- 更新日 : 2024年7月12日
内部統制におけるキーコントロールとは?識別のやり方やポイントを説明
内部統制において、キーコントロールの選定は重要です。比較的負担が大きいといわれる運用状況評価において、評価するコントロールが多いとより大きな負担となります。
本記事では内部統制におけるキーコントロールの識別方法や識別手順、コントロール数が多くなってしまったときの対処法を解説します。キーコントロールの設定に悩んでいる場合の参考にしてみてください。
目次
内部統制におけるキーコントロールとは
内容統制におけるキーコントロールとは、それぞれの財務報告リスクに対応するコントロールの中で、財務報告の信頼性に重大な影響を与える統制上の要点です。「統制上の要点」と表現されることもありますが、監査ではキーコントロールと呼ばれることがほとんどです。
キーコントロールは、整備状況評価や運用状況評価のフェーズの中でも、最も負担の大きい運用状況評価の対象になります。キーコントロールの選定は、評価作業の負荷に大きな影響を与えるため、論理的・戦略的に実施することが必要です。
リスクに対するキーコントロールの具体例には、以下のようなものが挙げられます。
- 顧客からの引き合いに対し、営業担当者は申請書を作成して決裁権限者が承認する。承認証跡として申請書に承認印が押される。
- 顧客マスタの変更や新規登録は情報システム部長の事前承認が必要となる。承認証跡として承認ログに記録される。
内部統制におけるキーコントロールの識別手順
内容統制におけるキーコントロールの識別手順は、基本的に以下のように進みます。
- 取引から財務報告までのプロセスを把握する
- 統制目標を設定する
- キーコントロール確保のための責任者と業務目的を識別する
- コントロールの相対化により識別する
- リスクとの対応関係を検証する
まず重要なのは、取引から財務報告を作成するまでのプロセスを理解することです。決算に近いものほどキーコントロールとなる可能性が高くなるため、プロセスを理解していないと見落としが生じるかもしれません。
次に重要な勘定を決め、それを適正と主張できるような要件、つまり統制条上の要点を決めます。統制上の要点に関連するリスクを洗い出しましょう。洗い出した統制上の要点について、要点を確保するためにどのような活動をしているか責任者や組織へヒアリングを行います。その際、その要点が実施されているかを示す書類やシステムなども確認しておきましょう。
そして、コントロールのなかからキーコントロールとなるものを識別し、リスクとの対応関係を検証します。
内部統制におけるキーコントロールの識別方法
内部統制におけるキーコントロールの識別方法を紹介します。
- リスクに対して1つ以上選定する
- 予防的統制と発見的統制を組み合わせる
それぞれの識別方法を詳しくみていきましょう。
リスクに対して1つ以上選定する
キーコントロールを識別する際は、リスクに対して1つ以上選定する必要があります。なぜなら、まったくカバーされない財務報告リスクが残ってしまうことを防ぐためです。
また、複数のリスクに対応するキーコントロールを選定できれば、評価作業の負担を軽減できます。ただし、やり方としてリスク重要度を低・中・高の3つに分類し、重要度の高いリスクに対してキーコントロールを選定する方法もあります。
予防的統制と発見的統制を組み合わせる
内部統制におけるキーコントロールの識別では、予防的統制と発見的統制を組み合わせることもポイントです。予防的統制とは、潜在リスクを想定してコントロールし、ミスや不正を防ぐ手続きです。つまり、事前にコントロールすることで、事後に確認するコントロールより効果が高いと言えます。
一方、発見的統制とはすでに起こったリスクに対し、是正コントロールする手続きです。キーコントロールに向いているのは予防的統制ですが、運用状況評価におけるサンプル数を減らすことのできる手続きは発見的統制。つまり、それぞれを組み合わせることで、評価作業の負担を軽減できます。
それぞれのリスクに対する感応度が高いのは予防的統制、多くのリスクに対応できるのは発見的統制と覚えておきましょう。
内部統制におけるキーコントロールの識別ポイント
内部統制におけるキーコントロールの識別ポイントは、以下のとおりです。
- 自動コントロールはキーコントロールに該当しやすい
- 有識者によるコントロールはキーコントロールに該当しやすい
- 直接的コントロールはキーコントロールに該当しやすい
それぞれの識別ポイントについて、詳しく説明していきます。
自動コントロールはキーコントロールに該当しやすい
自動コントロールは、システムによって計算されているため正確であると考えられることから、キーコントロールに該当しやすいと言えます。
そもそも自動コントロールとは、システム上の自動計算のことです。手作業での手動コントロールと比較し、計算ミスの可能性はほとんどなく、重要性の高いキーコントロールに該当しやすくなります。
有識者によるコントロールはキーコントロールに該当しやすい
有識者によるコントロールは、知識や経験に乏しい担当者よりもキーコントロールに該当しやすいでしょう。権限を持った責任者の承認によって、企業の正式な資料として認められるのはこのためです。
直接的コントロールはキーコントロールに該当しやすい
直接的コントロールは、間接的コントロールと比較して、リスクに対する感応度が高くキーコントロールに該当しやすくなります。
なお、直接的コントロールとは証憑との照合確認のことです。異常値の確認など、間接的コントロールを用いるより、全体を直接確認できる直接的コントロールは、キーコントロールであることが多いと考えられます。
評価するコントロール数が多い場合の対処法
保守的に考えるあまり、あれもこれもと評価するコントロール数が多くなってしまう可能性があります。評価するコントロール数が多いと、評価作業の範囲が広大になり、非常に多くの時間を取られてしまいます。評価作業できる時間は限られているため、できるかけ評価するコントロール数を少なくしたいものです。
ここでは、評価するコントロール数が多い場合の対処法を紹介します。
- 母集団を適切に選定する
- 重要性の低いリスクを削減する
それぞれの対処法を詳しくみていきましょう。
母集団を適切に選定する
運用状況評価では、サンプリングテストを実施して評価するのが一般的です。このサンプリングテストでは、母集団から複数のサンプルを抽出して継続的コントロールがされているかを評価します。そのため、評価するコントロール数が多くなってしまった場合、母集団を適切に選定する必要があります。
母集団の選定ポイントは、対象部署の担当者と認識を合わせておくことです。サンプリングテストをスムーズに実行するには、その分野の専門家である担当者からヒアリングし、その上で母集団を選定します。
重要性の低いリスクを削減する
評価するコントロールが多くなってしまったら、重要性の低いリスクを削減しましょう。リスクを多く設定すればするほど、それに対応するコントロールも増えてしまいます。
リスクを削減することで、対応するコントロールも必然的に減ります。また、リスクに対して1つ以上のコントロールを選定することで、コントロールの数を抑えることも可能です。
まとめ
キーコントロールとは、業務プロセスのリスクを低減させる重要なコントロールのことです。キーコントロールを適切に選定することで、負担の大きい運用状況評価をスムーズに実行できるようになります。選定方法のポイントは「リスクに対して1つ以上選定すること」、そして「予防的統制と発見的統制を組み合わせること」です。評価するコントロールの数が多いと評価作業が膨大になるため、母集団の適切な選定や重要度の低いリスクの削減をして対応しましょう。
この記事をお読みの方におすすめのガイド4選
最後に、この記事をお読みの方によく活用いただいている人気の資料・ガイドを紹介します。すべて無料ですので、ぜひお気軽にご活用ください。
やることリスト付き!内部統制構築ガイド
内部統制を基礎から知りたい方・内部統制の導入を検討している担当の方・形式だけになっている内部統制を見直したい方におすすめの人気ガイドです。
内部統制の基本と内部統制構築のポイントをギュッとまとめています。
J-SOX 3点セット攻略ガイド
すべての上場企業が対象となるJ-SOX(内部統制報告制度)。
本資料では、IPO準備などでこれからはじめてJ-SOXに対応する企業向けにJ-SOXの基本からその対応方法までをまとめた、役立つガイドです。
経理担当者向け!Chat GPTの活用アイデア・プロンプトまとめ12選
経理担当者がChat GPTをどのように活用できるか、主なアイデアを12選まとめた人気のガイドです。
プロンプトと出力内容も掲載しており、コピペで簡単に試すことも可能です。
マネーフォワード クラウド会計Plus サービス資料
マネーフォワード クラウド会計Plusは、IPO準備・中堅〜上場企業向けの業務効率化と内部統制強化を実現するクラウド会計ソフトです。
銀行やクレジットカード連携で取引データを自動取得、AIによる自動仕訳で会計業務を効率化。周辺システムと連携することで、二重入力や確認工数を削減します。また、仕訳承認機能やユーザーごとの権限・ログ管理機能を搭載しており、内部統制にも対応。SOC報告書も提供しています。
よくある質問
キーコントロールとはどういったもの?
内容統制におけるキーコントロールとは、それぞれの財務報告リスクに対応するコントロールの中で、財務報告の信頼性に重大な影響を与える統制上の要点です。キーコントロールは、整備状況評価や運用状況評価のフェーズの中でも、最も負担の大きい運用状況評価の対象になります。
キーコントロールを識別するポイントは?
内部統制におけるキーコントロールの識別ポイントは、以下の3つです。
- 自動コントロールはキーコントロールに該当しやすい
- 有識者によるコントロールはキーコントロールに該当しやすい
- 直接的コントロールはキーコントロールに該当しやすい
※ 掲載している情報は記事更新時点のものです。
※本サイトは、法律的またはその他のアドバイスの提供を目的としたものではありません。当社は本サイトの記載内容(テンプレートを含む)の正確性、妥当性の確保に努めておりますが、ご利用にあたっては、個別の事情を適宜専門家にご相談いただくなど、ご自身の判断でご利用ください。
関連記事
ISMSとISO 27001の違いとは?認証を取得するメリットや流れも解説
「ISMS」と「ISO 27001」。情報セキュリティに関心を持ち始めると、必ずと言っていいほど目にするこれらの言葉。しかし、「両者の違いがよく分からない」「ISMS認証とISO 27001認証は何が違うの?」といった疑問を持つ方も少なくあ…
詳しくみる指名委員会等設置会社とは?各委員会の権限やメリット・デメリットを解説
指名委員会等設置会社とは、指名委員会や監査委員会、および報酬委員会を設置する組織形態です。業務執行と経営監督が分離している点が特徴であり、委員の過半数を社外の取締役とする必要があります。 コーポレートガバナンスの強化につながるというメリット…
詳しくみる内部統制で情報セキュリティ対策に取り組む方法|必要性についても説明
インターネットを使って業務を行うことが増えた現代において、「情報セキュリティ対策が大切」という言葉はよく耳にすることでしょう。しかし、具体的になぜ重要なのか、漠然とした理由しかわからないという方もいるのではないでしょうか。 この記事では、企…
詳しくみる内部統制の有効性を検証するCSA(統制自己評価)とは?メリットやデメリットを説明
内部統制のCSAとは、内部監査部門ではなく、該当部門のメンバー自らが監査に携わる統制自己評価のことです。内部統制を進めるうえで、関係者の意識を高めることができ、内部監査を自分ごととして捉えてもらえます。 この記事では、内部統制の有効性を検証…
詳しくみる内部統制におけるアサーションとは?構成要素6つを具体例とともに説明
近年のコンプライアンスや法令の遵守することに対する企業を見る世間の目は厳しくなってきています。この風潮に対応するためのひとつの方法として、企業は内部統制を構築することが推奨されています。その中でも特にアサーションの存在が無視できません。 本…
詳しくみる内部統制を外注する際の注意点!外部委託リスクとメリットを解説
昨今の事業活動において、すべて自社で運用するのは難しいと言えます。内部統制もそのひとつで、専門知識やノウハウ・実績を持った専門業者やコンサルタントへ外注する企業も増えています。 しかし、内部統制を外注する場合、メリットだけでなくデメリットや…
詳しくみる