De boekschandalen van Worldcom, Enron en HealthSouth hebben onder andere het belang van interne controles voor bedrijven overal verhoogd. De Sarbanes-Oxley-wet schrijft voor dat bedrijven adequate interne controlesystemen moeten ontwikkelen en onderhouden. In de VS worden interne controles geëvalueerd in de context van het Framework of Sponsoring Organizations (COSO). Er zijn drie soorten interne controles: Preventief, Detectief en Corrigerend. Om inzicht te krijgen in het concept van interne controle, is het noodzakelijk om een basiskennis te hebben van het COSO-raamwerk.
COSO Framework
Het COSO-raamwerk bestaat uit vijf hoofdcomponenten: de controleomgeving, risicobeoordeling, controleactiviteiten, communicatie en informatie en monitoring. Als een van deze primaire componenten niet naar behoren functioneert of zwak is, kan het volledige interne controlesysteem worden aangetast. Als het controleren van accounts bijvoorbeeld niet regelmatig plaatsvindt, blijven fouten onopgemerkt en niet gecorrigeerd. Er zullen ook mogelijkheden zijn voor fraude door werknemers die niet zouden bestaan als er regelmatig monitoring zou plaatsvinden. Elk van de primaire componenten heeft subcomponenten die essentieel zijn voor het goed functioneren van de primaire component. Als de subcomponenten defect zijn, zullen de primaire componenten niet goed functioneren of zwak zijn en zal het volledige interne controlesysteem negatief worden beïnvloed. Bijvoorbeeld, analytics moeten worden ingebouwd in boekhoudsystemen om ervoor te zorgen dat gegevens correct worden verwerkt of worden uitgegooid als het niet aan de vastgestelde criteria voldoet.
Preventieve controles
Preventieve controles zijn de meest effectieve typen interne besturingselementen omdat ze zijn ingesteld voordat fouten of onregelmatigheden zich voordoen en zijn ontworpen om deze onvolkomenheden te voorkomen. Voorbeelden van preventieve controles zijn: adequate scheiding van taken (niet dezelfde persoon zowel transacties toestaan als transacties verwerken), juiste autorisatie van transacties (een supervisor autoriseert een aankoop door het aankoopverzoek te beoordelen en goedkeuren) en adequate documentatie en controle van activa (wanneer er worden aankopen gedaan, er moet een goedgekeurd aankoopverzoek en een factuur zijn en documenten ontvangen om de levering van de artikelen te tonen).
Detective Controls
Detectieknoppen zijn ontworpen om fouten en onregelmatigheden op te merken nadat ze zich hebben voorgedaan. Voorbeelden van dit soort controles zijn: uitzonderingsrapporten (computerrapporten van voorvallen buiten de norm), afstemmingen (bankafstemmingen en grootboekafstemmingen) en periodieke audits (zowel onafhankelijke externe audits als interne audits die helpen om fouten, onregelmatigheden en niet-naleving van Wet en regelgeving).
Corrigerende besturingselementen
Correctieve controles zijn ontworpen om te voorkomen dat fouten en onregelmatigheden zich opnieuw voordoen zodra ze zijn ontdekt. Voorbeelden van dit soort controles zijn: beleid en procedures voor het melden van fouten en onregelmatigheden, zodat deze kunnen worden gecorrigeerd, werknemers opleiden over nieuw beleid en procedures die zijn ontwikkeld als onderdeel van de corrigerende maatregelen, positieve discipline om te voorkomen dat werknemers toekomstige fouten maken en continue verbeteringsprocessen om de nieuwste operationele technieken te gebruiken.
Interne beperkingsbeperkingen
Interne controles bieden alleen een redelijke zekerheid dat de doelstellingen van een entiteit worden bereikt, ongeacht hoe uitgebreid het interne controlesysteem is. Dit komt omdat menselijke betrokkenheid altijd het potentieel heeft voor fouten die mogelijk niet tijdig worden ontdekt.
