この記事では、内部統制3点セットについて、作成方法から運用まで解説しています。
主にJ -SOXやウォークスルーで使用されることが多いですが、どんな幅広い業務に適用できるので、覚えておいて損はないです。
業務の手順を文書化してフロー化して視界化、そしてリスクを管理する。
この流れです。
理解できると、そこまで難しくないので最後までお付き合いいただければ幸いです。

名前:内部監査員M
某企業の内部監査員。実務4年の初心者。経理の知識は乏しいがリスクマネジメントへの想いは熱い!とにかく現場に足を運んで、コミュニケーションを重視し社内の問題発見に努めている。
内部統制3点セットの概要

冒頭説明したように、手順、フロー、リスク管理の流れで3点セットを作成していきます。それぞれの概要を説明します。
業務記述書

業務記述書は、特定の業務を行う際の手順や役割、責任を明確に記述した文書のことを指します。業務記述書の目的は、誰がその業務を担当しても、同じ手順に従って一貫した結果が得られることを保証することです。
マニュアルをより詳細に明文化したものって感じです。
以下に、業務記述書に記述される主要な項目を紹介します。
業務の目的 | その業務がなぜ必要なのか、何を達成するためのものなのかを明示します。 |
手順 | 業務を実施する際の具体的な手順を詳細に記載します。これには、どのような作業を、どの順序で行うのかが含まれます。 |
役割と責任 | 業務を行う個人やチームの役割と責任を明確にします。これは誰が何をすべきか、誰が何を承認すべきかを特定します。 |
関連するポリシーやルール | 業務実施に関連するポリシーや法規制などのルールも記述します。 |
フローチャート

フローチャートというのは、その名の通り業務記述書をフロー図に書き出したもの。
特定のプロセスや手続きを視覚的に表現するための図的な表現法です。
内部統制業務に関わってなくても、一度は見たことある方も多いかと思います。ロジック回路みたいなやつです。
具体的には、シンボルや矢印を使用して、業務の流れや手続き、データの流れをわかりやすく表現します。
フローチャートは複雑なプロセスを理解しやすくするだけでなく、プロセスの問題点を特定し、改善策を策定するための道具としても使用されます。
フローチャートには、一般的に以下のような要素が含まれます。
オーバル(始点・終点) | ![]() | プロセスの開始と終了を示します。 |
長方形(プロセスステップ) | ![]() | 一般的な手続きや操作を示します。 |
ダイヤモンド(判断) | ![]() | Yes/Noの質問や判断点を示します。 |
矢印(フローライン) | ![]() | 操作の流れ、つまり次に何が行われるべきかを示します。 |
紹介したのが基本記号です。
その他の記号に関しては、以下のサイトに詳しくまとめてありました。
リスクコントロールマトリクス(RCM)

何だかかっこいい名前ですが、リスクを評価して管理していくためのただの表です。
見た目がごちゃごちゃしてて、個人的には嫌いです。
でも、他に良い管理方法ないから使ってる感じ。
リスク | 各プロセスに関連する潜在的なリスクを列挙します。 リスクは、そのプロセスが目的を達成できない事象を表します。 |
評価 | リスクの重要度を示します。数値化するとより管理を強化できると思います。 |
コントロール | 各リスクに対して、そのリスクを軽減するための内部統制を特定します。統制は予防的(エラーや問題を防ぐため)または検出的(エラーや問題を特定するため)のいずれかであることが多いです。 |
統制の有効性 | 各統制がどれだけ効果的に機能しているかを評価します。これにより、統制がリスクを適切に管理しているかを判断できます。 |
>>内部統制におけるRCMとは?作成手順とポイントを詳しく解説
内部統制3点セットを作成する際の注意点
業務記述書を作成する際の注意点
業務記述書の作成する際の注意点は、『誰がやっても同じアウトプットが出せる業務記述書』となるのが理想です。
業務記述書は、特定の業務を行う際の手順や役割、責任、関連するルールやポリシーを明確に記載する文書です。
業務記述書の目的は、誰がその業務を担当しても、同様の品質と一貫性を維持することです。
そのため、以下の点に注意して作成することが求められます。
明確性 | 業務の手順や責任は明確に書かれていなければなりません。 読者が混乱したり誤解したりしないようにするためです。 |
完全性 | 全ての必要なステップや考慮すべき事項が記述されていなければなりません。 何かを省略すると、業務の結果に影響を与える可能性があります。 |
簡潔性 | 記述は簡潔で理解しやすくなければなりません。 不必要な情報は混乱を招き、重要なポイントが見落とされる可能性があります。 |
フローチャートを作成する際の注意点
- 必ず2人以上で作成する
- 担当者、権限者、他部署を列で分けて作成する
- 書類などの名称は正確に
必ず2人以上で作成しましょう。
該当する業務の熟練者でも1人で作成すると、思い込みなどもあり正確なフローチャートを作成するのは困難です。
複雑になると、余計にミスが目立つようになります。
よって、複数人で協議しながら作成していくのが望ましいです。
また、フローチャート自体は、担当者、権限者、他部署を列で分けて作成すると見やすくなります。
この作業は結構大変なのですが、責任の所在や現在の業務進捗を把握しやすくなるというメリットもあります。
J-SOX対応だから〜って考えではなく、自分達のために作成していくというスタンスが望ましいです。
後々作成しててよかったと思えるとようになるので、頑張って作成しましょう。
リスクコントロールマトリクス(RCM)を作成する際の注意点
リスクコントロールマトリクス(RCM)は、あるプロセスに関連するリスクとそれらのリスクを軽減するための仕組みを一覧化したものです。以下にRCMを作成する際の注意点をいくつか挙げてみます
リスクの特定 | ビジネスプロセスに関連するリスクを網羅的に特定することが重要です。 リスクはオペレーショナル、財務、法規制、戦略的なリスクなど様々な角度から考えて特定すると良い。 |
統制の選択 | 各リスクに対して、そのリスクを軽減するための適切な内部統制を特定します。統制は、予防的統制(エラーや問題の発生を防ぐ)または検出的統制(エラーや問題を検出する)のいずれかであることが多いです。 |
統制の記述 | 選択した各統制について、その統制が具体的に何を行い、誰が行うのか、どのリスクを軽減するのかを明確に記述します。 |
統制の評価 | RCMの一部として、各統制が現在どの程度効果的に機能しているか、またはリスクをどの程度軽減しているかを評価します。 |
定期的な更新 | RCMは定期的に見直しと更新を行うべきです。ビジネスプロセス、リスク、統制が時間と共に変化するため、RCMもそれに対応して更新されるべきです。 |
RCMは組織の特性や業種、規模によって異なるため、一概にこれが正解というものはありません。その組織に最も適した形で作成することが重要です。
内部統制3点セットを運用する際のポイント
運用のポイントとしては、定期的ににブラッシュアップしていくこと。そして、各部署の責任者が主導的に進めていくこと。
この2点がポイントです。
定期的なブラッシュアップ
内部統制は定期的な評価と改善が必要です。経営環境、業界の動向、法規制等は時間とともに変化するため、それらの変化に対応してリスク評価を更新し、必要ならば統制活動を改善・追加することが重要です。
これにより、統制の効果性と適切性を維持・向上させることができます。
責任者が主導していく
内部統制運用のポイントは、各部署の責任者がそれぞれの領域で主導的に統制を推進し、統制環境を作り上げることが大切です。
責任者はリスクを最もよく理解しているため、適切な統制活動を計画して、実行することができます。
そして、リスクの重要度を部下に伝えることで、組織全体の統制意識を高めることが可能となります。
まとめ
内部統制の3点セットは、組織の業績向上とリスク管理に必須です。
しかし、これらのツールは一度作成したら終わり、ではありません。
定期的な見直しと更新が必要です。業務環境の変化、新たなリスクや機会、改善の可能性などに対応するために、ブラッシュアップを続けましょう。
また、内部統制の運用には、各部署の責任者が主導的に進めることが重要です。
責任者が統制の重要性を理解し、それを部下に伝えることで、組織全体の統制意識を高めることが可能となります。
それでは、皆さんも内部統制の3点セットを活用して、業務の効率化とリスク管理を図ってみてくださいね!
コメント