Worldcom, Enron og HealthSouth regnskapskandaler har blant annet økt betydningen av interne kontroller for bedrifter overalt. Sarbanes-Oxley Act bemyndiger at selskapene utvikler og opprettholder tilstrekkelige interne kontrollsystemer. I USA evalueres interne kontroller i sammenheng med Koordineringskomiteens (COSO) rammeverk. Det finnes tre typer interne kontroller: forebyggende, detektiv og korrigerende. For å få en forståelse av det interne kontrollkonseptet, er det nødvendig å ha en grunnleggende forståelse av COSO-rammeverket.
COSO Framework
COSO-rammeverket består av fem hovedkomponenter: kontrollmiljøet, risikovurdering, kontrollaktiviteter, kommunikasjon og informasjon og overvåking. Hvis noen av disse primære komponentene ikke virker skikkelig eller er svak, kan hele internkontrollsystemet bli kompromittert. For eksempel, hvis overvåking av kontoer ikke forekommer jevnlig, vil feilene gå uoppdaget og ukorrigert. Det vil også være muligheter for svindel av ansatte som ikke ville eksistere dersom overvåking skulle skje regelmessig. Hver av de primære komponentene har underkomponenter som er essensielle for at den primære komponenten skal fungere skikkelig. Hvis delkomponentene er defekte, vil de primære komponentene ikke fungere riktig eller være svake, og hele internkontrollsystemet vil bli negativt påvirket. For eksempel bør analytikk bygges inn i regnskapssystemer for å sikre at dataene behandles riktig eller blir sparket ut dersom det ikke oppfyller etablerte kriterier.
Forebyggende kontroller
Forebyggende kontroller er de mest effektive typene interne kontroller fordi de er satt på plass før feil eller uregelmessigheter oppstår og er utformet for å holde disse feilene oppe. Eksempler på forebyggende kontroller er: Tilstrekkelig adskillelse av oppgaver (ikke å ha samme person, både autorisere og behandle transaksjoner), riktig godkjenning av transaksjoner (en veileder tillater et kjøp ved å gjennomgå og godkjenne kjøpsforespørselen) og tilstrekkelig dokumentasjon og kontroll av eiendeler (når kjøp skjer, det bør være en godkjent kjøpsforespørsel og en faktura og mottatte dokumenter for å vise levering av varene).
Detektive kontroller
Detektive kontroller er utformet for å merke feil og uregelmessigheter etter at de oppstår. Eksempler på disse typer kontroller er: unntaksrapporter (datarapporter av hendelser utenfor normen), avstemminger (bankavstemminger og generalkonvertering) og periodiske revisjoner (både uavhengige eksterne revisjoner og interne revisjoner som bidrar til å avdekke feil, uregelmessigheter og manglende overholdelse av Lover og forskrifter).
Korrigerende kontroller
Korrigerende kontroller er utformet for å forhindre feil og uregelmessigheter fra å gå igjen når de oppdages. Eksempler på disse typer kontroller er: retningslinjer og prosedyrer for rapportering av feil og uregelmessigheter slik at de kan korrigeres, trening ansatte på nye retningslinjer og prosedyrer utviklet som en del av korrigerende tiltak, positiv disiplin for å forhindre at ansatte får fram fremtidige feil og kontinuerlige forbedringsprosesser å vedta de nyeste operasjonelle teknikkene.
Interne kontrollbegrensninger
Interne kontroller gir bare rimelig sikkerhet for at et virksomhets mål og mål vil bli oppnådd, uansett hvordan utarbeide det interne kontrollsystemet. Dette skyldes at menneskelig deltakelse alltid har potensial for feil som kanskje ikke oppdages i tide.
