2002年的萨班斯 - 奥克斯利法案增加了公司需要使用的内部控制系统的数量。内部控制系统有助于缓解道德困境,加强问责制,阻止欺诈并提高债权人和投资者使用的财务信息的质量;但是,内部控制系统只能与其设计一样好。由于每家公司都必须创建一个独特的系统,因此某些控制可能既繁琐又不充分。
指令控制
指令控制涉及公司通信和控制政策。目的是创建一个受控环境,让员工了解,尊重其职位的界限并遵守公司原则。沟通不畅是指令控制的问题。当员工对职责分工缺乏清晰的理解时,他们不会遵循控制措施,也不会超出控制权的意图。这限制了灵活性并降低了生产率。
预防性控制
管理层使用预防性控制来防止不遵守内部控制。通常,这涉及监视某些活动的执行方式。这包括诸如签名授权之类的记录,但也可以涉及限制那些被授权执行功能的人。通过实施这些形式的检查,该公司旨在防止控制系统出现故障;但是,需要仔细考虑这些控制措施。过度合规会妨碍员工执行工作职能。
侦探控制
侦测控件创建过程,评估控件是否到位并被遵循。一个例子是定期对不同部门进行审计。然后,审核员审查预防性文件,以确定员工是否遵循控制程序。在任何规模的公司中都难以支持侦探控制。较小的公司难以集中使用这些控制所需的资源和时间;在大公司中,如果审计师确定控制措施不充分,他们有时无权进行必要的变更。
技术控制
由于员工使用计算机和软件来执行日常工作,因此公司可以使用密码,限制访问和预定的工作流来控制工作程序,仅举几例。软件是公正的,这使其成为可靠的潜在控制;然而,软件既不聪明也不容易改变。在例外的情况下,即使必须这样做,也很难覆盖控件。
