2007 年 2 月
㈱富士通総研 経済研究所
日本における内部統制の現状
に関するアンケート調査
内部統制に関する調査 集計結果のまとめ(要旨)
• 内部統制強化の取り組みとして実施状況が高いのは、「セミナーなどに参加して情報を収集 (78.0%)」「社外のサービス提供者(監査法人、コンサル会社など)に相談(57.2%)」「責任者あ るいはリーダーを任命(54.0%)」であり、50%以上の回答があったのはこの3項目であった(図表 4 参照)。 ただし、企業規模別にみると、従業員数の多い企業は取り組みが進んでおり、従業員 1000 名以上 の企業で回答率が 50%を超える項目は、「セミナーなどに参加して情報を収集」「コンプライアンス 窓口を設置」「社外のサービス提供者に相談」「責任者あるいはリーダーを任命」「プロジェクトチー ムを結成」の5項目にのぼる。一方、従業員数 300 人未満の企業で 50%以上の回答があったのは、 「セミナーなどに参加して情報を収集」「社外のサービス提供者に相談」の2項目だけであった(図 表 22 参照)。 • プロジェクトチームのリーダーとしてもっとも多いのは「財務担当役員あるいはCFO」で、次い で「社長あるいはCEO」「その他」「経営企画部長」の順となっている(図表 5 参照)。「その他」 には、「内部統制室長」や「CSR 推進部長」「管理本部長」「業務改革推進室長」「コンプライアンス 担当役員」「リスクマネジメント担当役員」という回答があった。 • 内部統制構築の姿勢として、全体としてもっとも多いのは「同業他社と同等のレベルを確保したい」 であった(図表 6 参照)。企業規模別にみると、従業員の少ない企業では「あまりコストを書けずに 最低限のレベルは確保したい」が増え、従業員が多くなると「多少のコストをかけても高いレベル を達成したい」が増える傾向にある(図表 24 参照)。 • 内部統制の目的としてもっとも重視されているのが「財務報告の信頼性」であり、相対的に重視度 が低いのが「資産の保全」であった(図表 7 参照)。 • 内部統制の構成要素のうち、もっとも優先度が高いと考えられているのが「統制活動」であり、「IT への対応」は相対的に優先度が低かった(図表 8 参照)。 • 優先度の高い課題・改善事項のトップ5は、「規定・業務マニュアルの改変、整備」「業務の文書化 (「三点セット」の作成)」「職務分掌見直し、権限・承認機能見直し」「業務に対する内部監査機能 の強化」「業務フロー見直しや事務処理の集中化」であった(図表 9 参照)。 • 対応が困難な作業のトップ3は、「文書化(三点セットの作成)」「リスクの評価」「情報システムの 改変など IT 関連」であった(図表 10 参照)。 • 内部統制に対する考え方では、「内部統制の強化は、業務効率化に反する部分がある」「文書化や各 種ガイドラインの設定などを行っても、業務は生き物であり、内部統制が形骸化・形式化する危険 性が高い」に対する肯定的な回答が、50%を超えていることが注目される(図表 12 参照)。 • IT ガバナンス・情報セキュリティ関連では、「システム監査の実施」「IT 全般統制の強化」は 40% 程度の企業で取り組んでいたが、具体的な「COBIT の利用」「ITIL 等の活用」は 5%前後にとどまっ た(図表 13 参照) • 構成要素のうち「統制環境」については、経営理念の普及や社風の確立については半数以上が肯定 的な回答であったが、「マニュアルにない例外的・突発的な事象が起こった場合、社員がそれに則っ• 「リスクの評価と対応」については、特に「当社では、リスクを定量的に評価している」に対する 肯定的な回答が低い(20%弱)であったことが目立っている(図表 15 参照)。 • 「統制活動」のうち、職務分離など組織的な対応については、他の項目に比べて、「購買部門や資材 部門の担当者は定期的に人事異動や転勤がある」に対する否定的な回答(「あてはまらない」と「あ まりあてはまらない」の合計)が多い(50.5%)ことが注目される(図表 16 参照)。 • 「統制活動」のうち、マニュアルや業務フローなど業務面については、ほぼすべての項目で半数以 上の企業が肯定的な回答であったが、「当社では、業務マニュアル(規定)には入力ミスなどの作業 ミスを防ぐプロセスが組み込まれている」だけは肯定的な回答が 41.8%と半分以下にとどまった(図 表 17 参照)。 • 「IT への対応」のうち、情報システムのバックアップや不正アクセス対策といった機能的な面に対 する統制については、ほとんどすべての項目で対応済みと答えた企業が半数を超えていた。ただ、 唯一、「パスワードは一定期間で変更するようになっている」については、肯定的な回答が 49.2% と 5 割以下であった(図表 18 参照)。 • 「情報と伝達」に関しては、「顧客などから情報が提供される仕組みが機能している」に対する肯定 的な回答は 44.5%と半数を下回っていたが、それ以外は、「必要な情報が情報に含まれている」「必 要なタイミングで情報を利用できる」など、すべて「あてはまる」または「ややあてはまる」とい う肯定的な回答が 50%を超えていた(図表 19 参照)。 • 「IT への対応」のうち、たとえば「経営目標に合致した情報システムの投資計画が明確に策定され ている」といった IT と経営との関係に関する質問項目については、ほとんどの項目で肯定的な回答 が半数を超えていたが、「情報セキュリティに関する外部監査を実施している」については、肯定的 な回答は 4 割弱(37.7%)にとどまった(図表 20 参照)。 • 「モニタリング」については、肯定的な回答が最も少なかったのは「従業員の内部統制に関する理 解状況について、会社が定期的に確認をする仕組みがある」であった(図表 21 参照)。社員に対す る教育が重要な課題であることがわかる。 • 「統制環境」「リスクの評価と対応」「統制活動」「情報と伝達」「モニタリング」「IT への対応」と いった構成要素と、内部統制の状況との関係を分析してみた。その結果、「将来不祥事が起こるリス クが低い」という質問に「あてはまる」と回答している企業ほど、そうでない企業よりも、構成要 素のすべての項目の実施状況が進んでいることがわかった(図表 27 参照)。構成要素の中では、経 営理念や社風、行動規範といった「統制環境」の状況が、「将来不祥事が起こるリスク」に対する回 答ともっとも関係が強い。マニュアルや業務プロセスなど業務に関する統制活動も、「将来不祥事が 起こるリスク」と有意な関係があった(図表 28 参照)。 • 同じように、内部統制の目的のひとつである「業務の有効性及び効率性」に関連して分析を行うと、 「当社の業務は効率的に処理されている」に「あてはまる」と回答した企業ほど、すべての構成要 素に対する取り組みが進んでいることがわかった(図表 29 参照)。構成要素の中では、「統制環境」 「モニタリング」「IT 全般統制」「業務に関する統制活動」の順に、「当社の業務は効率的に処理さ れている」に対する回答との関係が大きかった(図表 30)。
目 次 1. 単純集計結果 ... 4 1.1. 企業および回答者の属性など... 4 1.2. 内部統制強化のための取り組み... 4 1.3. 内部統制関連の状況... 9 2. 主なクロス集計の結果 ... 13 2.1. 従業員数別の集計結果... 13 2.2. 統制の状況と構成要素との関係... 15 図表目次 図表 1. 回答者の所属部署...4 図表 2. 回答者の役職...4 図表 3. 回答企業の従業員数...4 図表 4. 内部統制の実施状況...5 図表 5. プロジェクトリーダー...5 図表 6. 内部統制構築の姿勢...5 図表 7. 目的の重視度...6 図表 8. 構成要素の優先度...6 図表 9. 優先度の高い課題・改善事項...6 図表 10. 対応が困難な作業...7 図表 11. 内部統制の実態...7 図表 12. 内部統制に対する考え方...8 図表 13. IT ガバナンスなどに関する取り組み ...8 図表 14. 内部統制の構成要素(統制環境)...9 図表 15. 内部統制の構成要素(リスクの評価と対応) ...9 図表 16. 内部統制の構成要素(統制活動、組織) ...10 図表 17. 内部統制の構成要素(統制活動、組織) ...10 図表 18. 内部統制の構成要素(IT 業務統制) ...11 図表 19. 内部統制の構成要素(情報と伝達)...11 図表 20. 内部統制の構成要素(IT 全般統制) ...12 図表 21. 内部統制の構成要素(モニタリング) ...12 図表 22. 内部統制の実施状況(従業員数別)...13 図表 23. プロジェクトリーダー(従業員数別) ...14 図表 24. 内部統制構築の姿勢(従業員数別)...14 図表 25. 目的の重視度(従業員数別)...14 図表 26. 構成要素の優先度(従業員数別)...15 図表 27. 不祥事が起こるリスクと構成要素取り組み状況の関係 ...15 図表 28. 不祥事が起こるリスクと構成要素取り組み状況の関係(重回帰分析) ...16 図表 29. 効率的な業務遂行と構成要素取り組み状況の関係 ...16 図表 30. 効率的な業務遂行と構成要素取り組み状況の関係(重回帰分析) ...17
1. 単純集計結果
1.1. 企業および回答者の属性など 調査の概要 ■調査時期:2006 年 9 月 ■調査対象:上場企業全社(3691 社) ■調査方法:調査票を広報・経営企画部門に送付し、記入済みの調査票の返送またはウェブにて回答 ■回収数:814 社 (有効回答数は質問によって異なる) ■調査主体:富士通総研、日経リサーチ Q1. あなたの所属部署を、ひとつだけ選んでください。(N=803) 図表 1. 回答者の所属部署 9.0% 32.4% 15.8% 21.9% 9.0% 0.9% 11.1% 0% 10% 20% 30% 40% 50% 60% 70% 80% 90% 100% 所属部署 広報・宣伝 経営企画 内部監査 総務・人事 経理・財務 情報システム その他 Q2. あなたの役職(肩書き)を、ひとつだけ選んでください。(N=807) 図表 2. 回答者の役職 14.5% 2.4% 31.6% 28.5% 11.4% 8.9% 2.7% 0% 10% 20% 30% 40% 50% 60% 70% 80% 90% 100% 役職 経営者・取締役・役員 本部長・事業部長クラス 部長クラス 課長クラス 係長・主査・主任クラス 一般社員クラス その他 Q3. 御社の従業員数(正社員数)について、あてはまるものをひとつだけ選んでください。(N=812) 図表 3. 回答企業の従業員数 3.7% 2.7% 5.7% 26.4% 17.5% 19.6% 17.0% 3.4% 2.5% 1.6% 0% 10% 20% 30% 40% 50% 60% 70% 80% 90% 100% 従業員数 30人未満 30人~50人未満 50人~100人未満 100人~300人未満 300人~500人未満 500人~1000人未満 1000人~3000人未満 3000人~5000人未満 5000人~1万人未満 1万人以上 1.2. 内部統制強化のための取り組み Q4. 御社では、内部統制の強化に関する取り組みを行なっていますか。あてはまるものをすべて選んでください。(N=813)図表 4. 内部統制の実施状況 57.2% 54.0% 44.5% 34.4% 31.6% 47.5% 37.8% 37.1% 78.0% 20.2% 10.5% 2.7% 1.2% 0% 20% 40% 60% 80% 100% 社外のサービス提供者に相談 責任者あるいはリーダーを任命 プロジェクトチームを結成 作業計画を策定 具体的なドキュメント作り(文書化)を開始 コンプライアンス相談窓口を設置 社内の監査担当部署を強化 社内で勉強会を実施 セミナー等に参加して情報を収集 社員に対して内部統制に関する教育を実施 法令と実際の業務との乖離に関する調査を実施 その他 上記のような取り組みは行っていない。 Q4.1.御社における内部統制構築のためのプロジェクトのリーダーは誰ですか。あてはまるものをひとつだけ選んでください。 (N=763) 図表 5. プロジェクトリーダー 27.0% 15.2% 3.8% 11.3% 6.6%0.9%4.2% 13.9% 16.4% 0.8% 0% 10% 20% 30% 40% 50% 60% 70% 80% 90% 100% リーダー 財務担当役員あるいはCFO 社長あるいはCEO 経理部長あるいは財務部長(CFOを除く) 経営企画部長 総務部長 法務部長 社内の監査部長 その他 まだ任命されていない わからない Q4.2.御社における内部統制構築の姿勢についてお尋ねします。御社の状況についてもっとも近いと思われるものをひと つだけ選んでください。(N=779) 図表 6. 内部統制構築の姿勢 13.9% 55.1% 28.5% 2.6% 0% 10% 20% 30% 40% 50% 60% 70% 80% 90% 100% 構築の姿勢 多少のコストをかけても高いレベルを達成したい 他社(同業他社)と同等のレベルを確保したい あまりコストをかけずに最低限のレベルは確保したい わからない
Q5. 内部統制の目的として、金融庁のガイドラインでは以下の4つの項目を挙げていますが、御社ではそれぞれどの程度 重視していますか。それぞれの項目の重視度を点数にし、合計が 100 になるように数字を記入してください。(N=804) 図表 7. 目的の重視度 22.0 36.8 28.4 12.8 0 10 20 30 40 50 60 70 80 90 100 内部統制の目的 の重視度 業務の有効性及び効率性 財務報告の信頼性 事業活動に関わる法令などの遵守 資産の保全 Q6. 金融庁のガイドラインでは、内部統制の構成要素として、「統制環境」「リスクの評価と対応」など 6 つの項目が設定され ていますが、それらは御社ではどの程度優先されていますか。それぞれの項目の優先度を点数にし、合計が 100 にな るように数字を記入してください。(N=798) 図表 8. 構成要素の優先度 18.9 18.2 19.6 17.2 13.7 12.4 0 10 20 30 40 50 60 70 80 90 100 構成要素の 優先度 統制環境 リスクの評価と対応 統制活動 情報と伝達 モニタリング ITへの対応 Q7. 内部統制の構築にあたり、御社において優先度の高い課題・改善事項は何ですか。あてはまるものを5つまで選んで ください。(N=813) 図表 9. 優先度の高い課題・改善事項 75.4% 11.2% 55.0% 2.0% 45.6% 57.4% 7.4% 19.7% 12.7% 3.4% 4.8% 4.3% 10.5% 1.1% 11.8% 6.2% 7.4% 51.0% 28.4% 9.1% 38.3% 0% 20% 40% 60% 80% 100% 規定・業務マニュアルの改変、整備 会計方針・ルールの見直し 職務分掌見直し、権限・承認機能見直し 業務委託の見直し 業務フローの見直しや事務処理の集中化 業務の文書化(「三点セット」の作成) 人手処理業務へのIT導入 システムの標準化や統合 ITシステムへのアクセスコントロール強化 システム開発方法の見直し システムチェックの省力化・自動化 ERPソフトの導入 証憑や証跡の取得、管理 電子メールの記録保管 重要データの一元管理 重要データのバックアップ 連結対象子会社の見直し 業務に対する内部監査機能の強化 業務に関する法令違反リスクの洗い出し ITに関する内部監査機能の強化 社員教育
Q8. 内部統制の構築で対応が困難だと思われる作業は何ですか。あてはまるものを3つまで選んでください。(N=813) 図表 10. 対応が困難な作業 16.9% 19.7% 29.6% 18.3% 40.8% 22.0% 29.4% 9.3% 22.4% 9.7% 17.1% 20.3% 2.1% 2.7% 0% 20% 40% 60% 80% 100% 対象範囲の決定 リスクの洗い出し リスクの評価 統制(コントロール)の検討、選択 文書化(三点セットの作成) 統制の業務への適用 情報システムの改変などIT関連 内部監査 社員教育 証憑、証跡の取得や管理 モニタリング 業務の継続的改善 その他 まったく見当がつかない Q9. 以下の a から h までの記述に対して、御社の実態にもっとも近いものを「あてはまる」から「あてはまらない」「わからな い」までの中からひとつだけ選んでください。経営者の考え方がわからない場合は、あなた自身の考えでも結構です。 (括弧内は有効回答数) 図表 11. 内部統制の実態 62.1 8.8 10.8 7.3 64.6 19.2 9.3 38.0 42.3 16.4 34.7 28.6 5.4 30.8 31.4 23.3 12.5 27.8 4.9 23.9 29.0 5.7 17.2 15.9 31.1 21.9 25.3 7.9 18.4 5.6 33.7 6.0 39.2 10.6 1.6 1.2 3.5 1.2 2.8 2.5 1.1 1.9 2.2 4.7 2.3 0.6 4.9 0% 20% 40% 60% 80% 100% a.ここ3年間、公益に反する不祥事が起きたことはない(810) b.当社の業務は、効率的に処理されている(810) c.社員は全員が業務マニュアルを守っている(807) d.社員が、財務計算に影響を与える不正を実施可能(810) e.コンプライアンスに関する意識が十分に浸透している(810) f.財務諸表は、間違いや不実記載がなく、信頼できる(810) g.コンプライアンス等の強化で、新事業立上等に支障あり(811) h.当社では、今後不祥事などが起こるリスクは低い(811) あてはまる ややあてはまる どちらでもない あまりあてはまらない あてはまらない わからない
Q10. 以下の a から j までの記述に対して、御社の実態(経営者の考え方)にもっとも近いものを「あてはまる」から「あてはま らない」「わからない」までの中からひとつだけ選んでください。経営者の考え方がわからない場合は、あなた自身の考 えでも結構です。(括弧内は有効回答数) 図表 12. 内部統制に対する考え方 20.7 13.3 7.5 9.5 8.5 10.0 6.8 15.7 39.3 43.2 33.0 27.2 40.8 48.7 40.2 26.4 31.9 43.8 26.1 36.8 44.4 23.5 22.8 17.6 21.2 33.9 21.1 8.1 8.5 11.3 12.1 17.2 9.4 24.4 12.6 11.3 4.3 6.3 5.9 16.0 10.6 6.2 27.6 6.8 22.0 13.2 4.4 2.8 3.7 3.2 2.0 4.2 2.1 2.1 3.1 3.0 3.2 7.1 6.0 5.4 0% 20% 40% 60% 80% 100% a.内部統制強化で経営者の不正を防止できる(810) b.会社法・金融商品取引法は経営者不正防止に効果的(811) c.経営者不正防止には罰則強化や内部告発の方が有効 (808) d.財務報告に関る内部統制を重視している(810) e.内部統制強化は、業務効率化に反する部分がある(808) f.文書化等を行っても、形骸化・形式化する危険性が高い (811) g.当社の経営陣は、自らの問題として取り組んでいる(809) h.以前から内部統制が存在しており、本質的な変化ない(812) i.米国型制度は、日本企業の風土や文化にはそぐわない (811) j.公益通報者保護法など、内部告発を促す制度は有効だ (811) あてはまる ややあてはまる どちらでもない あまりあてはまらない あてはまらない わからない Q11. 御社では、IT ガバナンスや情報セキュリティの強化に関して、以下のような取り組みを実施していますか。あてはまる ものをすべて選んでください。(N=813) 図表 13. IT ガバナンスなどに関する取り組み 19.9% 4.2% 8.7% 40.8% 38.7% 5.5% 0% 20% 40% 60% 80% 100% ISMSやプライバシーマーク等の公的な認証の取得 ITガバナンスの成熟度を測る「COBIT」の利用 IT投資や効果評価のためのガイドラインの策定・実施 システム監査の実施 IT全般統制の強化 ITIL等のIT運用に関するフレームワークの活用
Q12. 以下の a から l までの記述に対して、御社の実態にもっとも近いものを「あてはまる」から「あてはまらない」「わからな い」までの中からひとつだけ選んでください。(括弧内は有効回答数) 図表 14. 内部統制の構成要素(統制環境) 69.3 21.1 5.9 11.6 29.7 17.2 30.1 4.6 7.3 19.3 51.0 35.8 43.1 40.9 42.9 41.3 17.9 39.1 40.7 29.5 18.5 13.3 35.9 28.7 29.5 15.9 32.3 30.7 29.8 17.8 32.3 24.1 9.9 11.7 10.0 8.2 11.2 23.6 10.0 5.8 24.2 26.2 4.4 22.8 6.3 21.5 3.5 11.2 15.7 4.3 4.4 7.4 2.5 2.1 2.2 4.6 3.6 2.1 1.4 2.8 2.3 3.2 4.3 1.1 1.5 2.0 0.5 7.3 0.4 6.2 0.1 0.4 0% 20% 40% 60% 80% 100% a.全社員が共有しているような経営理念が存在する(809) b.売上目標など数値的なノルマが重視される(811) c.社員の会社に対する満足度は高い(810) d.当社では、チームワークが重視される(809) e.従業員は、社員であることに誇りを持っていると思う(809) f.経営陣はコンプライアンスの重要性を理解し、実行している(811) g.上司に業務以外でも気楽に相談できる風土がある(812) h.当社では、最近社員の離職率が高まる傾向にある(808) i.道徳的指針を含む「社風」が確立されている(809) j.行動規範等への違反などには適切に対処している(811) k.例外に対応できるような行動規範が浸透している(811) l.法令と実態の乖離について調査している(809) あてはまる ややあてはまる どちらでもない あまりあてはまらない あてはまらない わからない 1.3. 内部統制関連の状況 Q13. 御社では、企業不祥事や法令違反、不正経理などにつながる可能性のある危険性(リスク)についてどのように対応 されていますか。以下の a から g の記述について、御社の実態にもっとも近いものを「あてはまる」から「あてはまらない」 「わからない」までの中からひとつだけ選んでください。(括弧内は有効回答数) 図表 15. 内部統制の構成要素(リスクの評価と対応) 9.4 10.8 4.9 22.6 15.5 30.8 41.6 12.8 19.8 43.2 47.5 40.6 26.0 26.4 13.8 18.5 21.0 13.4 16.6 33.7 18.7 10.5 4.2 19.8 35.4 11.0 25.6 23.6 8.4 2.5 36.0 9.5 4.3 1.9 5.3 5.8 2.7 0.7 2.3 0.6 1.0 0% 20% 40% 60% 80% 100% a.リスクを体系的に把握し、許容水準以下になるよう対策(808) b.経営環境変化等の外部リスクへの対策を行っている(807) c.当社では、リスクを定量的に評価している(810) d.リスクを把握し、対策を考える専門の担当者がいる(809) e.経営者は、企業をとりまくリスクをきちんと把握している(810) f.経営者は、内部統制の不備について認識している(809) g.経営者は、改善提案事項の改善状況を把握している(807)
Q14. 企業不祥事や法令違反、不正経理などにつながる可能性のある業務関連の危険性(リスク)を軽減する対策に関し て、以下の a から h までの以下の記述について、御社の現状にもっとも近いものを「あてはまる」から「あてはまらない」 「そのような業務はない」「わからない」までの中からひとつだけ選んでください。(括弧内は有効回答数) 図表 16. 内部統制の構成要素(統制活動、組織) 34.4 51.6 27.8 49.1 5.9 23.4 26.0 23.2 29.3 39.7 14.1 26.4 26.2 5.1 11.5 5.3 20.2 26.8 6.3 10.8 18.3 13.6 12.0 23.5 9.5 7.9 11.4 8.3 10.2 70.8 58.5 3.3 2.1 8.1 4.8 5.2 0.5 10.7 27.0 0.1 1.0 2.3 5.1 4.2 0.1 0.1 3.7 5.3 0.9 0.1 1.2 3.3 1.7 1.9 0% 20% 40% 60% 80% 100% a.購買部門の発注担当者と検収担当者を分離している(806) b.債権管理のための与信限度額を管理している(805) c.在庫管理の検収担当と入荷入力担当者を分離している (807) d.支払い承認、出金、支払い入力担当を分離している(810) e.契約書などの重要な書類は厳密に管理されている(809) f.購買や資材の担当者は定期的に人事異動や転勤がある (807) g.重要な決定は上司の承認が必要なプロセスになっている (808) h.法令と業務実態との乖離がリスク要因だと考え、 対策を検討している(810) あてはまる ややあてはまる どちらでもない あまりあてはまらない あてはまらない そのような業務はない わからない Q15. 業務マニュアル(業務規定)や業務手順に関する以下の a から e までの記述について、御社の現状にもっとも近いも のを「あてはまる」から「あてはまらない」「わからない」までの中からひとつだけ選んでください。(括弧内は有効回答数) 図表 17. 内部統制の構成要素(統制活動、組織) 28.3 17.3 9.3 27.8 43.8 39.5 32.5 37.9 38.9 21.1 26.9 15.7 17.0 22.2 7.2 24.2 18.5 10.7 10.4 13.0 13.7 3.3 6.7 5.6 4.2 0.6 0.9 2.0 0.9 0.1 0% 20% 40% 60% 80% 100% a.業務マニュアル(規定)が整備されている(810) b.マニュアルやプロセスに不正防止の仕組みが 組み込まれている。(810) c.入力ミス等作業ミスを防ぐプロセスが組み込まれている(810) d.金額や数量など重要な項目は二人以上がチェックする(810) e.業務プロセスごとに責任者(オーナー)が決まっている(810) あてはまる ややあてはまる どちらでもない あまりあてはまらない あてはまらない わからない
Q16. 情報システムに関する以下の a から g までの記述について、御社の現状にもっとも近いものを「あてはまる」から「あて はまらない」「そのようなシステムはない」「わからない」までの中からひとつだけ選んでください。(括弧内は有効回答 数) 図表 18. 内部統制の構成要素(IT 業務統制) 51.7 53.0 76.1 67.8 27.3 35.3 32.8 21.5 31.2 21.8 21.9 24.9 5.3 1.2 3.1 11.6 5.5 22.1 62.8 59.5 4.6 4.8 5.7 0.7 3.3 2.7 3.0 4.6 14.9 1.4 0.2 2.4 3.0 1.2 1.9 1.5 0.4 0.4 0.4 0.6 0.7 0.4 0.4 0.1 1.1 1.0 0% 20% 40% 60% 80% 100% a.重要なシステムのバックアップ体制が整っている(808) b.不正アクセス対策を行っている(804) c.コンピュータウイルス対策を行っている(808) d.重要なデータにアクセス制御を行っている(807) e.システムを利用するIDとパスワードは一人ひとり異なる(807) f.パスワードは一定期間で変更するようになっている(807) g.重要なデータはISでバックアップをとっている(807) あてはまる ややあてはまる どちらでもない あまりあてはまらない あてはまらない そのようなシステムはない わからない Q17. あなたの部署が担当している業務について、業務に必要な情報(例:クレームの内容など)に関する a から f までの記 述について、御社の現状にもっとも近いものを「あてはまる」から「あてはまらない」「わからない」までの中からひとつだ け選んでください。(括弧内は有効回答数) 図表 19. 内部統制の構成要素(情報と伝達) 31.0 29.9 20.8 15.3 35.1 45.8 46.8 48.3 47.9 29.2 44.7 16.3 20.4 20.0 30.0 14.6 5.1 8.2 4.2 15.8 26.2 16.5 3.7 4.2 1.1 6.1 0.6 0.4 0.6 0.5 0.9 3.7 1.1 1.2 1.2 2.6 0% 20% 40% 60% 80% 100% a.必要な内容が情報に含まれている(804) b.必要なタイミングで情報を利用できる(805) c.常に最新の情報に保たれている(804) d.情報の内容が正確であり、信頼できる(806) e.顧客などから情報が提供される仕組みが機能している(806) f.自分に来た情報を関係部署に迅速に伝達できる(806) あてはまる ややあてはまる どちらでもない あまりあてはまらない あてはまらない わからない
Q18. 社内のIT利用に関する a から g までの記述について、御社の現状にもっとも近いものを「あてはまる」から「あてはまら ない」「わからない」までの中からひとつだけ選んでください。(括弧内は有効回答数) 図表 20. 内部統制の構成要素(IT 全般統制) 16.7 18.8 28.3 46.0 24.5 35.9 40.7 38.7 37.6 39.9 29.7 17.6 18.2 17.0 15.3 10.1 16.6 12.5 17.2 12.1 6.1 16.2 20.1 35.5 20.4 2.0 18.6 13.9 3.2 1.0 1.6 6.8 3.7 9.9 29.8 3.8 5.4 1.0 3.8 0.7 1.5 1.6 0% 20% 40% 60% 80% 100% a.経営目標に合致したIS投資計画が策定されている(808) b.IS活用に必要な能力を有する人材を確保している(809) c.ISに関する職務分掌が明確に決まっている(802) d.ISの業務処理と社内の会計規則や 基準等が合致している(808) e.ISが常に継続的に利用できる状態に保たれている(804) f.ISに対するアクセスログが取得され、必要なときに 経営陣に提供されている(808) g.ISに関する外部監査を実施している(809) あてはまる ややあてはまる どちらでもない あまりあてはまらない あてはまらない わからない Q19. 業務に関する a から g までの記述について、御社の現状にもっとも近いものを「あてはまる」から「あてはまらない」「わ からない」までの中からひとつだけ選んでください。(括弧内は有効回答数) 図表 21. 内部統制の構成要素(モニタリング) 21.6 22.2 32.7 13.4 46.7 37.0 14.9 39.9 41.7 33.3 44.0 16.7 24.1 13.1 14.3 24.4 15.7 16.2 29.7 8.4 5.0 4.8 31.2 32.2 18.0 7.1 9.4 15.8 25.7 2.5 5.8 2.6 5.9 10.3 2.9 1.2 2.8 1.7 0.6 0.7 2.0 1.7 0% 20% 40% 60% 80% 100% a.同業他社が起こした業務上の問題について、同様の 問題が起こらないか確認している(810) b.社員の業務日誌等の日常業務の内容について、 上司が常に確認している(809) c.従業員の内部統制に関する理解状況を、会社が 定期的に確認をする仕組みがある(808) d.業務について、監査部門からの確認を受ける 仕組みが機能している(808) e.顧客のクレームに対して改善した結果を 顧客に伝えることができる(804) f.経営陣は、内部統制システムを検証するため、 定期的に情報を担当者から集めている(808) g.経営陣は、業務改善のための従業員からの 改善提案を聞き入れている(807) あてはまる ややあてはまる どちらでもない あまりあてはまらない あてはまらない わからない
2. 主なクロス集計の結果
2.1. 従業員数別の集計結果 内部統制に関する取り組み状況は、企業の規模(従業員数)によって明らかな違いがある。たとえば、「監査法人やコンサ ル会社などの社外のサービス提供者に相談」という回答は、従業員 1000 人以上の企業では 65.8%で、300 人以上 1000 人以下では 56.1%、300 人未満の企業では 52.9%となる。調査票に列挙したような取り組みをまったく実施していないとい う企業は、従業員 1000 人以上の企業では 0 社、300~1000 人の企業では 0.7%、300 人未満の企業では 2.6%である(図 表 22 参照)。 図表 22. 内部統制の実施状況(従業員数別) 52.9 46.8 32.4 26.6 28.5 30.8 34.0 29.5 70.2 15.4 11.2 2.6 56.1 56.1 45.5 33.2 31.2 49.2 38.5 37.5 79.4 17.6 9.3 0.7 65.8 62.3 62.3 48.7 37.2 70.9 42.7 48.2 88.4 31.7 11.1 0.0 0% 20% 40% 60% 80% 100% 社外のサービス提供者に相談 責任者あるいはリーダーを任命 プロジェクトチームを結成 作業計画を策定 具体的なドキュメント作り(文書化)を開始 コンプライアンス相談窓口を設置 社内の監査担当部署を強化 社内で勉強会を実施 セミナー等に参加して情報を収集 社員に対して内部統制に関する教育を実施 法令と業務との乖離に関する調査を実施 上記のような取り組みは行っていない 300人未満(N=312) 300~1000人未満(N=301) 1000人以上(N=199) 取り組みを行っている場合のリーダーについては、企業規模によって大きな差はない。ただし、従業員数が多くなるほど、 「社長あるいは CEO」という回答の比率が減り、「その他」の比率が高くなっている(図表 23 参照)。「その他」の中には、「内 部統制室長」といった専門の役職の他に、CSR 推進部長、管理本部長、業務改革推進室長、コンプライアンス担当役員、リ スクマネジメント担当役員といった回答があった。図表 23. プロジェクトリーダー(従業員数別) 28.4 25.7 26.9 17.5 14.4 13.0 5.3 9.8 13.0 10.9 6.3 7.8 5.2 6.2 10.9 14.1 18.1 15.8 17.6 15.0 3.5 2.1 1.4 0.4 1.0 3.9 3.2 1.6 0.4 0.7 0% 20% 40% 60% 80% 100% 300人未満(N=312) 300~1000人未満(N=301) 1000人以上(N=199) 財務担当役員・CFO 社長あるいはCEO 経理部長・財務部長 経営企画部長 総務部長 法務部長 社内の監査部長 その他 まだ任命されていない わからない 一方、内部統制構築の姿勢は、企業規模によってかなり異なる。「あまりコストをかけずに最低限のレベルは確保したい」 という回答の比率は、従業員 1000 人以上の企業で 19.7%、300 人から 1000 人の企業では 27.7%、300 人未満の企業で は 35.1%となっており、従業員数の少ない企業ほど、コストに敏感になっていることがわかる(図表 24 参照)。 図表 24. 内部統制構築の姿勢(従業員数別) 11.8 12.1 19.7 50.3 57.8 58.5 35.1 27.7 19.7 2.7 2.4 2.1 0% 10% 20% 30% 40% 50% 60% 70% 80% 90% 100% 300人未満(N=312) 300~1000人未満(N=301) 1000人以上(N=199) 多少のコストをかけても高いレベルを達成したい 他社(同業他社)と同等のレベルを確保したい あまりコストをかけずに最低限のレベルは確保したい わからない また、内部統制の目的の重視度や構成要素の優先度については、従業員数による大きな違いはない(図表 25、26 参 照)。 図表 25. 目的の重視度(従業員数別) 22.8 22.0 21.1 35.7 37.4 38.1 27.8 13.6 12.5 12.1 29.1 28.6 0% 10% 20% 30% 40% 50% 60% 70% 80% 90% 100% 300人未満(N=311) 300~1000人未満(N=297) 1000人以上(N=195) 業務の有効性及び効率性 財務報告の信頼性 事業活動に関わる法令などの遵守 資産の保全
図表 26. 構成要素の優先度(従業員数別) 18.6 18.9 19.3 18.0 18.4 18.4 19.5 17.8 17.2 16.3 13.5 13.6 14.0 12.6 12.2 12.5 19.6 19.6 0% 10% 20% 30% 40% 50% 60% 70% 80% 90% 100% 300人未満(N=308) 300~1000人未満(N=297) 1000人以上(N=192) 統制環境 リスクの評価と対応 統制活動 情報と伝達 モニタリング ITへの対応 2.2. 統制の状況と構成要素との関係 (1) 将来不祥事が起こるリスクとの関係 回答企業において、内部統制がどの程度効いているかということと、内部統制の構成要素に関する状況との関係を分析 するために、Q12 から Q19 までの内部統制の構成要素の状況の平均値を計算し、その値を「当社では、今後不祥事などが 起こるリスクは低い」(Q9 の h)に対する回答別に集計してみた。Q12 から Q19 の平均値を計算するにあたっては、「あては まる」=1、「あてはまらない」=5 として数値化した。ただし、Q12 については、b(売り上げ目標など数値的なノルマが重視さ れる)と h(当社では最近社員の離職率が高まる傾向にある)は、逆に「あてはまらない」=1、「あてはまる」=5とした。 その結果を見ると、図表 27 のように、明らかに、将来不祥事が起こるリスクが低いと回答している企業ほど、どの構成要素 についても、平均値が低い(「あてはまる」の度合いが強い)。つまり、どの内部統制の構成要素についても、対応が進んで いる企業ほど、将来不祥事が起こるリスクが低いと考えているという傾向が、明確に現れている。 図表 27. 不祥事が起こるリスクと構成要素取り組み状況の関係 2.1 2.3 1.7 1.9 1.6 1.7 2.0 2.1 3.4 3.2 2.6 3.2 1.9 2.7 3.1 3.2 1 2 3 4 Q 1 2 ( 統制環境) Q 13(リスク の評 価 と 対 応 ) Q 14(統 制活 動 、 組 織 ) Q 15(統 制活 動 、 業 務 ) Q 16(I T全般統制) Q 1 7 ( 情報と伝達) Q 18( ITカ ゙バナンス) Q 19(モニ タ リング ) あてはまる(N=153) ややあてはまる(N=249) どちらでもない(N=233) あまりあてはまらない(N=63) あてはまらない(N=20)
次に、Q12 から Q19 のどの変数がもっともよく効いているかということを明らかにするために、「当社では、今後不祥事など が起こるリスクは低い」(Q9 の h)に対する回答を被説明変数とし、Q12 から Q19 までの平均値を説明変数として重回帰分 析を行った。その結果、図表 28 のように、将来の不祥事が起こるリスクの低さともっとも深く関係しているのは、Q12 の社風 や経営理念などに関わる「統制環境」であった。また、Q15、すなわち、マニュアルの整備やプロセスへの不正防止策の組 み込みなど、業務関連の統制活動も有意に効いていることがわかった。 図表 28. 不祥事が起こるリスクと構成要素取り組み状況の関係(重回帰分析) 非標準化係数 標準化係数 β 標準誤差 ベータ t 有意確率 (定数) 0.411 0.215 1.909 0.057 Q12(統制環境) 0.659 0.100 0.267 6.598 0.000 Q15(統制活動、業務) 0.262 0.069 0.154 3.797 0.000 (2) 業務の効率性との関係 内部統制の第一の目的は、「業務の有効性及び効率性」である。ここでも、(1)と同じように、「当社の業務は効率的に処理 されている」(Q9 の b)に対する回答と、構成要素との関係を分析した。図表 29 にあるように、将来不祥事が起こるリスクの低 さと同じように、やはり両者には明確な関係がある。内部統制に関する構成要素に関する取り組みが進んでいる企業ほど、 業務が効率的に行われていると回答している比率が高いということである。 図表 29. 効率的な業務遂行と構成要素取り組み状況の関係 2.1 2.2 1.7 1.8 1.5 1.6 1.8 1.9 3.4 3.5 2.7 3.2 1.9 2.6 2.9 3.4 1 2 3 4 Q 1 2 ( 統制環境) Q 13(リスク の 評 価 と 対 応 ) Q 1 4 ( 統制活動、組織) Q 1 5 ( 統制活動、業務) Q16(IT全般統制) Q17 ( 情報と伝達) Q 18(IT カ ゙バナン ス ) Q 19(モニ タ リング ) あてはまる(N=70) ややあてはまる(n=308) どちらでもない(n=251) あまりあてはまらない(n=138) あてはまらない(n=23)
同じように、重回帰分析を行った結果が図表 30 である。今度は、Q12(統制環境)と Q15(統制活動、業務)のほかに、 Q19(モニタリング)と Q18(IT 全般統制)も有意な変数となった。しかし、統制環境に関する変数がもっとも大きく効いている ことは、将来の不祥事が起こるリスクと同じ結果になっている。 図表 30. 効率的な業務遂行と構成要素取り組み状況の関係(重回帰分析) 非標準化係数 標準化係数 β 標準誤差 ベータ t 有意確率 (定数) 0.525 0.149 3.533 0.000 Q12(統制環境) 0.452 0.079 0.256 5.748 0.000 Q19(モニタリング) 0.177 0.070 0.126 2.545 0.011 Q18(IT 全般統制) 0.131 0.054 0.097 2.422 0.016 Q15(統制活動、業務) 0.119 0.052 0.097 2.259 0.024
