ขั้นตอนการปฏิบัติงานกระบวนการและกลไกขององค์กรเป็นหัวใจหลักของระบบการบริหารความเสี่ยง ขั้นตอนเหล่านี้มักรู้จักกันในชื่อการควบคุมภายในเพื่อให้แน่ใจว่าพนักงานปฏิบัติตามคำแนะนำของผู้บริหารระดับสูงแนวปฏิบัติในอุตสาหกรรมและแนวทางปฏิบัติด้านกฎระเบียบเมื่อปฏิบัติงาน ผู้ตรวจสอบภายในจะควบคุมการทดสอบเพื่อให้มั่นใจว่ามีความเพียงพอและมีประสิทธิภาพ
การควบคุมภายในที่กำหนด
การควบคุมภายในคือชุดคำสั่งและขั้นตอนที่ผู้บริหารระดับสูงกำหนดไว้เพื่อป้องกันความสูญเสียในการปฏิบัติงานอันเป็นผลมาจากความผิดพลาดของพนักงานการละเลยหรือการฉ้อโกง ตัวอย่างเช่นการควบคุมในบัญชีลูกหนี้และแผนกการเรียกเก็บเงินของห้างสรรพสินค้าอาจแนะนำพนักงานเกี่ยวกับวิธีการชำระเงินด้วยเงินสด การควบคุมภายในยังช่วยผู้บริหารระดับสูงในการป้องกันความสูญเสียอันเนื่องมาจากความผิดปกติทางเทคโนโลยี ตัวอย่างเช่นหัวหน้างานของร้านสามารถสั่งพนักงานขายเกี่ยวกับวิธีจัดการธุรกรรมบัตรเครดิตและบัตรเดบิตในกรณีที่ระบบคอมพิวเตอร์ล่ม
ควบคุมความเพียงพอ
ผู้ตรวจสอบภายในทำการทดสอบสองด้านของการควบคุม - ความเพียงพอและประสิทธิผล การควบคุมนั้นเพียงพอหากมีรายละเอียดขั้นตอนและขั้นตอนที่พนักงานต้องปฏิบัติตามอย่างชัดเจน เพื่อแสดงให้เห็นว่าการควบคุมอาจสั่งให้เสมียนจัดส่งเกี่ยวกับวิธีการบันทึกสินค้าที่เก็บไว้ที่คลังสินค้าและลงนามในใบตราส่งสินค้า การควบคุมที่เพียงพอยังอธิบายขั้นตอนการตัดสินใจและการรายงานปัญหา ตัวอย่างเช่นการควบคุมการจัดส่งสามารถกำหนดให้เสมียนแจ้งผู้จัดการหากสินค้าที่ได้รับมีมูลค่ามากกว่า $ 10,000
ประสิทธิผลในการควบคุม
การควบคุมมีประสิทธิภาพหากมีวิธีการแก้ไขปัญหาการควบคุมภายในที่เหมาะสม ตัวอย่างเช่นผู้จัดการฝ่ายบัญชีลูกหนี้ที่ร้านค้าปลีกขนาดเล็กเชื่อว่าพนักงานอาจขโมยเงินสดได้เนื่องจากจำนวนรายได้จากการขายไม่ตรงกับที่ได้รับ เขาสามารถกำหนดขั้นตอนที่ต้องการให้ส่งเช็คลูกค้าไปยังที่อยู่ใหม่และขอให้พนักงานสามคนในแผนกต่างๆบันทึกการชำระเงินสด การควบคุมใหม่มีผลบังคับใช้หากผู้จัดการบันทึกว่ายอดเงินสดในขณะนี้ตรงกับยอดขาย
ประเภท
ผู้ตรวจสอบภายในอาจทดสอบการควบคุมต่าง ๆ ขึ้นอยู่กับวัตถุประสงค์การตรวจสอบขนาดของ บริษัท และอุตสาหกรรม ผู้สอบบัญชีอาจทดสอบขั้นตอนในกลไกการรายงานทางการเงินเพื่อให้แน่ใจว่างบการเงินนั้นถูกต้องและครบถ้วนและสอดคล้องกับหลักการบัญชีที่รับรองทั่วไป (GAAP) การทดสอบการควบคุมการปฏิบัติงานช่วยให้ผู้สอบบัญชีประเมินความเพียงพอและประสิทธิผลของการควบคุมในระดับส่วนงาน ผู้ตรวจสอบยังสามารถทดสอบระบบเทคโนโลยีสารสนเทศ (IT) เพื่อป้องกันความเสียหายที่เกิดจากความผิดปกติของไอที
การทดสอบความสำคัญ
การทดสอบการควบคุมภายในเป็นวิธีปฏิบัติที่สำคัญเพราะช่วยให้ บริษัท มีความเป็นผู้นำอันดับต้น ๆ ในการป้องกันความสูญเสียในการดำเนินงานอันเป็นผลมาจากข้อผิดพลาดหรือความล้มเหลว การทดสอบยังช่วยหัวหน้าแผนกให้มั่นใจว่าพนักงานปฏิบัติตามกฎระเบียบภายในกฎหมายและข้อบังคับเมื่อปฏิบัติหน้าที่ โดยทั่วไปผู้สอบบัญชีจะใช้มาตรฐานการสอบบัญชีที่ยอมรับกันทั่วไป (GAAS) เมื่อทดสอบการควบคุมภายในและประเมินว่าเป็น "สูง" "ปานกลาง" และ "ต่ำ" ตามการคาดการณ์การสูญเสีย