J-SOX(内部統制報告制度)の3点セットとは?

2023-11-01
2023-06-21
J-SOX(内部統制報告制度)の3点セットとは?

内部統制報告制度であるJ-SOX(Japanese Sarbanes-Oxley)には、『J-SOXの3点セット』という重要な要素が存在します。この3点セットは、業務記述書、フローチャート、およびリスクコントロールマトリックス(RCM)から構成されています。法的な義務ではありませんが、企業がこれを導入することで、業務や会計処理の流れをより明確に可視化することができます。その結果、業務プロセスの把握が容易になります。さらに、リスクとコントロールの関係性を理解しやすくなり、内部統制報告書の作成やJ-SOXへの対応を効率的に進めることが期待されます。

この記事では、『J-SOXの3点セット』の概要、作成手順、および作成時のポイントについて解説します。これらの情報を参考にして、効果的な内部統制報告を実現しましょう。

J-SOX(内部統制報告制度)の3点セットとは?

J-SOXは、企業の内部統制報告制度を指す重要な規制要件です。概要についてはこちらのコンテンツ記事にて詳しく解説しております。

https://www.genialtech.io/ja/column/j-sox/

冒頭でも述べた通り、J-SOXは内部統制評価と報告を支援するために、『J-SOX3点セット』と呼ばれる重要な文書群が存在します。この3点セットには、業務記述書、フローチャート、およびリスクコントロールマトリックス(RCM)が含まれます。これらの文書は、内部統制の評価と監査を通じて組織の財務報告の信頼性と透明性を確保するために不可欠な要素です。

1.業務記述書

業務記述書は、企業の財務報告に関連する業務の内容や手順を文書化したものです。
その主な目的は、業務の効果を評価するための明確な業務基準の確立と、企業の内部統制評価の基準を明確化することです。
業務の概要やプロセスを詳細に記載することで、内部統制上のリスクを識別することが可能となります。

記述例

金融庁は、業務記述書の参考例として、特定の事業に関連する業務を工程ごとに文章化した資料を公開しています。これにより、その事業が完了するまでに必要な業務や各業務の作業工程が明確に可視化されます。業務プロセスを文章によって明確化することで、作業手順を理解した状態で内部統制を効果的に進めることができます。

2.フローチャート

フローチャートは、業務のプロセスを図で可視化したものです。その主な目的は、社内で行われる業務が要求元から情報システムへ反映されるまでの流れを全体的に把握することです。業務プロセスの可視化により、取引と会計処理の流れを整理し、内部統制上のリスクを識別することが可能となります。

記述例

金融庁では、フローチャートの参考例が公開されており、図を使って「いつ」「どの部門」がプロセスに関与するかを簡潔に示しています。
これにより、プロセスの可視化による共通の理解を得た上で、内部統制を進めることができます。

フローチャートは、業務の流れや会計処理の過程、およびそれに関連するシステムとデータの流れを視覚的に理解しやすくするために、フローチャートの形式で業務プロセスを表現します。

3.リスクコントロールマトリックス(RCM)

リスクコントロールマトリックス(RCM)は、業務において想定されるリスクとそれに対する統制活動(コントロール)の関係を表形式の書類で記述するものです。これにより、業務上予想されるリスクとコントロールの関係性を明確にし、内部統制の実施状況を把握することができます。各業務の内容に応じてリスクを特定し、評価する内部統制の過程によって、社内で顕在化するリスクをどのように抑制しているかを記述します。

記述例

金融庁では、リスクコントロールマトリックスの参考例が公開されており、業務、リスク内容、統制の内容、要件、評価、評価内容がまとめて記載されています。これにより、リスクと統制(コントロール)の関係が一目で把握できます。リスクとコントロールをまとめて確認できる状態を整えることで、適切な評価が可能となります。

J-SOXの3点セット作成手順

J-SOXの3点セット(業務記述書、フローチャート、リスクコントロールマトリクス)の作成手順について、一般的なガイドラインを解説します。

1.業務プロセス評価範囲の検討

業務プロセスの評価範囲を絞り込むためには、以下の4つのステップが存在します。

  1. 重要性のない事業拠点の除外
    企業にとって重要でないと判断される事業拠点を除外します。具体的には、グループ連結売上高で全体の95%に入らない5%の事業拠点を評価範囲から除外します。
  2. 重要な事業拠点の選定
    対象となる事業拠点の中から、重要な事業拠点を選定します。通常は、グループ連結売上高で全体の2/3に達する拠点が重要な事業拠点とされます。
  3. 重要な勘定科目による選定
    重要な事業拠点において、重要な勘定科目に関連する業務プロセスを評価の対象とします。業務プロセス統制の評価範囲は、重要な勘定科目に基づいて決定されます。
  4. 個別評価科目の追加選定
    リスクが高い科目や予測・見積り、非定型取引など、個別に評価すべき科目を選定します。これにより、個別評価科目に関連する業務プロセスが評価の対象となります。

以上が業務プロセスの評価範囲を絞り込むための4つのステップです。これらの手順を順番に実施することで、J-SOXの3点セットの作成に向けた準備を進めることができます。

2.業務記述書とフローチャートの作成

業務プロセスの評価範囲の検討が完了したら、J-SOXの3点セットの具体的な作成に取り掛かります。以下は、業務記述書とフローチャートの作成に関する手順とポイントです。

  1. ヒアリングの準備
    関連する社内規程や業務マニュアル、帳票などの資料を事前に準備します。実務担当者に対してヒアリングの趣旨を説明し、業務の順番に沿って聞き取りを行います。
  2. ヒアリングの実施
    業務を実際に行っている担当者に対してヒアリングを行います。この際には、業務の一連の流れと重要なポイントを把握することを重視します。
  3. 作図とヒアリングの繰り返し
    ヒアリングから得た情報を元に、業務記述書とフローチャートを作成します。この過程では、ヒアリングと作図を繰り返し行い、業務の流れを正確に再現します。
  4. 作成時の留意点
    以下の点に留意しながら業務記述書とフローチャートを作成します。
    • 5W1H(いつ、どこで、誰が、何を、なぜ、どのように)を明確に記載する
    • 業務の実務担当者と権限者を明確に記載する
    • 突合や確認した書類や証憑の名称を正確に記述する。システムから出力した場合は、その旨も記載する
    • システムによる内部統制やチェック機能に依存している場合は、それを記載する

業務記述書とフローチャートの完成度が高いほど、リスクコントロールマトリクスの作成が円滑に進みます。2人以上で作業を行うことで、ヒアリングの議事録作成とフローチャートの下書きを同時に進めることができるため、望ましいです。

3.リスクコントロールマトリクス(RCM)の作成

ここまで業務記述書とフローチャートを詳細に分析し、財務報告の信頼性に影響を及ぼす可能性のあるリスクを選定しました。
これらのリスクを予防・発見・是正するためのコントロール策を策定します。
リスクコントロールマトリクス(RCM)を作成するための手順とポイントは次の通りです。

  1. リスクが起こりうるポイントの検討
    業務記述書とフローチャートを分析し、財務報告の信頼性を損なう可能性のあるポイントを検討します。
  2. 顕在化するリスクの検討
    検討したポイントから実際に顕在化するリスクを抽出します。
  3. リスクコントロールマトリクス(RCM)への記入
    抽出したリスクをリスクコントロールマトリクス(RCM)に記入します。
  4. コントロールの確認
    フローチャートと業務記述書から、リスクに対応するコントロールがどこに存在するかを確認します。
  5. リスクに対応したコントロール内容の記入
    リスクに対応するコントロールの内容を、リスクコントロールマトリクス(RCM)に記入します。
  6. コントロール内容の説明文の作成
    コントロールの内容について説明文を作成します。

以上がリスクコントロールマトリクス(RCM)の作成手順です。リスクコントロールマトリクス(RCM)の作成により、財務報告の信頼性を確保するためのリスクに対するコントロールが明確になります。

J-SOXの3点セット作成のポイント

最後に3点セットを作る中で、重要なポイントを解説します。

1.人員規模に応じて「集中型」「分散型」のどちらかを選択する

J-SOXの3点セットは、財務報告に関連する業務内容をカバーするため、部署間での連携や全社的な取り組みが必要です。その際には、「集中型」と「分散型」という2つの作成パターンがあります。

  1. 集中型
    プロジェクトチームを組んで作成を進める方法。大規模な企業や絞り込まれた範囲で展開している企業に適しています。集中型では部門間の認識の齟齬が発生しやすいため、プロジェクトチームの編成を工夫する必要があります。
  2. 分散型
    各部署ごとに作成を進める方法。事業内容が多岐にわたる企業に適しています。分散型では部署ごとに担当者が作成を進めるため、認識のズレは少ないですが、様式の統一や進捗管理に注意が必要です。

2.共通のプロセスは統合する

業務を再評価すると、同じ手順を踏んでいるにも関わらず、別々の業務として扱われている場合がよくあります。このような業務を効率的に進めるために「プロセスの統合」を行いましょう。同じような業務プロセスを統合することで、評価対象の業務と工数を削減できます。プロセスごとの評価や作業負荷が減り、現場の業務も効率化されます。

まとめ

J-SOXは内部統制評価と報告を支援するために、『J-SOX3点セット』と呼ばれる重要な文書群が存在します。この3点セットには、業務記述書、フローチャート、およびリスクコントロールマトリックス(RCM)が含まれます。

  • 業務記述書
    企業の財務報告に関連する業務の内容や手順を文書化したものです。
  • フローチャート
    業務のプロセスを図で可視化したものです。
  • リスクコントロールマトリックス(RCM)
    業務において想定されるリスクとそれに対する統制活動(コントロール)の関係を表形式の書類で記述したものです。

本記事では、J-SOX(内部統制報告制度)の3点セットの内容・目的や作成例、作成時のポイントについて詳しく解説をしてきました。これらの手順とポイントを適切に実施することで、財務報告の信頼性を高めることができます。

カテゴリー
コラム
ページトップへ