- 更新日 : 2024年7月12日
J-SOX(内部統制)の3点セットとは?基本的な作り方を解説【サンプル付き】
これからIPOを目指す企業にとって、必須となるのがJ-SOXへの対応です。J-SOX対応を効率よく進めるために必要となるのが、「フローチャート」「業務記述書」「リスクコントロールマトリックス」のJ-SOX3点セットを呼ばれる書類です。とはいえ、企業の担当者の中には「3点セットって何のこと?」「どこで手に入れればよいの?」と疑問に思う方もいるでしょう。本記事では、J-SOX3点セットについて、書類の概要や作成例をわかりやすく解説していきます。
目次
J-SOX(内部統制)3点セットとは
J-SOX3点セットとは、以下の3つの総称です。
J-SOX3点セット
- フローチャート
- 業務記述書
- リスクコントロールマトリックス
そもそもJ-SOXとは、企業の不正や不祥事を防止するための仕組みや組織や、遵守すべきルールである「内部統制」が有効に機能しているかを評価し、報告する制度のことを言います。金融商品取引法によって定められており、上場企業は事業年度ごとに、内部統制報告書を作成し監査法人などの監査を受けることが必要です。そのため、上場準備段階の企業にとってはJ-SOX対応への準備が求められます。
J-SOXに対応するため、経営者が主導して書類を作成し、準備しなければなりません。J-SOXへの対応を効率よく進めるために有効なのが、「J-SOX3点セット」と呼ばれている「フローチャート」「業務記述書」「リスクコントロールマトリックス」の書類なのです。なお、J-SOXについては以下の記事で詳しく説明しているので、ぜひご参考ください。
フローチャート
フローチャートとは、「部門ごとの業務の流れを図で記載した書類」のことです。社内の業務のプロセスが可視化されており、流れの全体が把握できるだけでなく、業務の問題点やリスクを判断しやすくなります。
金融庁のフローチャートの参考例を見てみましょう。
出典:金融庁「財務報告に係る内部統制の評価及び監査の基準並びに財務報告に係る内部統制の評価及び監査に関する実施基準の改訂について(意見書)」
上記の参考例では、業務の要求元から請求までのプロセスについて、いつ・どの部門でどのような関わりがあるのか、一目でわかるようになっています。このように、すべてのプロセスを可視化することで、業務についての共通認識を持てるようになるのです。
業務記述書
業務記述書とは、業務内容の概要や手順などを文章にしたものです。フローチャートが図で記載されているのに対し、業務記述書は文章で可視化しています。業務がいつ・どこで・どのように行われるのかが詳細に記載されており、業務の各工程での作業内容や担当者の理解度が把握できます。
金融庁の参考例を見ていきましょう。
出典:金融庁「財務報告に係る内部統制の評価及び監査の基準並びに財務報告に係る内部統制の評価及び監査に関する実施基準の改訂について(意見書)」
上記の記述書では、ある業務に必要な手順が工程ごとに文章化されているのが分かります。このように業務を文章で見え化することで、作業手順を理解しやすくリスクも把握しやすくなるのです。
リスクコントロールマトリックス(RCM)
リスクコントロールマトリックス(RCM)とは、業務におけるリスクとそのリスクへの対応を一覧にした書類です。業務ごとに想定されるリスクとその対応が一目で分かるようになり、内部統制によってどれくらいリスクが低減できるのかが判別できます。
金融庁の参考例で確認してみましょう。
出典:金融庁「財務報告に係る内部統制の評価及び監査の基準並びに財務報告に係る内部統制の評価及び監査に関する実施基準の改訂について(意見書)」
フローチャートと業務記述書によって想定できるリスクに対して、どのようなリスクをコントロールしているのか、また、その網羅性と有効性の評価が把握できます。
J-SOX3点セットの基本的な作り方
J-SOX3点セットの作成手順に決まりはありませんが、一般的には次の手順で作成されます。
- 業務プロセスの評価範囲を決定
- フローチャート・業務記述書を作成
- リスクコントロールマトリックス(RCM)を作成
リスクコントロールマトリックスは、できるだけ詳細に記載する必要があるものです。そのため、先に業務記述書とフローチャートを作成し、業務内容やリスクを明確にしておくことで効率よく作成できるでしょう。
それぞれの詳しい手順を解説していきます。
➀業務プロセスの評価範囲を決定する
まずは、J-SOX3点セットを作成する範囲を決めていきます。評価範囲は本来すべての事業拠点が対象です。しかし、グループ連結売上高で全体の95%に入らない事業拠点は除くことができます。
また、業務プロセスについては前連結会計年度の連結売上高のおおむね3分の2にかかる業務が、一般的な目安となります。ただし、3分の2を下回る場合、範囲の妥当性を占める基準と監査人との事前協議が必要になるので注意しましょう。
②フローチャート・業務記述書を作成する
評価対象の業務が選定できれば、実際にフローチャート・業務記述書を作成していきます。作成にあたっては、実際の業務をズレが無いように担当者にヒアリングしながら完成させていきましょう。
【作成の大まかな手順】
- 社内規定や業務マニュアル・帳票などの資料の準備
- 実際の担当者に業務の順番に沿ってヒアリング
- 業務記述書・フローチャートの作成
ヒアリングと書類作成は一度に行うのではなく、まずは大まかな作業の流れとポイントを押さえて作成します。そこから再度ヒアリングして作成、再度ヒアリングというように、ヒアリングと作成を繰り返しながら業務の流れに忠実になるように作成していきます。
【作成時の注意点】
- 5W1Hを明確にしていく
- 実務担当者と権限者を明確にする
- 使用した書類などの名称は正確に記述する
- 書類をシステムから出力した場合やシステムによる内部統制などはその旨も記述する
- フローチャートと業務記述書の整合性が取れているか確認する
フローチャートと業務記述書の精度によってリスクコントロールマトリックス作成の効率も変わってきます。業務の漏れがなく忠実に再現できているか、整合性があるかはしっかりと確認しながら作成していくようにしましょう。
③リスクコントロールマトリックス(RCM)を作成する
業務記述書とフローチャートを分析し、想定されるリスクを抽出しその対応を一覧にまとめていきます。
大まかな作成手順は次のとおりです。
- リスクの発生箇所を抽出し、発生するリスクを検討する
- 抽出したリスクの記述
- リスクに対応したコントロールを確認する
- コントロール内容を記載する
まずは、フローチャートのどこでリスクが発生するかを検討し、発生箇所をフローチャートに記載します。該当箇所でどのようなリスクが予測されるかさまざまな視点から検討し、検討したリスクをリスクコントロールマトリックスに記入しましょう。
次に、フローチャートと業務記述書から抽出したリスクのコントロールに該当する作業を確認し、リスクコントロールマトリックスに記入します。コントロールの内容やその説明を作成して完成です。
J-SOX3点セットを作成するツール
J-SOX3点セットを作成するツールには、以下の2つがあります。
- 内部統制ツール
- エクセル
内部統制ツールを導入することで、作業効率化が上がりますが、コストがかかるデメリットもあります。コストをかけたくない企業は、エクセルでJ-SOX3点セットを作成するのがおすすめです。
内部統制ツール
内部統制ツールとは、J-SOX3点セットを作成する際に、内部統制の文章化を効率的に行ってくれるツールです。ツールを活用することで、手作業での文章作成と比べて、作業時間を削減できます。また、データの一元管理ができるため、監査時の文章の共有も容易です。
しかし、ツールを導入することで、導入費用と維持費がかかります。また、ツールの導入には初期設定や社員のトレーニングが必要で、時間とリソースも必要になります。ツールが複雑であればあるほど、社員が使いこなせるまでに時間がかかるでしょう。
会社の業務の多くが手作業や紙の資料を使っている企業は、入力ミスが多く発生する可能性があるため、ツールを導入し、作業効率化を図ることがおすすめです。
エクセル
エクセルで3点セットを作成するメリットとしては、エクセルは広く使用されており、基本的な操作に慣れている人が多い点が挙げられます。エクセルで作成することにより、追加のツールやソフトウェアに慣れる必要がなく、既存のスキルとリソースを活用できます。
しかし、多くのユーザーが同時に文書を編集することが難しい点がデメリットです。また、エクセルは自動化や統合機能が限られているため、手動での入力や更新が必要となり、効率性や正確性の問題が生じることもあります。
3点セットをエクセルで作成するのがおすすめの企業は、スタートアップや中小企業です。リソースが限られている場合が多く、エクセルは低コストでかつ柔軟にカスタマイズ可能なため、スタートアップや中小企業に適しています。
【サンプル付き】J-SOX 3点セット攻略ガイドを無料ダウンロード
ここまでJ-SOX3点セットの作成例や作成方法を解説してきました。しかし、実際に自社で一から作成するとなると、業務内容を漏れなく忠実に再現する必要があり、想像以上の手間と時間がかかるものです。特に、今まで作成したことのない会社の場合、自社だけで作成するのが困難な場合もあります。
そのような会社でも3点セットをスムーズに作成できるようにしているのが、J-SOX 3点セット攻略ガイドです。IPOに向けてこれからJ-SOXへ対応していく会社向けに、J-SOX の基本やポイント・3点セットのポイントまでを作成サンプル付きで分かりやすく解説しています。
J-SOX 3点セット攻略ガイドは以下から無料でダウンロードいただけます。
まとめ
上場企業に義務付けられているJ-SOXに効率良く対応するには、「フローチャート」「業務記述書」「リスクコントロールマトリックス」のJ-SOX3点セットの作成が必要です。実際の担当者にヒアリングしながら業務内容を忠実にフローチャート・業務記述書に作成し、最後にリスクコントロールマトリックスを作成することでスムーズに手配できるでしょう。しかし、これからIPOを目指す企業の中には、3点セットの作成にあまり時間や工数をかけられないところもあると思います。そんなときは、ぜひJ-SOX3点セット攻略ガイドを活用してみてください。
よくある質問
J-SOXの3点セットとは何のこと?
J-SOXの3点セットは次の3つです。
- フローチャート:業務の流れを図で示したもの
- 業務記述書:業務の流れを文章化したもの
- リスクコントロールマトリックス:業務で想定されるリスクとそのコントロールの一覧表
J-SOXの3点セットの作成手順とは?
作成手順の決まりはありませんが、効率よく作成するための一般的な手順は次のとおりです。
- 業務プロセスの評価範囲を決定
- フローチャート・業務記述書を作成
- リスクコントロールマトリックス(RCM)を作成
※ 掲載している情報は記事更新時点のものです。
※本サイトは、法律的またはその他のアドバイスの提供を目的としたものではありません。当社は本サイトの記載内容(テンプレートを含む)の正確性、妥当性の確保に努めておりますが、ご利用にあたっては、個別の事情を適宜専門家にご相談いただくなど、ご自身の判断でご利用ください。
関連記事
内部統制における文書化の重要性|作成手順・体制をわかりやすく解説
内部統制を整備するにあたり、「文書化は必要なのか」「必要な場合はどのように作成すればよいのか」といった疑問や悩みを抱えていませんか。この記事では、内部統制における文書化の重要性と内部統制に欠かせない3つの文書を紹介します。文書の作成手順や作…
詳しくみるISMSのPDCAサイクルを回す方法は?メリットや注意点も分かりやすく解説
情報セキュリティ対策の重要性が叫ばれる昨今、「ISMS」や「ISO 27001」といった言葉を耳にする機会が増えました。これらは組織が情報資産を守り、継続的にセキュリティレベルを向上させるための仕組み(情報セキュリティマネジメントシステム)…
詳しくみるISMSの維持審査とは?更新審査・初回審査との違いや内容、期間、費用などを解説
情報セキュリティ対策が企業経営の重要課題となる現在、ISMS(情報セキュリティマネジメントシステム)/ ISO 27001認証は、組織の信頼性を高め、事業リスクを低減するための有効な手段です。しかし、情報セキュリティレベルを継続的に向上させ…
詳しくみる内部統制のひとつであるIT統制とは?重要性や分類・担当部門を紹介【テンプレート付き】
内部統制において、IT統制が抱く役割は小さいものではありません。IPOの際にもIT統制は重要視されているため、準備段階で監査を受ける必要があります。しかし、そもそもIT統制にはどのような役割があり、何を行うべきなのかわからないという人は多い…
詳しくみる子会社も内部統制の対象範囲に含まれる!重要性や不正事例、評価の実施手順を解説【テンプレート付き】
内部統制を整備するにあたって、対応がどうなるのか気になるのが子会社の扱いです。J-SOX法では子会社も内部統制の適用範囲とされており、親会社と同様に実施することが求められています。 本記事では、子会社の内部統制の重要性や海外子会社に対する内…
詳しくみるISMSとは?認証を取得するメリットや流れ、費用までわかりやすく解説
近年、企業や組織における情報セキュリティの重要性はますます高まっています。サイバー攻撃の巧妙化、内部不正による情報漏洩など、情報資産に対する脅威は後を絶ちません。 このような状況下で注目されているのが「ISMS」です。この記事では、ISMS…
詳しくみる