キーコントロールとは？また、キーコントロールの数がなぜ重要なの？

内部統制報告制度においては、リスクを評価したうえで、そのリスクを低減するために行われているコントロールを分析し、当該コントロールの内、重要なコントロールをキーコントロールとして設定し、当該キーコントロールが有効に機能しているかどうかを運用テストによって評価を実施します。

つまり、キーコントロールに設定　⇒　原則、運用評価の対象となる　⇒　運用テスト（25件など）等の対象になる。　⇒　キーコントロールの設定が、その後の業務量に大きく影響を及ぼすことになる。

ということで、キーコントロールをどのように設定するかによって、その後の業務量に重要な影響を及ぼす可能性があるとともに、もし必要なコントロールを評価していなければ、適切な評価がなされていないという結論になるため、その選定には慎重になる会社様が多いのではないでしょうか。

内部統制の評価に関する二つの視点（J-SOXにおける評価と財務諸表監査で要求される統制の評価）

とここで、実際の上場会社の監査の現場にあっては、内部統制の評価は大きく二つの視点により評価をする必要があります。一つはいわゆるJ-SOXといわれる内部統制報告制度の中での内部統制の評価です。そして、もう一つは財務諸表監査の一環として行われる会社の財務報告に掛かる内部統制の評価です。一般的には、前者は会社主導で行われ、後者は会計監査人主導で行われる内部統制の評価です。

両者ともに、会社の財務諸表の適正性を評価するために実施する評価であるため、重複するところがかなり多く、これらを効率的に実施すれば重複作業が大幅に削減されますが、以外にこの重要な点に関して、しっかりした説明がないのも事実ではと考えます。

そのため、まず、この両者の違いを整理すると以下のとおりになると考えられます。

 

	J-SOX	財務諸表監査
リスク選定方法	トップダウン型	ボトムアップ型
キーコントロールとは	財務報告の重要な事項に虚偽表示が発生するリスクを十分に低減するコントロール	業務プロセスを把握し、識別されたリスクを低減するコントロール
キーコントロールの選定	内部統制の運用状況の評価対象であるため、有効性かつ効率性も勘案し、財務報告リスクが低減していることを総合的に識別することが必要	識別されたリスクに対し、少なくともキーコントロールが一つ以上識別することが必要

 

つまり、両者の考え方により、キーコントロールの考え方も大きな隔たりがあることになります。そのため、これら両者の違いを整理したうえで、キーコントロールを会社及び会計監査人双方にとって受入可能な項目として選定することが、キーコントロールの設定に際して重要となる考えられます。

キーコントロール数は200～300件？

キーコントロールの具体的な設定状況に関して、日本取締役協会２００９年１１月の資料によれば、以下のとおりとのことです。

“コントロール数の約1/5程度をキーコントロールと設定している会社が多く見受けられる。

代表的な例では、コントロール数：1000～1500、キーコントロール数200～300”

会社の規模や業種の複雑性などにより、キーコントロール数も大幅に変動しますが、貴社のキーコントロール数はどの程度ですか？一度、数えてみて一般的な会社に比べてどうか、検討してみてはいかがでしょうか？

関連記事

内部統制報告制度　サンプリング数は25件？