Оперативните процедури, процесите и механизмите на организацията са гръбнакът на системата за управление на риска. Тези процедури, често известни като вътрешен контрол, гарантират, че служителите спазват препоръките на топ мениджмънта, индустриалните практики и регулаторните насоки при изпълнение на задачите си. Вътрешен одитор проверява контролите, за да гарантира, че те са адекватни и ефективни.
Определен вътрешен контрол
Вътрешният контрол е набор от инструкции и процедури, които висшето ръководство въвежда за предотвратяване на оперативни загуби в резултат на грешка, пренебрегване или измама от служители. Например контрол в отдела за вземания и фактуриране на универсален магазин може да инструктира служителите как да се справят с плащанията в брой. Вътрешният контрол също така помага на висшето ръководство да предотврати загуби, дължащи се на технологична неизправност. Например, старшият надзорен орган на магазина може да инструктира търговските сътрудници как да се справят с транзакции с кредитни и дебитни карти в случай на повреда в компютърните системи.
Контролна адекватност
Вътрешен одитор проверява два аспекта на контрола - адекватност и ефективност. Контролът е подходящ, ако ясно описва процедурите и стъпките, които служителят трябва да следва, за да изпълнява задачи. За да илюстрираме, контролът може да инструктира морски служител как да записва стоките, съхранявани в склада и да подписва товарителницата. Адекватният контрол също обяснява процедурите за вземане на решения и докладване на проблеми. Контролът на корабоплаването може например да изисква от служителя да уведоми мениджъра, ако получените стоки са на стойност повече от 10 000 щ.д.
Ефективност на контрола
Контролът е ефективен, ако осигурява подходящи решения на проблемите на вътрешния контрол. Например мениджърът на отдела за вземания към малък магазин на дребно смята, че служителят може да краде пари, защото сумите от приходите от продажби не съответстват на получените парични средства. Той може да установи процедура, която изисква клиентските проверки да се изпращат на нов адрес и да се иска от трима служители в различни отдели да записват паричните плащания. Новият контрол е ефективен, ако мениджърът отбележи, че паричните салда в момента съвпадат с продажбите.
Видове
Вътрешният одитор може да тества различни контроли, в зависимост от целта на одита, размера на предприятието и индустрията. Одиторът може да тества процедурите в механизмите за финансова отчетност, за да гарантира, че финансовите отчети са точни и пълни и съответстват на общоприетите счетоводни принципи (GAAP). Тестването на оперативния контрол помага на одитора да оцени адекватността и ефективността на контрола на ниво сегмент. Одиторът също така може да тества системите за информационни технологии (ИТ), за да предотврати загуби, произтичащи от неизправност в ИТ.
Значение за тестване
Тестването на вътрешния контрол е важна практика, тъй като помага на висшето ръководство на компанията да предотврати оперативни загуби в резултат на грешки или сривове в системата. Тестването също помага на ръководителя на отдела да гарантира, че служителите спазват вътрешните правила, закони и разпоредби, когато изпълняват задълженията си. Одиторът обикновено прилага общоприети стандарти за одит (GAAS), когато тества вътрешните контроли и ги оценява като "висок", "среден" и "нисък" въз основа на очакванията за загуба.
