Ustawa Sarbanes-Oxley z 2002 r. Zwiększyła ilość systemów kontroli wewnętrznej, których potrzebuje firma. Systemy kontroli wewnętrznej pomagają łagodzić dylematy etyczne, zwiększać odpowiedzialność, zniechęcać do oszustw i poprawiać jakość informacji finansowych wykorzystywanych przez wierzycieli i inwestorów; jednak wewnętrzny system kontroli jest tak dobry, jak jego konstrukcja. Ponieważ każda firma musi stworzyć unikalny system, niektóre kontrole mogą być uciążliwe lub niewystarczające.
Kontrola dyrektywy
Kontrole dyrektywy odnoszą się do komunikacji firmowej i polityki kontroli. Celem jest stworzenie kontrolowanego środowiska, w którym pracownicy rozumieją, szanują granice swoich stanowisk i przestrzegają zasad firmy. Zła komunikacja jest problemem z kontrolkami dyrektywy. Kiedy personel nie ma jasnego zrozumienia w zakresie segmentacji obowiązków, nie stosuje się do obowiązującej kontroli lub może przekroczyć intencję kontroli. Ogranicza to elastyczność i obniża wydajność.
Kontrola zapobiegawcza
Kierownictwo stosuje kontrole zapobiegawcze w celu zapobiegania niezgodności z kontrolami wewnętrznymi. Zasadniczo dotyczy to monitorowania sposobu wykonywania niektórych czynności. Obejmuje to zapisy, takie jak podpisane autoryzacje, ale może również odnosić się do ograniczania osób uprawnionych do wykonywania funkcji. Wprowadzając te formy kontroli, firma ma na celu zapobieganie awariom w systemie kontroli; jednak kontrole te należy dokładnie rozważyć. Nadmierna zgodność może utrudniać pracownikom wykonywanie funkcji związanych z pracą.
Kontrola detektywów
Kontrola detektywów tworzy procesy, które oceniają, czy kontrole są na miejscu i są przestrzegane. Przykładem jest audyt różnych działów w regularnych odstępach czasu. Audytorzy następnie przeglądają dokumentację zapobiegawczą, aby ustalić, czy personel postępuje zgodnie z procedurami kontrolnymi. Kontrola detektywów jest trudna w obsłudze w firmie dowolnej wielkości. Mniejsze firmy mają trudności ze zgromadzeniem zasobów i czasu potrzebnego na ich użycie; w większych firmach audytorzy czasami nie mają uprawnień do wprowadzania koniecznych zmian, jeśli stwierdzą, że kontrole są niewystarczające.
Kontrola technologii
Ponieważ pracownicy używają komputerów i oprogramowania do wykonywania codziennych zadań, firmy mogą kontrolować programy robocze za pomocą haseł, ograniczonego dostępu i ustalonego przepływu pracy, aby wymienić tylko kilka. Oprogramowanie jest bezstronne, co sprawia, że jest to niezawodna kontrola potencjalna; oprogramowanie nie jest ani inteligentne, ani łatwe do zmiany. W przypadku wyjątków trudno jest przesłonić kontrolki, nawet jeśli jest to konieczne.