効果に比べてコストが極端に上回る
内部統制の整備と運用を行なうことは経営者の義務ですが、営利活動を行うという企業の特性上、内部統制ばかりにコストを掛けているわけにはいかず、効果とコストを天秤に掛けて経営判断を行なう必要があります。日本版SOX法にも、内部統制システムの構築水準や対策費用などの具体的指標は提示されておらず、法制化されているのは必要最小限のルールです。
資産管理の業務で考えてみると、ボールペンやコピー用紙のような安価な事務用品に対して、施錠を行い、受払簿を作成するといった厳重な管理を行なっている企業はないでしょう。コストの安い資産にたいして、それ以上のコストを掛けて管理を行なうことは企業にとってむしろ損失となるからです。
また、不正アクセスや情報流出の防止を目的に、セキュリティ・システムの導入を検討する場合を考えてみると、導入にかかる費用とそこから得られる効果を勘案する必要があります。いくらセキュリティ・システムが完璧でも、アクセス権限をもつ担当者の教育が不十分なら、情報漏洩が起きる可能性は高くなります。そうであるなら、アクセス制限の実施や研修・教育など、コストがかからない方法で情報管理の重要性を啓蒙をする方が、情報管理という点で、より高い効果が得られるかもしれません。
ある内部統制システムを導入するかどうかを検討した結果、そのコストが得られる効果を極端に上回ると判断される場合には、その導入を断念するかもしれないというのが、内部統制の限界となります。