監査証跡とは?目的や保存期間目安、確実に記録を残す方法を紹介

製造工程に問題はないか、消費者の要求を満たす品質は保たれているかなどの確認を行う監査を適正かつ円滑に実施するためには、企業が取り扱うデータを監査証跡として残さなければなりません。

 

監査証跡には、いつ、誰が、何をしたかが時系列で記録されるため、正しい手順に沿って製品を製造していることを客観的に証明でき、企業としての信頼性を高められます。しかし、不正アクセスやデータ改ざんによって監査証跡となる情報に不備が生じれば、適切な監査が行われず製品の安全性を維持できません。

 

監査証跡の重要性を理解しているものの、大量にある書類やデータの効率的かつ確実な管理方法を模索している方も多いと思われます。

 

そこで本記事では、監査証跡の概要やデータの完全性を意味する「データインテグリティ」の考え方に基づく監査証跡の記録・管理する方法を解説します。

 

監査証跡とは

監査証跡とは、監査対象の製造・品質管理などの工程において、いつ、誰が、どのような処理を行ったのかをあとから追跡できるように時系列で記録したものです。監査証跡は内外部監査を実施するときに、企業が法令・規定に沿って正しく業務を遂行している証拠として監査担当者や外部機関に提示されます。

 

監査証跡を一元管理して、内外部監査を円滑に進めるための取り組みを「証跡管理」と呼びます。監査証跡を適切に管理するとデータの更新履歴が確実に残るため、監査時の聞き取り調査でスムーズに受け答えできるのはもちろん、関係者による不正操作の抑止力にもなります。

 

監査証跡の目的は、公正な監査を実施し、企業としての信頼を担保することです。製造・品質管理記録に正確性や一貫性を持たせることで、客観的事実に基づく安全な製品の提供が可能になります。

 

不正アクセス・データ改ざんなどの問題発生時、速やかに原因を突き止めセキュリティを強化する上でも監査証跡は重要です。

 

「監査証拠」は「監査証跡」と似た言葉ですが、意味は異なります。監査証拠とは、監査結果に対する意見を述べる際、適正な監査を行ったことを証明するための根拠となるデータや記録、関係者の証言などを指します。一方、監査証跡は企業の正しい製造・品質管理工程や経営状況を証明するためのデータを指す点が大きな違いです。

 

監査証拠には紙や電子データのほか、監査人が現場の視察・質問によって得た情報なども含まれますが、監査証跡は各工程の情報について時系列で記録されたデータのみが該当する点も異なります。

 

 

監査証跡

監査証拠

データ内容

製造・品質管理工程や経営状況を証明するためのデータ

監査結果に対する意見を述べる際、適正な監査を行ったことを証明するための根拠となるデータや記録、関係者の証言など

データの種類

各工程の情報について時系列で記録されたデータのみ

紙や電子データのほか、監査人が現場の視察・質問によって得た情報など

監査証跡と監査証跡の比較

監査証跡の保管期間の目安

監査証跡の保管期間は、監査機関や取引先からの要求によって差があるため一概には言えませんが、1年間を目安とする企業が多く見られます。

 

中には、監査証跡の保管期間について明確に規定しているガイドラインもあります。クレジットカード業界のセキュリティ基準であるPCIDSS(ペイメントカード業界データセキュリティ基準:Payment Card Industry Data Security Standard)では、監査証跡の保管期間を12カ月間(1年間)としています。

 

監査ログの履歴を少なくとも12カ月間保持し、少なくとも直近の3カ月間は分析のために直ちに利用できるようにする。

 引用元:Payment Card Industry データセキュリティ基準丨PCI Security Standards Council

 

 

ただ、上記の期間はあくまでも目安であり、保管期間は規格や認証、事象、対象物、取引先ごとに異なるため、公式サイトの情報や関係者への確認をして、監査証跡を正しく管理しましょう。す

監査証跡に関する大事な考え方「データインテグリティ」

データインテグリティ(データ完全性:Data Integrity)とは、データの信頼性を維持するために不備や矛盾をなくし、情報の一貫性・正確性などを保証することです。主に情報処理の分野で用いられる言葉ですが、消費者に安全な製品を提供するためには製造業でもデータインテグリティの考え方を取り入れ、監査証跡を確実に残す必要があります。

 

ただ、企業がどれだけ管理方法を工夫しデータの完全性を主張しても、客観的に評価できる証拠がなければ製品や経営状況の質を保証できません。

 

そこで、データインテグリティの要件を満たす基準となるのがALCOA CCEAの原則です。ALCOA CCEAの原則とは、データの完全性を確保する際に求められる要素の頭文字を取った言葉です。

 

  • Attributable(帰属性):すべてのデータで、誰が・いつ作成したか分かる状態
  • Legible(判読性):すべての記録をいつでも確認・理解できる状態
  • Contemporaneous(同時性):すべての記録が作業と同時に作成・変更されている状態
  • Original(原本性):最初に作成された記録が確実に存在している状態
  • Accurate(正確性):すべてのデータが客観的事実に基づき作成されている状態
  • Complete(完全性):必要な情報が不足せず完全に揃っている状態
  • Consistent(一貫性):すべてのデータが一貫しており矛盾のない状態
  • Enduring(耐用性):保管期間中は、常に閲覧できる形でデータが保存されている状態
  • Available when needed(可用性):必要なタイミングですぐにデータ閲覧できる状態

 

監査証跡を適切に管理し、信頼できる情報を提示するには上記の原則を意識してデータの紛失や記入漏れ、改ざんを防がなければなりません。

 

監査証跡は電子データに限らず、紙媒体の記録も対象になるため、どの記録方法であっても情報の欠損や不整合がなく完全な状態で揃っていることが求められます。

 

品質の高さを客観的に証明し、企業の信頼度向上へと繋げるためにもデータインテグリティに対応して監査証跡を確実に残しましょう。

監査証跡を確実に残す方法

監査証跡を確実に残すためには、ALCOA CCEAの原則に沿った記録でデータの完全性を満たす必要があります。製造・品質管理などの各工程で記録を取る際は、以下3つのポイントを意識して常に最新・正確な情報を残しましょう。

 

  1. 誰が・いつ記録をつけたかを漏れなく記載する
  2. 誰が記録してもわかるような記録方法を選ぶ
  3. 記録したものの変更履歴を残す or 変更不可にする

 

監査証跡の管理は細かな配慮が多く手間もかかる一方、企業の信頼度を左右する重要度が高い業務です。上記の方法を実践し従業員にも取り組みを浸透させることが、安全な製品の提供や透明性の高い企業経営に繋がります。

1.誰が・いつ記録をつけたかを漏れなく記載する

監査証跡を確実に残すためには、誰が、いつ記録したのかがわかるように記録紙や記録データに「日時」と「記録者」の欄を設けましょう。必要なタイミングですぐ記録を読み返せるように記入方法を工夫することも、円滑な監査の実施や問題発生時の迅速な対応のためには重要です。

 

紙媒体で記録を残す際は書式に日時・記録者の欄を設け、はじめに記入することを促すデザインにしましょう。現場で作業を行うと同時に記録することを従業員に徹底させると、記録漏れが発生するリスクを軽減できます。

 

記録の変更・修正時は、必ず理由を明記することで、監査時の説明で説得力が増すほか、問題発生時の原因究明にも役立ちます。

 

電子媒体で記録する場合は、監査証跡の機能が搭載されている電子システムを活用すると、記録者や作成日時を自動記録できます。

 

電子システムへのアクセス制限・ユーザー認証などを設ければ、データを更新・閲覧できる従業員が限定されるため、データ改ざんのリスク軽減やなりすまし防止も可能です。誰が・いつ記録をつけたか、アクセスしたかを漏れなく履歴に残すことで、データの正確性が保たれ必要な情報をいつでも取り出せることへも繋がります。

 

記録漏れを防止する、決まった時間に通知する機能や誰でも簡単に操作できる帳票電子化システムの「カミナシ」は以下のボタンから資料のダウンロードができます。

 

2.誰が記録してもわかるような記録方法を選ぶ

誰が記録しても、後から読んだときに内容を正確に理解できるような記録方法を選ぶことも、監査証跡を確実に残し、データとしての価値を持たせるためには重要です。部内者に限らず、外部の監査機関や取引先が記録をチェックした際も、どのような記録なのか、必要なデータはどこにあるのかをすぐに判断・理解できると監査を円滑に行えます。

 

誰が記録してもわかる記録方法には、選択式の回答やマルバツでのチェック欄を設ける、撮影した写真を記録として残す、IoTなどで機械と連携して自動記録するなどがあります。

 

また、写真で記録を残せば、誰がデータを見てもどのような情報なのか、何が必要なのかがひと目でわかります。選択式や写真撮影による記録方法を取り入れると、どの従業員でも簡単にデータ作成できるため、作業効率化や業務時間の削減にも繋がります。

 

自動記録の仕組みも作業効率化を実現できるほか、従業員の不注意によるミス・データ改ざんのリスク軽減が可能です。

 

このように、部内者・部外者にとって無理のない記録方法を取り入れることで、矛盾のない情報を確実かつ永続的に残せます。その結果、データの一貫性や正確性が確保されて企業の健全な経営状況や安全な製品を提供していることを客観的に証明できます。

3.記録したものの変更履歴を残す or 変更不可にする

信頼性の高いデータを残すためには、変更履歴を残すことや一度記録したら変更不可にするなどの工夫も必要です。消費者にとって安心・安全な製品を製造するためには、部内関係者による不正防止も徹底しなければなりません。

 

紙媒体で記録する場合は、消せないインクを使って書類を作成する、原本と同じ内容が記載された真正コピーを用意するなどの方法があります。

 

紙媒体のデータは誰でも簡単に改ざんできる可能性があるため、従業員が記録時に使用するペンやインクを指定して変更・修正の痕跡を残すと正確な情報を保存できます。

 

原本と同じ価値がある真正コピーについても、厳格な手順に沿って作成・保管すれば記録の紛失やデータ改ざんが生じた場合も元の情報を失わずに済みます。

 

電子媒体で変更履歴を残したり変更不可にしたりする方法は、監査証跡の機能が搭載されているツールを利用する、重要なデータを保護するなどです。

 

アクセス制限やデータの暗号化で不正アクセス・不正操作を防ぐことで人為的な脅威から情報が守られ、信頼できるデータを監査時に提示できます。

 

ただ、電子データはシステムの不具合によってセキュリティが弱まる可能性もあります。定期的にメンテナンスを行い、監査証跡に問題が発生していないかチェックすることもデータの完全性を維持する上で大切です。

監査証跡を確実に残し、消費者に安心安全の製品を届けよう

監査証跡は製品や製造工程の監査を円滑に実施し、企業の信頼性を高める上で重要な役割を果たす記録です。監査証跡の対象となるデータの数は多く、細かく記録を残す必要があるため手間や労力はかかりますが、安全な製品を消費者に提供するためには情報の信頼性を損なわないよう徹底して管理しなければなりません。

 

監査証跡を確実に残すためには、データインテグリティの考え方を取り入れて記録紙・記録データの書式や記録方法を工夫する必要があります。誰が・いつ記録したかの情報を漏れなくまとめ、セキュリティ強化による不正アクセスやデータ改ざんの防止を徹底することで、情報の一貫性や正確性を高められます。

 

本記事を参考に監査証跡を効率的かつ確実に管理するための方法を実践し、内外部監査に備えましょう。 監査証跡のために「カミナシ」で記録漏れの防止や写真での記録を取ってみてはいかがでしょうか。以下のボタンからサービス概要資料をダウンロードできるので、よろしければ是非ご覧ください。

 

paperless-sidebar-cta-1

カテゴリから探す