• 更新日 : 2024年7月12日

内部統制におけるキーコントロールとは？識別のやり方やポイントを説明

内部統制において、キーコントロールの選定は重要です。比較的負担が大きいといわれる運用状況評価において、評価するコントロールが多いとより大きな負担となります。

本記事では内部統制におけるキーコントロールの識別方法や識別手順、コントロール数が多くなってしまったときの対処法を解説します。キーコントロールの設定に悩んでいる場合の参考にしてみてください。

内部統制におけるキーコントロールとは

内容統制におけるキーコントロールとは、それぞれの財務報告リスクに対応するコントロールの中で、財務報告の信頼性に重大な影響を与える統制上の要点です。「統制上の要点」と表現されることもありますが、監査ではキーコントロールと呼ばれることがほとんどです。

キーコントロールは、整備状況評価や運用状況評価のフェーズの中でも、最も負担の大きい運用状況評価の対象になります。キーコントロールの選定は、評価作業の負荷に大きな影響を与えるため、論理的・戦略的に実施することが必要です。

リスクに対するキーコントロールの具体例には、以下のようなものが挙げられます。

• 顧客からの引き合いに対し、営業担当者は申請書を作成して決裁権限者が承認する。承認証跡として申請書に承認印が押される。
• 顧客マスタの変更や新規登録は情報システム部長の事前承認が必要となる。承認証跡として承認ログに記録される。

内部統制におけるキーコントロールの識別手順

内容統制におけるキーコントロールの識別手順は、基本的に以下のように進みます。

1. 取引から財務報告までのプロセスを把握する
2. 統制目標を設定する
3. キーコントロール確保のための責任者と業務目的を識別する
4. コントロールの相対化により識別する
5. リスクとの対応関係を検証する

まず重要なのは、取引から財務報告を作成するまでのプロセスを理解することです。決算に近いものほどキーコントロールとなる可能性が高くなるため、プロセスを理解していないと見落としが生じるかもしれません。

次に重要な勘定を決め、それを適正と主張できるような要件、つまり統制条上の要点を決めます。統制上の要点に関連するリスクを洗い出しましょう。洗い出した統制上の要点について、要点を確保するためにどのような活動をしているか責任者や組織へヒアリングを行います。その際、その要点が実施されているかを示す書類やシステムなども確認しておきましょう。

そして、コントロールのなかからキーコントロールとなるものを識別し、リスクとの対応関係を検証します。

内部統制におけるキーコントロールの識別方法

内部統制におけるキーコントロールの識別方法を紹介します。

• リスクに対して1つ以上選定する
• 予防的統制と発見的統制を組み合わせる

それぞれの識別方法を詳しくみていきましょう。

リスクに対して1つ以上選定する

キーコントロールを識別する際は、リスクに対して1つ以上選定する必要があります。なぜなら、まったくカバーされない財務報告リスクが残ってしまうことを防ぐためです。

また、複数のリスクに対応するキーコントロールを選定できれば、評価作業の負担を軽減できます。ただし、やり方としてリスク重要度を低・中・高の3つに分類し、重要度の高いリスクに対してキーコントロールを選定する方法もあります。

予防的統制と発見的統制を組み合わせる

内部統制におけるキーコントロールの識別では、予防的統制と発見的統制を組み合わせることもポイントです。予防的統制とは、潜在リスクを想定してコントロールし、ミスや不正を防ぐ手続きです。つまり、事前にコントロールすることで、事後に確認するコントロールより効果が高いと言えます。

一方、発見的統制とはすでに起こったリスクに対し、是正コントロールする手続きです。キーコントロールに向いているのは予防的統制ですが、運用状況評価におけるサンプル数を減らすことのできる手続きは発見的統制。つまり、それぞれを組み合わせることで、評価作業の負担を軽減できます。

それぞれのリスクに対する感応度が高いのは予防的統制、多くのリスクに対応できるのは発見的統制と覚えておきましょう。

内部統制におけるキーコントロールの識別ポイント

内部統制におけるキーコントロールの識別ポイントは、以下のとおりです。

• 自動コントロールはキーコントロールに該当しやすい
• 有識者によるコントロールはキーコントロールに該当しやすい
• 直接的コントロールはキーコントロールに該当しやすい

それぞれの識別ポイントについて、詳しく説明していきます。

自動コントロールはキーコントロールに該当しやすい

自動コントロールは、システムによって計算されているため正確であると考えられることから、キーコントロールに該当しやすいと言えます。

そもそも自動コントロールとは、システム上の自動計算のことです。手作業での手動コントロールと比較し、計算ミスの可能性はほとんどなく、重要性の高いキーコントロールに該当しやすくなります。

有識者によるコントロールはキーコントロールに該当しやすい

有識者によるコントロールは、知識や経験に乏しい担当者よりもキーコントロールに該当しやすいでしょう。権限を持った責任者の承認によって、企業の正式な資料として認められるのはこのためです。

直接的コントロールはキーコントロールに該当しやすい

直接的コントロールは、間接的コントロールと比較して、リスクに対する感応度が高くキーコントロールに該当しやすくなります。

なお、直接的コントロールとは証憑との照合確認のことです。異常値の確認など、間接的コントロールを用いるより、全体を直接確認できる直接的コントロールは、キーコントロールであることが多いと考えられます。

評価するコントロール数が多い場合の対処法

保守的に考えるあまり、あれもこれもと評価するコントロール数が多くなってしまう可能性があります。評価するコントロール数が多いと、評価作業の範囲が広大になり、非常に多くの時間を取られてしまいます。評価作業できる時間は限られているため、できるかけ評価するコントロール数を少なくしたいものです。

ここでは、評価するコントロール数が多い場合の対処法を紹介します。

• 母集団を適切に選定する
• 重要性の低いリスクを削減する

それぞれの対処法を詳しくみていきましょう。

母集団を適切に選定する

運用状況評価では、サンプリングテストを実施して評価するのが一般的です。このサンプリングテストでは、母集団から複数のサンプルを抽出して継続的コントロールがされているかを評価します。そのため、評価するコントロール数が多くなってしまった場合、母集団を適切に選定する必要があります。

母集団の選定ポイントは、対象部署の担当者と認識を合わせておくことです。サンプリングテストをスムーズに実行するには、その分野の専門家である担当者からヒアリングし、その上で母集団を選定します。

重要性の低いリスクを削減する

評価するコントロールが多くなってしまったら、重要性の低いリスクを削減しましょう。リスクを多く設定すればするほど、それに対応するコントロールも増えてしまいます。

リスクを削減することで、対応するコントロールも必然的に減ります。また、リスクに対して1つ以上のコントロールを選定することで、コントロールの数を抑えることも可能です。

まとめ

キーコントロールとは、業務プロセスのリスクを低減させる重要なコントロールのことです。キーコントロールを適切に選定することで、負担の大きい運用状況評価をスムーズに実行できるようになります。選定方法のポイントは「リスクに対して1つ以上選定すること」、そして「予防的統制と発見的統制を組み合わせること」です。評価するコントロールの数が多いと評価作業が膨大になるため、母集団の適切な選定や重要度の低いリスクの削減をして対応しましょう。

よくある質問

キーコントロールとはどういったもの？

内容統制におけるキーコントロールとは、それぞれの財務報告リスクに対応するコントロールの中で、財務報告の信頼性に重大な影響を与える統制上の要点です。キーコントロールは、整備状況評価や運用状況評価のフェーズの中でも、最も負担の大きい運用状況評価の対象になります。

キーコントロールを識別するポイントは？

内部統制におけるキーコントロールの識別ポイントは、以下の3つです。

• 自動コントロールはキーコントロールに該当しやすい
• 有識者によるコントロールはキーコントロールに該当しやすい
• 直接的コントロールはキーコントロールに該当しやすい

• 監修：中川崇

  田園調布坂上事務所代表。広島県出身。大学院博士前期課程修了後、ソフトウェア開発会社入社。退職後、公認会計士試験を受験して2006年合格。2010年公認会計士登録、2016年税理士登録。監査法人2社、金融機関などを経て2018年4月大田区に会計事務所である田園調布坂上事務所を設立。現在、クラウド会計に強みを持つ会計事務所として、ITを駆使した会計を武器に、東京都内を中心に活動を行っている。

関連記事

# 社内管理
コーポレートガバナンス・コードにおける社外取締役の位置づけと役割
2015年にコーポレートガバナンス・コードが制定され、社外取締役の重要性が増しています。東京証券取引所プライム市場に上場している会社は取締役の3分の1以上でなければならなくなりました。同時に、社外取締役の活用が明示されており、今後の日本企業…
詳しくみる
# 社内管理
【上場企業必読！】内部統制の評価・実施基準の改訂版を徹底解説
2023年4月から内部統制における実施基準が改訂されました。 クリーンな事業活動と企業イメージのためにも、上場企業はもちろん、これから上場を目指す成長企業も「内部統制の実施基準」の最新情報を理解しておかなければいけません。 本記事では、財務…
詳しくみる
# 社内管理
内部統制とリスクマネジメントの関係は？違いや手順をわかりやすく説明
内部統制とリスクマネジメントは同じプロセスだと思われがちですが、実は異なる点も多々あります。あらかじめ違いを押さえておかないと、いざ進めるとなった際にスムーズに遂行ができなくなるかもしれません。 本記事では、内部統制とリスクマネジメントの違…
詳しくみる
# 社内管理
上場企業における関連会社とは？上場審査の項目や整理する時期・方法を説明
自社の上場を予定している場合、関連会社の取り扱いに困ることがあるかもしれません。状況によっては、関連会社が上場審査に悪い影響を与える可能性があるためです。 この記事では、関連会社の定義や子会社との違い、関連会社がある場合の上場審査項目、関連…
詳しくみる
# 社内管理
内部統制を評価するプロセスをわかりやすく解説｜目的やメリット
内部統制は上場企業における報告が義務付けられており、公正・公平な企業体制の構築に欠かせない作業です。内部統制は実施基準に則り計画的に進めなければなりませんが、専門的な知識が求められる工程もあるため、難しく感じる方もいるかもしれません。 本記…
詳しくみる
# 社内管理
ISO取得のプロセスや費用などの基礎知識を解説
ISO規格とは、国際標準化機構が認定している規格であり、取得によって対外的な信用度の向上や社内意識の向上といった効果が見込めます。取得に際しては、体制の構築費や審査費、維持費といったコストがかかります。 本記事では、ISO規格の定義や取得の…
詳しくみる