Skandale rachunkowe Worldcom, Enron i HealthSouth zwiększyły znaczenie wewnętrznych mechanizmów kontrolnych dla firm na całym świecie. Ustawa Sarbanes-Oxley stanowi, że firmy opracowują i utrzymują odpowiednie systemy kontroli wewnętrznej. W Stanach Zjednoczonych kontrole wewnętrzne są oceniane w kontekście struktury Komitetu Organizacji Sponsorujących (COSO). Istnieją trzy rodzaje kontroli wewnętrznych: prewencyjna, detektywistyczna i korygująca. Aby uzyskać zrozumienie koncepcji kontroli wewnętrznej, konieczne jest posiadanie podstawowej wiedzy na temat struktury COSO.
COSO Framework
Struktura COSO składa się z pięciu głównych komponentów: środowiska kontroli, oceny ryzyka, działań kontrolnych, komunikacji i informacji oraz monitorowania. Jeśli którykolwiek z tych podstawowych składników nie działa prawidłowo lub jest słaby, cały system kontroli wewnętrznej może zostać naruszony. Na przykład, jeśli monitorowanie rachunków nie odbywa się regularnie, błędy pozostaną niezauważone i niekorygowane. Pojawią się również możliwości oszustwa ze strony pracowników, które nie istniałyby, gdyby monitorowanie odbywało się regularnie. Każdy z podstawowych składników ma podkomponenty, które są niezbędne do prawidłowego funkcjonowania podstawowego komponentu. Jeśli podzespoły są wadliwe, podstawowe komponenty nie będą działały prawidłowo lub będą słabe, a cały system kontroli wewnętrznej będzie miał negatywny wpływ. Na przykład analizy powinny być wbudowane w systemy księgowe, aby zapewnić, że dane są przetwarzane poprawnie lub są wyrzucane, jeśli nie spełniają ustalonych kryteriów.
Kontrola prewencyjna
Kontrole zapobiegawcze są najbardziej skutecznymi rodzajami kontroli wewnętrznych, ponieważ są wprowadzane przed wystąpieniem błędów lub nieprawidłowości i mają na celu zapobieganie występowaniu tych wad. Przykładami kontroli prewencyjnych są: odpowiedni rozdział obowiązków (nieposiadanie tej samej osoby, zarówno autoryzacja, jak i przetwarzanie transakcji), właściwa autoryzacja transakcji (nadzorca autoryzuje zakup przez przeglądanie i zatwierdzanie wniosku o zakup) oraz odpowiednia dokumentacja i kontrola aktywów (gdy zakupy są dokonywane, powinno być zatwierdzone żądanie zakupu i faktura oraz otrzymywanie dokumentów, aby pokazać dostawę przedmiotów).
Kontrola detektywów
Kontrole detektywistyczne mają na celu dostrzeżenie błędów i nieprawidłowości po ich wystąpieniu. Przykładami tego typu kontroli są: raporty wyjątków (raporty komputerowe z wystąpień poza normą), uzgodnienia (uzgodnienia bankowe i uzgodnienia w księdze głównej) oraz okresowe audyty (zarówno niezależne kontrole zewnętrzne, jak i audyty wewnętrzne, które pomagają w wykrywaniu błędów, nieprawidłowości i niezgodności z prawa i regulacje).
Kontrola korygująca
Korekta ma na celu zapobieganie powtarzaniu się błędów i nieprawidłowości po ich wykryciu. Przykładami tego typu kontroli są: zasady i procedury zgłaszania błędów i nieprawidłowości, aby można je było poprawić, szkoląc pracowników w zakresie nowych zasad i procedur opracowanych w ramach działań naprawczych, pozytywnej dyscypliny, aby zapobiegać popełnianiu przez pracowników przyszłych błędów i ciągłym ulepszeniom do przyjmowania najnowszych technik operacyjnych.
Ograniczenia kontroli wewnętrznej
Kontrola wewnętrzna zapewnia jedynie wystarczającą pewność, że cele i zadania podmiotu zostaną osiągnięte, niezależnie od tego, jak skomplikowany będzie system kontroli wewnętrznej. Dzieje się tak dlatego, że zaangażowanie ludzi zawsze ma potencjał do błędów, które mogą nie zostać wykryte w odpowiednim czasie.
