Za sprawnie funkcjonujący system kontroli wewnętrznej w Spółce odpowiada Zarząd i Rada Nadzorcza oraz inne osoby w jednostce, którym taką odpowiedzialność powierzono. System kontroli wewnętrznej tworzony jest po, to by organizacja mogła osiągnąć swoje cele w sposób efektywny i skuteczny, dodatkowo system kontroli wewnętrznej zapobiega nadużyciom. System kontroli wewnętrznej w organizacji jest narzędziem zarządzania i budowany jest po to by uzyskiwać racjonalną pewność, że cele organizacji zostaną osiągnięte. Z pojęciem systemu kontroli wewnętrznej ściśle wiążą się wykonywane w spółce kontrole. Sprawowana w organizacji kontrola wewnętrzna obecna jest na każdym elemencie działalności spółki. Wykonuje ją Zarząd organizacji oraz inne osoby, które swoim działaniem mają zapewnić operacyjną efektywność i skuteczność, zgodność z wymogami prawa oraz wiarygodność sprawozdawczości finansowej. Jedną z często podejmowanych czynności mających usprawnić system kontroli wewnętrznej, w tym również prowadzić do minimalizacji ryzyka nadużyć jest przeprowadzenie audytu. Audyt taki może być audytem wewnętrznym (najczęściej przeprowadzanym przez pracowników organizacji) lub audytem zewnętrznym (poprzez zlecenie czynności audytowych zewnętrznej firmie).
W niniejszym artykule wyjaśniamy czym jest kontrola wewnętrzna i system kontroli. Wyjaśniamy również jaką rolę pełni w tym procesie audytor oraz jakie są symptomy nieprawidłowości w systemie kontroli, których pojawienie może świadczyć o wystąpieniu nadużyć, np. defraudacji.
Zgodnie z definicją prywatnej organizacji Committee of Sponsoring Organizations of the Treadway Commission (COSO) ramy kontroli wewnętrznej składają się z pięciu elementów. Są to: środowisko kontroli, ocena ryzyka, kontrola działania, informacja i komunikacja oraz monitoring.
Począwszy od środowiska kontroli, który jest podstawą dla wszystkich pozostałych elementów kontroli wewnętrznej, do organizacji wprowadza się system zasad (są to głównie: uczciwość, etyka, styl kierownictwa, normy zachowań, procesy zarządzania, procesy organizacyjne), które wpływają na świadomość potrzeby kontroli pracujących w organizacji ludzi. Na kolejnym etapie wykonywana jest identyfikacja zagrożeń z zewnątrz i wewnątrz organizacji poprzez ocenę ryzyka. Ocena ryzyka następuje po określeniu celów organizacji i ma na celu identyfikację i analizę stosownych ryzyk dla osiągnięcia celów przedsiębiorstwa. Efektywny system kontroli wymaga rozpoznania oraz ciągłej oceny ważnych dla jednostki ryzyk, mogących niekorzystnie wpłynąć na osiągnięcie celu. Do najważniejszych ryzyk należą: ryzyko operacyjne, ryzyko utraty odbiorców, ryzyko utraty dostawców, ryzyko utraty kluczowego personelu, ryzyko rynkowe, ryzyko utraty płynności, ryzyko kredytowe, ryzyko walutowe, ryzyko prawne, ryzyko reputacji i inne.