Worldcom, Enron og HealthSouth regnskabskandaler har blandt andet øget betydningen af interne kontroller for virksomheder overalt. Sarbanes-Oxley Act bemyndiger, at virksomheder udvikler og vedligeholder passende interne kontrolsystemer. I USA evalueres interne kontroller inden for rammerne af rammerne for sponsororganisationskomiteen (COSO). Der er tre typer interne kontroller: forebyggende, detektiv og korrigerende. For at få en forståelse af det interne kontrolbegreb er det nødvendigt at have en grundlæggende forståelse af COSO-rammen.
COSO Framework
COSO-rammen består af fem primære komponenter: kontrolmiljøet, risikovurdering, kontrolaktiviteter, kommunikation og information og overvågning. Hvis en af disse primære komponenter ikke virker korrekt eller er svag, kan hele internstyringssystemet blive kompromitteret. F.eks. Hvis overvågningen af konti ikke sker regelmæssigt, vil fejlene blive opdaget og ukorrekt. Der vil også være mulighed for bedrageri af medarbejdere, der ikke ville eksistere, hvis overvågningen fandt sted regelmæssigt. Hver af de primære komponenter har underkomponenter, der er væsentlige for den primære komponents funktion. Hvis underkomponenterne er defekte, vil de primære komponenter ikke fungere korrekt eller være svage, og hele det interne styresystem vil blive påvirket negativt. Analyser skal for eksempel indbygges i regnskabssystemer for at sikre, at data behandles korrekt eller udløses, hvis det ikke opfylder etablerede kriterier.
Forebyggende kontroller
Forebyggende kontroller er de mest effektive typer interne kontroller, fordi de er sat på plads før fejl eller uregelmæssigheder opstår og er designet til at holde disse fejl. Eksempler på forebyggende kontrol er: passende adskillelse af pligter (ikke den samme person tillader og behandler transaktioner), korrekt godkendelse af transaktioner (en tilsynsførende tillader et køb ved at gennemgå og godkende købsanmodningen) og tilstrækkelig dokumentation og kontrol af aktiver (når køb foretages, der skal være en godkendt købsforespørgsel og en faktura og modtagende dokumenter for at vise leveringen af varerne).
Detektiv kontrol
Detektive kontroller er designet til at bemærke fejl og uregelmæssigheder, når de opstår. Eksempler på disse typer af kontroller er: undtagelsesrapporter (computerrapporter fra begivenheder uden for normen), afstemninger (bankafstemninger og generaldirektoratafstemninger) og periodiske revisioner (både uafhængige eksterne revisioner og interne revisioner, der hjælper med at afdække fejl, uregelmæssigheder og manglende overholdelse af love og forskrifter).
Korrektionskontrol
Korrektive kontroller er designet til at forhindre fejl og uregelmæssigheder i at genoplive, når de er opdaget. Eksempler på disse typer af kontroller er: politikker og procedurer for rapportering af fejl og uregelmæssigheder, så de kan rettes, træner medarbejdere om nye politikker og procedurer udviklet som led i korrigerende handlinger, positiv disciplin for at forhindre medarbejdere i at lave fremtidige fejl og løbende forbedringsprocesser at vedtage de nyeste operationelle teknikker.
Interne kontrolbegrænsninger
Den interne kontrol giver kun rimelig sikkerhed for, at en virksomheds mål og målsætninger opnås, uanset hvordan det interne kontrolsystem udbygges. Dette skyldes, at menneskelig inddragelse altid har potentialet for fejl, som måske ikke bliver opdaget rettidigt.
