証跡（しょうせき）とは、業務プロセスやITシステムの操作が規定ルールどおりに行われたかを示す「証拠となる痕跡」の記録です。いつ、誰が、どこで、何をしたかを時系列で残し、第三者へ不正防止や監査の確実性を証明するのが役割です。

証跡の理解が不十分なままだと、不正やトラブル発生時に原因特定ができず、IPO審査でガバナンス面の課題とされるおそれがあります。

本記事では証跡と証憑との違いや証跡管理の目的、保存期間の考え方、効率的に証跡管理をする方法、証跡管理の重要性が高まっている理由を解説します。

• 証跡とは？
• 証跡と証憑との違い
• 証跡管理の目的
• 不正行為の防止
• 情報資産の管理
• 監査証跡への対応
• IPOのための内部統制
• 証跡の保存期間の考え方
• 効率的に証跡管理する方法
• 文書管理をデジタル化する
• 証跡の範囲やアクセス権限などを明確にする
• システムログや操作履歴を自動で収集・管理する
• 証跡管理の重要性が高まっている理由
• ITシステムの利用範囲が広がってきた
• テレワークに対応できるセキュリティが必要になった
• 法改正でデータの「真実性の確保」が必要になった
• まとめ
• freeeで内部統制の整備をスムーズに
• よくある質問

証跡とは、業務が正しく行われたことを後から証明できる記録のことです。

会社では、誰が、いつ、どのような手順で仕事をしたのかを確認できる状態が求められます。その確認材料になるのが証跡です。

証跡とするには、ただ書類やデータが残っているだけでは足りません。仕事の流れを順番に追える必要があります。

たとえば経費精算を例に考えてみましょう。経費の不正利用が疑われた際、用途や金額を記載した申請書だけでなく以下の履歴が残っていなければ、第三者を納得させる説明ができません。

証跡は、不正やミスの原因を調べるための手がかりになり、正しく業務をしていた証明にもなります。

証跡は過程を示す記録、証憑（しょうひょう）は結果を示す書類です。証憑は証跡の一部として扱われることもあります。証跡と証憑との主な違いは以下のとおりです。

たとえば高額な備品を購入したケースを考えてみましょう。

領収書や請求書といった証憑だけでは「社内ルールに沿って承認された支出かどうか」はわかりません。業務の正当性を確認するには、上司の決裁記録や発注承認のログといった証跡が必要です。

業務効率と内部統制の両立という観点でも、証憑だけでなく過程となる証跡をセットで管理するとよいでしょう。

【関連記事】
証憑とはなにか？証憑の種類と保存方法について解説

証跡管理の目的は、単に記録を残すことではありません。

業務が適正な手続きで行われていることを証明し、企業としての信頼性を守ることにあります。ここでは、証跡管理が具体的にどのような目的で必要とされているのかを整理していきます。

証跡管理の目的のひとつは、社内不正を未然に防ぐことです。業務の操作履歴や承認記録が正確に残り、あとから追跡できる状態が、不正の抑止力になります。

不正行為の具体例は以下のとおりです。

システムログやアクセス履歴が残っていれば、いつ誰が何をしたのかを客観的に確認できます。「不正をすれば必ず記録が残る」という環境があるだけで、心理的なブレーキが働きやすくなります。

万が一不正やトラブルが発生した場合でも、憶測ではなく事実にもとづいた判断が可能です。また、誠実に業務を行っている従業員を守ることにもつながるでしょう。

企業の重要な情報資産を守るために「誰が・いつ・何にアクセスし・何をしたのか」を可視化できる状態をつくることも、証跡管理の目的にあたります。

企業は多くの機密情報を保有しています。

これらは企業の競争力や信頼を支える資産です。ひとたび不正アクセスや内部からの情報持ち出しが起これば、信用失墜やブランド価値の低下につながりかねません。

証跡管理が適切に行われていれば、万が一インシデントが発生した場合でも、被害範囲や原因の早期特定が可能です。対応が早ければ早いほど、社会的信用への影響を最小限に抑えられます。

企業では、法令や社内規程どおりに業務が行われているかを確認するために監査が実施されます。

監査の際に求められるのが、監査証跡です。処理内容を時系列で確認できる業務の記録が必要となります。

証跡を適切に管理していれば、外部監査人や親会社からの確認にもスムーズに対応可能です。取引結果だけでなく、過程まで説明できるため、業務の正当性を客観的に示せます。

証跡が整理されていない場合、監査対応で過去のメールや書類を探し回ることになり、時間も労力もかかります。

証跡管理の目的のひとつが、IPOに向けた内部統制の整備です。

上場を目指す企業は、経営や業務が適切に行われていることを客観的に示さなければなりません。とくに重視されるのが、財務報告の信頼性です。日々の業務で残される証跡が企業の信頼性の裏付けとなります。

具体的な内部統制のチェックポイントの例は以下のとおりです。

監査証跡や承認履歴が整備されていなければ、内部統制が有効とは評価されません。

IPO準備では、承認や操作の履歴が記録される仕組みの構築が重要です。証跡を日常業務の中で確実に残せる体制が、ガバナンスの有効性を示す根拠になります。

【関連記事】
内部統制とは？必要な企業と目的、立場別の関わり方、進め方をわかりやすく解説

システム操作ログや承認履歴といった証跡には、一律で定められた法定保存期間はありません。

一方で、請求書や領収書などの証憑は、税法や電子帳簿保存法により7年から10年の保存義務があるので、混同しないようにしましょう。

証跡の保存期間は、重要度に応じて設定するのがおすすめです。

実務やIPOの観点では、監査やJ-SOX対応を見据えて最低でも1年から3年を基準とするケースがあります。前回の監査から直近までの運用状況を検証できる期間であるためです。

財務報告に直結する会計システムの承認ログや特権IDの利用記録など、重要度の高い証跡については、証憑に準じて10年程度保管するとよいでしょう。

監査要件やシステム負荷を踏まえ、重要度に応じて証跡の保存期間を設定してみてください。

出典：No.5930 帳簿書類等の保存期間｜国税庁

【関連記事】
J-SOX法（内部統制報告制度）とは？概要や対象企業の対応についてわかりやすく解説

証跡管理は、日常業務の中で無理なく蓄積され、必要なときにすぐ取り出せる仕組みが重要です。

効率的に証跡管理する方法は以下のとおりです。

効率的に証跡管理するには、業務文書をデジタル化をするとよいでしょう。

契約書や請求書などの重要書類を紙のまま管理していると、必要なときにすぐ確認しにくくなってしまいます。

文書を電子化すれば、申請から承認、決裁までの流れがシステム上で記録され、誰が、いつ、どのように判断したのかをすぐに確認可能です。タイムスタンプ付きで履歴が残るため、証跡としての信頼性も高まります。

たとえば、クラウド型の経費精算システムや会計システムを活用すれば、請求書データと承認履歴を一元管理できます。

業務文書をデジタル化しておけば、必要な情報を数クリックで提示できるため、監査対応や上場準備もスムーズです。

証跡管理では、どの範囲の記録を残すのかと、誰がどの記録にアクセスできるのかを明確にしましょう。

すべてのシステムログを無制限に取得・保存するのは現実的ではありません。ストレージコストが増え、運用の負担も大きくなります。

そのため、リスクの大きさに応じて証跡の取得範囲や保存期間を定める必要があります。

また、アクセス権限の管理も欠かせません。証跡は改ざんできない状態でなければ意味がありません。システム管理者であっても自由に削除や編集ができないよう、職務分掌の徹底や不正アクセスの検知なども必要です。

証跡管理を確実に行うには、システムログや操作履歴を自動で収集・管理する仕組みが重要です。

担当者が手作業で記録を残す運用では、記入漏れやミスが起きやすくなります。監査対応のたびに確認作業が発生し、負担も大きくなるため、人に頼る仕組みには限界があるでしょう。

有効なのが、証跡管理機能を備えたシステムやツールの導入です。業務をデジタル上で処理すれば、システムログが自動的に記録されます。

未加工のログを自動で蓄積し、削除や改ざんができない環境で保管するのが、内部統制の基本です。

以前は一部の業務だけが対象でしたが、今では企業活動の多くはデジタル上で行われています。そのため証跡をどう残し、どう守るかが経営課題になりました。

証跡管理の重要性が高まっている具体的な理由は以下のとおりです。

証跡管理の重要性が高まっている背景には、ITシステムの利用拡大があります。

以下のように、さまざまな取引や判断がデジタル上で完結します。

かつては紙の書類や押印が物理的な証拠になっていましたが、デジタルデータは簡単に修正や削除が可能です。結果のデータだけでは、正当性を十分に説明できない時代になりました。

とくにDXの推進に伴い、サイバー攻撃のリスクも高まっています。サイバー攻撃で個人情報が流出すると、企業は被害者でありながらも、個人情報保護法により罰則を受ける可能性もあるでしょう。

トラブルが起きた際の原因特定には、証跡の有無が大きく影響します。

出典：個人情報保護委員会 『個人情報保護法ガイドライン（通則編）』 2016年

証跡管理の重要性が高まった背景には、テレワークの普及もあります。

従業員がオフィスの外で働くことが一般的になり、従来のように対面で業務状況を確認することが難しくなったため、操作ログやアクセス履歴といった証跡の管理が欠かせなくなりました。

テレワーク環境では、操作ミスや情報漏えい、内部不正といったリスクも高まります。万が一インシデントが発生した場合、詳細なログが残っていれば、原因を迅速に特定し、被害を最小限に抑えられるでしょう。

証跡には、正しい手順で業務を行った従業員を守る役割があります。トラブル時に客観的な記録があれば、責任の所在は明確です。

場所に縛られない働き方を安全に実現するために、証跡管理は今や不可欠な基盤となっています。

証跡管理の重要性を高めた要因のひとつが、電子帳簿保存法の改正です。

2022年の改正により、請求書や領収書、注文書などを電子データで受け取った場合は、原則として電子データのまま保存することが義務化されました。紙に印刷して保管するだけでは不十分です。

法改正で求められているのが、データが改ざんされていないことを証明できる仕組みです。訂正や削除の履歴が残る仕組みが必要になります。

たとえば、メールで受領した電子契約の履歴を管理する場合、確認や承認の記録が必要です。契約書が保存されていても、証跡が残っていなければ、税務調査で信頼性を疑われる可能性があります。

法令対応を怠れば、監査や税務調査で指摘を受けるリスクがあるため、証跡管理の徹底はコンプライアンスの観点からも不可欠です。

証跡管理とは、業務が正しく行われたことを後から説明できるようにするための仕組みです。

ITシステムの利用拡大や電子帳簿保存法の改正などを背景に、企業には透明性と説明責任が求められています。

証跡を適切に管理すれば、不正の抑止やトラブルの迅速な解決につながります。監査やIPO対応においても、内部統制が機能していることを客観的に示す根拠として重要です。

文書のデジタル化、証跡の範囲や権限の明確化、ログの自動収集といった取り組みを通じて、無理なく自然に証跡が残る仕組みを整えていきましょう。

IPOは、スモールビジネスが『世界の主役』になっていくためのスタート地点だと考えています。
IPOに向けた準備を進めていくにあたり、必要になってくる内部統制。自社において以下のうち1つでも該当する場合は改善が必要です。

• バックオフィス系の全てのシステムにアクセス権限設定を実施していない
• 承認なく営業が単独で受注・請求処理を行うことができる
• 仕入計上の根拠となる書類が明確になっていない

freee会計のエンタープライズプランは内部統制に対応した機能が揃っており、効率的に内部統制の整備が進められます。

詳しい情報は、内部統制機能のページをご確認ください。

2020年上半期、freeeを利用したマザーズ上場企業は32.1％。freeeは多くの上場企業・IPO準備企業・成長企業に導入されています。

また、freeeではIPOを支援すべく、内部統制に関する各種ツールやIPO支援機関との連携を進めています。

IPOに向けた準備をお考えの際は、freeeの活用をご検討ください。

監査証拠は、監査判断の根拠となる資料です。契約書や領収書など、事実を裏付ける情報が該当します。

一方、証跡は業務や操作の過程を示す記録です。誰がいつ、どこで、何をしたかといった履歴です。

監査証拠は判断の根拠、証跡は過程の記録といった違いがあります。

詳しくは記事内「証跡と証憑との違い」をご覧ください。

ログは記録そのもの、監査証跡は監査に使えるよう整理された記録です。

たとえば、ログイン日時、データの更新履歴、設定変更の履歴などがログに該当します。多くの場合、機械的に生成される生データです。

一方、監査証跡は、監査で確認できる形に整えられた行動履歴を指します。記録を時系列で追える状態になっていることが重要です。

詳しくは記事内「システムログや操作履歴を自動で収集・管理する」をご覧ください。

監査証跡の保存期間に、一律の法定ルールはありません。

そのため、実務ではリスクの大きさに応じて保存期間を決めます。

詳しくは記事内「証跡の保存期間の考え方」をご覧ください。