1. Definicja kontroli wewnętrznej – Kontrola wewnętrzna to procesy i procedury wprowadzone przez organizację w celu zapewnienia dokładności i bezpieczeństwa jej operacji finansowych i biznesowych. Kontrole te obejmują wszystkie aspekty organizacji, od jej transakcji finansowych, do produkcji i operacji. Pomagają one ograniczyć oszustwa i błędy oraz dają pewność, że organizacja funkcjonuje w sposób właściwy i odpowiedzialny.
2. Korzyści z kontroli wewnętrznej – Kontrole wewnętrzne pomagają zapewnić dokładność i wiarygodność informacji finansowych, chronią organizację przed oszustwami i błędami oraz są kluczowym elementem skutecznego systemu nadzoru korporacyjnego. Pomagają zapewnić, że organizacja jest zgodna z obowiązującymi przepisami prawa i regulacjami oraz pomagają utrzymać zaufanie interesariuszy.
3. Wspólne rodzaje kontroli wewnętrznej – Wspólne rodzaje kontroli wewnętrznej obejmują rozdział obowiązków, autoryzację transakcji, kontrolę fizyczną oraz bezpieczeństwo informacji. Rozdzielenie obowiązków oznacza, że żadna pojedyncza osoba nie jest odpowiedzialna za dane zadanie, a w proces zaangażowanych jest wiele osób. Autoryzacja transakcji wymaga zatwierdzenia, zanim transakcja może zostać zatwierdzona. Kontrole fizyczne są wykorzystywane do ochrony aktywów i zapisów, a bezpieczeństwo informacji jest wykorzystywane do ochrony danych i systemów przed nieautoryzowanym dostępem.
4. Kontrola wewnętrzna transakcji gotówkowych – Transakcje gotówkowe wymagają szczególnej uwagi ze względu na wysoki potencjał oszustw i błędów. Wewnętrzne kontrole transakcji gotówkowych obejmują podział obowiązków, podwójną opiekę, stosowanie uzgodnień bankowych oraz stosowanie kasy fiskalnej. Rozdzielenie obowiązków oznacza, że żadna osoba nie powinna mieć kontroli nad całym procesem. Podwójny nadzór wymaga, aby w procesie uczestniczyły dwie osoby, np. kasjer i przełożony. Uzgodnienia bankowe służą do zapewnienia, że stan gotówki w banku jest dokładny. Kasa fiskalna służy do ewidencji transakcji.
5. Kontrole wewnętrzne w zakresie zarządzania aktywami – Zarządzanie aktywami obejmuje śledzenie i utrzymywanie aktywów, takich jak sprzęt i zapasy. Wewnętrzne kontrole zarządzania aktywami obejmują kontrole fizyczne, takie jak zamki i systemy numeracji, oraz kontrole oprogramowania, takie jak system zarządzania inwentarzem. Kontrole te pomagają zapewnić, że aktywa są śledzone i utrzymywane we właściwy sposób.
6. Kontrole wewnętrzne dla bezpieczeństwa danych – Bezpieczeństwo danych jest niezbędne do zapewnienia bezpieczeństwa krytycznych danych organizacji. Wewnętrzne kontrole bezpieczeństwa danych obejmują kontrole dostępu, takie jak hasła i systemy uwierzytelniania, szyfrowanie oraz procedury tworzenia kopii zapasowych danych. Kontrola dostępu pomaga zapewnić, że tylko upoważniony personel może uzyskać dostęp do danych. Szyfrowanie pomaga chronić dane przed nieautoryzowanym dostępem. Procedury tworzenia kopii zapasowych danych pomagają zapewnić, że dane nie zostaną utracone w przypadku awarii systemu lub innej katastrofy.
7. Kontrola wewnętrzna zasobów ludzkich – Kontrola wewnętrzna zasobów ludzkich obejmuje polityki i procedury zatrudniania i zwalniania, oceny wydajności oraz protokoły bezpieczeństwa. Kontrole te pomagają zapewnić, że organizacja jest zgodna z obowiązującym prawem i przepisami oraz że pracownicy są traktowani sprawiedliwie.
8. Najlepsze praktyki wdrażania kontroli wewnętrznych – Wdrażanie kontroli wewnętrznych jest złożonym procesem, który wymaga dokładnego planowania i rozważenia. Najlepsze praktyki w zakresie wdrażania kontroli wewnętrznej obejmują ocenę potrzeb organizacji i opracowanie planu, zakomunikowanie planu interesariuszom oraz regularne przeglądy i aktualizację planu w miarę potrzeb. Dodatkowo ważne jest, aby zapewnić, że kontrole są odpowiednio wdrożone i skutecznie monitorowane.
Stosując się do tych najlepszych praktyk, organizacje mogą zapewnić, że ich kontrole wewnętrzne są skuteczne i pomagają chronić ich działalność biznesową.
Istnieje dziewięć wspólnych kontroli wewnętrznych:
1. Ustalenie celów i priorytetów organizacyjnych: Organizacje powinny mieć jasne zrozumienie swoich ogólnych celów i tego, jak te cele odnoszą się do ryzyka, z którym się stykają.
2. Przypisanie odpowiedzialności za zarządzanie ryzykiem: Zarządzanie ryzykiem powinno być przypisane do konkretnej osoby lub zespołu w organizacji, z jasno określonymi liniami odpowiedzialności i rozliczalności.
3. Identyfikacja i ocena ryzyka: Organizacje powinny identyfikować i oceniać ryzyka, na które są narażone, w celu ustalenia priorytetów i skutecznego zajęcia się nimi.
4. Opracowanie i wdrożenie strategii ograniczania ryzyka: Organizacje powinny opracować i wdrożyć strategie ograniczania ryzyka, przed którym stoją.
5. Monitorowanie i przegląd ryzyk: Organizacje powinny stale monitorować i dokonywać przeglądu ryzyk, przed którymi stoją, i w razie potrzeby dostosowywać swoje strategie.
6. Komunikowanie ryzyka: Organizacje powinny informować o ryzyku wszystkich istotnych interesariuszy, tak aby byli oni świadomi ryzyka i mogli podjąć odpowiednie działania.
7. Utrzymywanie zapisów: Organizacje powinny prowadzić dokumentację wszystkich ryzyk i działań ograniczających ryzyko, w celu śledzenia postępów i zapewnienia zgodności.
8. Ocenianie i audytowanie ryzyka: Organizacje powinny okresowo oceniać i audytować swoje ryzyka i działania w zakresie zarządzania ryzykiem, w celu określenia usprawnień.
9. Aktualizacja zarządzania ryzykiem: Organizacje powinny stale aktualizować swoje działania w zakresie zarządzania ryzykiem w odpowiedzi na zmiany w otoczeniu i własnej działalności.