Các vụ bê bối kế toán Worldcom, Enron và HealthSouth, trong số những người khác, đã nâng cao tầm quan trọng của kiểm soát nội bộ đối với các công ty ở khắp mọi nơi. Đạo luật Sarbanes-Oxley yêu cầu các công ty phát triển và duy trì các hệ thống kiểm soát nội bộ đầy đủ. Tại Hoa Kỳ, các biện pháp kiểm soát nội bộ được đánh giá trong bối cảnh khuôn khổ của Ủy ban bảo trợ các tổ chức (COSO). Có ba loại kiểm soát nội bộ: Phòng ngừa, Thám tử và Khắc phục. Để có được sự hiểu biết về khái niệm kiểm soát nội bộ, cần có một sự hiểu biết cơ bản về khung COSO.
Khung COSO
Khung COSO bao gồm năm thành phần chính: môi trường kiểm soát, đánh giá rủi ro, hoạt động kiểm soát, truyền thông và thông tin và giám sát. Nếu bất kỳ một trong những thành phần chính này không hoạt động đúng hoặc yếu, toàn bộ hệ thống kiểm soát nội bộ có thể bị xâm phạm. Ví dụ: nếu việc theo dõi tài khoản không xảy ra một cách thường xuyên, các lỗi sẽ không bị phát hiện và không được phát hiện. Cũng sẽ có những cơ hội gian lận của các nhân viên sẽ không tồn tại nếu việc giám sát diễn ra thường xuyên. Mỗi thành phần chính có các thành phần phụ rất cần thiết cho hoạt động đúng của thành phần chính. Nếu các thành phần phụ bị lỗi, các thành phần chính sẽ không hoạt động đúng hoặc yếu và toàn bộ hệ thống kiểm soát nội bộ sẽ bị ảnh hưởng tiêu cực. Ví dụ: phân tích nên được xây dựng trong các hệ thống kế toán để đảm bảo dữ liệu được xử lý chính xác hoặc được loại bỏ nếu nó không đáp ứng các tiêu chí đã thiết lập.
Kiểm soát phòng ngừa
Kiểm soát phòng ngừa là loại kiểm soát nội bộ hiệu quả nhất vì chúng được đặt đúng chỗ trước khi xảy ra lỗi hoặc bất thường và được thiết kế để giữ cho các lỗ hổng này xảy ra. Ví dụ về kiểm soát phòng ngừa là: phân tách nhiệm vụ đầy đủ (không có cùng một người ủy quyền và xử lý giao dịch), ủy quyền giao dịch thích hợp (người giám sát ủy quyền mua hàng bằng cách xem xét và phê duyệt yêu cầu mua) và tài liệu và kiểm soát tài sản đầy đủ (khi mua hàng được thực hiện, cần có một yêu cầu mua hàng được phê duyệt và một hóa đơn và nhận tài liệu để hiển thị giao hàng).
Điều khiển thám tử
Kiểm soát thám tử được thiết kế để lưu ý các lỗi và bất thường sau khi chúng xảy ra. Ví dụ về các loại kiểm soát này là: báo cáo ngoại lệ (báo cáo máy tính xảy ra ngoài định mức), đối chiếu (đối chiếu ngân hàng và đối chiếu sổ cái chung) và kiểm toán định kỳ (cả kiểm toán độc lập bên ngoài và kiểm toán nội bộ giúp phát hiện ra lỗi, bất thường và không tuân thủ pháp luật và các quy định).
Kiểm soát khắc phục
Kiểm soát khắc phục được thiết kế để ngăn ngừa lỗi và bất thường tái xuất hiện sau khi chúng được phát hiện. Ví dụ về các loại kiểm soát này là: chính sách và quy trình báo cáo lỗi và bất thường để có thể sửa chữa, đào tạo nhân viên về các chính sách và quy trình mới được phát triển như một phần của hành động khắc phục, kỷ luật tích cực để ngăn chặn nhân viên mắc lỗi trong tương lai và quá trình cải tiến liên tục để áp dụng các kỹ thuật hoạt động mới nhất.
Hạn chế kiểm soát nội bộ
Kiểm soát nội bộ chỉ đảm bảo hợp lý rằng các mục tiêu và mục tiêu của một thực thể sẽ được hoàn thành, bất kể hệ thống kiểm soát nội bộ phức tạp đến mức nào. Điều này là do sự tham gia của con người luôn tiềm ẩn những lỗi có thể không được phát hiện kịp thời.
