- 更新日 : 2024年7月12日
J-SOX(内部統制)の3点セットとは?基本的な作り方を解説【サンプル付き】
これからIPOを目指す企業にとって、必須となるのがJ-SOXへの対応です。J-SOX対応を効率よく進めるために必要となるのが、「フローチャート」「業務記述書」「リスクコントロールマトリックス」のJ-SOX3点セットを呼ばれる書類です。とはいえ、企業の担当者の中には「3点セットって何のこと?」「どこで手に入れればよいの?」と疑問に思う方もいるでしょう。本記事では、J-SOX3点セットについて、書類の概要や作成例をわかりやすく解説していきます。
目次
J-SOX(内部統制)3点セットとは
J-SOX3点セットとは、以下の3つの総称です。
J-SOX3点セット
- フローチャート
- 業務記述書
- リスクコントロールマトリックス
そもそもJ-SOXとは、企業の不正や不祥事を防止するための仕組みや組織や、遵守すべきルールである「内部統制」が有効に機能しているかを評価し、報告する制度のことを言います。金融商品取引法によって定められており、上場企業は事業年度ごとに、内部統制報告書を作成し監査法人などの監査を受けることが必要です。そのため、上場準備段階の企業にとってはJ-SOX対応への準備が求められます。
J-SOXに対応するため、経営者が主導して書類を作成し、準備しなければなりません。J-SOXへの対応を効率よく進めるために有効なのが、「J-SOX3点セット」と呼ばれている「フローチャート」「業務記述書」「リスクコントロールマトリックス」の書類なのです。なお、J-SOXについては以下の記事で詳しく説明しているので、ぜひご参考ください。
フローチャート
フローチャートとは、「部門ごとの業務の流れを図で記載した書類」のことです。社内の業務のプロセスが可視化されており、流れの全体が把握できるだけでなく、業務の問題点やリスクを判断しやすくなります。
金融庁のフローチャートの参考例を見てみましょう。
出典:金融庁「財務報告に係る内部統制の評価及び監査の基準並びに財務報告に係る内部統制の評価及び監査に関する実施基準の改訂について(意見書)」
上記の参考例では、業務の要求元から請求までのプロセスについて、いつ・どの部門でどのような関わりがあるのか、一目でわかるようになっています。このように、すべてのプロセスを可視化することで、業務についての共通認識を持てるようになるのです。
業務記述書
業務記述書とは、業務内容の概要や手順などを文章にしたものです。フローチャートが図で記載されているのに対し、業務記述書は文章で可視化しています。業務がいつ・どこで・どのように行われるのかが詳細に記載されており、業務の各工程での作業内容や担当者の理解度が把握できます。
金融庁の参考例を見ていきましょう。
出典:金融庁「財務報告に係る内部統制の評価及び監査の基準並びに財務報告に係る内部統制の評価及び監査に関する実施基準の改訂について(意見書)」
上記の記述書では、ある業務に必要な手順が工程ごとに文章化されているのが分かります。このように業務を文章で見え化することで、作業手順を理解しやすくリスクも把握しやすくなるのです。
リスクコントロールマトリックス(RCM)
リスクコントロールマトリックス(RCM)とは、業務におけるリスクとそのリスクへの対応を一覧にした書類です。業務ごとに想定されるリスクとその対応が一目で分かるようになり、内部統制によってどれくらいリスクが低減できるのかが判別できます。
金融庁の参考例で確認してみましょう。
出典:金融庁「財務報告に係る内部統制の評価及び監査の基準並びに財務報告に係る内部統制の評価及び監査に関する実施基準の改訂について(意見書)」
フローチャートと業務記述書によって想定できるリスクに対して、どのようなリスクをコントロールしているのか、また、その網羅性と有効性の評価が把握できます。
J-SOX3点セットの基本的な作り方
J-SOX3点セットの作成手順に決まりはありませんが、一般的には次の手順で作成されます。
- 業務プロセスの評価範囲を決定
- フローチャート・業務記述書を作成
- リスクコントロールマトリックス(RCM)を作成
リスクコントロールマトリックスは、できるだけ詳細に記載する必要があるものです。そのため、先に業務記述書とフローチャートを作成し、業務内容やリスクを明確にしておくことで効率よく作成できるでしょう。
それぞれの詳しい手順を解説していきます。
➀業務プロセスの評価範囲を決定する
まずは、J-SOX3点セットを作成する範囲を決めていきます。評価範囲は本来すべての事業拠点が対象です。しかし、グループ連結売上高で全体の95%に入らない事業拠点は除くことができます。
また、業務プロセスについては前連結会計年度の連結売上高のおおむね3分の2にかかる業務が、一般的な目安となります。ただし、3分の2を下回る場合、範囲の妥当性を占める基準と監査人との事前協議が必要になるので注意しましょう。
②フローチャート・業務記述書を作成する
評価対象の業務が選定できれば、実際にフローチャート・業務記述書を作成していきます。作成にあたっては、実際の業務をズレが無いように担当者にヒアリングしながら完成させていきましょう。
【作成の大まかな手順】
- 社内規定や業務マニュアル・帳票などの資料の準備
- 実際の担当者に業務の順番に沿ってヒアリング
- 業務記述書・フローチャートの作成
ヒアリングと書類作成は一度に行うのではなく、まずは大まかな作業の流れとポイントを押さえて作成します。そこから再度ヒアリングして作成、再度ヒアリングというように、ヒアリングと作成を繰り返しながら業務の流れに忠実になるように作成していきます。
【作成時の注意点】
- 5W1Hを明確にしていく
- 実務担当者と権限者を明確にする
- 使用した書類などの名称は正確に記述する
- 書類をシステムから出力した場合やシステムによる内部統制などはその旨も記述する
- フローチャートと業務記述書の整合性が取れているか確認する
フローチャートと業務記述書の精度によってリスクコントロールマトリックス作成の効率も変わってきます。業務の漏れがなく忠実に再現できているか、整合性があるかはしっかりと確認しながら作成していくようにしましょう。
③リスクコントロールマトリックス(RCM)を作成する
業務記述書とフローチャートを分析し、想定されるリスクを抽出しその対応を一覧にまとめていきます。
大まかな作成手順は次のとおりです。
- リスクの発生箇所を抽出し、発生するリスクを検討する
- 抽出したリスクの記述
- リスクに対応したコントロールを確認する
- コントロール内容を記載する
まずは、フローチャートのどこでリスクが発生するかを検討し、発生箇所をフローチャートに記載します。該当箇所でどのようなリスクが予測されるかさまざまな視点から検討し、検討したリスクをリスクコントロールマトリックスに記入しましょう。
次に、フローチャートと業務記述書から抽出したリスクのコントロールに該当する作業を確認し、リスクコントロールマトリックスに記入します。コントロールの内容やその説明を作成して完成です。
J-SOX3点セットを作成するツール
J-SOX3点セットを作成するツールには、以下の2つがあります。
- 内部統制ツール
- エクセル
内部統制ツールを導入することで、作業効率化が上がりますが、コストがかかるデメリットもあります。コストをかけたくない企業は、エクセルでJ-SOX3点セットを作成するのがおすすめです。
内部統制ツール
内部統制ツールとは、J-SOX3点セットを作成する際に、内部統制の文章化を効率的に行ってくれるツールです。ツールを活用することで、手作業での文章作成と比べて、作業時間を削減できます。また、データの一元管理ができるため、監査時の文章の共有も容易です。
しかし、ツールを導入することで、導入費用と維持費がかかります。また、ツールの導入には初期設定や社員のトレーニングが必要で、時間とリソースも必要になります。ツールが複雑であればあるほど、社員が使いこなせるまでに時間がかかるでしょう。
会社の業務の多くが手作業や紙の資料を使っている企業は、入力ミスが多く発生する可能性があるため、ツールを導入し、作業効率化を図ることがおすすめです。
エクセル
エクセルで3点セットを作成するメリットとしては、エクセルは広く使用されており、基本的な操作に慣れている人が多い点が挙げられます。エクセルで作成することにより、追加のツールやソフトウェアに慣れる必要がなく、既存のスキルとリソースを活用できます。
しかし、多くのユーザーが同時に文書を編集することが難しい点がデメリットです。また、エクセルは自動化や統合機能が限られているため、手動での入力や更新が必要となり、効率性や正確性の問題が生じることもあります。
3点セットをエクセルで作成するのがおすすめの企業は、スタートアップや中小企業です。リソースが限られている場合が多く、エクセルは低コストでかつ柔軟にカスタマイズ可能なため、スタートアップや中小企業に適しています。
【サンプル付き】J-SOX 3点セット攻略ガイドを無料ダウンロード
ここまでJ-SOX3点セットの作成例や作成方法を解説してきました。しかし、実際に自社で一から作成するとなると、業務内容を漏れなく忠実に再現する必要があり、想像以上の手間と時間がかかるものです。特に、今まで作成したことのない会社の場合、自社だけで作成するのが困難な場合もあります。
そのような会社でも3点セットをスムーズに作成できるようにしているのが、J-SOX 3点セット攻略ガイドです。IPOに向けてこれからJ-SOXへ対応していく会社向けに、J-SOX の基本やポイント・3点セットのポイントまでを作成サンプル付きで分かりやすく解説しています。
J-SOX 3点セット攻略ガイドは以下から無料でダウンロードいただけます。
まとめ
上場企業に義務付けられているJ-SOXに効率良く対応するには、「フローチャート」「業務記述書」「リスクコントロールマトリックス」のJ-SOX3点セットの作成が必要です。実際の担当者にヒアリングしながら業務内容を忠実にフローチャート・業務記述書に作成し、最後にリスクコントロールマトリックスを作成することでスムーズに手配できるでしょう。しかし、これからIPOを目指す企業の中には、3点セットの作成にあまり時間や工数をかけられないところもあると思います。そんなときは、ぜひJ-SOX3点セット攻略ガイドを活用してみてください。
よくある質問
J-SOXの3点セットとは何のこと?
J-SOXの3点セットは次の3つです。
- フローチャート:業務の流れを図で示したもの
- 業務記述書:業務の流れを文章化したもの
- リスクコントロールマトリックス:業務で想定されるリスクとそのコントロールの一覧表
J-SOXの3点セットの作成手順とは?
作成手順の決まりはありませんが、効率よく作成するための一般的な手順は次のとおりです。
- 業務プロセスの評価範囲を決定
- フローチャート・業務記述書を作成
- リスクコントロールマトリックス(RCM)を作成
※ 掲載している情報は記事更新時点のものです。
※本サイトは、法律的またはその他のアドバイスの提供を目的としたものではありません。当社は本サイトの記載内容(テンプレートを含む)の正確性、妥当性の確保に努めておりますが、ご利用にあたっては、個別の事情を適宜専門家にご相談いただくなど、ご自身の判断でご利用ください。
関連記事
ISMSの管理策とは?要求事項との違いやISO 27001:2022附属書A 93項目を解説
情報セキュリティ対策の重要性が叫ばれる中、ISMS認証取得を目指す企業が増えています。その核となるのが、リスクに対応するための具体的な方策「管理策」です。 とはいえ、「要求事項と何が違うの?」「たくさんあるけど、どう選べばいい?」と戸惑う方…
詳しくみる内部統制の有効性を検証するCSA(統制自己評価)とは?メリットやデメリットを説明
内部統制のCSAとは、内部監査部門ではなく、該当部門のメンバー自らが監査に携わる統制自己評価のことです。内部統制を進めるうえで、関係者の意識を高めることができ、内部監査を自分ごととして捉えてもらえます。 この記事では、内部統制の有効性を検証…
詳しくみる内部統制とは?4つの目的や6つの基本的要素を分かりやすく解説
内部統制とは、企業が事業活動を健全かつ効率的に運営するための仕組みのことです。しかし、内部監査やコーポレートガバナンス、コンプライアンスなどと内容が似ているため、上手に説明できる人は少ないのではないでしょうか。 今回は、内部統制を行う4つの…
詳しくみるIPOにおける法務の重要性や役割、業務内容を解説
不正会計などの問題が深刻化したことに伴い、IPOにおける法務の重要性が高まっています。 法務部門はIPOにおいて内部統制やリスクマネジメントなどの役割を担い、法務DDの実施やコンプライアンス体制の構築などを行います。本記事では、IPOにおけ…
詳しくみる電子帳簿保存法における内部統制の課題は?システムの選び方も解説
国税に関する書類や電子形式の取引を保存する際に守らなければならないのが、電子帳簿保存法です。とはいえ、電子帳簿保存法の内容は複雑であり、まだ詳しく理解できていないという方もいるでしょう。 電子帳簿保存システムを導入すれば、電子帳簿保存法に詳…
詳しくみるGAAPとは?日本で適用可能な会計基準4種類や選び方を解説
自社の財務情報は、会計基準に従って整理する必要があります。しかし、日本で適用できる会計基準は4種類あり、どの会計方法が自社に向いているのか知りたい方は多いでしょう。 この記事では、GAAPの概要や各会計基準の特徴を詳しく解説しています。自社…
詳しくみる