Скандалы с учетными записями Worldcom, Enron и HealthSouth, среди прочего, усилили важность внутреннего контроля для компаний во всем мире. Закон Сарбейнса-Оксли обязывает компании разрабатывать и поддерживать адекватные системы внутреннего контроля. В США внутренний контроль оценивается в контексте структуры Комитета организаций-спонсоров (COSO). Существует три типа внутреннего контроля: профилактический, детективный и корректирующий. Чтобы получить представление о концепции внутреннего контроля, необходимо иметь базовое понимание структуры COSO.
COSO Framework
Структура COSO состоит из пяти основных компонентов: контрольная среда, оценка рисков, контрольные мероприятия, коммуникация и информация и мониторинг. Если какой-либо из этих основных компонентов не функционирует должным образом или является слабым, вся система внутреннего контроля может быть скомпрометирована. Например, если мониторинг учетных записей не происходит на регулярной основе, ошибки останутся незамеченными и не исправленными. Также будут возможности для мошенничества со стороны сотрудников, которых не было бы, если бы мониторинг проводился на регулярной основе. Каждый из первичных компонентов имеет подкомпоненты, которые необходимы для правильного функционирования первичного компонента. Если подкомпоненты неисправны, первичные компоненты не будут функционировать должным образом или будут слабыми, и это негативно повлияет на всю систему внутреннего контроля. Например, аналитика должна быть встроена в системы бухгалтерского учета, чтобы гарантировать, что данные обрабатываются правильно или удаляются, если они не соответствуют установленным критериям.
Профилактический контроль
Профилактические меры контроля являются наиболее эффективными типами внутреннего контроля, поскольку они применяются до появления ошибок или нарушений и предназначены для предотвращения возникновения этих недостатков. Примерами превентивного контроля являются: адекватное разделение обязанностей (если одно и то же лицо не авторизует и не обрабатывает транзакции), надлежащее разрешение транзакций (супервизор санкционирует покупку путем рассмотрения и одобрения запроса на покупку) и адекватную документацию и контроль активов (когда покупки сделаны, должен быть одобренный запрос на покупку и счет-фактура и получающие документы, чтобы показать доставку пунктов).
Детектив управления
Детективные элементы управления предназначены для записи ошибок и нарушений после их возникновения. Примерами таких типов контроля являются: отчеты об исключениях (компьютерные отчеты о происшествиях, выходящих за рамки нормы), сверки (банковские сверки и сверки Главной книги) и периодические аудиты (как независимые внешние аудиты, так и внутренние аудиты, которые помогают выявлять ошибки, нарушения и несоблюдение законы и правила).
Корректирующий контроль
Корректирующие средства контроля предназначены для предотвращения повторения ошибок и нарушений после их обнаружения. Примерами таких типов контроля являются: политики и процедуры для сообщения об ошибках и нарушениях, чтобы их можно было исправить, обучение сотрудников новым политикам и процедурам, разработанным в рамках корректирующих действий, позитивная дисциплина, предотвращающая от ошибок сотрудников в будущем, и процессы постоянного улучшения принять новейшие методы работы.
Ограничения внутреннего контроля
Внутренний контроль обеспечивает лишь разумную уверенность в том, что цели и задачи организации будут достигнуты, независимо от того, насколько тщательно разработана система внутреннего контроля. Это связано с тем, что участие человека всегда может привести к ошибкам, которые могут быть своевременно не обнаружены.
