Крім того, у світі існує значний набір підзаконних актів і стандартів, прийнятих у розвиток існуючих законів з питань внутрішнього контролю. Наприклад, міжнародні стандарти аудиту вимагають від зовнішніх аудиторів розуміння бізнес-процесів компанії-клієнта, у т. ч. того, як ці процеси ініціюються, реєструються, обробляються і контролюються. Оскільки бізнес-процеси переважної більшості компаній залежать від інформаційних технологій, то програмні й технічні компоненти інформаційних систем займають найважливіше місце при здійсненні внутрішнього контролю у процесі формування фінансової звітності. Однак, окрім згаданих стандартів, інші нормативні документи українським фахівцям практично недоступні.

На сьогоднішній день, із застосування інформаційних технологій при запровадженні на підприємствах нормативів внутрішнього контролю немає. Є лише певна рекламна інформація деяких фірм — розробників програмного забезпечення, які стверджують, що їхні програмні продукти містять відповідні можливості. Це, наприклад, місцева філія фірми БАР Ав (^^^^архош) та російська фірма Терра-Лінк [2].

Важливою історичною подією щодо внутрішнього контролю стало створення у США в 1985 році Комітету спонсорських організацій Комісії Тредуея (СОБО). Метою його створення була підтримка Національної комісії з питань шахрайств при складанні фінансової звітності— незалежної приватної організації, яка вивчала фактори, що спричиняли шахрайства при підготовці фінансової звітності, та готувала рекомендації для публічних компаній, їхніх незалежних аудиторів, а також для навчальних закладів. До складу Комісії входять аудитори, представники бізнесу, інвестиційних компаній та Нью-Йоркської фондової біржі. Важливим результатом роботи комітету СОБО стало напрацювання у 1992 році "Інтегрованої (концептуальної) основи внутрішнього контролю", яка в редакції 1994 року й досі використовується як база для оцінки корпоративних систем внутрішнього контролю у США згідно із Законом Сарбейнса- Окслі (параграф 404). У 2004 році комітет СОБО випустив більш ґрунтовний документ - "Управління ризиками організації. Інтегрований підхід". Документ 1992 року є складовою частиною документа 2004 року, але одночасно може використовуватися як самостійний документ.

Документ СОБО надає визначення внутрішнього контролю, опис його компонентів, наводить критерії оцінки контрольної системи фірми та методики для складання звітів по системах внутрішнього контролю, а також матеріали, котрі керівники та аудитори можуть використовувати для оцінки таких систем. Головні цілі документа — ввести загальне визначення внутрішнього контролю, яке влаштовувало б різні задіяні сторони, та запропонувати стандарт, за яким організації можуть оцінити й визначити шляхи вдосконалення систем контролю.У документі наголошується, що система внутрішнього контролю — це інструмент, а не замінник управління, і що засоби контролю повинні бути вбудовані в операційну діяльність (а не побудовані на її базі). СОБО визначає внутрішній контроль як процес, здійснюваний радою директорів компанії, менеджментом, іншим персоналом, для забезпечення розумної гарантії досягнення таких цілей:

- ефективність та економічна доцільність операцій;

- надійність фінансового звітування;

- узгодженість із відповідними законами та нормативами [2].

Досягати цього, на нашу думку, можна завдяки таким компонентам внутрішнього контролю: 1) середовище контролю; 2) оцінка ризику;

3) контрольні заходи; 4) інформація та комунікація; 5) моніторинг.

Контрольні заходи містять норми і процедури, які забезпечують виконання працівниками директив керівництва, та охоплюють перегляд системи контролю, розподіл обов'язків і засоби контролю інформаційної системи. Засоби контролю інформаційних систем поділяються на загальні й прикладні. Загальні охоплюють права доступу, програмне забезпечення й розвиток системи, прикладні запобігають помилкам під час упровадження системи або знаходять і коригують існуючі в системі помилки.

COSO розглядає як інформацію, так і комунікації. Щодо інформації переглядає потреби фіксувати відповідну внутрішню й зовнішню інформацію, потенціал стратегічних та інтегрованих систем, а також вимоги до якості даних. Опис комунікацій фокусується на передачі інформації з питань внутрішнього контролю, а також зборі конкурентної, економічної та законодавчої інформації [2].

Моніторинг системи контролю керівники здійснюють шляхом перегляду результатів контрольних заходів і шляхом проведення спеціальних оцінок. Стандартні контрольні заходи включають, наприклад, порівняння наявних активів з обліковими даними, навчальні семінари й перевірки внутрішніх і зовнішніх аудиторів. Спеціальні оцінки можуть бути різними за обсягом та періодичністю. С0S0 наводить обмеження системи внутрішнього контролю, а також роль і обов'язки сторін, що впливають на систему. Обмеження включають помилкову людську думку, неправильне тлумачення інструкцій, помилки, зловживання менеджерів, таємну змову, співвідношення витрат і результатів. С0S0 визначає недоліки як "умови системи внутрішнього контролю, які заслуговують на увагу". Звіт про недоліки повинен бути наданий працівнику, відповідальному за розглянуту ділянку, та вищому керівництву.

Крім того, Закон Сарбейнса-Окслі дозволяє використовувати як концептуальну основу окрім документа СОSО також британський нормативний документ - "Керівництво Торнбулла" від 1999 року. У передмові до видання 2005 року його укладачі зазначають, що британська практика підтвердила справедливість підходу до регулювання, за якого немає потреби детально розписувати методики і процедури внутрішнього корпоративного контролю. "Керівництво Торнбулла" містить подібний до СОSО, проте не ідентичний перелік цілей і компонентів внутрішнього контролю [4].

До основних завдань Національного контрольно-ревізійного управління Великобританії при перевірках ефективності використання державних фінансових ресурсів входить перевірка того, чи має підприємство надійну систему внутрішнього контролю, яка забезпечує економію, продуктивність і ефективність та своєчасне надання керівництву підприємства необхідної управлінської інформації.

Аналогічно відомство Генерального ревізора Канади відносить ревізію системи внутрішнього контролю державних установ і корпорацій до однієї із