キーコントロールとは、識別された財務報告上のリスクを低減させる承認や照合といったコントロール(内部統制)のうちもっとも重要なものと判定されたコントロールである。
キーコントロールと判定されたコントロールに対しては、必要なサンプル数のテスト、いわゆる運用テストの実施が求められるため、キーコントロールが多ければ、運用テストに係る工数が増えてしまう。
一方、キーコントロールが正しく選定されなかった、あるいは過少だった場合、内部統制監査で適正意見が表明されなかったり、重要なコントロールが有効でないまま放置された結果、財務報告の虚偽記載につながったりすることとなる。
したがって、キーコントロールは、必要十分なものを正しく選定することが肝要であるが、そのためには、キーコントロールの特徴を理解した上で業務全体を俯瞰しながら選定しなければならない。

何をキーコントロールにすべきは、一律には判定できず、業務プロセスを正確に理解した上で個別に判断すべきだが、次のような特徴を持つことを念頭に置くと選定の際の助けになる。

• 1.コントロールを実施しなかった場合や実施に失敗した場合に、財務報告上の重要な虚偽記載リスクに直接つながってしまう重要なリスクに直接対応するコントロール
• 2.コントロールを実施しなかった場合や実施に失敗した場合に、下流のプロセスで実施する他のコントロールでもそのリスクを防止/発見できない最後の砦に相当するコントロール
• 3.証跡として得られる記録・文書の証拠力が強い/予防的コントロール/自動化されたコントロールなどリスク軽減の効果が強いコントロール
• 4.複数のリスク/アサーションに対応する適用範囲が広いコントロール

キーコントロールは、リスクが発生する業務のすぐそばにあるとは限らない。日次業務にかかるリスクに対する強力なコントロールが、月次あるいは四半期で行われていたり、売上計上リスクに対する重要なコントロールが債権管理業務にあったりするような場合がその例である。したがって、キーコントロールを選定する際には、関連業務を幅広く確認することが必要であり、RCMとは別に関連業務全体のリスクとコントロールの対応関係を確認するマトリックスを利用することも有効である。