内部統制に必須な「承認証跡」の管理要件と保存期間

J-SOX対応や内部監査において、適切な監査証跡の確保は避けて通れません。

本記事では、監査に耐えうる証跡の3要件、法令が求める保存期間の目安、Excel運用のリスクと具体的な打ち手を解説。監査実務で求められる基準をまとめました。

監査証跡とは？なぜ重要なのか

監査証跡とは、業務プロセスにおける一連の活動を時系列で再現・検証できる記録を指します。操作ログも含めて、誰がいつ承認したかを再現できる形で、一連の経路を追える状態が求められます。

経営者が内部統制を評価し、監査人が検証するJ-SOX制度下では、第三者が客観的に追跡できる証拠が欠かせません。承認の事実を事後的に証明できない状態では、統制が有効に機能していると判断されにくくなります。

監査基準を満たす「証跡管理」
3つの要件

以下の3点が揃って初めて、監査証拠としての信頼性が生まれます。

• 1. 完全性・正確性
  記録の改ざんや削除、なりすましが防止されている状態です。訂正が必要な場合も、修正前の履歴を含めて正確に追跡できるようにしておく必要があります。
• 2. 網羅性
  申請から承認、決裁に至るまでのプロセスが途切れず、全ての取引が記録されている状態です。
• 3. 可用性・検索性
  監査人から特定の取引記録を求められた際、速やかに検索し、提示できる状態です。

証跡の保存期間と不備のリスク

法人税法では、帳簿書類を原則として確定申告書の提出期限の翌日から7年間の保存が必要とされています（一定の場合は10年間）^※1。会社法においては、会計帳簿を閉鎖の時から10年間の保存が必要^※2です。

保存期間が不足していたり、提示要求に応じられない状態が続いたりすると、統制の運用有効性を説明できず、統制不備と評価される可能性が高まります。不備が指摘されれば、IPO審査の遅延や、追加的な監査対応コストが発生することもあるでしょう。

法令遵守とリスク回避の両面から、長期保存の仕組み作りは必須です。

証跡管理の方法：Excel管理の
限界とシステム化

監査証跡は「誰が・いつ・何を」行ったかを時系列で追跡できるようにしておく必要がありますが、Excelやメールによる管理では限界があります。Excelやメールは、構造的に改ざんが容易だからです。

管理方法	要件との相性	監査時
Excel／メール／紙	完全性が低く編集・差替えが容易。経路が分断され網羅性も弱い。検索に多大な時間を要する。	ある承認が、本当にその時点で行われたかどうかの説明が困難。提出に手間がかかる。
ワークフロー	認証・時刻・操作履歴が自動記録される。申請から決裁まで同一系で繋がり、検索機能が充実している。	「探して作る」から「出力する」監査対応へ寄せやすい。

証跡管理は運用ルールで縛るよりも、改ざん困難かつ検索が容易なシステム基盤に乗せる方が、監査対応を確実かつ効率的に進められます。

証跡管理を効率化したクラウド
ワークフローの導入事例

【ウィットスタジオ】
証跡出力と進捗可視化を実現

導入前：メール申請の煩雑さと証跡出力の課題

申請業務をメール中心に行っていたウィットスタジオ。メール件数の増加に伴い対応が煩雑化し、テレワーク環境下での紙やPDFの整理に限界を感じていました。

特に監査対応を見据えた際、承認経路や証跡を監査人の要求通りに出力できる機能が不足している点が、システム選定における重要な課題でした。

導入後：監査基準への対応とステータス可視化

ワークフローシステム「グルージェントフロー」の導入により、証跡そのもののログ保持に加え、監査人へ提出するためにアーカイブやPDFとして出力できる体制が整えられました。監査基準に対応できる機能要件を満たしており、証跡提出の負担が軽減されています。

また、申請の進捗状況が可視化されたことで、確認作業も容易になりました。検索性と可用性が向上し、スムーズな運用を実現しています。

【ヒトクセ】
申請履歴の証跡管理を強化

導入前：チャット承認による証跡保存の困難

ヒトクセでは、口頭やSlackなどのチャットツールで承認を行っていました。手軽に進められる一方で、過去の承認履歴を遡って確認することが難しく、適切な承認が行われたかを客観的に示す証跡を残せない点が課題となっていました。

導入後：修正履歴を含む完全な証跡確保

「ジョブカンワークフロー」を導入した結果、申請内容の修正履歴を含めた全てのログが証跡として自動保存されるようになりました。申請の証跡が可視化され、必要な情報を即座に検索・管理できる環境が整備されています。