ノウハウ J-SOX3点セットとは?作り方・作成に使えるツールについて
J-SOX3点セットとは?作り方・作成に使えるツールについて
内部統制報告制度、いわゆるJ-SOXの対応に、内部統制報告書の作成が求められます。内部統制報告書の作成を容易にするのが、J-SOX3点セットです。
J-SOX3点セットとは、フローチャート、業務記述書、リスクコントロールマトリックス(RCM)3つの書類を指します。
3点セットの作成は義務ではありません。しかし、業務を可視化しながら内部統制を強化するためには、作ることが推奨されます。
本記事では、J-SOX3点セットの役割と作り方、作成に使えるツールを紹介しています。サンプルとあわせてご参照ください。
J-SOX(内部統制報告制度)とは?
金融商品取引法に基づいて導入された制度です。経営者による評価・報告と、監査人の監査を通じ、財務報告に関する内部統制の強化を目指します。
金融庁によると、内部統制は業務の有効性・効率性、財務報告の信頼性、法令遵守、資産保全の確保が目的で、導入により内部統制が機能し、企業の不正や不祥事の防止が期待されます。
J-SOX(内部統制報告制度)の基本情報
J-SOXはアメリカのサーバンズ・オクスリー法(Sarbanes-Oxley Act)、略してSOX法が基になっています。
SOX法は、企業の不祥事への対応を目的に導入されました。企業の内部統制を図り、透明性を担保するため、日本にもSOX法を参考とした制度が必要と考えられるようになりました。日本版のSOX法と通称されることから、Japanの頭文字をとってJ-SOXという名称になっています。
上場企業は、J-SOXに対応する義務があります。事業年度ごとに内部統制報告書を作成し、監査を受けることが必要です。
組織で内部統制が機能しているかチェックすることで、正しい財務報告など、不正の働きにくい環境を築けます。また、外部の監査を通じ、報告の信頼性が担保されます。
J-SOXの3点セットとは
内部統制報告書と共に作成されることが多いのが「J-SOX3点セット」と言われる以下の書類です。
- フローチャート
- 業務記述書
- リスクコントロールマトリックス(RCM)
フローチャートと業務記述書で業務工程を把握し、リスクコントロールマトリックス(RCM)で各工程で想定されるリスクと、リスクを抑える方法が分かる、という関係です。
3点セットの作成は必須ではありませんが、内部統制報告をスムーズに行うためには、作ることが推奨されます。
フローチャート
業務プロセスがひと目で分かるよう、工程を図示したものです。会計処理に用いられるシステムや想定されるリスクも、把握できます。
業務記述書
業務内容・流れを文字で説明したものです。
業務に用いるシステムなど、フローチャートと内容に矛盾が生じないことが求められます。
リスクコントロールマトリックス:RCM
業務で発生する可能性の高いリスクと、リスクの対処法を表にしてまとめたものです。
RCMを作成し続けることで、リスクは減らせているか、対処法は適切か評価できます。
J-SOXの3点セットのサンプル
金融庁の資料中の例が参考になります。
フローチャートの例
引用:財務報告に係る内部統制の評価及び監査の基準並び に財務報告に係る内部統制の評価及び監査p88
業務記述書の例
引用:財務報告に係る内部統制の評価及び監査の基準並び に財務報告に係る内部統制の評価及び監査p89
リスクコントロールマトリックス:RCMの例
引用:財務報告に係る内部統制の評価及び監査の基準並び に財務報告に係る内部統制の評価及び監査p90
J-SOX3点セットの作り方
- 各業務プロセスの把握
- 業務プロセスの評価範囲の検討
- フローチャート、業務記述書の作成
- リスクコントロールマトリックス(RCM)の作成
各業務プロセスの把握
業務工程を理解できると、起こり得るリスクが見えてきます。適切と思われる対処法も、洗い出せます。
業務の流れが分かると、内部統制の評価を的確に行うのにも活かせます。
業務責任者へのヒアリング、社内規定や業務マニュアルの確認などを行いましょう。
業務プロセスの評価範囲の検討
全工程が評価対象だと、担当者の負担が大きいです。
対象を絞っても正確な評価となるよう、以下を意識すれば、評価すべきプロセスが見えてきます。
- 前連結会計年度の連結売上高が、グループ連結高で全体の5%未満の事業拠点を排除する
- 対象となる拠点の中から、グループ連結売上高で全体の2/3以上に達する重要拠点を選定
- 重要拠点の中で重要度の高い勘定科目に関する業務プロセスを評価対象とする
リスクが高いなど、他に評価した方が良いプロセスがあれば、追加します。
フローチャート、業務記述書の作成
評価範囲が決定次第、フローチャートと業務記述書の作成に取りかかります。
責任者へのヒアリングを行いながら作成すると、実際の業務と相違が生じにくいです。
マニュアルなどを参照することに加え、以下を意識すると分かりやすい文書となります。
- 5W1H(いつ、どこで、誰が、何を、なぜ、どのように)が分かる
- 実務担当者・責任者が記載されている
- フローチャートと業務記述書に矛盾がない
リスクコントロールマトリックス(RCM)の作成
フローチャートと業務記述書を参照しながら、リスクを洗い出し、想定されるリスクをRCMに記入します。
リスクへの対応を検討し、有効と思われるものもあわせて記入します。
RCMは、リスク管理の参考になる文書と言えます。
J-SOX3点セットのポイント・注意点
3点セットの重要性や担当者を明らかにすることはもちろん、担当者の負担軽減も考えることが求められます。
5W1Hが分かるように
5W1Hを意識する重要性は、3点セットの作り方で既に説明しました。
意識することが重要な理由が分かれば、的確な3点セットの作成に活かされるはずです。
- 評価や方法の実施タイミング、改善の頻度を定めるため(いつ)
- 内部統制の対象範囲を定めることで、人材など限られたリソースを有効活用するため(どこで)
- 責任者と担当者を明らかにすることで、責任感を持って3点セットの作成や評価に取り組んでもらうため(誰が)
- 内部統制の目的と対象を明確にし、企業の課題解決につながるシステムを導入するため(何を)
- 内部統制の目的を理解し、遵守する意識を高めるため(なぜ)
- 業務工程を知り、リスクコントロールを把握するため(どのように)
作成する担当者を明確にする
作成する担当者や責任者が明らかであれば、責任の所在が明確になります。内部統制に問題が生じた際の迅速な対処につながります。
J-SOXは、部署の垣根を越えて取り組むことが求められます。3点セットの作成も同様です。
規模の大きい組織であれば、作成を担当するためのチームを組むケースは珍しくありません。チームの目的がはっきりしているため、すぐに作成に取りかかれます。ただし、評価対象の業務の認識と実態に齟齬が生まれないよう注意が必要です。
部署ごとに3点セットを作成する企業もあります。業務工程を的確に把握し、書類に反映できるメリットはあるものの、進捗管理の手間がかかります。異なる部署でも書式を統一できる配慮が大切です。
同じような業務プロセスはまとめて評価対象とする
業務プロセスが類似している場合、統合して評価対象とすることで、3点セット作成のための業務を削減できます。負担軽減、業務効率化につながるということです。
J-SOX3点セット作成に使えるツール
内部統制ツールは、3点セットの作成に用いられるツールのひとつです。コストを抑えるため、ExcelやGoogleスプレッドシートを活用している企業もあります。
Excel、Googleスプレッドシート
内部統制ツールだと、サービスによって操作性が異なります。ところが、Excelやスプレッドシートであれば、普段から使用している方が多く、操作の心配なくすぐに作成に着手できます。
内部統制ツール
内部統制ツールは、3点セットのテンプレートが提供されているものが多いです。
ツールの操作に慣れたり、利用料がかかったりといった懸念はあります。しかし、フォーマットの作成やテンプレートの検索を一から行う手間が省け、操作に問題がなければ効率化を実感しやすいです。
まとめ
アメリカのSOX法を参考としたJ-SOX(内部統制報告制度)は、正しく財務報告されるなど、企業の内部統制を強化し、不正や不祥事の防止を目的とした制度です。
上場企業では、内部統制報告書を作成し、監査を受ける義務があります。内部統制報告書の作成に役立つのが、J-SOX3点セット(フローチャート、業務記述書、リスクコントロールマトリックス)です。
3点セットを作成することで、業務工程や業務に潜むリスクが見えてきます。リスクコントロールマトリックス(RCM)には、リスクに対応する対処法も記載するため、リスクマネジメントにも役立つはずです。
J-SOX3点セットの作成は必須ではありません。しかし、業務を可視化し、内部統制報告にまつわる業務の負担を軽減しながら内部統制をより強固にするためには、作ることをおすすめします。
