Gli scandali contabili di Worldcom, Enron e HealthSouth, tra gli altri, hanno aumentato l'importanza dei controlli interni per le aziende di tutto il mondo. La legge Sarbanes-Oxley impone alle società di sviluppare e mantenere adeguati sistemi di controllo interno. Negli Stati Uniti, i controlli interni sono valutati nel contesto del quadro del COSO (Committee of Sponsoring Organizations). Esistono tre tipi di controlli interni: Preventivo, Detective e Correttivo. Per comprendere il concetto di controllo interno, è necessario avere una conoscenza di base del quadro COSO.
Quadro COSO
Il framework COSO è costituito da cinque componenti principali: l'ambiente di controllo, la valutazione del rischio, le attività di controllo, la comunicazione e l'informazione e il monitoraggio. Se uno qualsiasi di questi componenti primari non funziona correttamente o è debole, l'intero sistema di controllo interno potrebbe essere compromesso. Ad esempio, se il monitoraggio degli account non si verifica regolarmente, gli errori non verranno rilevati e non verranno corretti. Ci saranno anche opportunità di frode da parte dei dipendenti che non esisterebbero se il monitoraggio fosse effettuato su base regolare. Ciascuno dei componenti primari ha sub-componenti che sono essenziali per il corretto funzionamento del componente primario. Se i componenti secondari sono difettosi, i componenti primari non funzioneranno correttamente o saranno deboli e l'intero sistema di controllo interno ne risentirà negativamente. Ad esempio, l'analisi dovrebbe essere incorporata nei sistemi di contabilità per garantire che i dati vengano elaborati correttamente o vengano espulsi se non soddisfano i criteri stabiliti.
Controlli preventivi
I controlli preventivi sono i tipi più efficaci di controlli interni perché vengono messi in atto prima che si verifichino errori o irregolarità e siano progettati per mantenere tali difetti. Esempi di controlli preventivi sono: un'adeguata separazione dei compiti (non avendo la stessa persona sia autorizzazione e transazioni di processo), la corretta autorizzazione delle operazioni (un supervisore autorizza un acquisto esaminando e approvando la richiesta di acquisto) e un'adeguata documentazione e controllo delle attività (quando gli acquisti sono fatti, ci dovrebbe essere una richiesta d'acquisto approvata e una fattura e ricevere i documenti per mostrare la consegna degli articoli).
Detective Control
I controlli dei detective sono progettati per rilevare errori e irregolarità dopo che si sono verificati. Esempi di questi tipi di controlli sono: rapporti di eccezione (rapporti informatici di eventi al di fuori della norma), riconciliazioni (riconciliazioni bancarie e riconciliazioni contabili generali) e audit periodici (sia audit esterni indipendenti che audit interni che aiutano a scoprire errori, irregolarità e non conformità con Leggi e regolamenti).
Controlli correttivi
I controlli correttivi sono progettati per evitare che errori e irregolarità si ripresentino una volta scoperti. Esempi di questi tipi di controlli sono: politiche e procedure per segnalare errori e irregolarità in modo che possano essere corretti, formare i dipendenti su nuove politiche e procedure sviluppate come parte delle azioni correttive, una disciplina positiva per impedire ai dipendenti di commettere errori futuri e processi di miglioramento continuo adottare le ultime tecniche operative.
Limitazioni del controllo interno
I controlli interni forniscono solo una ragionevole garanzia che gli obiettivi e gli obiettivi di un'entità saranno raggiunti, indipendentemente dall'elaborazione del sistema di controllo interno. Questo perché il coinvolgimento umano ha sempre il potenziale per errori che potrebbero non essere scoperti in modo tempestivo.
