. J-SOXの3点セットとは 作成方法とテンプレートをわかりやすく解説
J-SOXの3点セットとは 作成方法とテンプレートをわかりやすく解説
J-SOXの3点セットとは 作成方法とテンプレートをわかりやすく解説

J-SOXの3点セットとは 作成方法とテンプレートをわかりやすく解説

RCMを作成する最大の目的は、「どのリスクに」「どのコントロールが」対応しているのかを明確に紐づけることです。これにより、コントロールがすべての重要なリスクをカバーできているか(網羅性)、また、そのコントロールはリスクを低減する上で本当に有効か(有効性)を客観的に評価できます。もし、重要なリスクに対応するコントロールが存在しない、あるいはコントロールが形骸化しているといった「不備」が発見されれば、速やかに是正措置を講じる必要があります。

J-SOXの3点セットを作成する3つの目的

① 業務内容を可視化する

第一の目的は、組織内の業務内容を客観的かつ網羅的に可視化することです。多くの企業では、長年の慣習や担当者の経験則によって業務が遂行されており、特定の担当者しか知らない「業務のブラックボックス化(属人化)」が発生しがちです。このような状態は、担当者の退職や異動によって業務が滞るリスクを抱えているだけでなく、非効率な作業が温存される原因にもなります。

【業務可視化がもたらす具体的なメリット】

  • 属人化の排除と業務の標準化:個人のスキルに依存していた業務が標準化され、組織全体の業務品質が安定します。誰が担当しても一定のクオリティで業務を遂行できるようになり、業務継続性(BCP)の観点からも非常に重要です。
  • 業務マニュアルとしての活用:作成された3点セットは、そのまま質の高い業務マニュアルとして機能します。新人教育や部署間の異動に伴う業務引継ぎの際に活用することで、教育コストを大幅に削減し、早期の戦力化を促進します。
  • 非効率な業務の発見:業務プロセス全体を俯瞰することで、「なぜこの作業が必要なのか?」といった根本的な問いが生まれます。重複作業、不要な承認プロセス、手作業による煩雑なデータ入力など、これまで見過ごされてきた非効率な業務を特定し、業務改善(BPR: Business Process Re-engineering)のきっかけとすることができます。

このように、3点セットの作成は、組織の業務プロセスを客観的に見つめ直し、継続的な改善活動の土台を築くための第一歩となるのです。これは、監査をクリアするためという受動的な目的だけでなく、生産性向上という能動的な経営目標にも直結します。

② 業務上のリスクを洗い出す

第二の目的は、業務プロセスに潜む潜在的なリスクを体系的に洗い出すことです。日々の業務に慣れてしまうと、「いつもこのやり方で問題なかったから大丈夫」という思い込みに陥りがちです。しかし、その「いつも通り」の業務の中に、不正会計や情報漏洩、業務停止といった重大な事態を引き起こしかねないリスクが潜んでいる可能性があります。

【洗い出されるリスクの具体例】

  • 不正のリスク
    • 承認権限のない担当者が勝手に発注や支払いを行ってしまう。
    • 営業担当者が架空の売上を計上し、自身の成績を水増しする。
    • 経理担当者が会社の資金を横領する。
    • 請求金額の入力ミスにより、顧客に誤った金額を請求してしまう。
    • 在庫の数え間違いにより、財務諸表上の棚卸資産価額が不正確になる。
    • 手作業でのデータ転記ミスにより、経営判断に必要なデータが信頼性を失う。

    これらのリスクを一つひとつ丁寧に洗い出し、RCMにリストアップしていくことで、自社がどのようなリスクに晒されているのかを客観的に把握できます。さらに、洗い出したリスクが財務報告に与える影響の大きさ(金額的な重要性)や発生可能性を評価することで、どのリスクから優先的に対策を講じるべきか、リスク管理の優先順位付けが可能になります。

    この活動は、財務報告の信頼性を確保するというJ-SOXの直接的な目的だけでなく、企業のレピュテーション(評判)を守り、事業を安定的に継続させるための全社的リスクマネジメント(ERM: Enterprise Risk Management)の基盤としても機能します。

    ③ リスクへの対応策を明確にする

    第三の目的は、洗い出したリスクに対して、現在どのような対応策(コントロール)が講じられているかを明確にすることです。リスクを洗い出すだけでは不十分であり、そのリスクを許容可能なレベルまで低減するための具体的な仕組みがなければ意味がありません。RCMは、この「リスク」と「コントロール」の対応関係を明確にするための文書です。

    • 職務分掌:取引の承認、実行、記録、資産の保管といった役割を異なる担当者に分けることで、不正や誤謬を相互に牽制する。
    • 承認・照合:上長による申請内容の承認や、請求書と納品書の金額照合など、第三者によるチェックを行う。
    • 物理的なアクセス制限:現金や重要な書類を金庫に保管する、サーバールームへの入室を制限するなど。
    • システムによる自動チェック:入力されたデータが設定されたルール(例:単価マスターの金額)から逸脱していないかをシステムが自動で検証する。

    RCMを作成する過程で、担当者は「このリスクに対しては、現在どのようなコントロールが機能しているだろうか?」と自問自答することになります。そして、特定したコントロールをRCMに記述することで、これまで漠然と行われてきたチェック業務などが、特定のリスクを低減するための重要な「統制活動」として正式に位置づけられます

    • コントロールの重複:同じリスクに対して、複数の部署が過剰なチェックを行っている。
    • コントロールの欠如:重要なリスクに対応するコントロールが全く存在しない。
    • コントロールの形骸化:ルール上は存在するものの、実際には行われていない、または不十分なコントロール。

    最終的に、整備された3点セットは、内部監査や会計監査人に対して、「我が社は財務報告リスクをこのように認識し、それに対してこれだけ有効な対策を講じています」と論理的かつ客観的に説明するための強力な証拠となります。これは、監査対応をスムーズに進める上で不可欠なだけでなく、企業のガバナンス体制に対するステークホルダーからの信頼を高めることにも貢献するのです。

    J-SOXの3点セットの作成方法【3ステップ】

    ① 業務記述書を作成する

    ステップ1-1:準備(情報収集とヒアリング) まず、評価対象となる業務プロセスを特定します。次に、その業務に関連する既存の資料をすべて収集します。業務マニュアル、社内規程、組織図、各種帳票のサンプルなどがこれにあたります。 しかし、資料だけでは実際の業務フローを正確に把握することは困難です。最も重要なのは、現場の業務担当者への直接のヒアリングです。ヒアリングを行う際は、以下の点を心がけましょう。

    • 目的の共有:J-SOX対応の目的を丁寧に説明し、協力的な関係を築く。「監査のための粗探し」ではなく、「業務を可視化し、より良くするための共同作業」であることを伝えます。
    • 複数人へのヒアリング:担当者一人だけでなく、その上長や関連部署の担当者など、複数の視点から話を聞くことで、情報の客観性と網羅性を高めます。
    • 5W1Hを意識した質問:「誰が」「いつ」「何を」「どのように」処理しているかを具体的に掘り下げて質問します。「承認」という言葉一つでも、「誰が、何を見て、何を根拠に承認しているのか」まで具体的に確認することが重要です。
    • 例外処理の確認:通常のフローだけでなく、イレギュラーな事態が発生した際の対応(例外処理)についても必ず確認します。リスクはしばしば例外処理の中に潜んでいます。

    ステップ1-2:執筆(ドラフト作成) ヒアリングで得た情報を基に、業務記述書のドラフトを作成します。文章は、専門用語や社内用語を避け、その業務を知らない第三者が読んでも理解できる平易な言葉で記述することが鉄則です。 業務の流れに沿って、時系列でステップごとに記述していくのが一般的です。

    【記述のポイント】

    • 主語を明確にする:「〜を行う」ではなく、「〇〇部の△△担当者が〜を行う」のように、実行者を具体的に記述します。
    • インプットとアウトプットを明記する:各作業で何(どの帳票やデータ)をインプットとし、何(作成された書類や登録されたデータ)をアウトプットとするのかを明確にします。
    • システム処理と手作業を区別する:システムが自動で行う処理と、人が手作業で行う処理を明確に区別して記述します。

    ステップ1-3:レビュー(内容の確認と修正) 作成したドラフトを、ヒアリングに協力してくれた現場担当者にレビューしてもらいます。現場の担当者による事実確認(ファクトチェック)は、業務記述書の正確性を担保する上で最も重要なプロセスです。 レビューでは、記述内容と実際の業務に齟齬がないか、抜け漏れがないかを重点的に確認してもらいます。フィードバックを元に修正を重ね、最終的に現場担当者と文書作成者の間で「記述内容が実際の業務と一致している」という合意を形成します。この合意形成が、後の手戻りを防ぐ鍵となります。

    ② フローチャートを作成する

    ステップ2-1:準備(ツールの選定とルールの統一) まず、フローチャートを作成するためのツールを選定します。Microsoft ExcelやPowerPoint、Visioといった汎用的なツールのほか、Lucidchartやdraw.ioといった作図専用のクラウドツールも便利です。 次に、組織内で使用する記号のルールを統一します。JIS規格に準拠するのが一般的ですが、自社独自のルールを設ける場合は、凡例を明記して誰が見ても理解できるようにしておく必要があります。特に、部署や担当者を分ける「スイムレーン」の形式を採用すると、責任の所在が明確になり、非常に分かりやすくなります。

    ステップ2-2:作成(業務記述書からの転記) 完成した業務記述書を横に置き、その内容を一つひとつフローチャートに落とし込んでいきます。フローチャートは業務記述書と1対1で対応している必要があり、どちらか一方にしか記載されていない情報があってはなりません。

    【作成のポイント】

    • スイムレーンで役割を明確化:経理部、営業部、システムといったように、登場人物ごとにレーンを分け、業務の流れが部署間をどのように移動するのかを明確に示します。
    • 処理と書類の流れを区別する:実線は業務や処理の流れ、点線は書類や情報の流れ、といったように線の種類を使い分けると、より分かりやすくなります。
    • 判断分岐を正確に記述する:「Yes/No」で分岐する判断記号(ひし形)の後は、それぞれのルートがどこに繋がるのかを漏れなく記述します。承認プロセス(承認/否認)は、この判断記号で表現されます。
    • 複雑化を避ける:一つのフローチャートに情報を詰め込みすぎると、かえって分かりにくくなります。必要に応じて、メインフローとサブルーチン(詳細フロー)に分割するなどの工夫も有効です。

    ステップ2-3:レビュー(整合性の確認) 作成したフローチャートが、業務記述書の内容と完全に一致しているか、相互に突き合わせてレビューします。業務記述書のステップがフローチャート上で抜けていないか、フローチャート上の処理が業務記述書で説明されているかなどを入念に確認します。このレビューも、現場担当者を交えて行うことが望ましいです。

    ③ リスクコントロールマトリックス(RCM)を作成する

    ステップ3-1:リスクの識別 完成した業務記述書とフローチャートを精査し、各業務ステップに潜む「財務報告上のリスク」を洗い出します。リスクを識別する際の視点は、「もし、このプロセスで意図的な不正や偶発的なミスが起きたら、財務諸表のどの数字が、どのように歪められる可能性があるか?」というものです。

    【リスク識別の着眼点】

    • 承認プロセス:承認なしで取引が進んでしまう可能性はないか?
    • データ入力:手作業での入力箇所で、入力ミスが発生する可能性はないか?
    • 計算処理:Excelなどでの手計算で、計算間違いが発生する可能性はないか?
    • マスタデータ管理:不正確な単価マスタが使われ、売上額が誤る可能性はないか?
    • 職務分掌:一人の担当者が申請から承認まで完結できてしまうプロセスはないか?

    ステップ3-2:コントロールの識別 次に、ステップ3-1で識別した各リスクに対して、それを低減するために現在実施されているコントロール(統制活動)を特定します。これも業務記述書とフローチャートから読み取ります。 例えば、「請求金額を誤って入力するリスク」に対しては、「作成者とは別の担当者が、請求書と元データ(納品書など)を照合・承認する」といった活動がコントロールに該当します。

    ステップ3-3:RCMへのマッピングと評価項目の追記 識別したリスクとコントロールを、RCMのフォーマットに転記し、両者を紐づけていきます。 その後、各コントロールについて、以下の項目を追記・整理していきます。

    • アサーション:リスクが財務諸表のどの監査要点(実在性、網羅性など)に関連するかを判断します。
    • コントロールの分類:手動か自動か(IT統制か)、予防的か発見的かを分類します。
    • 評価手続の策定:そのコントロールが有効に機能しているかを、どのようにテストするか(例:「承認印のある請求書のサンプルをXX件抽出し、承認者へ質問する」)を具体的に記述します。

    この段階で、リスクはあるが対応するコントロールが存在しない(コントロールの欠如)といったギャップが明らかになることがあります。これが内部統制の「不備」であり、改善の対象となります。 RCMの作成は、内部統制に関する深い理解が求められるため、必要であれば監査法人や専門のコンサルタントに相談しながら進めるのが賢明です。

    J-SOXの3点セットのテンプレート

    業務記述書のテンプレート

    業務記述書:販売プロセス(売上計上) 文書管理番号: PRO-SAL-001 作成日: 202X年XX月XX日 改訂日: 202X年XX月XX日 作成部署: 経理部 承認者: 経理部長

    No. 業務内容 担当部署/担当者 実施時期 使用システム/帳票 備考(リスク・コントロールなど) 1 受注入力 営業部/営業担当者 受注時 販売管理システム 顧客からの注文書に基づき、受注データをシステムに入力する。 2 受注承認 営業部/営業部長 受注日 販売管理システム 営業担当者が入力した受注内容(金額、納期等)をシステム上で確認し、承認する。(コントロール①) 3 出荷指示 営業部/営業担当者 承認後 販売管理システム 承認された受注データに基づき、倉庫部門へ出荷指示データを送信する。 4 出庫・検品 倉庫部/倉庫担当者 指示受領後 – 出荷指示書に基づき、商品をピッキングし、品名・数量を検品する。検品後、納品書を作成する。 5 商品出荷 倉庫部/倉庫担当者 検品後 納品書 商品に納品書を同梱し、配送業者へ引き渡す。 6 売上データ作成 経理部/経理担当者 出荷日翌日 販売管理システム、会計システム 販売管理システムの出荷実績データに基づき、会計システムに連携する売上仕訳データを作成する。 7 売上計上承認 経理部/経理部長 月末 会計システム、売上実績レポート 経理担当者が作成した売上データを、関連証憑(納品書の控え等)と突合し、内容の正当性を確認した上で承認する。(コントロール②

    【テンプレート活用のポイント】

    • 連番(No.)を振る:後のフローチャートやRCMで参照しやすくするため、業務ステップごとに番号を振ります。
    • 備考欄の活用:この段階で気づいたリスクや、その業務がコントロールに該当する場合は、備考欄にメモしておくと、RCM作成時に役立ちます。
    フローチャートのテンプレート

    【フローチャートの構成要素】

    • タイトル:業務プロセスの名称(例:販売プロセス フローチャート)
    • スイムレーン:業務に関わる部署、担当者、システムなどを縦または横に区切ったレーン。(例:営業部、倉庫部、経理部、販売管理システム)
    • フロー:各スイムレーン内に、業務記述書に対応する処理や判断を記号で配置し、矢印で結んで流れを示す。
    • 凡例:使用している記号の意味を記載する。

    【使用する記号の例(JIS準拠)】

    記号 名称 意味 端子 プロセスの開始と終了を示す。 処理 何らかの作業や処理(データ入力、計算など)を示す。 判断 条件による分岐(承認/否認、Yes/Noなど)を示す。 書類 注文書、納品書、請求書などの帳票を示す。 データ システム上のデータやファイルを示す。

    【テンプレート活用のポイント】

    • 業務記述書との連携:フローチャートの各処理記号の中に、対応する業務記述書のNo.を記載しておくと、両者のトレーサビリティ(追跡可能性)が確保できます。
    • コントロールの明示:コントロールに該当する処理(承認、照合など)は、記号の形を変えたり色をつけたりして、視覚的に分かりやすくする工夫も有効です。
    リスクコントロールマトリックス(RCM)のテンプレート

    リスクコントロールマトリックス(RCM):販売プロセス 文書管理番号: RCM-SAL-001 作成日: 202X年XX月XX日 改訂日: 202X年XX月XX日

    業務プロセス 財務報告リスク アサーション コントロール 分類 関連文書No. (業務記述書No.) (どのような不正・誤謬が起こりうるか) (実在性、網羅性など) (リスクに対応する統制活動) (手動/自動、予防/発見) (業務記述書/フローチャートのNo.) 記入例 受注承認 (No.2) 存在しない顧客からの受注や、誤った条件(単価、数量)での受注が承認され、架空・不正確な売上に繋がるリスク。 実在性、評価の妥当性 営業部長が、営業担当者が入力した受注内容を、顧客からの注文書と照合し、内容の正当性を確認した上でシステム上で承認する。 手動、予防的 PRO-SAL-001 (No.2) 売上計上承認 (No.7) 出荷されていない取引が売上として計上される(架空売上)、または計上金額が誤るリスク。 実在性、評価の妥当性、期間配分の適切性 経理部長が、計上された売上データと、倉庫から回付された納品書の控え(出荷実績)を突合し、取引の事実と金額の正確性を確認した上で承認する。 手動、発見的 PRO-SAL-001 (No.7) 売上データ作成 (No.6) 販売管理システムから会計システムへのデータ連携時に、データが漏れたり、改ざんされたりするリスク。 網羅性、正確性 データ連携はシステム間で自動的に行われ、連携後には件数・金額のコントロール合計が照合される。不一致の場合はエラーリストが出力される。 自動、発見的 PRO-SAL-001 (No.6)

    【テンプレート活用のポイント】

    • リスクとコントロールの1対N対応:一つのリスクに対して複数のコントロールが対応する場合や、一つのコントロールが複数のリスクに対応する場合もあります。その関係性が明確になるように記述します。
    • 具体的に記述する:コントロールの内容は、「〜を確認する」といった曖昧な表現ではなく、「誰が、何と何を、どのように照合・確認し、承認するか」まで具体的に記述することが重要です。これにより、評価手続も具体的に設定できます。

    J-SOXの3点セットを作成する際のポイントと注意点

    作成の目的を明確にする

    最も重要なのは、関係者全員が「何のために3点セットを作成するのか」という目的意識を共有することです。J-SOX対応は、しばしば「監査法人に言われたからやる」「法律で決まっているから仕方なくやる」といった、受け身の姿勢で取り組まれがちです。しかし、このような姿勢では、現場の協力も得にくく、形骸化した文書しか出来上がりません。

    • J-SOX対応は、単なる規制対応ではないこと。
    • 業務を可視化し、標準化することで、属人化を防ぎ、生産性を向上させる良い機会であること。
    • リスクを洗い出し、対策を講じることで、不正やミスを防ぎ、会社と従業員自身を守ることに繋がること。
    • 最終的には、企業の信頼性を高め、企業価値の向上に貢献する重要な経営活動であること。

    このようなポジティブな目的を共有することで、3点セットの作成は「やらされ仕事」から「自分たちの仕事をより良くするためのプロジェクト」へと変わります。この意識改革こそが、J-SOX対応を成功させるための最大の鍵と言えるでしょう。

    各部署との連携を密にする

    3点セットの作成は、経理部や内部監査室といった管理部門だけで完結するものではありません。実際に業務を遂行している営業、製造、購買、人事といった各現場部署の協力なくして、実態に即した精度の高い文書を作成することは不可能です。

    • 丁寧なコミュニケーション:現場担当者へのヒアリングやレビュー依頼の際は、高圧的な態度や一方的な要求は禁物です。相手の業務に配慮し、時間を確保してもらうことへの感謝を伝え、協力的な関係を築くことが重要です。
    • 現場の言語を理解する:管理部門の専門用語を振りかざすのではなく、現場で使われている言葉や業務の背景を理解しようと努める姿勢が求められます。現場の担当者が「この人になら本当のことを話せる」と感じるような信頼関係を構築することが、質の高い情報を引き出すことに繋がります。
    • フィードバックの尊重:現場から受けたフィードバックは真摯に受け止め、文書に反映させる必要があります。現場の知見や意見を無視してしまえば、協力は得られなくなり、文書も実態から乖離してしまいます。現場こそが、業務プロセスの専門家であるという認識を持つことが大切です。
    • 定期的な進捗共有:プロジェクトの進捗状況や、明らかになった課題などを定期的に関係部署と共有する場を設けることで、組織全体で取り組んでいるという一体感を醸成できます。
    テンプレートを有効活用する

    【テンプレート活用のメリット】

    • 作業の効率化:記載すべき項目が予め整理されているため、抜け漏れを防ぎ、作成時間を大幅に短縮できます。
    • 品質の標準化:組織全体で同じフォーマットを使用することで、文書の品質を一定に保つことができます。
    • ベストプラクティスの導入:監査法人などが作成したテンプレートには、多くの企業の事例から得られた知見や、監査上重要とされるポイントが反映されていることが多く、自社の内部統制をレベルアップさせる上で参考になります。

    ただし、テンプレートをそのまま鵜呑みにするのは危険です。テンプレートはあくまで雛形であり、自社のビジネスモデル、組織構造、業務の特性に合わせてカスタマイズすることが必須です。テンプレートの項目を埋めることが目的化しないよう、常に自社の実態に合っているかを確認しながら作業を進めましょう。

    必要に応じて専門家のサポートを受ける

    【専門家のサポート例】

    • 監査法人:顧問契約を結んでいる監査法人に相談すれば、J-SOX対応に関するアドバイスや、作成した文書のレビューを依頼できます。ただし、監査法人は独立性の観点から、文書の作成代行など、企業の意思決定に直接関与することはできません。
    • コンサルティング会社:J-SOX対応を専門とするコンサルティング会社に依頼すれば、文書作成の代行、プロジェクトマネジメント、担当者への研修など、より踏み込んだハンズオンでの支援を受けることができます。

    外部の専門家を活用することで、最新の規制動向や他社事例を踏まえた客観的な視点を取り入れることができ、J-SOX対応の品質を大きく向上させられます。もちろんコストはかかりますが、自社の人員が本来の業務に集中できる、対応期間を短縮できるといったメリットを考慮すれば、十分に価値のある投資と言えるでしょう。自社の状況に合わせて、適切な専門家と適切な範囲で協業することが、成功への近道です。

    J-SOX対応を効率化するツール

    奉行Edge 内部統制支援クラウド

    主な機能

    • 文書化支援:3点セット(業務記述書、フローチャート、RCM)をクラウド上で作成・管理できます。テンプレートが用意されており、効率的な文書作成が可能です。
    • 評価作業の管理:整備状況評価や運用状況評価のテスト計画、実施、結果記録をシステム上で行えます。評価の進捗状況が可視化されるため、管理が容易になります。
    • ワークフロー機能:文書の作成・承認や評価作業の依頼・承認などをワークフロー化し、内部統制のプロセスを強化します。
    • 版管理と変更履歴:文書の変更履歴が自動で記録されるため、いつ、誰が、どこを修正したかが明確になり、監査対応もスムーズです。

    Excel管理からの脱却を図り、J-SOX対応業務全体のプロセスを標準化・効率化したい企業におすすめの専門ツールです。 参照:株式会社オービックビジネスコンサルタント公式サイト

    マネーフォワード クラウド

    株式会社マネーフォワードが提供する「マネーフォワード クラウド」シリーズ、特に「マネーフォワード クラウド会計Plus」や「マネーフォワード クラウドERP」は、会計システムとしての機能を通じてJ-SOX対応を支援します。

    J-SOX対応に寄与する機能

    • 権限管理:ユーザーごとに細やかな権限設定が可能で、職務分掌の徹底を支援します。閲覧、入力、承認などの権限を分けることで、不正な操作を防ぎます。
    • 承認フロー(ワークフロー):仕訳や申請に対する多段階の承認フローをシステム上で構築できます。承認履歴がすべて記録されるため、統制活動の証跡として利用できます。
    • 監査ログ:誰が、いつ、どのデータにアクセスし、どのような操作を行ったかのログが自動で記録されます。データの改ざんや不正アクセスを牽制・追跡する上で重要です。

    直接的に3点セットを作成するツールではありませんが、会計業務におけるIT統制(ITAC、ITGC)を強化し、RCMに記述するコントロールの実効性を高める上で非常に有効です。 参照:株式会社マネーフォワード公式サイト

    freee会計

    J-SOX対応に寄与する機能

    • 内部統制機能:マネーフォワード クラウドと同様に、権限設定、承認フロー、操作ログの管理といった内部統制に不可欠な機能を備えています。
    • 仕訳の自動化:銀行口座やクレジットカードとの連携による仕訳の自動生成は、手入力によるミスを削減し、業務の正確性と効率性を高めます。これは、誤謬リスクに対する有効なコントロールとなります。
    • ペーパーレス化の促進:請求書や領収書を電子データで取り込み、仕訳と紐づけて保存できるため、証憑の管理が容易になり、監査時の書類提出もスムーズになります。

    コストを抑えつつ、会計プロセスの統制レベルを向上させたい企業にとって、有力な選択肢の一つです。 参照:freee株式会社公式サイト

    onflow

    主な機能

    • J-SOX文書の一元管理:3点セットの作成・更新・紐付けをクラウド上で行えます。特にRCMと評価手続(調書)が連動しており、評価作業をシームレスに進めることができます。
    • 評価プロセスの効率化:ウォークスルーや運用テストの計画、依頼、証憑の回収、評価結果の記録までをプラットフォーム上で完結できます。
    • 指摘事項の管理:監査で発見された不備(指摘事項)の登録、改善計画の策定、進捗管理、完了報告までを一元管理し、是正活動を確実に実行できます。
    • ダッシュボード機能:評価の進捗状況や指摘事項のステータスなどをダッシュボードで可視化し、経営層への報告も容易にします。

    J-SOX対応業務を包括的に管理し、監査法人との連携も含めてDX(デジタルトランスフォーメーション)を推進したい企業に最適な専門ツールです。 参照:株式会社onflow公式サイト

    J-SOXの3点セットに関するよくある質問

    J-SOXの3点セットは誰が作成するのですか?

    この質問は非常によく聞かれますが、結論から言うと、「特定の部署だけで作成するのではなく、企業全体で協力して作成するもの」です。ただし、その中での役割分担は明確に存在します。

    一般的に、J-SOX対応プロジェクトの推進役となるのは、経理部門や内部監査部門(または内部統制推進室のような専門部署)です。これらの部門がプロジェクト全体の旗振り役となり、計画の策定、各部署との調整、専門的な知見の提供、作成された文書の取りまとめなど、中心的な役割を担います。

    しかし、前述の通り、実際の業務内容を最もよく知っているのは現場の担当者です。そのため、業務記述書やフローチャートの元となる情報を提供し、作成されたドラフトの内容が実態と合っているかを確認(レビュー)するのは、各業務を担当する事業部門(営業、製造、購買など)の役割となります。

    役割 担当者/部署 主な責任 最終責任者 経営者(代表取締役など) 内部統制の整備・運用に関する最終的な責任を負う。内部統制報告書に署名する。 プロジェクト推進・管理 経理部門、内部監査部門 全体計画の策定、現場へのヒアリング、文書作成の主導、進捗管理、監査法人との窓口。 情報提供・レビュー 各事業部門の担当者・管理者 担当業務に関する正確な情報提供、作成された文書の内容確認とフィードバック。 監視・検証 監査役、監査(等)委員会 独立した立場から、経営者や業務執行部門による内部統制の整備・運用状況を監視・検証する。 外部監査 公認会計士、監査法人 独立した第三者の立場から、経営者が作成した内部統制報告書が適正であるかについて監査を行い、意見を表明する。

    このように、3点セットの作成は、管理部門が主導しつつも、現場部門の協力が不可欠な全社的なプロジェクトです。「誰が作るのか」という責任の押し付け合いになるのではなく、「それぞれの立場でどのように貢献するか」という協調的な姿勢で臨むことが、プロジェクト成功の鍵となります。

    まとめ

    J-SOXの3点セットとは、「業務記述書」「フローチャート」「リスクコントロールマトリックス(RCM)」という、相互に関連し合う3つの文書のことです。これらは、企業の業務プロセスを可視化し、そこに潜む財務報告上のリスクを識別し、そのリスクに対する統制活動(コントロール)を明確にするための、極めて重要なツールです。

    3点セットの作成は、法律で定められた義務であると同時に、業務の属人化を排除し、非効率なプロセスを改善し、リスク管理体制を強化するという、企業経営そのものに多大なメリットをもたらす活動です。単なる「監査対応のための作業」と捉えるのではなく、自社の経営基盤を盤石にするための絶好の機会と捉えることが重要です。