Wat zijn internal controls?

Internal controls zijn het beleid, de procedures en controles die een organisatie in haar dagelijkse processen inbouwt om assets te beschermen, fouten te voorkomen en te vangen, en financiële en operationele records betrouwbaar te houden. Een control kan zo formeel zijn als een gedocumenteerd asset management policy of zo klein als vereisen dat een tweede persoon een aankoop goedkeurt - wat het een control maakt is dat het beperkt hoe dingen mis kunnen gaan, in plaats van te vertrouwen op ieders voorzichtigheid.

Preventieve, detectieve en correctieve controls

Controls worden meestal gegroepeerd op wanneer ze ingrijpen:

• Preventieve controls stoppen een probleem voordat het optreedt: goedkeuring vereist voordat geld wordt uitgegeven, apparatuur alleen uitgegeven tegen een vastgelegde checkout, magazijnen op slot, systeemrechten beperkt per rol.
• Detectieve controls brengen problemen achteraf aan het licht: periodieke fysieke tellingen gereconcilieerd met het register, het beoordelen van audittrails, garantie- en factuurcontroles, uitzonderingsrapporten voor te late retouren.
• Correctieve controls herstellen de schade en stoppen herhaling: een formele afschrijvingsprocedure, een oorzaakanalyse van hoe de laptop verdween, een herzien proces zodat hetzelfde gat niet opnieuw ontstaat.

Het klassieke ontwerpprincipe onder alle drie is segregation of duties - geen enkele persoon mag zowel een fout kunnen begaan als verbergen.

Internal controls over fysieke en IT-assets

Asset controls zijn waar theorie concreet wordt. De controls die hun plek verdienen: registreer elk item bij ontvangst, voordat het in een lade verdwijnt; geef gedeelde apparatuur zoals conference room equipment een specifieke bewaarder zodat “ieders verantwoordelijkheid” niemands wordt; leg elke overdracht vast, want het register is alleen een control zolang het de werkelijkheid volgt; tel periodiek een steekproef in plaats van op papierwerk te vertrouwen; en vereis goedkeuring plus datawissing voordat iets wordt afgevoerd. Controls moeten ook proportioneel zijn - bewaring per stuk voor chargers and cables kost meer dan de kabels waard zijn, dus laagwaardige gepoolde voorraad wordt beter gecontroleerd met herbesteltellingen dan met handtekeningen.

Hoe controls eruitzien in een klein team

Een bedrijf van vijf personen kan niet elk proces vier kanten op splitsen, en hoeft dat ook niet. Het werkbare patroon is compenserende controls: houd de preventieve basis (goedkeuring boven een gelddrempel, een register, vastgelegde overdrachten), en leun op detectie waar preventie onpraktisch is - de eigenaar beoordeelt de audit log maandelijks, tellingen gebeuren per kwartaal, en alles ongewoons wordt nagevraagd terwijl de herinnering nog vers is. De valkuil om te vermijden is het tegenovergestelde: een raamwerk voor grote ondernemingen kopiëren, het ondraaglijk vinden, en de controls helemaal opgeven.

Internal controls in de praktijk

Controls falen stilletjes wanneer ze alleen in een beleidsdocument leven en nergens anders, dus de duurzame aanpak is om ze in te bouwen in de tools die mensen al voor het werk gebruiken. In AMPthilly lopen asset-aanvragen via een goedkeuringswachtrij en wordt elke beslissing vastgelegd in de audittrail onder de specifieke goedkeurder, wat een klein team een preventieve en detectieve control geeft zonder extra papierwerk. De maatstaf van succes is saai door ontwerp: minder verrassingen bij het tellen, en een audit die bestaat uit wijzen naar records in plaats van hun afwezigheid uitleggen.

Gerelateerde termen

• Segregation of Duties - het ontwerpprincipe dat een proces splitst zodat niemand het van begin tot eind beheerst
• ISO 27001 Asset Management - de beveiligingsstandaard waarvan Annex A in feite een catalogus van controls is
• Information Asset Register - de registratiecontrole voor data- en informatieassets
• Data Retention Policy - de control die bepaalt hoe lang records worden bewaard en produceerbaar zijn
• Asset Management Policy - het document dat benoemt wie assets mag goedkeuren, houden en registreren