Vilka är de tre huvudtyperna av internkontroller?

Förebyggande kontroller stoppar problem innan de händer - godkännande före inköp, låst förvaring, åtkomst begränsad per roll. Upptäckande kontroller hittar problem i efterhand - fysiska räkningar, avstämningar, granskning av revisionsspår. Korrigerande kontroller fixar det som hittats och stoppar upprepning - ett avskrivningsförfarande, en rotorsaksanalys, en uppdaterad policy. En sund kontrollmiljö använder alla tre; att bara lita på upptäckt betyder att du bara får veta om förluster, aldrig förhindra dem.

Vilka är exempel på internkontroller över anläggningstillgångar?

Godkännandegränser för inköp, märkning och registrering av varje objekt vid mottagandet, namngivna innehavare för delad utrustning, registrerade utlåningar och återlämningar, periodiska räkningar avstämda mot registret, och en avyttringsrutin som kräver ett godkännande plus dataradering för allt som lagrat information. Det gemensamma: varje tillgångshändelse lämnar en post skapad av någon annan än den som tjänar på den.

Vem ansvarar för internkontroller?

I slutändan ledningen - kontroller designas och ägs av de som är ansvariga för processen, inte av revisorer. Revisorer testar om kontroller finns och fungerar; de driver dem inte. I vardagen är ansvaret fördelat: en policy namnger vem som får godkänna, vem som har förvaring och vem som för register, och varje anställd som utför ett steg i processen driver en kontroll.

Internkontroller: definition, typer och exempel

Internkontroller är de policyer, rutiner och kontroller en organisation använder för att skydda tillgångar, förhindra fel och hålla register tillförlitliga.

Internkontroller är de policyer, rutiner och kontroller en organisation bygger in i sina vardagsprocesser för att skydda tillgångar, förebygga och fånga fel och hålla ekonomiska och operativa register tillförlitliga. En kontroll kan vara så formell som en dokumenterad policy för inventariehantering eller så liten som att kräva att en andra person godkänner ett inköp - det som gör den till en kontroll är att den begränsar hur saker kan gå fel, i stället för att lita på att alla är försiktiga.

Förebyggande, upptäckande och korrigerande kontroller

Kontroller grupperas vanligtvis efter när de verkar:

Förebyggande kontroller stoppar ett problem innan det inträffar: godkännande krävs innan pengar betalas ut, utrustning lämnas ut bara mot en registrerad utlåning, förråd hålls låsta, systembehörigheter begränsas per roll.
Upptäckande kontroller lyfter fram problem i efterhand: periodiska fysiska räkningar avstämda mot registret, granskning av revisionsspår, garanti- och fakturakontroller, avvikelserapporter för försenade returer.
Korrigerande kontroller reparerar skadan och stoppar upprepningen: en formell utrangeringsrutin, en rotorsaksanalys av hur laptopen försvann, en omarbetad process så att samma lucka inte kan öppnas igen.

Den klassiska designprincipen bakom alla tre är ansvarsfördelning - ingen enskild person ska kunna både begå och dölja ett fel.

Internkontroller över fysiska och IT-tillgångar

Tillgångskontroller är där teorin blir konkret. De som förtjänar sin plats: registrera varje objekt vid mottagandet, innan det försvinner i en låda; ge delad utrustning som konferensrumsutrustning en namngiven innehavare så att “allas ansvar” inte blir ingens; registrera varje överlämning, eftersom registret bara är en kontroll så länge det stämmer med verkligheten; räkna ett urval periodiskt i stället för att lita på pappersarbetet; och kräv godkännande plus dataradering innan något avyttras. Kontrollerna ska också vara rimligt avvägda - en innehavspost per objekt för laddare och kablar skulle kosta mer än kablarna, så lågvärdigt poollager styrs bättre med räkningar än med signaturer.

Hur kontroller ser ut i ett litet team

Ett fempersonersföretag kan inte dela varje process fyra vägar, och behöver inte heller. Det fungerande mönstret är kompenserande kontroller: behåll förebyggande grunder (godkännande över en pengatröskel, ett register, registrerade överlämningar) och luta dig mot upptäckt där förebyggande är opraktiskt - ägaren granskar revisionsloggen månadsvis, räkningar sker kvartalsvis och allt ovanligt frågas om medan minnena är färska. Fällan att undvika är motsatsen: kopiera ett enterprise-kontrollramverk rakt av, finna det outhärdligt och överge kontroller helt.

Internkontroller i praktiken

Kontroller fallerar tyst när de bara lever i ett policydokument och ingen annanstans, så det hållbara är att bädda in dem i de verktyg folk redan använder i arbetet. I AMPthilly går tillgångsförfrågningar genom en godkännandekö och varje beslut loggas i revisionsspåret under den namngivna godkännaren, vilket ger ett litet team både en förebyggande och en upptäckande kontroll utan extra pappersarbete. Måttet på framgång är tråkigt med flit: färre överraskningar vid räkningen, och en revision som går ut på att peka på register i stället för att förklara deras frånvaro.

Relaterade termer

Ansvarsfördelning - designprincipen som delar upp en process så att ingen person styr den från början till slut
ISO 27001 och tillgångshantering - säkerhetsstandarden vars Annex A i princip är en katalog över kontroller
Register över informationstillgångar - registerkontrollen för data- och informationstillgångar
Policy för datalagring - kontrollen som styr hur länge register sparas och kan tas fram
Policy för inventariehantering - dokumentet som namnger vem som får godkänna, inneha och registrera tillgångar

Ordlista

Vad är internkontroller?

Förebyggande, upptäckande och korrigerande kontroller

Internkontroller över fysiska och IT-tillgångar

Hur kontroller ser ut i ett litet team

Internkontroller i praktiken

Relaterade termer

Relaterade guider

Koll på konferensrumsutrustningen: håll mötesrummen redo

Så håller du koll på laddare och kablar på kontoret

Begrepp i den här guiden

Låt registret göra jobbet

Vi värnar om din integritet