- การดำเนินงานของกิจการ เป็นไปอย่างมีประสิทธิภาพตามนโยบายและเป้าหมายที่กำหนดไว้ ซึ่งหมายถึงการใช้ทรัพยากรทั้งหมดของกิจการรวมทั้งทรัพยากรบุคคลให้มีประโยชน์ต่อกิจการมากที่สุด
- รายงานหรืองบการเงินของกิจการ ไม่ว่าจะเป็นรายงานภายในหรือภายนอกต้องมีความถูกต้องเชื่อถือได้และทันกาลเพื่อให้เป็นประโยชน์ต่อผู้ใช้รายงานเหล่านั้นมากที่สุด นอกจากนั้นรายงานที่เสนอต่อบุคคลภายนอก เช่น ผู้ถือหุ้น - เจ้าหนี้ ผู้ถือหุ้น - นักลงทุน และส่วนราชการจะต้องจัดทำขึ้นตามหลักการบัญชีที่รับรองทั่วไป
- มีการปฏิบัติงานให้เป็นไปตามกฏ ระเบียบ และข้อบังคับทั้งของกิจการและส่วนราชการที่มีหน้าที่กำกับดูแล
- สภาพแวดล้อมของการควบคุม (Control Environment)
- การประเมินความเสี่ยง (Risk Assessment)
- กิจกรรมการควบคุม (Control Activities)
- ข้อมูลสารสนเทศและการสื่อสารในองค์กร (Information and Communication)
- การติดตามประเมินผล (Monitoring)
ปัจจัยหลายๆอย่าง ซึ่งมีผลกระทบต่อการควบคุมของกิจการ ผลกระทบดังกล่าวอาจจะเป็นไปในทางบวกคือ มีส่วนส่งเสริมให้ส่วนประกอบของการควบคุมส่วนอื่นพัฒนาขึ้นและสามารถทำงานร่วมกันได้ จนเป็นระบบการควบคุมภายในที่มีประสิทธิภาพ หรืออาจมีผลในทางลบคือเป็นอุปสรรคต่อการเกิดขึ้น และการพัฒนาของส่วนประกอบอื่นๆ จนทำให้เป็นระบบการควบคุมภายในที่มีจุดบกพร่องหรือจุดอ่อนมากมายจนไม่สามารถทำงานให้มีประสิทธิภาพได้
2.การประเมินความเสี่ยง (Risk Assessment)
ปัจจัยต่างๆ ที่ทำให้เกิดความเสี่ยงหรือทำให้ความเสี่ยงมีระดับสูงขึ้นซึ่งมีทั้งปัจจัยภายในและปัจจัยภายนอกกิจการ เช่น
- ผู้บริหารไม่มีความซื่อสัตย์ เช่น มีการอนุมัติเงินกู้ยืมให้พวกพ้องของตนโดยไม่มีหลักประกันที่เพียงพอ
- ไม่มีผังการจัดองค์กรที่แสดงการแบ่งแยกหน้าที่ของพนักงานระดับต่างๆ อย่างชัดเจน ทำให้มีการปฏิบัติงานอย่างซ้ำซ้อนกันและมีการละเลยไม่ปฏิบัติงานทีสำคัยอีกหลายอย่าง
- พนักงานไม่มีความรู้ความสามารถอย่างเพียงพอ ทำให้มีการทำงานผิดอยู่เป็นประจำ
- ไม่มีนโยบายและวิธีบริหารบุคลากรที่เหมาะสม ทำให้มีการหมุนเวียนบุคลากรสูง และต้องเสียเวลาอย่างมากในการฝึกหัดพนักงานใหม่
นโยบายและวิธีการที่ฝ่ายบริหารกำหนดขึ้นเพื่อให้บรรลุวัตถุประสงค์ในการควบคุมความเสี่ยง ดังนี้
- มีการแบ่งแยกหน้าที่อย่างเพียงพอ เช่น
- หน้าที่ผู้ทำบัญชีคุมเงินสด หรือคุมสินค้า
- หน้าที่ในการอนุมัติการจ่ายเงินตามใบสั่งซื้อ และหน้าที่ในการออกเช็คสั่งจ่ายเงิน
- หน้าที่ในการปฏิบัติงาน แยกต่างหากจากผู้ทำรายงาน
- มีเอกสารและบันทึกทางการบัญชีอย่างถูกต้องเหมาะสม
- มีการควบคุมสินทรัพย์แบะบันทึกทางการบัญชีให้ปลอดภัยทั้งจากภัยธรรมชาติและการนำไปใช้ในทางที่ไม่ถูกต้อง
- มีการตรวจสอบที่เป็นอิสระ
- การตรวจสอบที่กำหนดไว้ภายในระบบของกิจการ (Internal verification) เป็นการตรวจสอบในระดับผู้ปฏิบัติงาน
- การสอบทานโดยผู้บริหาร (Management Review) ผู้บริหารของกิจการแบ่งออกเป็นหลายระดับผู้บริหารแต่ละระดับจะทำการสอบทานในเรื่องที่มีความสำคัญแตกต่างกันออกไป
ข้อมูลสารสนเทศ เกี่ยวกับรายการที่ผ่านวิธีประมวลผลให้เป็นข้อมูลสารสนเทศ (Information) ที่สามารถนำไปใช้ในการตัดสินใจของผู้บริหาร เป็นทั้งข้อมูลสารสนเทศที่เกี่ยวกับการบริหารและทางการเงินการบัญชี
5.การติดตามเพื่อประเมินผล
การติดตามเพื่อประเมินผล อาจทำอย่างต่อเนื่องหรือเป็นครั้งคราวแล้วแต่ความจำเป็นในแต่ละกรณี ในกิจการใดก็ตามถึงแม้ว่าจะมีการวางระบบควบคุมภายในไว้อย่างดีแล้ว แต่เมื่อเวลาผ่านไปทำให้สถานการณ์เปลี่ยนแปลงไปด้วยเป็นต้นว่า มีการนำเทคโนโลยี่ใหม่เข้ามาใช้ มีการขยายกิจการหรือตั้งสาขาใหม่ ส่วนราชการที่มีหน้าที่กำกับดูแลได้ออกกฏระเบียบใหม่ ๆ ซึ่งมีผลกระทบต่อการดำเนินงานของบริษัท ฯลฯ ปัจจัยเหล่านี้ย่อมมีผลกระทบต่อระบบการควบคุมภายในของบริษัท ทำให้ไม่สามารถนำมาใช้ได้อย่างมีประสิทธิผลอีกต่อไปจึงจำเป็นต้องมีการติดตามเพื่อประเมินผลอย่างสม่ำเสมอ เพื่อดูว่าระบบดังกล่าวยังคงใช้ปฏิบัติได้หรือไม่ อาจต้องมีการตัดทอนหรือเพิ่มเติมมาตรการใดบ้างเพื่อให้ยังคงใช้ได้ หรือกิจการบางแห่งก็ได้เริ่มนำคอมพิวเตอร์เข้ามาใช้ในการประมวลผลข้อมูล และได้กำหนดให้ผู้ตรวจสอบภายในเข้ามามีส่วนร่วมในการวางระบบ ในกรณีนี้การประเมินประสิทธิผลของระบบ จงควรเป็นหน้าที่ของผู้สอบบัญชี หรือผู้เชี่ยวชาญทางด้านการวางระบบด้วยคอมพิวเตอร์