監査時にガイドライン対応の証跡をすぐ提出できる体制を4つのツールで構築する方法
監査の場で「この承認記録を見せてください」「教育の受講証明はありますか」と求められたとき、すぐに該当する証跡を提示できないケースが増えています。現場では日々ガイドラインに沿った運用をしているにもかかわらず、承認履歴はワークフローシステムに、文書の変更記録はファイルサーバーに、教育の受講記録はExcelや紙に、とバラバラに保管されているため、監査項目ごとに証跡を集めるだけで数日かかることも珍しくありません。この状態を放置すると、監査対応の工数が膨らむだけでなく、証跡不備による指摘事項が増え、組織としての信頼を損なうリスクがあります。
この記事は、従業員50〜500名規模の企業で、内部統制やISMS・Pマークなどのガイドライン対応を担当している管理部門の担当者や情シス兼務の方を想定しています。読み終えると、承認記録・文書変更履歴・教育受講記録の3種類の証跡を監査項目に紐づけて一元的に把握し、監査時に即座に提出できる運用フローを設計できるようになります。大規模エンタープライズ向けのGRC専用システムの導入計画や、個別ツールの網羅的なレビューは扱いません。
なお、本記事で紹介するツールの組み合わせは代表的な一例です。同じ役割を果たす別の製品でも、同様のワークフローを構築できます。
読み終えた時点で、監査項目と証跡の対応表をBIダッシュボードで可視化し、証跡の抜け漏れを週次で検知する運用サイクルを自社に導入するための具体的な手順が手に入ります。
Workflow at a glance: 監査時にガイドライン対応の証跡をすぐ提出できる体制を4つのツールで構築する方法
- Step 1: 承認記録をワークフローで電子化し履歴を自動保存する (ジョブカンワークフロー) (ワークフローシステム)
- Step 2: 文書の版管理と変更履歴を一元化する (NotePM) (ナレッジマネジメントツール)
- Step 3: 教育・研修の受講記録をLMSで自動取得する (LearnO) (学習管理システム(LMS))
- Step 4: 証跡の充足状況をBIダッシュボードで一元可視化する (Looker Studio) (BIツール)
なぜ現場がガイドラインを守っていても証跡が出せないのか
証跡が3つの島に分かれている
監査で求められる証跡は大きく3種類に分かれます。1つ目は業務上の承認記録で、稟議や変更申請の承認日時・承認者の情報です。2つ目は文書の変更履歴で、規程やマニュアルがいつ・誰によって・どのように改訂されたかの記録です。3つ目は教育・研修の受講記録で、誰がいつどの研修を完了したかの証明です。
多くの企業では、承認記録はワークフローシステムやメールの中に、文書の変更履歴はファイルサーバーやSharePointのバージョン管理に、教育記録はExcelの出欠表や紙の受講証に、それぞれ別々に保管されています。この3つの島が独立しているため、監査項目に対して横断的に証跡を集めようとすると、担当者が各システムを手作業で検索し、スクリーンショットを撮り、Excelに貼り付けるという作業が発生します。
監査項目と証跡の紐づけが属人化している
もう一つの根本的な問題は、どの監査項目にどの証跡が対応するのかという対応関係が、特定の担当者の頭の中にしかないことです。担当者が異動や退職をすると、次の担当者は過去の監査報告書を読み解くところから始めなければなりません。結果として、毎回の監査対応が一からの作業になり、工数が減らないどころか、証跡の抜け漏れが発生しやすくなります。
放置した場合のビジネスへの影響
証跡不備による監査指摘は、単なる書類上の問題にとどまりません。ISMSやPマークの認証維持に影響が出る可能性がありますし、取引先からの信頼低下にもつながります。また、監査のたびに現場の業務が止まるという間接的なコストも無視できません。ある程度の規模の企業では、年間で延べ数十人日が監査対応に費やされているケースも珍しくありません。
重要な考え方:証跡は後から集めるのではなく業務の中で自動的に溜まる仕組みにする
監査対応の工数を根本的に減らすには、証跡を監査の直前に集めるという発想を捨てる必要があります。代わりに、日常業務の中で証跡が自動的に蓄積され、監査項目との対応関係があらかじめ定義されている状態を作ります。
証跡の発生源を3つに絞り、それぞれにシステムを割り当てる
承認記録はワークフローシステム、文書変更履歴は文書管理システム、教育受講記録はLMS(学習管理システム)と、証跡の発生源ごとに1つのシステムを正とします。重要なのは、各システムから証跡データをCSVやAPIで取り出せる状態にしておくことです。紙やメールに証跡が残る運用は、この仕組みの中では例外として扱い、できる限り減らします。
監査項目と証跡の対応表を先に作る
監査で何を聞かれるかは、ガイドラインの要求事項からある程度予測できます。ISMSであればISO 27001の管理策、PマークであればJIS Q 15001の要求事項が監査項目のベースになります。この監査項目の一覧に対して、どのシステムのどのデータが証跡になるかを事前にマッピングしておきます。このマッピング表がBIダッシュボードの設計図になります。
週次で証跡の充足状況をチェックする
証跡が自動的に溜まる仕組みを作っても、運用が止まれば証跡は欠落します。そこで、週に一度、BIダッシュボード上で証跡の充足状況を確認する運用サイクルを回します。未承認の申請が滞留していないか、改訂が必要な文書が放置されていないか、受講期限を過ぎた研修がないかを、ダッシュボード上の赤黄緑の信号で把握します。
証跡を自動蓄積し監査項目に紐づけて可視化するワークフロー
ステップ 1:承認記録をワークフローで電子化し履歴を自動保存する(ジョブカンワークフロー)
まず、稟議・変更申請・例外対応申請など、監査で承認記録を求められる業務をジョブカンワークフローに集約します。申請フォームには、対応する監査項目の番号(例:A.9.2.1 アクセス権の管理)をタグとして付与できるようにカスタムフィールドを設定します。
運用としては、現場の担当者が申請を起票し、上長が承認するという通常の流れです。ポイントは、承認日時・承認者・申請内容がすべてシステム上に自動記録される点です。紙の押印やメールでの承認依頼は原則廃止し、ジョブカンワークフローを通さない承認は証跡として認めないというルールを設けます。
月に一度、ジョブカンワークフローから承認履歴をCSVでエクスポートし、後述のBIツールに取り込みます。APIが利用できる場合は自動連携も可能ですが、まずはCSVエクスポートの手動運用から始めるのが現実的です。
ステップ 2:文書の版管理と変更履歴を一元化する(NotePM)
次に、社内規程・マニュアル・手順書などのガイドライン関連文書をNotePMに集約します。NotePMはWiki型の文書管理ツールで、文書ごとに変更履歴が自動的に記録されます。誰がいつどの部分を変更したかが差分として残るため、監査時に文書の改訂履歴を求められた際にそのまま証跡として提示できます。
運用のポイントは、文書のフォルダ構成を監査項目の体系に合わせることです。例えば、ISMSのA.5(情報セキュリティのための方針群)に対応する文書はA.5フォルダに格納するといった形です。こうすることで、監査項目から該当文書への到達が一手で済みます。
文書の改訂が発生した場合は、NotePM上で直接編集し、変更理由をコメントとして残すルールを徹底します。ファイルサーバー上のWordファイルを編集してからNotePMに再アップロードするような二重管理は避けてください。
ステップ 3:教育・研修の受講記録をLMSで自動取得する(LearnO)
ガイドライン対応では、従業員への教育実施とその記録が必須です。情報セキュリティ研修、個人情報保護研修、コンプライアンス研修などをLearnOに登録し、受講状況を自動的に記録します。
LearnOでは、研修コースごとに受講完了日・テスト結果・受講者情報が記録されます。監査で「全従業員が情報セキュリティ研修を年1回受講していること」を証明する必要がある場合、LearnOから受講状況の一覧をCSVでエクスポートするだけで済みます。
運用としては、四半期ごとに必須研修の受講期限を設定し、未受講者にはLearnOの自動リマインド機能で通知を送ります。受講期限を過ぎた未受講者のリストは、後述のBIダッシュボードで赤色表示されるように設定します。
ステップ 4:証跡の充足状況をBIダッシュボードで一元可視化する(Looker Studio)
最後に、3つのシステムから集めた証跡データをLooker Studioで統合し、監査項目ごとの証跡充足状況を可視化します。
具体的には、まずGoogle スプレッドシートに監査項目マスタを作成します。監査項目番号、項目名、必要な証跡の種類(承認記録/文書/教育記録)、対応するシステム、期待される更新頻度を列として定義します。次に、ジョブカンワークフローのCSV、NotePMの文書一覧、LearnOの受講記録CSVをそれぞれGoogle スプレッドシートの別シートに取り込みます。
Looker Studio上では、監査項目ごとに証跡の有無を赤黄緑で表示するマトリクス表を作成します。赤は証跡が未取得または期限切れ、黄は期限が近づいている、緑は証跡が揃っている状態です。このダッシュボードを週に一度、管理部門の担当者が確認し、赤や黄の項目があれば該当部門に対応を依頼します。
監査の際には、このダッシュボードを監査人に見せながら、個別の証跡はNotePMやジョブカンワークフローの画面で詳細を提示するという流れになります。証跡を集める作業がほぼゼロになり、監査対応は証跡の説明に集中できます。
この組み合わせが機能する理由
ジョブカンワークフロー:承認の電子化と履歴の自動記録
ジョブカンワークフローを選定した理由は、中小規模の企業でも導入しやすい価格帯でありながら、承認履歴のCSVエクスポートに対応している点です。申請フォームのカスタマイズ性が高く、監査項目番号をタグとして埋め込むといった運用にも対応できます。
一方で、ジョブカンワークフロー単体ではAPIによるリアルタイム連携の自由度に限界があるため、BIツールとの連携はCSVエクスポートが基本になります。月次でのCSV取り込みという手動作業が発生する点はトレードオフですが、監査対応という目的においては月次の更新頻度で十分です。
NotePM:変更履歴の自動記録とフォルダ構成の柔軟性
NotePMの強みは、Wiki型の編集画面で文書を直接編集でき、変更履歴が自動的に差分として記録される点です。ファイルサーバーでのバージョン管理と異なり、誰がどの行を変更したかまで追跡できるため、監査時の証跡としての信頼性が高くなります。
注意点として、NotePMはあくまで社内Wiki・ナレッジ管理ツールであり、厳密な文書承認ワークフロー(改訂の承認→公開という段階的なフロー)は標準機能では限定的です。規程の改訂承認はジョブカンワークフロー側で行い、承認後にNotePM上で文書を更新するという運用で補います。
LearnO:受講管理の自動化とCSVエクスポート
LearnOは日本企業向けのLMSとして、研修コースの作成・配信・受講管理・テスト実施までを一つのシステムで完結できます。受講記録のCSVエクスポートに対応しているため、BIツールへのデータ連携が容易です。
制約として、LearnOの研修コンテンツ作成機能はシンプルなため、高度なeラーニングコンテンツを作りたい場合は別途コンテンツ作成ツールが必要になることがあります。ただし、ガイドライン対応の教育記録という目的においては、スライド資料のアップロードと確認テストの機能で十分対応できます。
Looker Studio:無料で使えるBIダッシュボード
Looker Studioを選定した最大の理由は、無料で利用できる点です。証跡の充足状況を可視化するダッシュボードは、複雑な分析が必要なわけではなく、監査項目と証跡の有無をマトリクス表示できれば目的を果たせます。Google スプレッドシートとの連携が標準で用意されているため、CSVデータの取り込みからダッシュボード表示までの構築が比較的容易です。
トレードオフとして、Looker StudioはGoogle アカウントが前提となるため、社内でGoogle Workspaceを利用していない場合は、Microsoft 365環境のPower BIを代替として検討してください。また、データの取り込みはGoogle スプレッドシート経由の手動更新が基本となるため、リアルタイム性は期待できません。週次の確認運用であれば問題ありませんが、日次で証跡状況を追いたい場合はデータ連携の自動化を別途検討する必要があります。
Recommended tool list
| Tool | Role | Pricing | Implementation time | Notes |
|---|---|---|---|---|
| ジョブカンワークフロー | 承認記録の電子化と履歴の自動保存 | 月額課金 | 2〜4週間 | 申請フォームに監査項目番号のカスタムフィールドを追加し、紙・メール承認を原則廃止するルール整備が必要。CSVエクスポートで月次のデータ取り出しを行う運用を想定。 |
| NotePM | ガイドライン関連文書の版管理と変更履歴の自動記録 | 月額課金 | 2〜3週間 | フォルダ構成を監査項目の体系に合わせて設計する。既存のファイルサーバー上の文書を移行する初期作業が発生する。文書改訂の承認はジョブカンワークフロー側で行う運用とする。 |
| LearnO | 教育・研修の受講管理と受講記録の自動取得 | 月額課金 | 1〜2週間 | 既存の研修資料をスライド形式でアップロードし、確認テストを設定する。受講期限と自動リマインドを設定し、CSVエクスポートでBIツールへデータ連携する。 |
| Looker Studio | 監査項目ごとの証跡充足状況の可視化 | 無料枠あり | 1〜2週間 | Google スプレッドシートに監査項目マスタと各システムのCSVデータを集約し、マトリクス表形式のダッシュボードを構築する。Google Workspaceを利用していない場合はPower BIを代替検討。 |
結論:証跡は日常業務の副産物として自動的に溜める
監査対応の工数を減らす本質は、証跡を後から集めるのではなく、日常業務の中で自動的に蓄積される仕組みを作ることです。ジョブカンワークフローで承認記録を、NotePMで文書変更履歴を、LearnOで教育受講記録を、それぞれの発生源で確実に記録し、Looker Studioで監査項目との対応関係を可視化する。この4つのツールの組み合わせにより、監査時の証跡収集作業はほぼゼロになります。
最初の一歩として、自社が対応しているガイドラインの監査項目一覧を用意し、各項目に必要な証跡の種類と現在の保管場所を書き出してください。この対応表が、ワークフロー構築の設計図になります。
Mentioned apps: Looker Studio, ジョブカンワークフロー, NotePM, LearnO
Related categories: BIツール, ナレッジマネジメントツール, ワークフローシステム, 学習管理システム(LMS)
Related stack guides: 輸出管理教育の受講完了と実務権限を自動連動させ未受講者による誤申請を防ぐ方法, 該非判定の根拠資料が散逸して再現できない問題を解消し監査対応を万全にする方法, 業界標準の改定内容を自社システムへ漏れなく反映し監査不適合を防ぐ方法, 補助金の変更申請と実績報告の整合性を保ち事後監査での指摘と返還リスクを防ぐ方法, パートナーとのトラブル発生時に証跡を即座に集約し原因究明と再発防止を加速する方法
サービスカテゴリ
AI・エージェント
ソフトウェア(Saas)
