更新日 : 2024年7月23日

内部統制における文書化の重要性｜作成手順・体制をわかりやすく解説

Q: 内部統制における文書化の手順は？

内部統制では業務記述書・フローチャート・リスクコントロールマトリックスの3点セットを準備します。 その手順は、まず各業務プロセスの取引の流れを業務記述書として書き起こします。書き起こした業務記述書を参考に、フローチャートを図示し、ドラフトを作成しましょう。 作成したドラフトは、該当部門の担当者と一緒に確認し、リスクとコントロールを洗い出していきます。洗い出したリスクとコントロールを参考に、リスクコントロールマトリックスを作成します。

監修：中川崇

内部統制を整備するにあたり、「文書化は必要なのか」「必要な場合はどのように作成すればよいのか」といった疑問や悩みを抱えていませんか。この記事では、内部統制における文書化の重要性と内部統制に欠かせない3つの文書を紹介します。文書の作成手順や作成体制の種類についても解説しますので、これから内部統制の整備に着手する際の参考にしてみてください。

内部統制における文書化の重要性
内部統制に欠かせない文書3つ
内部統制に欠かせない文書の作成手順
内部統制に欠かせない文書の作成体制
- 集中型
- 分散型
まとめ

内部統制における文書化の重要性

実は、内部統制の文書化は法律で義務付けられていません。しかし文書化の必要はないのかというとそうではなく、内部統制の文書化により業務や会計処理の流れを可視化できるため、J-SOX（内部統制報告制度）への対応を効果的に進めることができます。

内部統制は監査人から評価を受け、その結果を開示する必要があります。内部統制を整備する際、運用方針と運用状況の記録として文書化して保管しておくことが重要です。

内部統制に欠かせない文書3つ

内部統制で文書化する書類には、以下の3つの文書があります。「3点セット」とも呼ばれており、J-SOXの対象企業には必須の文書です。

業務記述書
フローチャート
リスクコントロールマトリックス

それぞれの文書について、詳しく解説していきます。

業務記述書

業務記述書とは、各業務プロセスにおける取引開始から終了までのプロセスを文書にまとめたものです。

一連の取引の流れを把握することで、財務報告にかかるリスクや企業内のコントロールを抽出し、把握するために役立ちます。内容としてはフローチャートと同じで、リスクコントロールマトリックスのように並び替えられることはなく、時系列で記載していきます。

フローチャート

フローチャートとは、各業務プロセスにおける取引開始から終了までのプロセスを図示したものです。業務記述書を図表にしたもので、こちらも時系列に記載されます。内部統制上のリスクとコントロールを抽出し、視覚的に把握しやすくなるメリットがあります。

リスクコントロールマトリックス

リスクコントロールマトリックスとは、業務記述書やフローチャートで抽出されたリスクと、リスクに対するコントロールの対応表です。業務記述書やフローチャートのように時系列で記載するのではなく、リスクごとに並び替えて作成します。

また、財務諸表の作成に必要な要件や、運用状況の評価対象であるキーコントロールも表示します。内部統制上のリスクを識別・評価し、どのようにリスクを低減できるかが把握できることがメリットです。

内部統制に欠かせない文書の作成手順

内部統制における文書化では、業務記述書・フローチャート・リスクコントロールマトリックスの3点セットが必要だと説明しました。では、実際に文書化する際はどのような手順で文書を作成するのでしょうか。文書化の手順は、以下のとおりです。

業務記述書とフローチャートのドラフト作成
リスクとコントロールの設定
業務記述書やフローチャートをもとにリスクコントロールマトリックスを作成

まず、各業務プロセスの取引の流れを業務記述書として書き起こします。書き起こした業務記述書を参考に、フローチャートを図示し、ドラフトを作成しましょう。

作成したドラフトは、該当部門の担当者と一緒に確認し、リスクとコントロールを洗い出していきます。洗い出したリスクとコントロールを参考に、リスクコントロールマトリックスを作成します。

IPOサポートメディア

内部統制におけるRCMとは？作成手順やポイント・サンプルを紹介【テンプレート付き】

上場やIPOのために、内部統制を進めようとしている企業のなかには、RCM（リスクコントロールマトリックス）が何のことか分からず困っている人もいるでしょう。RCM（リスクコントロールマトリックス）は内部統制における重要なツールなため、理解しておかないと内部統制をうまく進められない恐れがあります。本記事では内部統制におけるRCMの概要を解説したうえで、RCMの作成手順や作成例、作成する際のポイントなどを解説します。これから内部統制を進めたい企業の担当者はぜひ参考にしてください。内部統制におけるRCMとはRCM（リスク...

内部統制に欠かせない文書の作成体制

内部統制の文書の作成体制には、集中型と分散型があります。集中型と分散型の概要、そして特徴とどのような企業に向いているかを紹介します。

集中型

内部統制における文書作成の集中型とは、企業内でプロジェクトチームを組んで文書化を進めることを指します。集中型では、プロジェクトチームを構成する人員が必要なため、ある程度のリソースが必要です。しかし、専用のチームを作ることで効率的に作業が進み、作業自体も管理しやすい特徴があります。上記の特徴から、人員リソースにある程度余裕のある企業に向いている文書の作成体制です。

分散型

内部統制における文書作成での分散型とは、部署ごとに文書化を進める作成体制です。集中型のようにプロジェクトチームを組む必要がなく、文書化のためにわざわざリソースを開ける必要もありません。ただし、各部署で文書化を進めるため、進捗管理がしにくいことがデメリットとして挙げられます。

とはいえ、普段からその業務に携わっている人員が文書化するため、文書のドラフトを大幅修正するような事態にはなりにくいことが特徴です。上記の特徴から分散型の文書作成体制は、プロジェクトチームを組むためのリソースを避けない企業に向いている方法です。

IPOサポートメディア

内部統制におけるRCMとは？作成手順やポイント・サンプルを紹介【テンプレート付き】

まとめ

内部統制における文書化は、法律で義務付けられていません。しかし、内部統制を整備するうえでは、業務記述書・フローチャート・リスクコントロールマトリックスの3点セットの文書化は重要です。

文書の作成体制には、プロジェクトチームを組んで進める集中型と部署ごとに取り組む分散型があります。集中型は効率的に文書化がすすめられること、分散型は業務に精通した人員が文書化するため修正の手間が少ないことが特徴です。

ある程度のリソースを開けられる企業は集中型、リソースを割けない企業は分散型で内部統制の文書化を進めていきましょう。

この記事をお読みの方におすすめのガイド4選

最後に、この記事をお読みの方によく活用いただいている人気の資料・ガイドを紹介します。すべて無料ですので、ぜひお気軽にご活用ください。

やることリスト付き！内部統制構築ガイド

内部統制を基礎から知りたい方・内部統制の導入を検討している担当の方・形式だけになっている内部統制を見直したい方におすすめの人気ガイドです。

内部統制の基本と内部統制構築のポイントをギュッとまとめています。

無料ダウンロードはこちら

ストック・オプション丸わかりガイド！

ストック・オプションの概要や種類、IPO準備企業がストック・オプションを利用するメリットに加え、令和5年度税制改正の内容についても解説した充実のガイドです。

IPOを検討している企業様はもちろん、ストック・オプションについて学習をしたい企業様も含め、多くの方にご活用いただいております。

無料ダウンロードはこちら

J-SOX 3点セット攻略ガイド

すべての上場企業が対象となるJ-SOX（内部統制報告制度）。

本資料では、IPO準備などでこれからはじめてJ-SOXに対応する企業向けにJ-SOXの基本からその対応方法までをまとめた、役立つガイドです。

無料ダウンロードはこちら

マネーフォワードクラウド会計Plus サービス資料

マネーフォワードクラウド会計Plusは、IPO準備・中堅〜上場企業向けの業務効率化と内部統制強化を実現するクラウド会計ソフトです。

銀行やクレジットカード連携で取引データを自動取得、AIによる自動仕訳で会計業務を効率化。周辺システムと連携することで、二重入力や確認工数を削減します。また、仕訳承認機能やユーザーごとの権限・ログ管理機能を搭載しており、内部統制にも対応。SOC報告書も提供しています。

無料ダウンロードはこちら

よくある質問

内部統制に必要な文書は？

内部統制の文書化は法律で義務化されていませんが、J-SOX対応企業は業務記述書・フローチャート・リスクコントロールマトリックスが必要となります。業務記述書とは、業務プロセスにおける取引の開始から終了までを文書化したもので、これを図示したものがフローチャートです。リスクコントロールマトリックスは、業務記述書とフローチャートで抽出したリスクと、それに対するコントロールを表示します。

内部統制における文書化の手順は？

内部統制では業務記述書・フローチャート・リスクコントロールマトリックスの3点セットを準備します。その手順は、まず各業務プロセスの取引の流れを業務記述書として書き起こします。書き起こした業務記述書を参考に、フローチャートを図示し、ドラフトを作成しましょう。作成したドラフトは、該当部門の担当者と一緒に確認し、リスクとコントロールを洗い出していきます。洗い出したリスクとコントロールを参考に、リスクコントロールマトリックスを作成します。

※ 掲載している情報は記事更新時点のものです。

監修：中川崇
田園調布坂上事務所代表。広島県出身。大学院博士前期課程修了後、ソフトウェア開発会社入社。退職後、公認会計士試験を受験して2006年合格。2010年公認会計士登録、2016年税理士登録。監査法人2社、金融機関などを経て2018年4月大田区に会計事務所である田園調布坂上事務所を設立。現在、クラウド会計に強みを持つ会計事務所として、ITを駆使した会計を武器に、東京都内を中心に活動を行っている。

※本サイトは、法律的またはその他のアドバイスの提供を目的としたものではありません。当社は本サイトの記載内容（テンプレートを含む）の正確性、妥当性の確保に努めておりますが、ご利用にあたっては、個別の事情を適宜専門家にご相談いただくなど、ご自身の判断でご利用ください。

# 社内管理

【テンプレ付】J-SOX法（内部統制報告制度）とは？特徴や会社法との違い、必要な書類などわかりやすく解説

上場企業は、金融商品取引法に基づく内部統制報告制度への対応が必要となります。この内部統制報告制度が、いわゆるJ-SOXです。2002年7月にエネルギー大手企業のエンロンや通信大手企業のワールドコムの粉飾決算を受けてサーベンス・オクスリー法（…

詳しくみる

# 社内管理

ISMS運用とは？具体的な流れやPDCAサイクル、担当者の役割などを解説

「ISMS認証を取得したけれど、その後の運用って具体的に何をすればいいの？」という疑問や悩みをお持ちではありませんか？ ISMS認証はゴールではなく、情報セキュリティレベルを維持・向上させるためのスタートラインです。この記事では、ISMS…

詳しくみる

# 社内管理

SOCレポート（報告書）とは？種類や注目されている理由・注意点を解説

近年、多くの企業でクラウドサービスを導入する機会が増えており、SOCレポートが利用されることも多くなりました。 SOCレポートは、サービスのプロセス管理を評価した保証報告書です。利用したいサービスを安心して利用し続けられるかは、信頼性を示す…