内部統制(J-SOX)の3点セットは中小企業にも必要？作成のポイントも解説

企業の健全な経営に不可欠とされる内部統制。

特に上場企業等に適用されるJ-SOX（内部統制報告制度）では、「3点セット」と呼ばれる文書の作成が求められます。

この記事では、内部統制の3点セットが具体的にどのようなものかを、サンプルも紹介しながら解説しますので、ぜひこの機会に理解を深めてください。

また、多くの中小企業の経営者が抱く「3点セットは自社にも必要なのか？」という疑問にも答えるべく、作成義務の有無から、導入することで得られるメリットなどについて、詳しく掘り下げていきます。

内部統制（J-SOX）の3点セットがどのようなものか具体的に解説【サンプルも掲載】

内部統制の有効性を評価するために作成される「3点セット」とは、以下の3つを指します。

• 業務記述書
• フローチャート
• リスクコントロールマトリックス（RCM）」

それぞれ、詳しく解説していきます。

業務記述書

業務記述書は、特定の業務プロセスの流れを文章で時系列に沿って説明する文書です。

業務の開始から終了まで、「誰が」「いつ」「何を」「どのように」行っているのかを、担当者へのヒアリングなどを通じて具体的に記述します。

たとえば、経理部門の「請求書発行業務」であれば、営業担当者からの依頼を受けてから、請求書を作成し、上長の承認を得て、取引先に送付するまでの一連の流れを詳細に書き出します。

こういった文書があることにより、業務の全体像や担当者の役割が明確になるのです。

業務マニュアルと似ていますが、内部統制の観点から、不正やミスの発生を防ぐためのチェックポイントがどこにあるのかを意識して作成する点が異なります。

業務記述書の例については以下の通りです。

出典）金融庁「財務報告に係る内部統制の評価及び監査の基準」 p.92

フローチャート

フローチャートは、業務記述書の内容を、JIS規格などで定められた記号や図を用いて視覚的に表現したものです。

業務の流れや部門間の連携、書類の動きなどが一目でわかるため、複雑なプロセスも直感的に理解しやすくなります。

文章だけでは伝わりにくい業務の分岐条件（「もしAならばBへ、そうでなければCへ」といった流れ）や、承認プロセス、書類の保管場所などを明確に表現できるのが大きな利点です。

業務記述書とフローチャートを並行して確認することで、業務プロセスの解像度が格段に上がります。

フローチャートの例は以下の通りです。

出典）金融庁「財務報告に係る内部統制の評価及び監査の基準」 p.91

リスクコントロールマトリックス（RCM）

リスクコントロールマトリックス（RCM）は、業務プロセスに潜むリスクと、そのリスクを低減するための統制を一覧表形式で対応付けた文書です。

まず、フローチャートや業務記述書から、財務報告の虚偽記載に繋がる可能性のあるリスクを洗い出します。

たとえば、「売上を過大に計上してしまうリスク」や「請求書の承認が適切に行われないリスク」などです。

次に、そのリスクに対してどのようなチェックや手続き（統制）が整備・運用されているかを記述します。

これにより、リスクと統制の対応関係が明確になり、内部統制の有効性を客観的に評価できるようになるのです。

リスクコントロールマトリックスの例については以下の通りです。

出典）金融庁「財務報告に係る内部統制の評価及び監査の基準」 p.93

内部統制の3点セットは中小企業に義務化されていない

「中小企業も、内部統制の3点セットを提出する必要があるのでは？」と懸念されている経営者や担当者の方もいるでしょう。

結論から言うと、非上場の中小企業に対して、内部統制報告書の提出や、その基礎資料となる3点セットの作成は法律で義務付けられていません。

そもそも、上場企業においても、内部統制報告書の提出は義務付けられているものの、3点セットの作成義務はないのです。

内部統制報告制度（J-SOX）は、金融商品取引法に基づいて、上場企業とその連結子会社、関連会社などを対象としています。

これは、投資家保護の観点から、企業の財務報告の信頼性を確保することを目的とした制度です。

したがって、株式を公開していない大多数の中小企業は、内部統制報告制度の対象外となります。

参考記事：内部統制とは？目的・構成要素・ガバナンスとの違いをわかりやすく解説

中小企業も目的次第では内部統制3点セットを導入すべき理由

作成義務がないとはいえ、目的次第では、中小企業も内部統制の3点セットを作成すべきです。

この項目では、その理由について解説していきます。

経営者が本来の業務に打ち込めるようになる

企業の成長段階で起こりがちなのが、業務の属人化です。

「この業務はAさんしか分からない」という状況は、その担当者が不在の際に業務が滞るだけでなく、不正の温床になるリスクもはらんでいます。

経営者は、そうした事態を想定し、業務が健全に遂行されているかを監視しなければなりません。

しかし、内部統制の3点セットを作成すれば、業務プロセスが標準化・可視化されます。

これにより、業務の透明化が進み、特定の担当者に依存しない体制が構築できるようになるはずです。

業務の仕組みが整うことで、経営者は日々の細かなオペレーションの監督から解放され、経営戦略の立案や新規事業の開発といった、本来注力すべき業務に多くの時間を割けるようになります。

自社の経営の透明性をアピールできる

内部統制が整備され、3点セットのような形で客観的に説明できる資料があると、会社の信頼性が格段に向上します。

その結果、様々なステークホルダーとの関係において有利に働くでしょう。

たとえば、金融機関から融資を受ける際の審査では、健全な管理体制が構築されていることがプラスの評価に繋がります。

また、大手企業と新たな取引を開始する際にも、信頼できるパートナーとして認められやすくなるかもしれません。

さらに、将来的にM&A（企業の合併・買収）やIPO（新規株式公開）を視野に入れている場合、整備された内部統制は必須の要素です。

買い手企業や監査法人は、デューデリジェンス（企業価値評価）の過程で必ず内部統制をチェックするため、早期から準備しておくことで、将来の選択肢を大きく広げることができます。

企業価値の向上に繋がる

業務の標準化による生産性の向上、不正リスクの低減、そして対外的な信用の獲得。

これらはすべて、企業の持続的な成長を支える土台となります。

内部統制の整備は、目先の利益を追求するだけでなく、長期的な視点で企業価値そのものを高める活動だと言えます。

企業価値が上がれば、従業員たちのコンプライアンス意識や業務へのモチベーションも向上することで、不正が起こりにくく、業務効率も高まりやすい組織風土が醸成されるでしょう。

このように、内部統制3点セットの導入は、守りの側面だけでなく、企業の競争力を高める「攻めの経営」にも寄与する重要な取り組みなのです。

参考記事：内部統制強化が中小企業にもたらすメリットとは？必要な施策も紹介

金融庁による内部統制報告制度に関する事例集

内部統制の具体的な整備方法を考える上で、金融庁が公表している「内部統制報告制度に関する事例集」は非常に参考になります。

この項目では、事例集の中から特に参考にすべき項目を3つ紹介します。

リスクの分析と評価

【概要】 リスクの分析と評価を行う際には、特に重要なリスク（高リスク）の特定に重点を置き、メリハリの利いた評価を実施。

出典）金融庁「内部統制報告制度に関する事例集」 p.14

重要性があるリスクに対して優先的に対応策を講じるため、リスクの金額的重要性や質的重要性、その生じる可能性を分析し、当該リスクの程度を3段階（高・中・低）で評価したという事例です。

特に重要なリスクについては慎重に対応しつつ、そのほかのリスクについては効率性を重視して評価したため、限られたリソースを最重要領域に集中させる効果的なリスク評価体制を構築できています。

業務プロセスに係る内部統制の記録

【概要】 業務の流れ図の更新業務について、以下の方法で効率化。 （１）業務の流れ図を機能ごとに細分化して作成 （２）異なる業務プロセス間で部分的に同じ業務処理が行われる場合は同一の資料を利用

出典）金融庁「内部統制報告制度に関する事例集」 p.39

こちらの事例は、事業規模が小規模な企業であるため、中小企業も参考にできる事例です。

こちらの企業では、業務の流れ図（フローチャート）の更新業務について、以下の方法で効率化をしています。

• フローチャートを機能ごとに細分化して作成
• 各業務のフローチャートに管理番号を付記
• 各業務プロセスについて管理番号の流れを業務記述書に記載
• 異なる業務プロセス間で部分的に同じ業務処理が行われる場合は、同一の資料を利用

この結果、フローチャートの修正作業の簡素化や、フローチャートの更新漏れを防ぐといったメリットが生まれています。

決算・財務報告プロセスにおけるチェックリストの活用

【概要】 決算・財務報告プロセスについて、監査人と協議のうえ、いわゆる「３点セット」ではなく、チェック・リストを作成し、決算・財務報告プロセスの評価に活用。

出典）金融庁「内部統制報告制度に関する事例集」 p.10

こちらも、中小企業の事例です。

監査人と協議した上で、内部統制の定番である3点セットをあえて使わず、代わりにチェックリストを作成して対応しています。

3点セットの準備には時間がかかりますが、自社用のチェックリストならば、作成コストも抑えられるでしょう。

中小企業が内部統制3点セットを作成する際はツールを利用すべき

内部統制3点セットをゼロから作成するのは、専門知識がない場合、非常に時間と労力がかかる作業です。

特にリソースが限られている中小企業にとっては、大きな負担となりかねません。

そこで推奨したいのが、各種ツールの活用です。

現在では、3点セットの作成を支援するための様々なツールが存在します。

最も手軽なのは、インターネット上で配布されているExcelなどのテンプレートです。

基本的な項目が予め用意されているため、それに沿って自社の業務内容を記述していくだけで、一定の品質の文書を作成できます。

より本格的に取り組むのであれば、内部統制構築支援に特化したクラウドサービス（SaaS）の利用も有効な選択肢です。

これらのサービスには、フローチャートを直感的に作成できる機能や、RCMのリスクとコントロールを効率的に管理する機能が備わっている場合もあります。

本格的な3点セットを作成するためのツール導入にはコストがかかりますが、手探りで作成する人件費や時間を考慮すれば、結果的に費用対効果が高くなるケースも少なくありません。

参考記事：【ひな形あり】中小企業にも有用な内部統制報告書とは？事例、提出方法など

まとめ

以上、内部統制（J-SOX）の3点セットに関して抑えておくべき知識や、中小企業が3点セットとどう向き合うべきかなどについて解説しました。

内部統制3点セットの作成は、非上場の中小企業にとって法的な義務ではありません。

しかし、業務の属人化を防ぎ、経営者が本来の業務に集中できる環境を整えたり、金融機関や取引先からの信頼を獲得したりと、多くのメリットをもたらします。

3点セットの作成は、企業の現状を客観的に把握し、課題を可視化する絶好の機会です。

自社の状況に合わせて、テンプレートや専門ツールの活用も検討しつつ、ぜひ内部統制の整備に取り組むことを検討してみてください。