点セットを作ると、不要な業務に過剰な文書化を行う一方、本当に重要な業務プロセスを見落とす危険がある。したがって、最初に対象会社、対象拠点、対象業務、対象勘定科目、対象システムを明確にする。

6.2 手順2 ― 対象プロセスを分解する

次に、対象業務をプロセスとサブプロセスに分解する。例えば販売プロセスは、受注、与信、出荷、売上計上、請求、入金、債権管理、返品・値引に分けられる。購買プロセスは、購買申請、発注、検収、仕入計上、請求書照合、支払に分けられる。決算・財務報告プロセスは、決算整理仕訳、連結パッケージ、連結仕訳、開示資料作成、レビュー、承認に分けられる。

この分解は、業務の流れ図の構成、業務記述書の章立て、RCMのサブプロセス区分と一致させるべきである。

6.3 手順3 ― 現場ヒアリングとウォークスルーを行う

3点セットは、机上で作成してはならない。現場担当者にヒアリングし、実際の証憑、システム画面、承認ログ、例外処理、月次レビュー資料を確認しながら作成する必要がある。

ウォークスルーでは、典型的な取引を一件選び、取引開始から会計記録・報告までを追跡する。例えば一つの注文について、契約書、注文書、受注入力、与信確認、出荷指図、出荷報告、検収、売上計上、請求、入金消込までを実際にたどる。これにより、業務記述書・業務の流れ図・RCMが実態を反映しているかを確認できる。

6.4 手順4 ― 業務記述書を作る

現場ヒアリングの結果を文章化する。ここで重要なのは、操作手順を長々と書くことではなく、財務報告に影響する業務判断、承認、証跡、システム連携、例外処理を明確化することである。

特に、法務が関与する契約承認、規程承認、取締役会決議、委託先管理、権限規程、文書保存ルールは、後工程のRCMに影響するため、記述の精度が重要である。

6.5 手順5 ― 業務の流れ図を作る

業務記述書をもとに、業務の流れを図示する。業務の流れ図は、業務記述書を補完するものであり、独立して別の内容を示すものではない。図にしたときに、処理の重複、承認漏れ、職務分掌の不備、システム連携のリスク、例外処理の曖昧さが見つかることが多い。

6.6 手順6 ― RCMを作る

業務の流れ図と業務記述書をもとに、各サブプロセスの財務報告リスクを洗い出し、そのリスクを低減する統制を対応づける。リスク識別では、実在性、網羅性、権利と義務、評価、期間配分、表示といった要件を意識する。

統制を記載するときは、統制が本当にそのリスクを低減しているかを検討する。単に「部長承認がある」だけでは、何を承認しているのか、承認基準は何か、証跡は残るのか、承認者は十分な情報を持っているのかが分からない。J-SOXで評価可能な統制にするには、統制の実施内容を明確に定義する必要がある。

6.7 手順7 ― キーコントロールを選定する

RCMに記載した統制のすべてを同じ重みで評価するわけではない。財務報告上の重要リスクを十分に低減するために重要な統制をキーコントロールとして選定する。

キーコントロールの選定では、統制が対象にするリスクの重要性、他の統制との重複、統制の頻度、統制証跡、IT依存度、職務分掌、過去の不備、監査人の指摘、業務変更の有無を考慮する。キーコントロールが多すぎると評価負荷が過大になり、少なすぎると重要リスクを説明できなくなる。

6.8 手順8 ― 整備評価と運用評価を行う

整備評価では、統制の設計がリスクを十分に低減できるかを確認する。例えば、承認者が取引内容を理解せず形式的に押印しているだけであれば、設計上の有効性に疑問がある。

運用評価では、統制が対象期間を通じて実際に運用されたかを証跡により確認する。統制が設計上は有効でも、証跡が残っていない、承認が後付けである、例外が放置されている、担当者変更後に実施されていない場合は、運用上の不備となり得る。

6.9 手順9 ― 不備を評価し、是正する

不備が見つかった場合、その不備が単なる軽微な不備か、財務報告に重要な影響を及ぼす可能性が高い開示すべき重要な不備かを評価する。内部統制報告制度では、経営者が内部統制の有効性を評価し、内部統制報告書に結果を記載する。金融庁のQ&Aも、内部統制報告書の各記載内容は会社の実情に応じて記載することが適当であり、例示は参考であると説明している。

3点セットは、不備の発生箇所、原因、是正策、再発防止策を検討するための基礎資料になる。例えば、承認漏れが発生した場合、権限規程が不明確なのか、電子承認システム設定が誤っているのか、担当者教育が不足しているのか、証跡保存が不十分なのかを切り分ける。

Section 09

J-SOX 3点セットを監査人から見る

制度、業務、リスク、統制、証跡のつながりを実務担当者向けに整理します。

8.1 監査人は3点セットの何を見るか

監査人は、経営者が決定した評価範囲の妥当性、業務プロセスの理解、リスク識別、統制上の要点、整備・運用評価の合理性を検討する。3点セットは、その検討の入口となる資料である。

監査人は、3点セットを見て次のような点を確認する。

  • 評価範囲が財務報告上のリスクを適切に反映しているか。
  • 業務記述書・業務の流れ図・RCMが相互に整合しているか。
  • 財務報告上の重要リスクが漏れていないか。
  • 統制がリスクを十分に低減しているか。
  • キーコントロールの選定が合理的か。
  • 統制証跡が実在し、運用評価に利用できるか。
  • IT統制や委託先統制が適切に考慮されているか。
  • 不備の評価と是正状況が合理的か。

日本公認会計士協会は、2025年2月に財務報告内部統制監査基準報告書第1号の改正を公表し、2025年4月1日以後開始する連結会計年度及び事業年度に係る内部統制監査から適用することとしている。監査実務の指針は改正が続くため、企業側も監査人との協議を通じて最新の実務要求を確認する必要がある。

8.2 監査人対応で避けるべき姿勢

監査人対応で避けるべき姿勢は、「前年踏襲だから問題ない」「他社も同じ様式だから問題ない」「監査法人が言ったからそうした」という姿勢である。J-SOXにおける内部統制の整備・運用・評価の責任は経営者にある。監査人は独立した立場で監査を行う者であり、経営者に代わって内部統制を設計する者ではない。

したがって、監査人からのコメントを待つだけでなく、会社自身が評価範囲、リスク、統制、証跡、不備評価を説明できる状態にしておくことが重要である。

Section 10

J-SOX 3点セットとIT統制

制度、業務、リスク、統制、証跡のつながりを実務担当者向けに整理します。

9.1 ITが財務報告に与える影響

現代のJ-SOX対応では、ITを無視して3点セットを作成することはできない。販売管理システム、購買管理システム、在庫管理システム、会計システム、連結システム、電子承認システム、電子契約、経費精算、BIツール、Excelマクロ、RPAなどが財務報告データの生成・変更・承認・集計に関与する。

業務プロセス統制は、IT全般統制やIT業務処理統制に依存することが多い。例えば、システム上の承認ログを統制証跡として使う場合、そのシステムのアクセス管理、変更管理、運用管理が信頼できなければ、承認ログの信頼性にも疑問が生じる。

9.2 RCMにIT依存を明記する

RCMでは、統制が手作業か、IT自動統制か、IT依存手作業統制かを区別する必要がある。

IT自動統制とは、システムが自動的に実施する統制である。例えば、与信限度超過の受注を自動的にブロックする、承認権限のない者が支払承認できない、出荷データがない場合は売上計上できない、といった統制である。

IT依存手作業統制とは、人が確認するが、その確認資料がシステムから出力される統制である。例えば、経理担当者がシステム出力の売上一覧を確認する場合、出力データの完全性・正確性が問題になる。

手作業統制とは、システムに依存せず人が行う統制である。ただし、現代の実務では完全な手作業統制は少なく、多くはExcel、メール、チャット、電子承認システム、電子ファイルに依存している。

9.3 Excel・EUC管理

ExcelはJ-SOXで見落とされやすいリスクである。決算整理、引当金計算、棚卸評価、リベート計算、税効果、連結調整、開示資料作成では、ExcelやEUC、すなわちEnd User Computingが多用される。

Excel統制では、作成者とレビュー者、ファイル保存場所、版管理、数式保護、入力セルと計算セルの区別、変更履歴、レビュー証跡、元データとの照合が重要である。RCM上、Excelを使う統制には、単に「Excelで確認」と書くのではなく、どのExcelを、誰が、どの元データと、どのセル・計算ロジックで、どの証跡によりレビューするのかを記載すべきである。

Section 11

J-SOX 3点セットの業務プロセス別実務

制度、業務、リスク、統制、証跡のつながりを実務担当者向けに整理します。

10.1 販売・売上プロセス

販売・売上プロセスは、J-SOXで最も重要な業務プロセスの一つである。売上高、売掛金、契約資産、返品引当、貸倒引当、リベート、消費税、収益認識に関係し、財務報告への影響が大きい。

主なリスクは、架空売上、売上の前倒し・遅延計上、単価誤り、値引・返品の未反映、請求漏れ、入金消込誤り、貸倒見積り誤りである。法務上は、契約成立、検収、返品権、価格調整、代理人取引か本人取引か、複数要素契約などが財務報告に影響し得る。

販売プロセスの3点セットでは、契約・注文・出荷・検収・売上・請求・入金の各証憑がどのように連携するかを明確にする。

10.2 購買・債務プロセス

購買プロセスでは、発注権限、検収、仕入計上、請求書照合、支払承認、買掛金管理が中心となる。主なリスクは、架空仕入、未検収仕入、費用計上漏れ、支払重複、支払先誤り、単価誤り、期末未払計上漏れである。

法務担当は、購買契約、業務委託契約、下請取引、支払条件、検収条件、成果物の権利帰属、解除条項などを確認する。特に業務委託契約では、実際の検収・成果物確認と会計処理が一致しているかが重要である。

10.3 在庫プロセス

在庫プロセスでは、入出庫、棚卸、評価、滞留品、廃棄、原価計算が中心となる。主なリスクは、在庫の実在性、網羅性、評価の妥当性、原価配賦誤り、棚卸差異未処理である。

業務の流れ図では、購買・製造・販売との連携、倉庫・物流委託先、システム在庫と実地棚卸の照合、棚卸差異の承認、評価減の判断を明確にする。RCMでは、棚卸計画、棚卸立会、差異分析、滞留品レビュー、マスタ管理を統制として記載する。

10.4 固定資産プロセス

固定資産プロセスでは、取得、検収、資産計上、減価償却、除却、減損、リース、資産現物管理が中心となる。主なリスクは、費用と資産の区分誤り、取得価額誤り、償却方法誤り、除却漏れ、減損兆候の見落としである。

法務担当は、設備購入契約、リース契約、不動産契約、工事請負契約、保守契約、所有権移転条件を確認する。会計判断に影響する契約条件が、業務記述書とRCMに反映されているかが重要である。

10.5 人件費プロセス

人件費プロセスでは、入退社、給与計算、勤怠、賞与、退職給付、社会保険、役員報酬が中心となる。主なリスクは、架空従業員への支払、勤怠入力誤り、給与計算誤り、賞与引当・退職給付見積り誤り、役員報酬承認不備である。

法務・労務担当は、就業規則、賃金規程、雇用契約、労働時間管理、役員報酬決議、出向契約を確認する。人事マスタ変更権限、給与計算レビュー、支払承認、入退社情報の連携が統制上重要である。

10.6 決算・財務報告プロセス

決算・財務報告プロセスは、すべての業務プロセスの結果が集約される領域である。決算整理仕訳、見積り、連結、税金計算、開示資料作成、取締役会承認、監査対応が含まれる。

主なリスクは、決算仕訳誤り、見積り誤り、連結消去誤り、開示漏れ、注記誤り、承認不足、後発事象の見落としである。3点セットでは、誰が決算資料を作成し、誰がレビューし、どのチェックリストを用い、どのように承認し、どの証跡を残すかを詳細に記載する。

Section 12

J-SOX 3点セットと内部統制報告書

制度、業務、リスク、統制、証跡のつながりを実務担当者向けに整理します。

11.1 3点セットは通常、外部に提出する報告書そのものではない

3点セットは、通常、金融庁に提出する内部統制報告書そのものではない。内部統制報告書には、財務報告に係る内部統制の基本的枠組みに関する事項、評価の範囲・基準日・評価手続に関する事項、評価結果に関する事項、付記事項、特記事項などが記載される。第一号様式・第二号様式にもこれらの記載項目が示されている。

3点セットは、これらの報告内容の背後にある評価資料であり、経営者評価、監査人の検討、内部監査、是正管理に用いられる。

11.2 評価範囲の説明と3点セット

内部統制報告書では、評価範囲をどのように決定したかの説明が重要である。評価範囲に含めた業務プロセスについて3点セットが整備されていれば、会社は「なぜこの業務を評価対象としたのか」「どのリスクを識別したのか」「どの統制を評価したのか」を説明しやすい。

一方、3点セットが不足していると、評価範囲に含めたにもかかわらずリスクと統制の対応が不明確になり、評価手続の合理性を説明しにくくなる。

Section 13

J-SOX 3点セットのよくある失敗と原因

制度、業務、リスク、統制、証跡のつながりを実務担当者向けに整理します。

12.1 前年コピーによる形骸化

最も多い失敗は、前年の3点セットをコピーして日付だけ更新することである。組織変更、システム変更、承認権限変更、業務委託先変更、会計方針変更、新規取引開始、M&A、海外子会社追加があったにもかかわらず、3点セットが更新されていない場合、内部統制の実態を反映しない資料になる。

12.2 業務記述書と業務の流れ図の不一致

業務記述書では経理部長が承認すると書いてあるが、業務の流れ図では営業部長が承認している。業務の流れ図では法務審査があるが、業務記述書には記載がない。こうした不一致は、ウォークスルーや監査人レビューで指摘されやすい。

12.3 RCMのリスクが抽象的すぎる

「誤った処理が行われる」「不正が発生する」といった抽象的なリスクでは、統制が有効か判断できない。リスクは、財務報告のどの要件に影響し、どの勘定科目・開示に影響するのかを具体化する必要がある。

12.4 統制証跡が残っていない

承認やレビューを実施していても、証跡が残っていなければ運用評価が困難になる。口頭確認、暗黙のチェック、メール本文だけの承認、押印日不明の紙資料、レビューコメントのないExcelは、J-SOX評価上の弱点になりやすい。

12.5 キーコントロールが多すぎる

すべての承認・チェックをキーコントロールにすると、評価負荷が膨大になる。重要なリスクを低減する統制に絞り込むことが必要である。ただし、絞り込みすぎて重要リスクを説明できない状態も避けなければならない。

12.6 例外処理が管理されていない

例外処理は不正や誤謬が生じやすい。緊急出荷、手動売上計上、マスタの一時変更、支払先変更、権限外承認、システム障害時の手作業処理などは、RCMに明示して統制を設定する必要がある。

Section 14

3点セットの品質チェックリスト

制度、業務、リスク、統制、証跡のつながりを実務担当者向けに整理します。

以下は、J-SOX対応の3点セット(業務記述書・業務の流れ図・RCM)の品質を確認するためのチェックリストである。

13.1 共通チェック

次の一覧は、3点セットの品質チェックリストに関係する項目を整理したものです。読み手にとって重要な確認順序や相互の違いを押さえ、自社資料で不足している点を見つけてください。

チェック項目確認内容
評価範囲との整合対象会社、拠点、業務、勘定科目、システムが評価範囲と一致しているか
改訂履歴作成日、更新日、更新理由、承認者が明確か
現場確認ヒアリングと証跡確認に基づいているか
規程整合権限規程、職務分掌、経理規程、契約規程と一致しているか
IT整合システム権限、マスタ管理、インターフェース、ログと整合しているか
例外処理通常処理だけでなく例外処理も記載されているか
証跡統制証跡の種類、保存場所、作成者、承認者が明確か

13.2 業務記述書チェック

次の一覧は、3点セットの品質チェックリストに関係する項目を整理したものです。読み手にとって重要な確認順序や相互の違いを押さえ、自社資料で不足している点を見つけてください。

チェック項目確認内容
取引開始取引開始条件と承認が明確か
会計処理勘定科目、計上時期、仕訳、税区分が明確か
関係部署各部署の役割が明確か
システム使用システムとデータ連携が明確か
契約条件財務報告に影響する契約条件が記載されているか
例外処理返品、値引、キャンセル、手入力等が記載されているか

13.3 業務の流れ図チェック

次の一覧は、3点セットの品質チェックリストに関係する項目を整理したものです。読み手にとって重要な確認順序や相互の違いを押さえ、自社資料で不足している点を見つけてください。

チェック項目確認内容
スイムレーン部門・役職・システム別に整理されているか
統制点承認、照合、レビュー、システム制御が明示されているか
RCM対応統制IDがRCMと対応しているか
データ連携自動連携、手入力、Excel加工が区別されているか
分岐条件分岐と例外処理が示されているか

13.4 RCMチェック

次の一覧は、3点セットの品質チェックリストに関係する項目を整理したものです。読み手にとって重要な確認順序や相互の違いを押さえ、自社資料で不足している点を見つけてください。

チェック項目確認内容
リスク具体性リスクが財務報告上の虚偽記載に結びつく形で具体化されているか
要件対応実在性、網羅性、評価、期間配分等との対応が明確か
統制内容誰が、何を、何と照合し、どう判断するか明確か
証跡運用評価に使える証跡が明確か
頻度統制頻度が明確か
実施者職務分掌上、実施者が適切か
IT依存IT自動統制、IT依存手作業統制、手作業統制が区別されているか
不備管理不備、是正策、期限、責任者が管理されているか
Section 15

J-SOX 3点セットで上場準備会社が注意すべき点

制度、業務、リスク、統制、証跡のつながりを実務担当者向けに整理します。

14.1 小規模組織では職務分掌が課題になりやすい

中小企業や上場準備会社では、人数が限られるため、申請、承認、記録、支払、マスタ管理が同じ担当者に集中しやすい。この場合、理想的な職務分掌をそのまま導入できないことがある。

その場合でも、代替統制を検討する必要がある。例えば、経営者レビュー、月次の例外レポート確認、支払先変更の二重承認、システム権限の限定、外部専門家によるレビューなどでリスクを低減できる場合がある。ただし、経営者レビューは「見ている」だけでは不十分であり、何を確認し、どの異常値を検討し、どの証跡を残すかを明確にする必要がある。

14.2 上場準備では早期の文書化が重要

上場準備会社では、上場直前に3点セットを作ろうとしても、業務実態が整っていない、証跡が残っていない、権限規程が実態と合っていない、システム権限が過剰である、といった問題が顕在化しやすい。

3点セットは、上場申請のための形式文書ではなく、上場会社としての内部統制を整備するためのプロジェクト文書である。早期に作成し、ウォークスルー、内部監査、監査法人との協議、改善を繰り返すことが重要である。

Section 16

J-SOX 3点セットとM&A・組織再編・海外子会社

制度、業務、リスク、統制、証跡のつながりを実務担当者向けに整理します。

15.1 M&A後のJ-SOX対応

M&Aで子会社を取得した場合、取得会社の業務プロセス、会計システム、決算スケジュール、権限規程、証跡保存、委託先管理が親会社グループのJ-SOXに影響する。3点セットの更新では、対象会社を評価範囲に含めるか、どの業務プロセスを評価するか、親会社の統制を適用できるか、現地固有の統制をどう評価するかを検討する。

15.2 海外子会社の難しさ

海外子会社では、言語、会計基準、ERP、証憑文化、承認慣行、現地法規制、タイムゾーンの違いがある。3点セットを日本語で作るだけでは、現地担当者が理解できず、運用に結びつかないことがある。必要に応じて英語版や現地語版を作成し、現地の業務実態を反映する必要がある。

15.3 組織再編・システム統合

合併、会社分割、事業譲渡、ERP統合、シェアードサービス化は、業務プロセスを大きく変える。3点セットは、組織再編のクロージング後ではなく、再編計画段階から影響分析の対象にするべきである。法務、経理、IT、内部監査、PMI担当が連携し、権限、契約、委託、システム、証跡、会計処理の変更を反映する。

Section 17

3点セットと不正対応・危機管理

制度、業務、リスク、統制、証跡のつながりを実務担当者向けに整理します。

16.1 不正リスクの観点

J-SOX対応は、誤謬だけでなく不正リスクにも関係する。不正売上、架空仕入、循環取引、キックバック、横領、在庫水増し、経費不正、手動仕訳による利益操作などは、財務報告に重大な影響を及ぼし得る。

3点セットでは、不正が起こりやすいポイントを明確にする必要がある。特に、例外処理、手動仕訳、マスタ変更、権限集中、締め処理後の修正、経営者による統制無視、関連当事者取引、海外子会社、委託先は注意が必要である。

次の注意要素の一覧は、不正や会計問題が起こりやすい領域をまとめたものです。平時に見落とすと、問題発生時に影響範囲の特定や監査人説明が遅れるため重要です。各項目では、通常処理から外れる場面、権限が集中する場面、第三者に処理を依存する場面を重点的に読み取ってください。

例外処理・手動仕訳

緊急出荷、月末修正、手動売上計上、締め後修正は、通常の承認や照合を迂回しやすいため、証跡と承認基準を明確にします。

マスタ変更・権限集中

得意先、価格、支払先、ユーザー権限の変更は、入力者、承認者、確認者を分け、変更ログのレビューを残す必要があります。

海外子会社・委託先

現地慣行、言語、システム、再委託の違いにより証跡の水準が変わるため、評価範囲と補完統制を早めに確認します。

16.2 危機対応時に3点セットが役立つ理由

不正や会計問題が発生した場合、第三者委員会、社内調査、監査法人、監査役等、取締役会、証券取引所、金融庁、投資家対応が必要になることがある。その際、3点セットが整備されていれば、問題の発生プロセス、統制不備、影響範囲、是正策を迅速に把握できる。

逆に、3点セットが形骸化していると、調査初期に業務実態の把握から始めなければならず、対応が遅れる。企業法務と危機管理の観点からも、3点セットは平時の文書ではなく有事の証拠基盤である。

Section 18

3点セットのメンテナンス体制

制度、業務、リスク、統制、証跡のつながりを実務担当者向けに整理します。

17.1 年1回更新では遅い場合がある

多くの会社では、J-SOX年度評価に合わせて年1回3点セットを更新する。しかし、重要な業務変更があった場合は、その時点で更新すべきである。例えば、次のような事象があれば、更新要否を検討する。

  • 新システム導入、ERP移行、電子承認システム変更
  • 組織変更、承認権限変更、担当者変更
  • 新規事業開始、新商品、新収益モデル
  • M&A、子会社取得、事業譲渡
  • 重要な委託先変更、シェアードサービス化
  • 会計方針変更、収益認識の変更
  • 監査人指摘、不備発生、不正疑義
  • 法令・規制・社内規程の改正

17.2 変更管理プロセスを作る

3点セットの更新漏れを防ぐには、業務変更時に内部統制担当へ通知する仕組みが必要である。法務部門が契約審査や規程改定を行う際、財務報告に影響する変更であれば、内部統制担当・経理・ITへ連携する。IT部門がシステム変更を行う際、業務プロセス統制や証跡に影響する場合は、RCM更新を検討する。

次の時系列は、重要な変更が起きたときに3点セットへ反映する順番を示しています。更新を年度末まで待つと、評価範囲、証跡、監査人協議が後追いになりやすいため重要です。上から順に、変更の発生、影響判定、文書更新、評価・是正へ進む流れを読み取ってください。

変更発生時

契約・組織・システム変更を通知する

法務、経理、IT、内部統制担当が、財務報告に影響する変更かを確認します。

影響判定

対象範囲と統制証跡への影響を見る

評価対象会社、プロセス、勘定科目、システム、委託先、証跡保存場所への影響を整理します。

更新・評価

3点セットとRCMを更新し再確認する

業務記述書、業務の流れ図、RCMを更新し、整備評価・運用評価・是正状況へつなげます。

17.3 文書オーナーを明確にする

3点セットは、作成担当者が退職・異動すると更新されなくなりやすい。各プロセスに文書オーナーを設定し、内部統制部門が全体管理し、経理・法務・IT・内部監査がレビューする体制が望ましい。

Section 19

J-SOX 3点セットの業務記述書テンプレート

制度、業務、リスク、統制、証跡のつながりを実務担当者向けに整理します。

以下は、業務記述書の骨子例である。

次の一覧は、J-SOX 3点セットの業務記述書テンプレートに関係する項目を整理したものです。読み手にとって重要な確認順序や相互の違いを押さえ、自社資料で不足している点を見つけてください。

セクション記載例
1. プロセス概要本プロセスは、国内販売取引について、注文受付から売上計上、請求、入金消込までを対象とする。
2. 対象範囲対象会社、対象拠点、対象システム、対象勘定科目を記載する。
3. 関係部署営業部、法務部、出荷部、経理部、システム部等の役割を記載する。
4. 業務の流れ受注、与信、契約確認、出荷、検収、売上、請求、入金を順に記載する。
5. 会計処理売上計上基準、仕訳、締め処理、例外処理を記載する。
6. 統制活動承認、照合、レビュー、例外チェック、マスタ管理を記載する。
7. 例外処理値引、返品、キャンセル、手動修正、システム障害時対応を記載する。
8. 証跡注文書、契約書、承認ログ、出荷報告、請求書、照合表を記載する。
9. 関連規程権限規程、契約規程、経理規程、文書保存規程を記載する。
10. 改訂履歴改訂日、改訂理由、承認者を記載する。
Section 20

J-SOX 3点セットのRCMテンプレート

制度、業務、リスク、統制、証跡のつながりを実務担当者向けに整理します。

RCMのテンプレートは、次のように設計すると使いやすい。

次の一覧は、J-SOX 3点セットのRCMテンプレートに関係する項目を整理したものです。読み手にとって重要な確認順序や相互の違いを押さえ、自社資料で不足している点を見つけてください。

プロセスサブプロセスリスクIDリスク内容勘定科目要件統制ID統制内容統制種別頻度実施者証跡キー統制整備評価運用評価不備・是正
販売受注R-01実在しない注文により売上が計上される売上高・売掛金実在性C-01販売責任者が注文書と受注データを照合し承認する予防的都度販売責任者承認ログ有効有効なし

実務では、評価者、評価日、サンプル件数、例外件数、関連IT統制、監査人コメント、改善期限などを追加することが多い。

Section 21

J-SOX 3点セットのよくある質問

一般的な制度理解にとどめ、個別判断は会社の事情と専門家の確認が必要であることを前提に整理します。

Q1. 3点セットは法律上必ず作成しなければならないのですか

一般的には、3点セットという名称や固定様式が法律で義務付けられているわけではないとされています。ただし、経営者が財務報告に係る内部統制を評価するには、業務プロセス、リスク、統制、証跡を把握・記録する必要があります。会社の規模、評価範囲、監査人との協議により必要な資料は変わるため、具体的な対応は弁護士、公認会計士、監査法人等の専門家へ相談する必要があります。

Q2. 業務記述書と業務の流れ図は両方必要ですか

一般的には、文章と図は機能が異なるため、複雑なプロセスでは両方を作成する方が実務上の理解と監査対応が容易とされています。ただし、会社の規模、プロセスの複雑性、評価範囲、既存資料の品質によって結論は変わる可能性があります。具体的な資料構成は、監査人や専門家と協議して決める必要があります。

Q3. RCMはどの程度詳細に書くべきですか

一般的には、財務報告上の重要リスクを説明でき、統制の整備・運用評価が可能な程度に詳細である必要があるとされています。「確認する」「承認する」だけでは足りず、誰が、何を、何と照合し、どの基準で、どの証跡を残すかを記載することが重要です。具体的な粒度は、プロセスの重要性や監査人との協議によって変わります。

Q4. 監査人から指摘されないようにするには何を確認しますか

一般的には、指摘を避けること自体を目的にするのではなく、会社自身が評価範囲、リスク、統制、証跡、不備評価を説明できる状態にすることが重要とされています。特に、3文書間の整合、証跡の実在、例外処理、IT依存、評価範囲の根拠を確認します。具体的な監査対応は、会社の状況と監査人の方針により変わります。

Q5. 法務部門はどこまで関与すべきですか

一般的には、法務部門は契約条件、権限規程、職務分掌、委託先管理、文書保存、取締役会・監査役等のガバナンス、不正・紛争対応に関係する部分へ関与することが望ましいとされています。ただし、全てのRCMを法務が作成する必要があるかは会社の体制により異なります。具体的な役割分担は、経理、内部監査、IT、専門家と協議する必要があります。

Q6. システムを導入すれば3点セットは不要になりますか

一般的には、システムを導入しても3点セットまたは相当資料は不要にならないとされています。どの業務リスクをどのシステム統制が低減しているかを説明する必要があるためです。システム導入後は、業務の流れ、権限、マスタ、データ連携、ログ、例外処理を3点セットに反映する必要があります。

Q7. 子会社にも3点セットは必要ですか

一般的には、親会社グループの評価範囲に含まれる子会社では、対象プロセスについて3点セットまたは相当資料が必要になることが多いとされています。子会社の規模やリスクに応じて簡素化できる場合もありますが、財務報告上の重要リスクを説明できる資料は必要です。具体的な対応はグループ方針と専門家の助言に基づき検討します。

Section 22

J-SOX 3点セットは企業統治の実効性を映す

制度、業務、リスク、統制、証跡のつながりを実務担当者向けに整理します。

J-SOX対応の3点セット(業務記述書・業務の流れ図・RCM)は、単なる監査対応資料ではない。業務記述書は業務の事実を言語化し、業務の流れ図は業務の流れと統制点を可視化し、RCMは財務報告リスクと統制を論理的に接続する。

優れた3点セットは、経営者が財務報告に係る内部統制を理解し、内部監査が効果的に評価し、監査人が合理的に検討し、法務・経理・IT・現場が同じ認識で改善できる状態を作る。反対に、形だけの3点セットは、業務実態を隠し、リスクを曖昧にし、不備の発見と是正を遅らせる。

特に2023年改訂以後のJ-SOX実務では、評価範囲の合理性、リスクアプローチ、開示の説明責任、IT・委託先・不正リスクへの対応が重視される。企業法務に携わる者も、J-SOXを「経理・監査の専門領域」として切り離すのではなく、契約、規程、権限、証拠、ガバナンス、危機管理の観点から関与すべきである。

最終的に、J-SOX対応の3点セット(業務記述書・業務の流れ図・RCM)の品質は、その会社が自社の業務、リスク、統制、証跡をどれだけ真摯に理解しているかを示す。3点セットを作ることが目的ではない。3点セットを通じて、財務報告の信頼性を支える内部統制を実効的に整備・運用し、継続的に改善することこそが目的である。

Reference

この記事の参考情報源

制度・基準

  • 金融庁・企業会計審議会「財務報告に係る内部統制の評価及び監査の基準」および同実施基準
  • 金融庁「財務報告に係る内部統制の評価及び監査に関する実施基準の改訂について」
  • 金融庁「内部統制府令ガイドライン」
  • 金融庁「内部統制報告制度に関するQ&A」

法令・様式

  • e-Gov法令検索「金融商品取引法」
  • e-Gov法令検索「財務計算に関する書類その他の情報の適正性を確保するための体制に関する内閣府令」
  • e-Gov法令検索「内部統制報告書 第一号様式」

監査実務

  • 日本公認会計士協会「財務報告内部統制監査基準報告書第1号『財務報告に係る内部統制の監査』の改正」