「内部統制」や「J-SOX」について、実際にどのように整備を進めればいいのか、悩んでいる企業の方も多いのではないでしょうか。

本記事では、J-SOX対応に欠かせない「3点セット（業務記述書・フローチャート・リスクコントロールマトリクス）」について、その具体的な役割や作成の流れ、押さえておきたいポイントをわかりやすく解説します。

「これからJ-SOXの準備を始めたい」方はもちろんのこと、「すでに運用中だけれど見直しを検討している」という方も、ぜひ最後までチェックしてみてください。

J-SOXの概要、目的や特徴をはじめに知りたい方は、こちらの記事をご参照ください。
J-SOX法（内部統制報告制度）とは？内部統制報告制度の目的や罰則まで詳しく解説

J-SOXの3点セットとは何か

J-SOXの3点セットとは、内部統制における重要な、以下3つの文書を指します。

①業務記述書
②フローチャート
③リスクコントロールマトリクス（RCM）

これらは、財務報告の信頼性を確保するために必須の資料であり、業務プロセスの可視化とリスク管理を体系的に行うための基盤となります。

以下では、それぞれの文書の特徴や作成のポイントを押さえながら、内部統制を強化するための具体的なプロセスを見ていきましょう。

業務記述書

業務記述書とは、業務の流れや手順を5W1H（いつ、どこで、誰が、何を、なぜ、どのように）の観点で整理した文書です。

業務の全体像を正しく捉え、可視化と標準化を図ることで、リスクポイントを明確に特定しやすくなります。作成の際には、実務担当者へのヒアリングや社内規程の確認が欠かせません。

また、文書化されたプロセスは、後続のフローチャートやリスクコントロールマトリクス（RCM）との整合性を保つうえでも非常に重要です。

フローチャート

フローチャートは、業務記述書で整理した内容を図解化したもので、業務プロセスを一目で把握できる点が最大のメリットです。業務全体の流れや関連部門とのやり取り、リスクポイントの位置を明確に示しやすく、関係者間での共有やコミュニケーションを円滑にします。

作成時には、業務記述書と矛盾が生じないよう注意し、担当者と十分にすり合わせながら工程や分岐条件などを正確に反映させることが大切です。

リスクコントロールマトリクス（RCM）

リスクコントロールマトリクス（RCM）は、業務プロセスに内在するリスクと、それに対するコントロール（対応策）を一覧化した文書です。業務記述書やフローチャートをもとにリスクを整理し、対策の実効性を検証することで、内部統制を体系的に強化できます。

漏れなくリスクを洗い出し、コントロールの重複や抜けを防止するためにも、関係部門との連携や定期的な見直しが不可欠です。

3点セットを作成する目的と重要性

J-SOX対応においては、財務報告の信頼性を確保するために業務プロセスの可視化とリスク管理が欠かせません。

3点セット（業務記述書、フローチャート、リスクコントロールマトリクス）を作成する目的は、これらの視点から業務全体を視覚的・体系的に整理し、内部統制の整備や評価をより容易かつ確実に行えるようにすることにあります。

具体的には、業務記述書で業務の流れを正確に把握し、フローチャートで可視化することで、担当範囲やリスクポイントを明確化しやすくなります。そこにRCMを組み合わせることで、抽出したリスクとコントロールとの対応関係を整理し、内部統制が実際に機能しているかどうかを検証できるのです。

さらに、これらの文書は監査対応や社内外のステークホルダーへの説明資料としても有効です。監査法人とのやり取りや修正の際に、3点セットをベースとした説明が可能であれば、手戻りを減らしながら効率的に評価を進めることができます。

結果として、リスク管理と業務効率化を同時に実現できる点が、3点セットの作成を進める上での大きなメリットです。

J-SOX 3点セットの作成手順

J-SOXの3点セットは、業務の可視化とリスク管理を一貫して行うための重要な資料です。

ここでは、その3点セットを効率的かつ効果的に作成するための手順を順を追って解説します。

1. 現状の業務プロセスを把握する

最初のステップとして、現場担当者へのヒアリングや業務マニュアルの確認を徹底し、実際の業務フローを正確に捉えることが重要です。システムの使用状況や書類の扱い方、承認フローなど、実態と社内規程が一致しているかどうかを細かく確認します。

ここで把握した情報が、後の業務記述書やフローチャートに反映されるため、この段階での情報収集が不十分だと、後工程で手戻りが発生しやすくなります。

2. 業務プロセスの評価範囲を決定する

次に、内部統制の評価対象となる業務プロセスを絞り込みます。

リスクの高い業務や、財務報告に大きな影響を与える可能性がある業務を優先的に選定することがポイントです。加えて、監査法人との事前協議を行い、評価範囲の妥当性をすり合わせておくと、監査の段階での大幅な修正を回避できます。

範囲の決定後に、改めて必要な情報収集や資料整理を行い、次の文書化作業にスムーズに移行しましょう。

3. 業務記述書・フローチャートを作成する

現状把握と評価範囲の確定を経たら、いよいよ業務記述書とフローチャートの作成に着手します。

業務記述書では、5W1Hを意識しながら業務の流れや手順を正確に言語化し、フローチャートで視覚的に表現するのが基本的なスタイルです。ここでのポイントは、関係者と内容をしっかり確認し合い、実務の実態に即した文書に仕上げることです。

複数部署が関与する場合は、部門間の連携や承認ルートが正しく反映されているかどうかにも注意が必要となります。

4. リスクコントロールマトリクス（RCM）を作成する

最後に作成するRCMでは、前段で整理した業務プロセスをもとに、リスクを網羅的に抽出し、それに対するコントロールを一覧化していきます。コントロールの有効性や重複、漏れがないかを確認し、必要に応じて修正や追加を行うことで、実効性のある内部統制を整備できます。

この段階でも、可能な限り関連部署や監査法人と連携し、実際に運用できるコントロールとなっているかを検証することが大切です。

3点セット作成に活用できるツール・テンプレート

J-SOXの3点セットをより効率的かつ正確に作成するためには、適切なツールやテンプレートの活用が欠かせません。

以下では、代表的なツールとそのメリット・デメリット、活用上のポイントを紹介します。

内部統制対応ソフトの活用

内部統制に特化したソフトウェアを利用すると、業務の可視化やリスク管理に関する機能が充実しているため、作成や編集が容易になります。また、複数担当者での共同作業やレビュー機能が充実している場合が多く、進捗管理や承認プロセスの整備に役立ちます。

一方で、ソフトの導入コストが高額になるケースもあるため、導入前に必要な機能と費用対効果を慎重に検討しましょう。

Excel（エクセル）での作成

Excelは広く普及しているアプリケーションであり、手軽さやカスタマイズの自由度が高い点が魅力です。テンプレート化しておけば、業務記述書やRCMを一定の形式で管理しやすくなります。

ただし、バージョン管理や整合性の確保が難しく、複数ファイルの管理に手間がかかるリスクもあります。導入コストは低いものの、ルール設定やファイル管理体制の整備が重要となる点に留意しましょう。

3点セット作成時のポイント・注意点

3点セット（業務記述書・フローチャート・リスクコントロールマトリクス）の作成は、内部統制の骨格を明確にするだけでなく、その後の監査対応や業務改善にも深く関わります。

ここでは、3点セットを作成する際に押さえておきたい4つのポイントについて解説します。

5W1Hに沿って業務内容を正確に記述する

業務記述書やリスクコントロールマトリクス（RCM）を作成する際には、以下の5W1Hを意識して詳細を記載することが重要です。

・いつ（When）
・どこで（Where）
・誰が（Who）
・何を（What）
・なぜ（Why）
・どのように（How）

業務の実態をきちんと把握し、手順や役割分担の明確化を図ることで、リスク箇所や改善余地を見つけやすくなります。

3つの書類間の一貫性と正確性を確保する

業務記述書、フローチャート、RCMの間に矛盾が生じると、監査時に再チェックが必要になったり、実務担当者との間で混乱が起きたりする原因となります。たとえば、業務記述書に記載している承認者とフローチャートの承認ルートが異なっていると指摘されるケースもあります。

作成途中や完成後に相互レビューを実施し、3点セットの内容に整合性が保たれているかを定期的に確認しましょう。

リスクとコントロールを網羅的に洗い出す

RCMを作成する際は、業務全体を俯瞰し、潜在的なリスクを幅広く検討することが大切です。単に現在運用されているコントロールを列挙するだけでなく、本当にそのリスクに対応できているか、漏れや重複がないかをチェックしましょう。

定期的なレビューや実地検証を行うことで、内部統制の実効性を高めることができます。

監査法人と評価範囲を事前にすり合わせておく

作成段階で監査法人と評価範囲や評価方法について十分に協議しておくと、後になって大幅な修正が必要になるリスクを減らすことができます。

評価を受ける範囲が明確であれば、3点セットの文書化や運用テストの準備がスムーズに進みます。事前の連携により監査効率が向上し、監査コストの削減にもつながるため、積極的なコミュニケーションを心がけましょう。

まとめ：3点セットで内部統制を強化しよう

3点セットは作って終わりではなく、運用を続け、定期的に見直すことで真価を発揮します。ぜひ「実務に活かそう」と前向きに取り組んでいただき、組織全体で内部統制の強化と定着を目指していきましょう。

もし3点セットの作成・運用でお困りの際は、ぜひOAGビジコムまでご相談ください。貴社の状況や課題に合わせた最適なサポート体制を整え、内部統制や内部監査を包括的に支援させていただきます。