「決算が止まるリスクって、サイバー攻撃だけだろうか」――
経理部長クラスの方からよく聞かれる問いです。実際には自然災害、キーパーソン退職、SaaSベンダー障害、パンデミックなど、決算を止めうるシナリオは少なくとも5つあります。
本記事は総務・情シス向けではなく、経理部目線のBCP策定ガイドです。
決算カレンダー起点でのRPO/RTO設計、5シナリオ別の具体対策、3レベルの投資比較、経営層を動かす稟議書テンプレまで、2026年時点の実務でそのまま使える形に整理しました。
スライド解説
結論:経理BCP策定の5ステップ
経理BCPは総務BCPの一章ではなく、経理部独自の計画として持つべき時代になっています。結論から、5ステップで提示します。
- ステップ1:経理業務の棚卸し。
月次/四半期/年次の業務を一覧化し、決算カレンダーと紐づけます。 - ステップ2:RPO/RTOを業務別に定義。
許容データ損失時間と許容停止時間を業務単位で数値化します。 - ステップ3:シナリオ別対応計画を作成。
5つのシナリオ(自然災害/退職/SaaS/パンデミック/サイバー)に対する具体手順を文書化します。 - ステップ4:訓練を月次・四半期・年次で回す。
机上訓練と実地訓練を組み合わせます。 - ステップ5:年1回の全面見直しと監査。
事業環境・人員・システムの変化を反映します。
以下、それぞれの背景と具体的な進め方を詳しく解説します。
なぜ今「経理BCP」が必要か――2026年の経営環境
経理BCPの必要性は年々高まっています。背景にある4つの環境変化を整理します。
大企業の76.4%がBCPを策定済み
内閣府の調査によれば、大企業の76.4%がBCPを策定済みです(出典:内閣府「企業の事業継続及び防災の取組に関する実態調査」)。
一方で経理部独自のBCPを策定している企業は限定的で、全社BCPに経理業務がどう組み込まれているかを経理部員が説明できない事例も少なくありません。
能登半島地震・水害が突きつけた現実
2024年の能登半島地震や近年の局地水害では、本社機能と経理機能が同時に被災する事例が発生しました。
バックオフィスは本社一極集中が多く、分散・代替体制の準備不足が露呈しました。
サイバー被害は45.8%が経験
JIPDECの2026年調査では、国内企業の45.8%がランサムウェア被害を経験しています。アサヒグループホールディングスは2025年12月期決算短信開示を遅延、アスクルは2026年5月期半期報告書提出を延長しました(参考:JIPDEC「企業IT利活用動向調査2026」)。
経理BCPはサイバー対策と表裏一体です。
SaaS依存とキーパーソン退職リスクの顕在化
クラウド会計(freee、マネーフォワード、TKC)への移行が進む一方、ベンダー側障害が経理業務を直接止めるリスクが顕在化しました。
また経理経験者の人手不足から、ベテラン1名の退職で月次決算が止まる「属人化BCPリスク」も無視できません。
経理を止める5つのシナリオ――影響と発生確率
経理BCPは「想定シナリオの定義」から始まります。
経理業務を止める代表5シナリオを、影響と発生確率で整理したのが下表です。
| シナリオ | 主な影響 | 発生確率(年間) | 復旧難易度 | 優先度 |
|---|---|---|---|---|
| 自然災害(地震・水害) | 本社機能停止、紙資料喪失、システム停止 | 地域により10〜30% | 高(1〜3か月) | ★★★ |
| キーパーソン退職・人材流出 | 属人化された決算手順の継承断絶、引継ぎ不能 | 30〜50%(少人数体制) | 中(1〜6か月) | ★★★ |
| SaaSベンダー障害・サービス終了 | 会計・経費・請求書発行システムの停止 | 5〜15% | 中(数日〜2週間) | ★★ |
| パンデミック・出社制限 | 処理レコ・サイン依頼不可、テレワーク決算 | 10〜20%(中期的) | 低〜中(数週間) | ★★ |
| サイバー攻撃(ランサム等) | 会計データ暗号化、決算停止、開示遅延 | 45.8%(JIPDEC) | 高(1〜3か月) | ★★★ |
※発生確率は業種・規模・地域により大きく変動します。自社の実態に応じて再評価が必要です。
経理BCP策定5ステップ――具体的な進め方
ここからは結論で提示した5ステップを、経理部員が実際に動かせるレベルまで具体化します。
ステップ1:経理業務の棚卸しと決算カレンダー紐づけ
最初に行うのは、月次・四半期・年次・税務の全業務をリスト化することです。
各業務に「いつまでに完了が必要か」「停止すると何に波及するか」を記入します。たとえば「20日締の請求書発行が停止すると、25日入金予定の取引先支払いが連鎖停止」のように、業務間の依存関係を可視化します。
ステップ2:RPO/RTOを業務別に定義する
RPO(Recovery Point Objective:許容可能なデータ損失時間)とRTO(Recovery Time Objective:許容可能な停止時間)を、業務単位で数値化します。
月次決算なら「RPO 24時間/RTO 3営業日」、適時開示が絡む短信開示前なら「RPO 2時間/RTO 6時間」のように、業務影響に応じて段階的に定義します。この数値が情シスとの対策投資交渉の根拠になります。
ステップ3:シナリオ別対応計画を文書化
5シナリオそれぞれに対し、初動24時間/72時間/1週間の対応手順を文書化します。
たとえばキーパーソン退職シナリオでは、「退職通知日から起算して30日以内に決算手順をマニュアル化、60日以内に副担当が本番作業を実施」のように具体化します。
ステップ4:訓練を月次・四半期・年次で回す
訓練の頻度と内容を年間カレンダー化します。
月次は机上訓練(5分のシナリオ確認)、四半期は部分実地訓練(バックアップからの復旧テスト)、年次は全面実地訓練(仮想被災下での月次決算実行)が標準的です。
経理部員全員が「自分が当事者になったら何をするか」を理解している状態を作ります。
ステップ5:年1回の全面見直しと監査
事業環境・人員・システムは1年で大きく変わります。年に1回、BCP全体を見直し、必要なら内部監査または外部の事業継続コンサルタントによる第三者評価を受けます。
上場企業では監査人がBCPに関心を持つ場面も増えており、文書化された運用記録が役立ちます。
3レベルの経理BCP――投資規模別の選択肢
経理部が経営層に提案できるBCPレベルは、投資規模で3段階に分かれます。
自社の規模・上場ステータス・リスク許容度に応じて選びます。
| 項目 | 最低レベル(守り) | 標準レベル(一般推奨) | 積極レベル(先進) |
|---|---|---|---|
| 主な施策 | 業務マニュアル整備、月次オフラインバックアップ | +クラウド冗長化、副担当制、年次訓練 | +AI属人化排除、データセンター冗長、BCMS認証 |
| 必要スキル | 経理部内+総務連携 | BCP担当者、外部コンサル一部活用 | BCMS推進室、外部監査 |
| 主な業務 | 年1回の手順書更新 | 四半期訓練+年次見直し | 月次KPI管理+年次第三者監査 |
| 向いている企業 | 従業員300人未満、非上場 | 従業員300〜3,000人、上場準備中 | 上場企業、海外子会社あり |
| 年間投資の目安 | 10万〜100万円 | 200万〜1,000万円 | 2,000万〜数億円 |
| 最初の3か月でやること | 業務棚卸、手順書1本化 | RPO/RTO定義、訓練計画策定 | BCMS認証ロードマップ、AI導入PoC |
多くの中堅企業は標準レベルから始めます。
最低レベルでも「業務マニュアルがあるだけ」で属人化リスクは大きく下がります。
サイバー以外の4シナリオ深掘り
サイバー対策は「ランサムウェア対策|経理が決算停止を防ぐ5ステップ【2026年版】」で詳述したため、ここではサイバー以外の4シナリオを掘り下げます。
自然災害――本社一極集中の見直し
経理機能は本社に集中することが多く、本社が被災すると会計データ、契約書原本、印鑑など物理的資産がまとめて失われます。
対策はクラウド会計への完全移行、契約書の電子化、印鑑レス化(電子署名)の3点が基本です。能登半島地震では、紙の総勘定元帳に依存していた企業ほど復旧に時間がかかりました。
キーパーソン退職――属人化からの脱却
経理経験者の人手不足は2026年も続いており、ベテラン1名の退職で月次決算が止まるリスクは多くの中堅企業に存在します。
対策は「決算手順の動画マニュアル化」「副担当制(必ず2名以上が同じ業務をできる体制)」「AIによる仕訳・連結作業の自動化」の3つが現実的です。
AIを使った属人化排除は、人材流動性が高い今の時代において最もリターンが大きい投資の1つです。
SaaSベンダー障害・サービス終了
クラウド会計や経費精算SaaSのベンダー側障害は、年に数回発生しています。サービス終了(事業撤退、買収による統合)も中長期では発生し得るリスクです。
対策は「主要データの定期エクスポート(月次CSVバックアップ)」「代替ベンダーの事前選定」「複数ベンダー併用による依存度分散」の3つです。SLAだけに頼らず、自社側でのデータ保全を二重化します。
パンデミック・出社制限
新型コロナ禍で経理部は「印鑑出社」を経験しました。今後の感染症や災害時の出社制限に備え、電子契約・電子請求書・電子稟議・テレワーク対応の決算プロセスを平時に確立しておきます。
具体的には、freee サインや GMOサイン などの電子契約サービス、クラウド会計の権限設計、自宅セキュア環境の整備(VPN・MDM)を組み合わせます。
訓練サイクル――月次・四半期・年次で何をテストするか
BCPは作って終わりではなく、訓練で実効性が決まります。
訓練頻度と内容の標準パターンが下表です。
| 頻度 | 訓練内容 | 所要時間 | 主担当 |
|---|---|---|---|
| 月次(毎月) | 5分の机上訓練:「もし今、◯◯シナリオが起きたら最初に何をするか」を声出し確認 | 5分 | 経理部長 |
| 四半期 | 部分実地訓練:バックアップからの会計データ復元、副担当による試算表作成 | 2〜4時間 | BCP担当者 |
| 半期 | シナリオ机上演習:5シナリオから1つを選び、対応手順を時系列で詰める | 半日 | 経理部長+総務 |
| 年次 | 全面実地訓練:仮想被災下で月次決算を実際に回す | 1〜2日 | 経理部全員+情シス |
| 2〜3年に1回 | 第三者評価:外部コンサル・監査人によるBCP評価 | 1〜2か月 | 経理部長+経営層 |
月次の5分訓練だけでも、実際の有事の判断スピードは大きく変わります。「やらない」のと「5分やる」の差は驚くほど大きいです。
コスト試算――何もしないコストとの比較
BCP投資の意思決定では、被害コストとの比較が最も説得力を持ちます。
何もしないコスト
サイバー攻撃で決算が1か月遅延した場合の市場ペナルティ、自然災害で1か月業務停止した場合の機会損失、キーパーソン退職で四半期決算が乱れた場合の信頼失墜――いずれも数千万〜数十億円規模の影響に達する可能性があります。
JIPDECの2026年調査では、サイバー被害だけで「10億円以上」の影響を回答した企業が4.3%ありました。
標準的なBCP投資コスト
従業員300〜3,000人の上場準備企業を想定すると、標準レベル経理BCP(業務棚卸+RPO/RTO定義+訓練+クラウド冗長+副担当制)の年間費用は200万〜1,000万円が目安です。
期待損失額の数%程度に収まることが多く、ROIで判断すれば明確にペイします。
期待損失額の試算例
仮に「5シナリオの年間発生確率合計が60%」「発生時の平均影響額が2,000万円」と置くと、期待損失額は1,200万円/年です。これを下回るBCP投資なら、純粋に経済合理性で説明できます(数値は仮定であり、自社の業種・規模で再計算してください)。
よくある質問(FAQ)
Q1. BCPとBCMSの違いは?
BCP(事業継続計画)は文書化された計画そのものを指し、BCMS(事業継続マネジメントシステム)は計画を策定・運用・改善する仕組み全体を指します。
ISO 22301はBCMSの国際規格です。中堅企業の経理BCPはBCP単体から始め、上場後やグローバル展開時にBCMS認証取得を検討するのが一般的な順序です。
Q2. 経理業務を外部委託していてもBCPは必要ですか?
必要です。
委託先が被災・障害でサービス停止した場合の代替手段、データ返却方法、緊急時のコミュニケーション経路を委託契約に明記しておく必要があります。委託先のBCP策定状況を年1回確認し、必要なら再契約時に条項を強化します。
Q3. SaaSベンダー任せで安全ですか?
SaaSベンダーのインフラ冗長性は高い水準にありますが、ベンダー側の経営判断によるサービス終了、サイバー被害、約款変更などのリスクは利用者側で完全には制御できません。
データの定期エクスポート(月次CSV保存)と、代替ベンダーの事前選定が現実的な備えです。
Q4. 監査でBCPを問われることはありますか?
上場企業の場合、内部統制報告制度(J-SOX)の評価過程でIT統制の一部としてBCPに関する質問を受けることがあります。
また有価証券報告書の「事業等のリスク」欄で災害・システム障害リスクへの対応方針を記載する企業が増えており、BCP文書はその根拠資料として位置づけられます。
個別の判断は監査法人にご確認ください。
Q5. 災害復旧計画(DRP)と経理BCPは何が違いますか?
DRP(Disaster Recovery Plan)は主にITシステムの復旧計画で、情シス主導のことが多いです。
経理BCPはこれを内包しつつ、業務手順・人員配置・代替手段・対外コミュニケーションまで含む経理部全体の業務継続計画です。DRPだけでは「システムは復旧したが帳簿が締まらない」状態が起こりえます。
まとめ:経理が決算を止めない5つの行動
本記事の要点をあらためて整理します。経理BCPはサイバー対策の一部ではなく、経理部全体のリスクマネジメントとして独立して持つべき計画です。
- 経理業務を棚卸しし、決算カレンダーと業務依存関係を可視化する
- 業務単位でRPO/RTOを数値定義し、情シスとの投資交渉根拠にする
- 5シナリオ(自然災害/退職/SaaS/パンデミック/サイバー)別の対応計画を文書化する
- 月次・四半期・年次の訓練サイクルを組み、机上と実地を組み合わせる
- 年1回の全面見直しと第三者評価で、実効性を維持する
まずは今週、自部署の業務リストを1枚にまとめることから始めてみてください。それだけで、経理BCPは50%進んだと言って差し支えありません。
サイバー対策と組み合わせるなら、前記事「ランサムウェア×経理|決算停止を防ぐ5つの対策」もあわせてご覧ください。
【コピペ可】経理BCP策定の稟議書テンプレ
下記をWordに貼り付け、◯◯を自社情報に置き換えて使用してください。
件名:経理BCP策定プロジェクト発足について(経理部発)
1.背景
内閣府調査によれば大企業の76.4%がBCP策定済み。当社の現状BCPは総務主導で策定されており、経理業務の停止リスク(決算遅延、適時開示遅延、税務申告遅延)への具体的対応計画が未整備。
2.自社のリスク
5シナリオ(自然災害/キーパーソン退職/SaaS障害/パンデミック/サイバー攻撃)の年間発生確率合計を仮に60%、発生時の平均影響額を◯◯万円と仮置きすると、期待損失額は約◯◯万円/年。
3.プロジェクト概要
経理部主導でBCP策定プロジェクトを発足。総務・情シス・監査室との横断チームを組成。期間6か月、成果物は経理BCP文書・訓練計画・シナリオ別対応マニュアル。
4.投資額
外部コンサル委託◯◯万円、社内工数◯◯人月、システム改修◯◯万円、合計初年度◯◯万円。次年度以降は年間◯◯万円の運用費。
5.期待効果
期待損失額◯◯万円/年を実質的に低減。監査対応の品質向上、上場準備の加速、サプライチェーン取引先からの信頼獲得。
6.スケジュール
承認後30日以内にキックオフ、3か月で業務棚卸とRPO/RTO定義、6か月で文書化完了、年内に第1回全面訓練実施。
コメント