3点セットを効率的に作成する方法は？

まずは評価範囲を大きくしすぎないことです。全社的な内部統制については内部統制の実施基準にて例示されている42の評価項目に関するチェックリストを参考に有効性を評価します。決算・財務報告プロセスの評価は監査法人にてチェックリストのひな型を作成しているケースが多いので相談してみましょう。業務プロセスの評価は会社固有のため、独自で作成する必要があります。評価範囲を大きくしすぎないことと使えるひな形等は利用することが効率的に作成するポイントです。

3点セットは必ず作成する必要があるのか？

内部統制の実施において3点セットの作成は必須ではありません。ただし財務報告の信頼性確保のために評価できる状態にすることが求められているため、実務上は作成が一般的です。業務記述書とRCMを合わせたチェックシートを作成するケースも多く、そちらで代用することも可能です。

内部統制（J-SOX）の3点セットとは？概要と作成のポイント

更新日：2025年04月13日

■執筆：一般社団法人日本経営調査士協会 代表理事 下田秀之氏: 東和銀行を経て2002年から中小企業診断士として事業再生ほか、学校法人等の許認可・経営法務・教育開発に従事する。
2006年から経営教育・資格認定・経営支援事業を担い現在に至る。
日本内部統制研究学会正会員、公益社団法人全国経理教育協会賛助会員。
＜代表著作等＞「法化社会における実務法務教育カリキュラム」、「実践型高度経理教育プログラム」、「（標準・上級）IPO・内部統制実務士」公式テキスト等の企画・監修、専門誌への執筆多数。

1.内部統制報告制度（J-SOX）とは
2.内部統制の評価方法
3.内部統制の3点セットとは？概要と作成の目的
4.3点セット作成の流れとポイント
　4-1.業務プロセス評価範囲の検討
　4-2.業務記述書・フローチャートの作成
　4-3.リスクとコントロールとは？
　4-4.リスクコントロールマトリクス（RCM）の作成
5.業務プロセスにおける整備のポイント
－よくあるご質問

1.内部統制報告制度（J-SOX）とは

金融商品取引法で導入された内部統制報告制度は、経営者による評価及び報告と監査人による監査を通じて財務報告に係る内部統制についての有効性を確保するための制度です。上場企業への対応が義務付けられているため、上場準備段階で内部統制の構築・運用の体制を整備しておく必要があります。

参考）金融庁「財務報告に係る内部統制の評価及び監査の基準並びに財務報告に係る内部統制の評価及び監査に関する実施基準の改訂について（意見書）」P.4～10

【関連コラム】

2.内部統制の評価方法

金融商品取引法に規定される内部統制の構築・運用については、「全社的な内部統制」と「業務プロセスに係る内部統制」の2つに分類することができます。全社的な内部統制については、経営者自身がチェックリストによる評価を行い、業務プロセスにかかる内部統制については、業務記述書、フローチャート、リスクコントロールマトリクス（RCM）のいわゆる3点セットを作成し、業務を可視化することで評価できる状態にします。

業務プロセスに分類されるもののうち、決算・財務報告にかかる業務プロセスは全社的観点の評価が適切といえます。そのため、全社的な内部統制と同様にチェックリストで評価します。売上・売掛金・棚卸資産などの固有の業務プロセスは3点セットを作成して評価することが一般的です。

【関連コラム】

内部統制、全体像と1年間の評価の流れを把握

3.内部統制の3点セットとは？概要と作成の目的

業務プロセスに係る内部統制の3点セット「業務記述書」、「フローチャート」、「リスクコントロールマトリクス（RCM）」とは何でしょうか？
3点セット作成の目的は財務報告の信頼性確保です。業務記述書およびフローチャートで業務プロセスを可視化し、リスクコントロールマトリクスで可視化された各業務におけるリスクの把握と統制（コントロール）方法を明確にします。

内部統制の実施において3点セットの作成は必須ではありません。しかし評価できる状態にするためには、業務プロセスの可視化が望ましく、実務上は作成が一般的です。

【業務記述書】

5W1H（いつ、どこで、誰が、何を、なぜ、どのように）にのっとり、業務の流れを言語化した書類です。使用しているシステムや帳票などの名称は正しく記載する必要があります。

※金融庁「財務報告に係る内部統制の評価及び監査の基準並びに財務報告に係る内部統制の評価及び監査に関する実施基準の改訂について（意見書）」より抜粋

【フローチャート】

業務記述書の内容を図におこした書類です。フローチャートの形式にすることで、業務の流れ、関連部署、取引の発生から集計・記帳といった会計処理の過程とそこに関わるシステムおよびデータの流れが視覚的にわかりやすくなります。
業務記述書の内容と比較し、必ず整合性が取れているようにしましょう。

【リスクコントロールマトリクス（RCM）】

業務プロセスにおいて、不正やミスといった業務リスクと、そのリスクに対応するコントロール（内部統制手続）を一覧にしたものです。コントロールがすべてのリスクに対応しているかという網羅性と実際に有効に機能するかという有効性を評価することを目的として作成します。

リスクコントロールマトリクス（例）金融庁「財務報告に係る内部統制の評価及び監査の基準並びに財務報告に係る内部統制の評価及び監査に関する実施基準の改訂について（意見書）」より抜粋 — ▲リスクコントロールマトリクス（例）

4.3点セット作成の流れとポイント

4-1.業務プロセス評価範囲の検討

3点セットを作成する前に、まずは業務プロセスの評価範囲を検討します。
全社的な内部統制は基本的にすべての事業拠点を評価対象にします。しかし業務プロセスの評価については、前連結会計年度の連結売上高のおおむね2/3というのが一般的な目安であり、必要以上に評価範囲を広げないことが重要です。ただし、2/3を下回る場合は、なぜその範囲を妥当としたのか、自社で基準を設けることと監査人との事前協議が必要です。

4-2.業務記述書・フローチャートの作成

業務プロセスの評価範囲が決定したら、いよいよ3点セットの具体的な作成作業に入ります。現状の業務フローを正確に把握するために、業務を実際に行っている担当者にヒアリングし業務記述書とフローチャートを完成させます。

関連する社内規程や業務マニュアル、帳票などの資料を事前に準備する。
ヒアリングの趣旨を実務担当者に説明し、業務の順番に沿って聞き取りを行う。
ヒアリング時はまずはおおまかに業務の一連の流れと重要なポイントを押さえる。
ヒアリング→作図→ヒアリング→作図･･･というサイクルを繰り返し、最終的には業務の流れを業務記述書およびフローチャートに忠実に再現する。

可能であれば2人以上で実施します。1人はヒアリング内容の議事録を作成し、もう1人はフローチャートの下書きを行うことが望ましいです。

また作成時には以下の点にも留意しましょう。

業務の実務担当者と権限者を明確に記載する。（5W1H）
突合、確認した書類や証憑の名称を正確に記載する、またその書類をシステムから出力した場合はその旨も記載する。（5W1H）
システムによる内部統制やチェック機能に依拠しているかどうかを記載する。

業務記述書、フローチャートの完成度が高いほど、リスクコントロールマトリクス（RCM）の作成が円滑に進みます。実務に忠実に、抜け漏れのないよう作成しましょう。

4-3.リスクとコントロールとは？

リスクコントロールマトリクス（RCM）の作成の前に、リスクとコントロールについて解説します。

内部統制におけるリスクに該当するかは、「財務報告の信頼性確保」を阻害するかどうか、で判断します。
財務報告の信頼性の確保を阻害するかどうかは、金融庁が定めた6つのアサーション（監査要件）に影響を及ぼすかどうかで判断することができます。

6つのアサーションは以下です。

実在性
資産及び負債が実際に存在し、取引や会計事象が実際に発生していること

網羅性
計上すべき資産、負債、取引や会計事象を全て記録していること

権利と義務の帰属
計上されている資産に対する権利及び負債に対する義務が企業に帰属していること

評価の妥当性
資産及び負債を適切な価額で計上していること

期間配分の適切性
取引や会計事象を適切な金額で記録し、収益及び費用を適切な期間に配分していること

表示の妥当性
取引や会計事象を適切に表示していること

▲出典：「財務報告に係る内部統制の評価及び監査の基準」金融庁

たとえば「実在性」に影響するリスクとしては、架空売り上げの計上（不正）や受注入力の金額を誤る（誤謬）などが考えられます。
アサーションに影響を及ぼす事象が起こった場合、財務報告の信頼性を確保することができない可能性があると言えるため、つまりそれはリスクであると識別できるのです。

次に、コントロールについてです。
コントロールとは、内部統制に関わるリスクを予防するため、または既に発生したリスクを発見するためのチェック作業のことをさします。
コントロールには「承認」や「照合」といった様々な種類があり、もっとも代表的なものは「上長による承認」です。リスクに対応した適切なコントロールを業務手続に組み込んでいく必要があります。
また、同じ種類のコントロールであっても、実施する担当者や部署などによって有効性の強弱が異なります。たとえば、営業担当者が作成した受注表は作成者自身が確認するよりも、営業部門の別の担当者や、上長による確認・承認の方が強いコントロールと言えます。さらに、経理部門の担当者や責任者による確認・承認の方が、恣意性介入の要素がなくなるため、より強いコントロールと言えます。

4-4.リスクコントロールマトリクス（RCM）の作成

業務記述書とフローチャートを分析して、財務報告の信頼性確保を阻害するリスクの発生箇所を抽出し、それを防止・発見・是正するコントロールを一覧にまとめて作成します。

①リスク発生箇所の検討

フローチャート上のどこでリスクが発生するかを検討、抽出します。リスクの発生箇所を抽出したら、フローチャートにリスクマークを記入します。

リスク発生箇所抽出のポイント（例：見積り業務）
リスク分類	リスク内容	発生箇所
不適正な取引価格	見積依頼書の金額について、担当者と顧客が共謀して不正に情報操作をするリスク	顧客から送付された「見積依頼書」
不適正な取引価格	製品の仕様やグレードなど、見積依頼書とは異なる内容の見積書が作成されるリスク	見積書作成という「作業」

②発生、発見できるリスクの種類の検討

抽出したリスクの発生箇所について、どのようなリスクが発生するか、または発見できる可能性があるかを検討します。その際、1つのリスク発生箇所について、様々な観点からリスクを検討する必要があります。

③抽出したリスクをリスクコントロールマトリクス（RCM）へ記入

④コントロールの確認

フローチャートと業務記述書の内容から、コントロールに該当するチェック作業等がフローチャート上のどこに存在するかを確認します。

⑤リスクに対応したコントロール内容を、リスクコントロールマトリクス（RCM）へ記入

⑥コントロール内容の説明文の作成

以上がリスクコントロールマトリクス（RCM）作成の流れです。

5.業務プロセスにおける整備のポイント

前述の通り、上場準備において3点セットの作成は必須ではありません。しかし財務報告の信頼性を確保するためには、業務プロセスを可視化し、各業務上のリスクとコントロールを正確に把握することが大前提です。そのためには3点セットの作成は実務上必要と言えます。

3点セットを作成する際には、

業務記述書およびフローチャートでは、5W1H（いつ、どこで、誰が、何を、なぜ、どのように）を明確にすること
リスクコントロールマトリクスでは、リスクの正確な把握と網羅的かつ有効なコントロールを設定すること

の2点について特に留意し、財務報告の信頼性確保を実現する3点セットを作り上げましょう。

■内部統制を担える人材を育成“IPO･内部統制実務士”とは？

経営品質の向上（上場審査基準を充たす経営管理面の整備と運用）、リスクへの対応、法令などから求められた内部統制システムの構築・評価・運用に必須な人材養成に応えるための資格制度です。詳細はホームページをご覧ください。

よくあるご質問

内部統制（J-SOX）3点セットとは: 業務記述書、フローチャート、リスクコントロールマトリクス（RCM）のこと。3点セット作成の目的は財務報告の信頼性確保です。業務記述書およびフローチャートで業務プロセスを可視化し、リスクコントロールマトリクスで可視化された各業務におけるリスクの把握と統制（コントロール）方法を明確にします。

3点セットを効率的に作成する方法は？: まずは評価範囲を大きくしすぎないことです。全社的な内部統制については内部統制の実施基準にて例示されている42の評価項目に関するチェックリストを参考に有効性を評価します。決算・財務報告プロセスの評価は監査法人にてチェックリストのひな型を作成しているケースが多いので相談してみましょう。業務プロセスの評価は会社固有のため、独自で作成する必要があります。評価範囲を大きくしすぎないことと使えるひな形等は利用することが効率的に作成するポイントです。

3点セットは必ず作成する必要があるのか？: 内部統制の実施において3点セットの作成は必須ではありません。ただし財務報告の信頼性確保のために評価できる状態にすることが求められているため、実務上は作成が一般的です。業務記述書とRCMを合わせたチェックシートを作成するケースも多く、そちらで代用することも可能です。