Hoạt động kiểm soát là các chính sách, các thủ tục được thiết lập để giải quyết các rủi ro và đảm bảo đạt được mục tiêu của tổ chức. Để đạt được hiệu quả, hoạt động kiểm soát phải phù hợp, thống nhất theo kế hoạch trong suốt một thời kỳ, chi phí hiệu quả, đầy đủ, hợp lý và phải liên quan trực tiếp đến mục tiêu kiểm soát. Hoạt động kiểm soát xảy ra trong toàn tổ chức, các cấp và trong tất cả các chức năng. Chúng bao gồm một loạt các hoạt động kiểm soát phòng ngừa và kiểm soát phát hiện.
Thủ tục uỷ quyền và phê duyệt
Chỉ những người có thẩm quyền mới được thực hiện các nghiệp vụ, các giao dịch liên quan trong phạm vi quyền hạn của họ. Thủ tục ủy quyền, cần được quy định bằng văn bản và truyền đạt rõ ràng cho các nhà quản lý cùng các nhân viên, phải bao gồm những điều khoản cụ thể.
Tuân theo các điều khoản của việc ủy quyền có nghĩa là nhân viên hành động theo chỉ thị, trong giới hạn được thiết lập bởi nhà quản lý và pháp luật.
Phân công nhiệm vụ
Các nhân viên trong đơn vị phải được phân công công việc rõ ràng, chi tiết và nhất thiết phải tuân thủ nguyên tắc bất kiêm nhiệm. Thay vào đó, nhiệm vụ và trách nhiệm phải được phân chia một cách có hệ thống nhằm đảm bảo các nhân viên có thể kiểm tra lẫn nhau. Các chức năng chính thường là phê duyệt, ghi chép, xử lý và bảo quản; và một cá nhân không được thực hiện nhiều hơn một trong bốn chức năng này.
Tuy nhiên, sự thông đồng có thể làm giảm hoặc triệt tiêu hiệu quả của hoạt động kiểm soát nội bộ này. Một tổ chức nhỏ có thể có quá ít nhân viên để thực hiện đầy đủ thủ tục kiểm soát này. Trong trường hợp này, nhà quản lý phải nhận thức được những rủi ro và thay thế bằng thủ tục kiểm soát khác như luân chuyển nhân viên giữa các bộ phận (đảm bảo rằng một người không xử lý toàn bộ nghiệp vụ trong thời gian dài) hoặc yêu cầu các kỳ nghỉ tạm thời (giảm thiểu rủi ro bằng cách đưa các công việc về một vòng quay tạm thời).
Kiểm soát quá trình xử lý thông tin đóng vai trò quan trọng trong hoạt động kiểm soát. Khi kiểm soát quá trình này đơn vị cần đảm bảo hệ thống chứng từ, sổ sách phải được kiểm soát một cách chặt chẽ và các loại nghiệp vụ phải được phê chuẩn một cách đúng đắn, hợp lý. Ngày nay, khi khoa học công nghệ tiến bộ, việc kiểm soát quá trình xử lý thông tin được hỗ trợ ngày càng nhiều của chương trình máy tính, phần mềm. Vì vậy, người ta chia kiểm soát quá trình xử lý thông tin thành: kiểm soát chung và kiểm soát ứng dụng:
Kiểm soát chung: Kiểm soát chung các chính sách và thủ tục áp dụng cho tất cả hoặc một phần lớn của hệ thống thông tin của một thực thể nhằm đảm bảo cho các hệ thống này hoạt động liên tục và ổn định. Kiểm soát chung bao gồm:
- Nhân rộng việc lập kế hoạch và quản lý chương trình bảo mật cung cấp một khuôn khổ và chu kỳ liên tục của hoạt động quản lý rủi ro, phát triển chính sách bảo mật, phân công trách nhiệm và giám sát đầy đủ của hoạt động kiểm soát thông tin. - Kiểm soát truy cập nhằm hạn chế hoặc phát hiện truy cập vào hệ thống thông tin (dữ liệu, chương trình, thiết bị và dịch vụ).
- Kiểm soát việc phát triển, bảo trì và thay đổi các phần mềm ứng dụng ngăn chặn các chương trình trái phép hoặc sửa đổi các chương trình hiện có.
- Kiểm soát và giám sát việc giới hạn truy cập vào các chương trình mạnh mẽ và các tập tin nhạy cảm, kiểm soát phần cứng máy tính và các ứng dụng an toàn được hỗ trợ bởi hệ thống.
- Sự phân công nhiệm vụ ngụ ý rằng các chính sách, thủ tục và cơ cấu tổ chức được thành lập để ngăn chặn một cá nhân kiểm soát tất cả các khía cạnh quan trọng của hệ thống thông tin liên quan (ngăn ngừa các hành động trái phép).
- Kiểm soát tính liên tục của thông tin để đảm bảo rằng khi sự kiện bất ngờ xảy ra, những hoạt động quan trọng vẫn được tiếp tục mà không bị gián đoạn hoặc sẽ nhanh chóng phục hồi và những dữ liệu quan trọng, nhạy cảm được bảo vệ.
Kiểm soát ứng dụng: là các chính sách và thủ tục áp dụng cho một hệ thống riêng biệt, cụ thể nhằm đảm bảo dữ liệu được nhập và xử lý một cách chính xác, đầy đủ cũng như phát hiện các dữ liệu không hợp lý hay chưa được sự xét duyệt của nhà
quản lý. Cụ thể, kiểm soát ứng dụng sẽ tập trung vào việc kiểm soát dữ liệu đầu vào, kiểm soát quá trình xử lý và cuối cùng là kiểm soát dữ liệu đầu ra.
Kiểm soát đối với quyền tiếp cận tài sản
Việc tiếp cận tài sản và dữ liệu được giới hạn cho các cá nhân có thẩm quyền và chịu trách nhiệm tạm giữ hoặc sử dụng các nguồn tài nguyên. Trách nhiệm tạm giữ được chứng minh bằng sự tồn tại của biên lai, hàng tồn kho, hoặc các hồ sơ khác và ghi nhận rõ việc chuyển giao.
Việc hạn chế quyền tiếp cận với các tài sản làm giảm nguy cơ sử dụng trái phép hoặc thiệt hại cho đơn vị và giúp đạt được chỉ thị quản lý. Mức độ hạn chế phụ thuộc vào sự nhạy cảm của các loại tài sản và nhận thức rủi ro về mất mát hoặc sử dụng không đúng. Khi xác định một tài sản nhạy cảm, nên xem xét tính di động và giá trị của nó.
Kiểm tra
Các giao dịch và sự kiện quan trọng nên được xác nhận trước và sau khi thực hiện, ví dụ như khi giao hàng, số lượng hàng hoá cung cấp được xác minh với số lượng hàng đề nghị. Sau đó, số lượng hàng hóa ghi trên hóa đơn được xác minh với số lượng hàng hoá nhận được.
Đối chiếu
Những ghi chép trên sổ sách phải phù hợp với các tài liệu liên quan, ví dụ như các sổ sách kế toán liên quan đến tài khoản ngân hàng phải phù hợp với báo cáo ngân hàng.
Đánh giá về hiệu suất hoạt động
Hiệu suất hoạt động được đánh giá dựa trên một tập hợp các tiêu chuẩn, đánh giá tính hữu hiệu và hiệu quả. Nếu việc đánh giá hiệu suất xác định rằng kết quả thực tế không đáp ứng được các mục tiêu, tiêu chuẩn đã được thiết lập thì các quá trình và các hoạt động đã được thiết lập để đạt được các mục tiêu cần phải được cải tiến.
Đánh giá các quy trình và các hoạt động
Các quy trình và các hoạt động cần được xem xét định kỳ để đảm bảo rằng chúng phù hợp với các quy định hiện hành, chính sách, thủ tục, hoặc các yêu cầu khác.
Giám sát
Sự giám sát thường xuyên giúp đảm bảo rằng các mục tiêu kiểm soát nội bộ đã đạt được. Những người giám sát cũng hướng dẫn và đào tạo cho nhân viên của họ để giúp đảm bảo rằng các lỗi như lãng phí hay các hành vi sai trái được giảm thiểu.