Activitățile de control sunt politicile și procedurile stabilite pentru abordarea riscurilor în vederea atingerii obiectivelor instituției (Activitate semnificativă pentru entitate –> Obiective –> Riscuri –> Controale).
Pentru a fi eficiente, activitățile de control trebuie să fie adecvate, trebuie să funcționeze permanent în conformitate cu planul pentru perioada respectivă și să fie rentabile, să fie înțelese rapid și just, să fie rezonabile și integrate în alte componente ale controlului intern.
Activitățile de control se desfășoară în întreaga instituție, la toate nivelurile și funcțiile acesteia.
Există o gamă diversă de activități de control care pot fi de depistare și de prevenire, cum ar fi, de exemplu:
1. Proceduri de autorizare și aprobare;
2. Separarea îndatoririlor (autorizare, procesare, înregistrare, revizuire);
3. Controale privind accesul la resurse și înregistrări;
4. Verificări;
5. Reconcilieri;
6. Analize ale performanței de funcționare;
7. Revizuiri ale operațiilor, proceselor și activităților;
8. Supervizare.
Activitățile de control (1) – (3) sunt preventive, (4) – (6) au mai degrabă caracter de depistare iar (7) și (8) sunt și de prevenire și de depistare/detectare.
Controalele de prevenire se realizează în timpul derulării operațiunilor înainte de a se trece la faza următoare și de regulă, înaintea înregistrării operațiunii respective. Aceste controale se materializează într-o semnătură sau o viză dată pe documente de către persoanele abilitate.
Controalele de detectare sunt efectuate asupra unui grup de operațiuni de aceeași natură (prin sondaj) cu scopul de a descoperi anomaliile în funcționarea sistemului sau pentru a se asigura că aceste anomalii nu există.
Instituțiile trebuie să atingă un echilibru adecvat între activitățile de detectare și cele de control preventive, adesea recurgându-se la o combinare de controale pentru a compensa dezavantajele particulare ale controalelor individuale.
Măsurile corective sunt o completare necesară la activitățile de control pentru atingerea obiectivelor.
Activităţile de control privind tehnologia informaţiilor
Deoarece tehnologia informaţiilor a avansat, instituţiile au devenit tot mai dependente de sistemele informatice care le efectuează operaţiile şi procesează, menţin şi raportează informaţiile esenţiale.
Drept urmare, siguranţa şi securitatea datelor informatice şi a sistemelor care procesează, stochează şi raportează aceste date reprezintă o preocupare majoră a conducerii şi a auditorilor din instituţii.
Sistemele informaţionale implică tipuri specifice de activităţi de control, tehnologia informaţiei nu este un element de control ce ”se susţine singur”. Utilizarea sistemelor automatizate de procesare a informaţiilor introduce mai multe riscuri care trebuie avute în vedere de instituţie.
Aceste riscuri provin, printre altele, din:
- procesarea uniformă a tranzacţiilor;
- sisteme informatice care iniţiază automat tranzacţii;
- potenţial sporit de erori nedetectate;
- natura componentelor hardware şi a soft-urilor utilizate;
- înregistrarea de operațiuni economice care nu sunt obişnuite sau nu sunt frecvente (de rutină).
De exemplu, un risc inerent de la procesarea uniformă a operațiunilor este că eroarea care rezultă din probleme de programare informatică va apărea sistematic în operațiunile similare. Controalele eficiente privind tehnologia informaţiilor pot oferi conducerii o asigurare rezonabilă că informaţiile procesate de sistemele sale informatice îndeplinesc obiectivele de control preconizate, cum ar fi asigurarea integralităţii, oportunităţii şi valabilităţii datelor şi păstrarea integrităţii acestora. Sistemele informatice implică tipuri speciale de activităţi de control.