勘定奉行とDXで実現！強固な内部統制を築く承認・証跡・権限設計の基本と実践

「勘定奉行を導入しているから、わが社の内部統制は万全だ」——。この認識は、多くの企業において、実務上の大きな盲点となっています。

会計システムはあくまで「データの容れ物」であり、その箱に「誰が」「いつ」「どのような正当性（エビデンス）を持って」データを入力・承認したかを担保する仕組みこそが、内部統制の本質だからです。昨今の法改正（電子帳簿保存法、インボイス制度）や、クラウド化に伴う「職務分掌」の再定義が求められる中、紙の回覧板や印鑑による承認は、監査において「証跡の脆弱性」と見なされるリスクが極めて高まっています。

本稿では、株式会社オービックビジネスコンサルタント（OBC）が提供する「勘定奉行（奉行V ERP11 / 奉行クラウド）」を中核に据え、日本最高峰のIT実務知見に基づいた「強固な内部統制」の構築手法を詳説します。単なるシステムの操作説明に留まらず、周辺SaaSとの連携、権限設計のマトリクス、監査法人への対応、そして不正を未然に防ぐ運用シナリオまで、実務担当者が直面する課題を網羅的に解決します。

1. 内部統制の本質と「勘定奉行」の責務

内部統制（Internal Control）とは、組織の目的を達成するために、業務の中に組み込まれ、組織内の全ての者によって遂行されるプロセスを指します。金融庁の「財務報告に係る内部統制の評価及び監査の基準」^[1]によれば、その目的は「業務の有効性及び効率性」「財務報告の信頼性」「事業活動に関わる法令等の遵守」「資産の保存」の4つに分類されます。

「勘定奉行」はこの中でも特に「財務報告の信頼性」において中核的な役割を果たします。しかし、単体で全ての目的を達成できるわけではありません。現場の業務プロセス（購買、精算、受注）と会計データがどのように紐付くか、その「情報のバトン」の受け渡しをいかにデジタルで制御するかが、DX時代の内部統制の鍵となります。

1.1 内部統制における「職務分掌」の定義

内部統制を設計する上で最優先すべき概念が職務分掌（Segregation of Duties: SoD）です。これは、特定の人間が「取引の開始」から「承認」「実行（支払・入金）」「記録（記帳）」までを一人で行えないように分離することを指します。

• 入力者と承認者の分離： 仕訳を入力する担当者と、それを確定させる承認者は別人である必要があります。
• 実行者と記録者の分離： 銀行振込の実行者と、その振込結果を会計ソフトに反映させる者は別人であることが望ましいです。
• マスター管理者と利用者の分離： 振込先口座情報を登録・変更できる権限と、振込依頼を出す権限を分けることで、架空口座への送金リスクを排除します。

2. 権限設計の実務：システムガバナンスの構築

勘定奉行における権限設計は、「利用者制限設定」と「職務権限グループ」の組み合わせによって行われます。ここでは、監査に耐えうる「権限マトリクス」の設計手順を詳述します。

2.1 権限設定の10ステップ

無計画な権限付与は、運用の形骸化やセキュリティホールの原因となります。以下の手順で設計を進めてください。

1. 職務権限の洗い出し： 現在の経理部、管理部、経営層の役割を可視化します。
2. 利用者情報の登録： 社員番号に基づく個人IDを割り当てます。共通ID（例：keiri01）は誰が操作したか特定できないため、絶対に使用してはいけません。
3. 職務権限グループ（ロール）の作成： 「仕訳入力担当」「マスター管理担当」「決裁権限者」「システム管理者」などのグループを定義します。
4. メニュー利用権限の紐付け： 各グループに対し、使用可能なメニュー（振替伝票、試算表、マスター管理など）を制限します。
5. 参照・更新権限の細分化： 同じメニューでも「参照のみ」か「追加・修正・削除が可能」かを設定します。
6. 金額ベースの承認制限： 「100万円以上の支出には経理部長の承認が必要」といった金額による閾値を設定します。
7. 部門別セキュリティの設定： 営業部が自部署の予算実績は見られるが、他部署のデータは見られないように制限します。
8. 特権IDの管理： システム管理者権限（Admin）を誰が持つかを厳格に決め、通常業務では使用しないよう徹底します。
9. パスワードポリシーの設定： 桁数、有効期限、二要素認証（奉行クラウドの場合）などを有効化します。
10. 定期的な棚卸し： 半期に一度、異動や退職に伴う権限変更漏れがないかを確認します。

2.2 実務的な権限マトリクス例（中堅・大企業向け）

職務分掌を考慮した、標準的な権限設定の例です。

3. 承認ワークフローと周辺SaaSの統合アーキテクチャ

勘定奉行単体でも電子決裁機能は備わっていますが、現場の購買申請や経費精算から連動させるには、OBC純正の「奉行Edge」シリーズや、外部の「バクラク」等のSaaSを組み合わせるのがDXの定石です。

3.1 奉行Edge 支払管理電子化クラウドによる自動化

請求書の受領から支払、仕訳計上までをデジタル化する「奉行Edge 支払管理電子化クラウド」^[2]は、内部統制を強力に支援します。

• AI-OCRによる証跡確保： 請求書を読み取り、仕訳と画像データを自動でリンク。監査時に「この仕訳の根拠は？」と聞かれても即座に提示可能です。
• 多段階承認フロー： 申請者 → 部門長 → 経理担当 → 財務部長といった、複雑な承認経路をデジタルで強制できます。
• FBデータ連動： 承認されたデータから直接銀行振込データ（FBデータ）を作成するため、手入力による振込金額ミスや不正な書き換えを防止できます。

3.2 外部ワークフロー（バクラク）との高度な連携

株式会社LayerXが提供する「バクラク」^[3]と勘定奉行を連携させることで、さらに強固なガバナンスが実現します。

【連携アーキテクチャの概要】

1. 稟議申請： 現場担当者がバクラク上で「○○購入の申請」を出す。この際、予算残高のチェックなどが自動で行われる。
2. 請求書照合： 届いた請求書をバクラクに取り込み、承認済みの稟議と自動で紐付ける（「稟議なき支出」の撲滅）。
3. API連携： バクラクで最終承認されたデータが、APIを通じて勘定奉行へ「未承認仕訳」として送信される。
4. 会計承認： 経理担当者が勘定奉行側で最終チェックを行い、本登録する。

この構成により、会計ソフト側には「承認された正しいデータ」しか流れてこない状態を作ることができます。詳細は以下の比較記事も参照してください。

【徹底比較】バクラク vs freee支出管理。中堅企業が「経費精算・稟議」を会計ソフトと分ける本当の理由

4. 証跡管理（監査トレーサビリティ）の徹底

内部統制における「証跡（Audit Trail）」とは、ある取引が正しく行われたことを証明する一連の記録です。勘定奉行には、この証跡を自動で記録する「運用履歴管理機能」が搭載されています。

4.1 監視すべき主要ログ項目

監査対応において、特に重要視されるログは以下の通りです。

• ログイン・ログアウト履歴： 勤務時間外の不自然なアクセスや、退職者アカウントによるアクセスの有無を確認します。
• 仕訳の修正・削除履歴： 確定した月次データが後から改ざんされていないか。修正された場合、修正前の値と修正者が記録されている必要があります。
• マスター変更履歴： 特に「取引先銀行口座」の変更は厳格に監視します。不正送金事件の多くは、このマスター書き換えから始まります。
• 権限変更履歴： 管理者権限が勝手に特定のユーザーに付与されていないかを確認します。

4.2 改ざん防止と電子帳簿保存法

奉行クラウドでは、データセンター側でログが管理されており、ユーザー側で操作ログを削除・改ざんすることは不可能です。これは、電子帳簿保存法の「真実性の確保」における「訂正削除履歴が残るシステムの利用」という要件を高い水準で満たしています。^[4]

5. 導入・運用フェーズのチェックリスト

内部統制を形骸化させないための、実務的なチェックポイントです。

5.1 設定・運用確認観点

5.2 月次・年次の監査対応ステップ

1. 月次締め処理のロック： 月次決算が完了次第、その月の伝票更新を「処理制限設定」により物理的にロックします。
2. 残高試算表と補助簿の照合： 奉行上の残高と、実際の通帳・現物残高が一致していることを、承認者が確認します。
3. 証憑のデジタル突合： 監査法人に対し、奉行上の仕訳から直接、添付された請求書PDFを開いて提示できる体制を整えます。
4. IT全般統制の評価： サーバー（クラウド）の稼働状況やバックアップの正常性を確認し、記録します。

6. 異常系の時系列シナリオ：不正・ミスをどう防ぐか

理想的なフローだけでなく、異常が発生した際の「ガードレール」をシステムで設計しておくことが重要です。

シナリオA：担当者による「二重計上・二重支払」の企て

1. 発生： 担当者が同一の請求書を、今月と来月に分けて二重に申請する。
2. システムによる防御： 奉行Edgeやバクラクの「重複検知機能」が、請求書番号や金額、日付の類似性からアラートを発する。
3. 承認時の抑止： 承認者が仕訳画面からリンクされた証憑を確認し、既支払のマークがあることに気づく。
4. 事後検証： 支払管理メニューの「支払先別残高」を確認し、未払金が異常に膨らんでいることを検知する。

シナリオB：承認者の長期不在による「承認の滞留」

1. 発生： 経理部長が急病で不在となり、支払承認が止まってしまう。
2. システムによる対応： 事前に設定された「代行承認」機能を利用。ただし、代行者は本来の承認者と同等以上の職位である必要がある。
3. 証跡の記録： ログに「部長不在のため、次長が代行承認した」という理由と履歴が残る。
4. 事後確認： 部長復帰後、代行承認された取引の一覧を確認し、最終承認を行う（追認）。

シナリオC：退職者による「機密データの持ち出し」

1. 発生： 退職予定の担当者が、深夜に全ての仕訳データをCSV出力しようとする。
2. システムによる防御： 「出力権限」がないユーザーはCSV出力メニュー自体が表示されない。
3. 監視による検知： 運用履歴ログに、権限外のメニューを叩こうとしたエラーログが残る。
4. アカウント停止： 人事システムと連動し（SSO等）、退職と同時に即座にアクセス権が無効化される。

7. よくある誤解と正しい理解：内部統制のFAQ

Q1. 小規模な経理組織なので、職務分掌（分離）は物理的に不可能です。

A. 人員が限られる場合は、「事後モニタリング」で代替します。入力者が承認も兼ねる場合、その全履歴を後日、経営者や外部の税理士・監査役がログを確認し、署名する運用を規定化してください。システムでできない分、プロセスの証跡を強化します。

Q2. 会計ソフトをクラウド化すると、セキュリティや統制が弱くなるのでは？

A. むしろ逆です。オンプレミスサーバーの物理的な盗難や、社内ネットワーク内の脆弱なパスワード管理に比べ、奉行クラウドのような大手ベンダーのクラウドは、多要素認証、暗号化、自動バックアップ、専門家による24時間監視を備えており、IT全般統制の観点では極めて強固です。^[5]

Q3. 監査法人から「仕訳承認の印影がない」と指摘されました。

A. 承認は「印影（画像）」ではなく、「ログインIDとタイムスタンプ」によって担保されるべきです。勘定奉行の「承認ステータス」と「操作ログ」が、法律上の「記名押印」に代わる電子的な証跡であることを、運用規定（IT全般統制記述書）に明記して説明してください。

Q4. 奉行Edgeと外部SaaS（バクラク等）、どちらを選ぶべきですか？

A. OBC製品で統一するメリットは「マスターの完全同期」と「UIの統一感」です。一方、外部SaaSは「現場の使いやすさ（UX）」や「独自の自動化機能」に優れる傾向があります。自社のITリテラシーや、既存のワークフロー（購買・稟議）をどこまでシステム化したいかによって選択してください。

8. 成功事例：内部統制DXを実現した企業
事例1：株式会社カヤック（奉行クラウド×奉行Edge）

面白法人カヤックでは、奉行クラウドと周辺エッジクラウドを組み合わせ、決算早期化とペーパーレス化を実現しました。以前は紙の証憑をファイリングして監査に対応していましたが、デジタル化により「仕訳から証憑へのドリルダウン」が可能になり、監査対応コストを大幅に削減。さらに、承認フローの可視化により、意思決定のスピードも向上しました。^[6]

事例2：中堅製造業B社（奉行V ERP11×バクラク）

B社では、過去に「承認前の発注」が常態化し、多額の未払金が期末に発覚するリスクを抱えていました。バクラクを導入し、承認済みの稟議がないと請求書支払ができない「完全照合型フロー」を構築。その確定データを勘定奉行へAPI連携させることで、人為的なミスと不正を物理的に遮断しました。

共通する成功要因

• トップダウンの意思決定： 「紙をなくす」だけでなく「ガバナンスを高める」という目的を経営層が明示した。
• 現場への教育： なぜこの承認ステップが必要なのか、その「内部統制的な意義」を現場社員に浸透させた。
• 段階的な移行： 最初から全てを自動化せず、まずは経費精算から、次に請求書支払へと、スモールステップで進めた。

9. まとめ：形骸化しない内部統制のために

勘定奉行を活用した内部統制の構築は、単なるツールの設定作業ではありません。それは、企業の透明性を高め、不正やミスという「負のコスト」を最小化するための経営基盤の設計です。

重要なのは、以下の3点を継続することです。

1. 職務分掌を反映した権限設計を、少なくとも年に一度は見直す。
2. 稟議から支払、計上までをデジタルで繋ぎ、証跡の検索性を極限まで高める。
3. システムログを確認する「モニタリング体制」を実運用に乗せ、異常を早期発見する。

デジタル化された強固な内部統制は、守りのガバナンスだけでなく、月次決算の早期化とリアルタイムな経営判断という「攻め」のDXをもたらします。まずは現在の利用者権限設定の棚卸しと、ログの出力確認から始めてみてはいかがでしょうか。

また、会計ソフトそのものの移行や、よりモダンなデータ基盤の構築を検討されている場合は、以下のガイドも役立ちます。

• 【完全版】勘定奉行からfreee会計への移行ガイド：機能・費用比較とデータ移行手順の実務
• 高額なCDPは不要？BigQuery・dbt・リバースETLで構築する「モダンデータスタック」ツール選定と公式事例
• SaaSコストとオンプレ負債を断つ。バックオフィス＆インフラの「標的」と現実的剥がし方（事例付）