内部統制とワークフロー|監査で見られるポイントと整え方

内部統制とワークフロー|監査で見られるポイントと整え方

内部統制の観点でワークフローが見られるポイント(権限、職務分掌、監査証跡、改ざん防止、保管)を整理。最低限押さえる設計と運用ルールを具体的に解説します。
ワークフローの基礎知識|申請・承認の仕組みと選び方の前提

内部統制とワークフロー:監査で見られるポイントはここ

内部統制って聞くと、急に難しく感じますよね。
でも、ワークフローに落とすと「誰が」「何を」「いつ」「どう決めたか」を説明できる状態にする、という話になります。

監査で困るのは、悪いことをしたからじゃなくて、説明の材料が揃っていない時です。
なので、最初から全部完璧を目指すより「最低限ここだけは」から整えるのが現実的です。

先に結論:内部統制で見られやすいのは「権限」「職務分掌」「監査証跡(ログ)」「改ざん防止」「保管」の5点です。

観点 見られること 整え方
権限 その人が承認してよい根拠 ロール(RBAC)+変更履歴
職務分掌 同一人物が起票→承認してないか 起票者と承認者の分離
監査証跡 誰がいつ何をしたか 承認履歴+操作履歴+添付の版

ギフト:監査で一番強いのは「ログがある」より「申請IDで一式が追える」状態です。辿れる導線があると説明が通りやすいです。

内部統制で困る場面:説明が必要な時に“辿れない”

監査や確認が入ると、こう聞かれやすいです。

  • なぜこの人が承認したの?(権限の根拠)
  • いつ、どんな資料で判断したの?(証跡)
  • 申請後に内容が変わってない?(改ざん/変更履歴)

ここに答えられるように、ワークフロー側の設計を少し整えておくと安心です。

押さえどころ①:権限は“人”ではなく“ロール”で持つ

個別に権限を付けると、異動や退職で残り権限が出やすくなります。
なので、承認権限はロール(役割)に寄せて、「人はロールに所属する」形が強いです。

最低限ほしい“権限の証拠”

  • ロール定義(誰が何をできるか)
  • ロール付与の履歴(いつ誰が付けたか)
  • 在籍区分の同期(退職で無効化)

押さえどころ②:職務分掌(同じ人が全部やらない)

内部統制の基本は“牽制”です。
ワークフローでは、少なくとも「起票者」と「承認者」が同一にならない仕組みがあると安心です。

パターン リスク 整え方
起票→自己承認 牽制が効かない 自己承認不可/上位者へ回す
兼務で承認が集中 偏りが出る 合議/並列で観点を分ける

ポイント:全部を厳しくすると現場が重くなります。まず「自己承認の禁止」だけでも、安心がぐっと上がります。

押さえどころ③:監査証跡は“セット”で揃える

監査証跡は、ログ単体より「申請IDで一式が追える」ことが重要です。

申請IDで追いたい一式

  • 承認履歴(誰がいつ承認/差し戻し)
  • 操作履歴(起票/編集/提出/添付)
  • 添付の版(当時の資料が見える)
  • 権限の根拠(決裁規程/ロール)

今日やること(Step1〜3)

  1. Step1:重要申請を3つ選び、申請IDで「履歴と添付」が追えるか確認する
  2. Step2:承認権限をロールに寄せ、変更履歴が残る形にする
  3. Step3:自己承認を防ぐルール(または例外条件)を決める

質問と回答

Q:内部統制を意識すると、運用が重くなりそう…

A:重くなるのは「全部を一気に厳しくする」時です。まずは重要申請だけ、権限(ロール)と証跡(申請IDで追える)を整えると、負担を増やさず安心を作りやすいです。

→ /basic/ 記事一覧へ
→ 次の記事:監査証跡(Audit Trail)とは?ワークフローで何が残る?