Kontrola wewnętrzna to system zasad i procedur, które organizacja ustanawia w celu zapewnienia wiarygodności jej sprawozdawczości finansowej, skuteczności i wydajności jej działań oraz jej zgodności z obowiązującymi zasadami, regulacjami i przepisami prawa. Kontrole wewnętrzne są opracowywane i wdrażane nie tylko przez dyrektorów organizacji, ale także przez jej kierownictwo i menedżerów. Chociaż mają one na celu osiągnięcie wielu celów, kontrole wewnętrzne są zorientowane przede wszystkim na działalność finansową organizacji. Właściwie zaprojektowany system kontroli wewnętrznej w działalności organizacji może zapobiegać niewłaściwemu zarządzaniu i nadużyciom, w tym defraudacji, oszustwom i kradzieży.
Powszechnie rozumianą cechą nadużyć jest to, że z powodzeniem działa pod zasłoną tajemnicy &emdash; im mniej osób jest tego świadomych, tym większe prawdopodobieństwo sukcesu. Im więcej ludzi jest świadomych, tym większe prawdopodobieństwo porażki lub odstraszenia. Na przykład księgowy może stosunkowo łatwo wypisać fałszywe czeki, jeśli wymagany jest tylko jeden podpis, ale jeśli wymagane są dwa, kradzież jest znacznie trudniejsza.
Jedną z najprostszych metod kontroli wewnętrznej jest zatem podział obowiązków osób zaangażowanych w działalność finansową. Na przykład większość organizacji wymaga dwóch podpisów na czekach lub na czekach przekraczających określoną kwotę, co gwarantuje, że czeki nie mogą być po prostu wypisane przez jedną osobę do woli. Gdy czeki są drukowane maszynowo lub komputerowo, osoby odpowiedzialne za wydruk czeku nie powinny ich podpisywać (ani składać podpisów mechanicznych) &emdash; ta praca powinna być przydzielona innej osobie. Gdy czeki są wystawiane jako płatność za odbiór towarów, systemy kontroli wewnętrznej powinny wymagać, aby przed wystawieniem czeku płatności dokumentacja odbioru przesyłki była powiązana z fakturą. Ta prosta zasada zapewnia, że osoba odpowiedzialna za dokonanie płatności może mieć wystarczającą pewność, że towary zostały rzeczywiście odebrane w dobrym stanie, nawet jeśli miejsce odbioru jest daleko od biura finansowego. Jeśli czek musi być podpisany przez kogoś innego, zostanie do niego dołączona cała dokumentacja, która zostanie przejrzana przed podpisaniem czeku i przekazaniem go sprzedawcy.
Niepopularnym elementem wielu systemów kontroli wewnętrznej jest zakaz relacji osobistych, w tym małżeństw, między pracownikami działów usług finansowych i innych działów. Jeśli między, powiedzmy, kimś w dziale księgowości a kimś w magazynie powstanie osobista relacja, należałoby oczekiwać, że zrezygnuje i znajdzie zatrudnienie gdzie indziej, aby zapobiec nawet pozorom niestosowności.
Spółki publiczne i wiele dużych firm prywatnych mają kontrole wewnętrzne wymagające okresowych audytów przez zewnętrzną firmę księgową, a także wewnętrzne działy audytu odpowiedzialne za regularne przeglądy transakcji finansowych i innych operacji. Właściwie przeprowadzone, te zewnętrzne i wewnętrzne audyty dokładnie zbadają firmę, analizując jej procedury z perspektywy kontroli wewnętrznej i badając transakcje, aby upewnić się, że są one reprezentowane.
Systemy kontroli wewnętrznej, choć powszechnie rozumiane jako finansowe, nie ograniczają się do działań finansowych, ale rozciągają się na inne obszary działalności firmy, aby zapewnić, że faktycznie przebiegają one zgodnie z oczekiwaniami. Działy „kontroli jakości” i „zapewnienia jakości” to operacyjne mechanizmy kontrolne, które zapewniają, że wszystko, od etykietowania, poprzez plomby zabezpieczające, po składniki, jest dokładnie takie, jak przedstawiane. Mechanizmy kontroli zapasów pomagają chronić firmę przed stratami wynikającymi z kradzieży, a pracownicy ochrony nie tylko utrzymują nieautoryzowany personel z dala od obiektu, ale także powstrzymują kradzież.
Procedury i praktyki kontroli wewnętrznej nabrały większego znaczenia w Stanach Zjednoczonych w 2002 r. wraz z uchwaleniem ustawy Sarbanes-Oxley Act, zatytułowanej „Public Company Accounting Reform and Investor Protection Act”. Uchwalony w odpowiedzi na szereg skandali korporacyjnych i księgowych, nakładał znacznie większy stopień odpowiedzialności na dyrektorów korporacji publicznych. Na przykład dyrektorzy firm rutynowo podpisują roczne sprawozdania swoich firm; Sarbanes-Oxley pociąga ich do osobistej odpowiedzialności za ich niedokładności materialne. Kierownicy ci mają zatem dodatkową motywację do wdrażania dokładnych systemów kontroli wewnętrznej, aby zapewnić wiarygodność swoich raportów.