Unter anderem haben die Rechnungslegungsskandale von Worldcom, Enron und HealthSouth die Bedeutung der internen Kontrollen für Unternehmen überall erhöht. Der Sarbanes-Oxley Act schreibt vor, dass Unternehmen angemessene interne Kontrollsysteme entwickeln und pflegen. In den USA werden interne Kontrollen im Rahmen des COSO-Rahmens (Committee of Sponsoring Organizations) bewertet. Es gibt drei Arten von internen Kontrollen: Vorbeugende, Detektive und Korrekturen. Um ein Verständnis des internen Kontrollkonzeptes zu erlangen, ist ein grundlegendes Verständnis des COSO-Rahmens erforderlich.
COSO-Framework
Das COSO-Framework besteht aus fünf Hauptkomponenten: Kontrollumgebung, Risikobewertung, Kontrollaktivitäten, Kommunikation und Information sowie Überwachung. Wenn eine dieser primären Komponenten nicht ordnungsgemäß funktioniert oder schwach ist, kann das gesamte interne Kontrollsystem beeinträchtigt werden. Wenn beispielsweise die Überwachung von Konten nicht regelmäßig erfolgt, bleiben Fehler unentdeckt und unkorrigiert. Es gibt auch Möglichkeiten für Betrug von Mitarbeitern, die bei regelmäßiger Überwachung nicht bestehen würden. Jede der primären Komponenten hat Unterkomponenten, die für das ordnungsgemäße Funktionieren der primären Komponente wesentlich sind. Wenn die Unterkomponenten fehlerhaft sind, funktionieren die Hauptkomponenten nicht ordnungsgemäß oder sind schwach, und das gesamte interne Kontrollsystem wird negativ beeinflusst. Zum Beispiel sollten Analysen in Buchhaltungssysteme integriert sein, um sicherzustellen, dass Daten korrekt verarbeitet oder herausgeschoben werden, wenn sie nicht den festgelegten Kriterien entsprechen.
Vorbeugende Kontrollen
Vorbeugende Kontrollen sind die wirksamsten Arten interner Kontrollen, da sie vor Fehlern oder Unregelmäßigkeiten eingerichtet werden und diese Fehler verhindern sollen. Beispiele für präventive Kontrollen sind: eine angemessene Aufgabentrennung (ohne dass dieselbe Person sowohl Transaktionen autorisiert als auch verarbeitet), die ordnungsgemäße Autorisierung von Transaktionen (eine Aufsicht genehmigt einen Kauf durch Prüfung und Genehmigung des Kaufantrags) und eine angemessene Dokumentation und Kontrolle der Vermögenswerte (wann Käufe getätigt werden, sollte eine genehmigte Kaufanfrage sowie eine Rechnung und Empfangsbelege für die Zustellung der Artikel vorliegen).
Detektivkontrollen
Detektivkontrollen sollen Fehler und Unregelmäßigkeiten nach deren Auftreten feststellen. Beispiele für diese Art von Kontrollen sind: Ausnahmeberichte (Computerberichte über Ereignisse außerhalb der Norm), Abstimmungen (Bankabstimmungen und Hauptbuchabstimmungen) und periodische Prüfungen (sowohl unabhängige externe Prüfungen als auch interne Prüfungen, die dazu beitragen, Fehler, Unregelmäßigkeiten und die Nichteinhaltung von Vorschriften aufzudecken Gesetze und Richtlinien).
Korrekturmaßnahmen
Korrekturmaßnahmen sollen verhindern, dass Fehler und Unregelmäßigkeiten erneut auftreten, sobald sie entdeckt werden. Beispiele für diese Art von Kontrollen sind: Richtlinien und Verfahren für die Meldung von Fehlern und Unregelmäßigkeiten, damit diese korrigiert werden können, die Schulung der Mitarbeiter für neue Richtlinien und Verfahren, die im Rahmen der Korrekturmaßnahmen entwickelt wurden, positive Disziplin, um zukünftige Fehler der Mitarbeiter zu vermeiden, sowie kontinuierliche Verbesserungsprozesse die neuesten operativen Techniken anwenden.
Einschränkungen der internen Kontrolle
Interne Kontrollen bieten nur eine angemessene Sicherheit, dass die Ziele und Ziele eines Unternehmens erreicht werden, unabhängig davon, wie das interne Kontrollsystem ausgearbeitet wird. Dies liegt daran, dass menschliches Engagement immer das Potenzial für Fehler birgt, die möglicherweise nicht rechtzeitig entdeckt werden.
