ノウハウ 内部統制強化に向けた証跡管理とは?方法や保存期間も解説
投稿日:2024年11月21日
内部統制強化に向けた証跡管理とは?方法や保存期間も解説
本来、内部監査に備えるために必要な証跡管理は、内部統制という観点でも重要なことです。特にテレワークの普及拡大やデジタル化が進む近年において、慎重な証跡管理の重要性はますます高まっています。
そこで今回は、企業にとって証跡管理が必要な理由や管理方法、保存期間などについて詳しく解説します。
証跡管理の基本知識をつけたい方、デジタル化に伴い証跡管理の方法を見直したい方は、ぜひ参考にしてください。
証跡とは
証跡とは本来「証拠になる痕跡」を意味しますが、ビジネスにおいては業務プロセスや従業員の行動などが、法令や規則に従ったものであるかを示すための記録を指します。
主にパソコンなどの端末で行われた操作履歴などが、証跡とされます。
証跡の主な用途は、不正・トラブルの防止や不祥事が発生した際の原因究明などです。
基本的に証跡管理の義務はありませんが、後述する目的を考えると、どの企業も適切な証跡管理が可能な体制を整えることは重要です。
証跡と証憑の違い
証跡と似た言葉に、証憑があります。
証憑も業務上の事実を示すものではありますが、証跡とは記録されるデータの種類・範囲が異なります。
証跡とは、「業務全般の適切性を証明するための記録」です。
一方で証憑は「取引に関する記録」であり、例えば契約書・請求書・領収書・帳簿書類などが該当します。
とはいえ取引に関する記録も、業務の適切性の証明となる場合があります。
「証跡という大きな括りの中に証憑が含まれている」と認識して良いでしょう。
企業が証跡を管理する目的
企業が証跡を管理する理由としては、以下3つの重要な目的が挙げられます。
情報資産の適切な管理のため
企業にとっての情報資産とは、保有している「ヒト・モノ・カネ」に関わる情報のことです。
顧客情報・契約書類・財務情報・事業計画書・業務用PCのパスワードなどはすべて情報資産であり、外部へ流出しないためにも管理を徹底する必要があります。
しかし、ITシステムが普及した現代では外部からの不正アクセスによる情報資産の漏洩リスクが高まっています。
証跡管理に取り組めば情報資産へのアクセス履歴を辿りやすくなるため、情報資産の漏洩防止に役立ちます。
監査証跡として活用するため
企業では、第三者に特定の事柄の適切性や真実性を保証してもらうために「会計監査」や「システム監査」といった監査を実施する場合があります。
監査を実施する際、その事柄における適切性や真実性を示すエビデンスとして、監査担当者や外部機関に提示されるものを「監査証跡」と呼びます。
あらかじめ証跡管理の体制を整えておけば、監査の際に必要な情報をいつでも参照できるようになります。
スムーズな監査対応が可能となり、自社の信用が保たれることに加え、監査対応の負担が軽減されることもメリットです。
上場準備のため
すでに上場している企業はもちろん、上場準備企業にとっても、内部統制の強化は必須の取り組みです。
そして、内部統制の主な目的である「業務の有効性及び効率性」「財務報告の信頼性」「事業活動に関わる法令等の遵守」などは、すべて適切な証跡管理があってこそ果たされます。
上場企業では、「内部統制報告制度」に従い内部統制報告書の提出が必要です。
内部統制報告書とは、企業の内部統制が正常に機能しているかどうかを評価・報告する書類を指します。
財務報告に係る内部統制の基本的枠組みや評価の範囲、評価結果などが主な内容です。
財務関連の不正を防ぐため、企業の透明性と責任を高めるために内部統制の構築と報告が上場企業に義務付けられています。
上場審査では内部統制も審査基準に含まれるため、上場準備のために証跡管理は避けて通りません。
企業にとっての証跡管理の重要性
元より企業にとって証跡管理は重要な取り組みですが、近年は一層証跡管理の重要性が高まっています。
その理由としては、現代社会ならではの以下2つのポイントが挙げられます。
IT技術の進展
先述したように、近年は国内企業におけるITシステムの普及が進んでいます。
DX推進の必要性が呼び掛けられていることも影響し、デジタル化の実績が多くないもののITシステム導入を検討する企業は増加傾向にあります。
しかし、デジタル化を進めれば不正アクセスやサイバー攻撃といった、インターネットを通じたセキュリティリスクに直面します。
セキュリティリスクへの備えにも様々な手法がありますが、自社の重要な情報資産を守るためには、適切な証跡管理体制の整備は避けられません。
テレワークへの対応
働き方改革の推進や新型コロナウイルスの流行に伴い、テレワークの対応を進める企業も多くみられます。
テレワーク対応には、場所を問わずに内部で情報を共有し、業務を遂行するためのデジタル化が必要です。
そのデジタル化に欠かせないITシステムの導入を機に、セキュリティシステムのリスクが高まります。
さらにテレワークでは、従業員が適切に業務を遂行しているかを監視することが困難です。
テレワークの推進を検討している企業にとっては、セキュリティリスクだけでなく内部の不正防止という観点からも証跡管理の徹底が重要になります。
証跡管理の方法
証跡管理に有効な方法としては、文書管理システム・ログ管理システム・ワークフローシステムの活用が挙げられます。
すべての証跡を手作業で取得・集約のうえ管理するとなれば膨大な時間と労力がかかるため、現実的な手段ではありません。
一方で、1箇所に自動で証跡が記録・抽出され、閲覧・分析できる上記のシステムなら効率的な証跡管理が可能です。
以下より、各システムを活用した証跡管理の方法を解説します。
文書管理システムの活用
契約書・請求書・各種資料など、証跡にあたる文書の管理の徹底は、証跡管理において重要な取り組みです。
紙ベースの文書管理は紛失・破損・持ち出しなどのリスクを伴うだけでなく、必要となったときに即時取り出すことが難しくなります。
これらの問題点を解消するには、文書管理システムの活用が効果的です。
文書管理システムとは、電子化された文書の保管・活用・廃棄を1つのシステム上で行えるツールです。
文書データのタイトルやテキストをキーワードに絞込検索ができるため、状況に応じて即時文書の確認や分析が可能です。
また、製品によっては文書の閲覧・変更履歴などのログが残るため、証跡管理を強化するツールとしても適しています。
ログ管理システムの活用
ログ全般の管理なら、ログ管理システムの活用がおすすめです。
ログ管理システムとは業務で使うPCやスマホといった端末やサーバー、クラウドサービスなどのログを取得・管理できるツールです。
端末の場合はソフトウェアをインストールしておくと、自動的にログがサーバーに送信されます。
サーバーの場合は各種サーバーにプログラムをインストールしておき、サーバーと端末のやり取りをログとして取得するという仕組みです。
製品によってはアラート機能が搭載されており、事前にキーワードやソフトウェアなどに関してルールを設定しておくことで、不正操作とみなされた際に即時管理者へアラートが送信されます。証跡管理の効率化はもちろん、内部統制の強化にもログ管理システムは有効です。
ワークフローシステムの活用
証跡のうち、承認プロセスの管理を効率化するならワークフローシステムの活用が適しています。
ワークフローシステムとは、各種申請や稟議など、社内で行われている様々な手続きや申請書の作成を電子化できるツールです。
内部統制の観点において、従業員が適切に業務手続きを行い、申請から決裁まで適切に完了できる体制を構築することは重要です。
ワークフローシステムなら、事前に設定したルートに沿って自動的に承認が進むため、一貫性をもって業務が可能です。
また、承認者のなりすましや文書の紛失といったリスクも回避できます。
いつ・誰が・何をしたのかという情報がシステム上に記録され、確認できることから、承認ルートの見直しや改善にも役立ちます。
適切に管理された証跡を活用するメリット
正しく管理された証跡を監査証跡として活用することで、以下のようなメリットが得られます。
内部不正を防止できる
証跡を適切に管理することで、内外からの不正の防止・検知に有効です。
証跡管理に取り組むということは、従業員の業務内容が時系列ごとに記録され、どんな端末・システムでどのような操作が行われたのかなどの記録を残せる体制を整えることになります。
万が一不祥事が発生してもいち早く検知のうえ対処できる他、このような体制が整っているという事実が不正の抑止にもつながります。
企業のコンプライアンス違反に対し、一層厳しい目が向けられている現代社会では、不正リスクへ備えておくことの重要性が高まっています。
少しのミスによる不祥事で自社の信用が大きく失墜する可能性もあるため、内部統制の強化として証跡管理は必要です。
万が一の事態でも迅速な問題解決に役立つ
どんなに強固な対策を講じていても、絶対にトラブルが発生しないとは断言できません。
そのため、トラブル発生リスクを抑える取り組みだけでなく、万が一発生した際に被害を最小限に食い止めるための体制も整備しておく必要があります。
証跡を適切に管理していれば、問題が発生した範囲において「いつ・誰が・どんな操作を行ったか」という情報が時系列に沿って明らかになります。
そのため原因究明と対処の決定が迅速化し、実被害が広がる前に解決へ向かうことも可能です。
また、証跡となるログを日常的に監視しながら定期的に収集しておくことで、不正が発生するパターンや不正の兆候を分析しやすくなり、再発を防止できます。
証跡の保存期間
証跡のうち、証憑に該当する書類は会社法や法人税法によって保存期間が定められています。
しかし、システムログに関しては明確な保存期間が定められていないため、各種関連法令を参考に独自に定める必要があります。
企業の事業活動や万が一の法的トラブルに発展した際に関連する法令と、各法令に基づき証跡を活用できる(保存しておくべき)期間は、以下の通りです。
法令 | 保存期間に関する条文・規則 |
会計帳簿や事業に関する重要書類は10年保存 | |
帳簿類や取引に関する証憑書類は7年保存 | |
通信履歴の電磁的記録のうち必要なものと特定し、30日を超えない期間を定め、これを消去しないように書面で求めることができる | |
公訴時効は3年(禁止されている行為の罰則が懲役5年未満にあたる罪に該当するため) | |
・電子計算機損壊等業務妨害罪の公訴時効は5年 ・電子計算機使用詐欺罪の公訴時効は7年 | |
監査証明を付した内部統制報告書はEDINET(金融庁ウェブサイト)上にアップロードし、5年間公開する |
管理するログの重要度や管理の目的に応じて、法令も参考にしながら保存期間を定めましょう。
ログの保存期間の決め方やログ管理のポイントは、以下の記事で詳しく解説していますのでこちらも参考にしてください。
内部統制を強化するならシステムを活用した証跡管理が効果的!
コンプライアンス遵守や上場準備など重要な意味を持つ内部統制の強化には、適切な証跡管理が欠かせません。
証憑書類はもちろん、業務上のあらゆるログを記録のうえ、すぐに確認できるような体制を整える必要があります。
証跡管理の効率化には、ログ管理システムなどの活用が効果的です。
単にログを管理するだけでなく、文書管理やワークフローなど特定の業務効率化も図るなら、当該業務に特化したシステムの活用をおすすめします。
