業務プロセスに係る内部統制については、その整備状況を明確にするため、文書化する必要があります。文書化の方法は、SOX法で特に定められているわけではありませんが、実施基準では図表の利用が勧められています(義務ではありません)。具体例としては、1.業務フロー図、2.業務記述書、3.リスクコントロールマトリックス(RCM)と一般に呼ばれているもので、「内部統制の3点セット」と総称されています。それぞれの内容は次のようになっています。
| 文書 | 解説 | |
| 業務フロー図 | 業務プロセスを洗い出すための業務手順を図で示したものです。 | |
| 業務記述書 | 変業務の詳細な内容を文章で記述したものです。 | |
| リスクコントロールマトリックス | 業務中のリスクと対応策を一覧表にしたものです。 | |
3点セットは、まず、ここの業務プロセスを「業務フロー図」で示し、業務内容の詳細を「業務記述書」に記録して、どこにリスクが生じるかを把握し、次に、内部統制がその把握したリスクを十分に低減しているかを検討し、「リスクコントロールマトリックス」に評価の結果を記載するという形で利用されます。
これらの文書を作成しないで、内部統制の改善を検討しても、改善のイメージが全体で把握できないため、改善策が場当たり的になり期待した結果に結びつかない可能性が高くなってしまいます。
3点セットを利用することは、業務プロセスに係る内部統制を細分化し、ピンポイントで現状把握、問題点の洗い出しをすることになります。したがって、非常に有効なツールであるといえます。
外部のコンサルタントやシステム開発に依頼すれば「文書化3点セット」の整備について業務委託してくれる会社も、現在は多くあります。