内部統制を行うなら必ずおさえておきたい 「3点セット」の基本と作り方を解説

上場企業及び関連会社は金融商品取引法により、内部統制を評価して「内部統制報告書」を提出するとともに、監査を受けることが求められています。

そもそも内部統制とは、経営目標を達成するために、社員が遵守しなければならないルールや仕組みを指しており、業務やコンプライアンス、財務報告にかかわるもの等様々なものを含みます。

このうち財務報告にかかわる内部統制がきちんと整備・運用されなければ、適切な決算書が作成されない恐れがあります。そのため、内部統制報告書では、財務報告にかかわる内部統制の整備・運用に対する評価が求められています。

内部統制を把握するためのツールとして

• 「フローチャート」
• 「業務記述書」
• 「リスクコントロールマトリックス」

があり、これらを総称して「3点セット」と呼んでいます。
これら3点セットは、業務におけるリスクを把握すること、それに対する統制（コントロール）を見つけるためツールです。

次に、それぞれのツールについて概要を解説します。

フローチャートとは、業務のプロセスを「図式化し可視化」したものです。業務プロセスを可視化することによって、取引と会計処理の流れを整理し、内部統制上のリスクを識別します。

業務記述書は業務内容を「文章にして可視化」したものです。業務の概要や手順のプロセスを詳細に文字に書き起こしていきます。フローチャート同様、リスクやそれに対する内部統制を見つけることができます。

リスクコントロールマトリックスとは、業務におけるリスクとそのリスクに対応するコントロールについて「対応表」にしたもののことを言います。
業務内容や業務ごとに対するリスクを識別して評価し、内部統制によりリスクをどのように低減しているのかについて記載します。

具体的な3点セットの作り方について解説します。

作成にあたっては、「フローチャート」と「業務記述書」の作成後、「リスクコントロールマトリックス」の作成を行うと効率が良いです。まずフローチャート・業務記述書のドラフトを作ります。ドラフト作成後は現場部門と協議して財務報告に関するリスクとコントロールを設定し、修正点を明確にします。その後、修正点を元にフローチャート・業務記述書を更新してリスクコントロールマトリックスを作成します。

注意点として、業務記述書には財務報告リスクのために「誰が」「何を」「どのように行ったのか」を明記すること、そしてリスクコントロールマトリックスにおいては財務報告リスクに対して、「どのように統制（コントロール）しているのか」を明記する必要があります。

3点セットは、財務報告に係る業務内容について作成するため、社内の各部署を横断し、全社を挙げて取り組む必要があります。実際に内部統制の3点セットを作成するにあたり、「集中型」と「分散型」の2つの作成パターンに分けられます。 

「集中型」は、企業内でプロジェクトチームを組み文書化を進めます。
「分散型」は、部署ごとに文書化を進めます。

集中型・分散型、それぞれ、メリット・デメリットがあるため、詳しく見ていきましょう。

集中型

集中型は、社内で内部統制の3点セット作成のプロジェクトチームを組むだけあり、そこに人員を充てられるだけの規模の大きな会社であることが条件となります。また1つの事業に特化している企業に向いている手法です。

メリットとして、「効率的に作業ができる」「素早い問題解決」「作業の進捗状況を管理できる」などが挙げられます。デメリットは、プロジェクトチームを結成していても各業務を実際に行っているわけではなく、業務内容を十分に理解せずに3点セットを作成し、後々修正が必要になる恐れがあることです。

分散型

分散型は、集中型のようにプロジェクトチーム結成に充てる人員がいない場合や事業内容が多岐にわたる企業に向いている手法です。

普段から業務を行っている担当者が文書を作成するので、後々の修正が少ないことがメリットです。また各部署において内部統制に対しての意識が強くなります。デメリットとしては、文書の様式が揃っていなかったり、進捗状況の管理がしにくいことが挙げられます。

内部統制を評価するにあたり、すべてのプロセスについて3点セットを作成する義務はありません。

しかし、各プロセスにおける業務内容を明らかにし、そこにどのようなリスクが潜み、経営者がそのリスクを内部統制によってどのように低減させようとしているのかを、効率的かつ明瞭に記述するためには、3点セットは大変有効なツールと言えるでしょう。