Kontrola wewnętrzna ma zastosowanie do wszystkich działań niezależnie od tego, czy mają one charakter finansowy czy niefinansowy. Jest to proces, który pomaga organizacji osiągnąć cele i utrzymać wyniki operacyjne i finansowe, przy jednoczesnym przestrzeganiu zasad i przepisów. Przyczynia się do podejmowania właściwych decyzji, z uwzględnieniem ryzyka dla osiągnięcia celów i ograniczeniem ich do akceptowalnego poziomu za pomocą opłacalnych kontroli.
Ramy kontroli wewnętrznej EU-OSHA są zgodne ze zmienionymi ramami kontroli wewnętrznej Komisji Europejskiej (C(2017) 2373 final z 19 kwietnia 2017 r.). Ramy kontroli wewnętrznej składają się z pięciu elementów kontroli wewnętrznej i 17 zasad. Na podstawie corocznej oceny ryzyka EU-OSHA opracowuje plan działania i czyni kroki mające na celu ograniczenie ryzyka w jak największym stopniu.
Pięć elementów kontroli wewnętrznej oraz 17 zasad to:
Kontrola środowiska
1. EU-OSHA wykazuje zaangażowanie w przestrzeganie zasad uczciwości i wartości etycznych.
2. Rada Zarządzająca wykazuje niezależność od kadry kierowniczej oraz monitoruje rozwój i działanie kontroli wewnętrznej.
3. Dyrektor ustanawia struktury, hierarchię służbową oraz określa właściwe organy i obowiązki służące realizacji celów.
4. EU-OSHA wykazuje zaangażowanie w pozyskiwanie, rozwój i zatrzymywanie kompetentnych pracowników zgodnie z celami.
5. EU-OSHA rozlicza poszczególne osoby z ich obowiązków w zakresie kontroli wewnętrznej przy realizacji celów.
Ocena ryzyka
6. EU-OSHA określa cele w sposób wystarczająco jasny, aby umożliwić ustalenie i ocenę związanego z nimi ryzyka.
7. EU-OSHA identyfikuje zagrożenia dla osiągnięcia swoich celów w całej organizacji i analizuje ryzyko jako podstawę do określenia sposobu zarządzania ryzykiem.
8. W ocenie ryzyka dla osiągnięcia swoich celów EU-OSHA bierze pod uwagę możliwość wystąpienia nadużyć.
9. EU-OSHA identyfikuje i ocenia zmiany, które mogłyby mieć znaczący wpływ na system kontroli wewnętrznej.
Działania kontrolne
10. EU-OSHA wybiera i opracowuje działania kontrolne, które przyczyniają się do zmniejszenia ryzyka dla osiągnięcia celów do dopuszczalnego poziomu.
11. EU-OSHA wybiera i opracowuje ogólne działania kontrolne dotyczące technologii, aby wspierać osiąganie celów.
12. EU-OSHA wdraża działania kontrolne za pomocą polityki korporacyjnej, która określa, czego się oczekuje, oraz za pomocą procedur, które wprowadzają politykę w życie.
Informacja i komunikacja
13. EU-OSHA uzyskuje lub generuje i wykorzystuje odpowiednie informacje o jakości, aby wspierać funkcjonowanie kontroli wewnętrznej.
14. EU-OSHA przekazuje wewnętrznie informacje, w tym dotyczące celów i odpowiedzialności za kontrolę wewnętrzną, niezbędne do wspierania funkcjonowania kontroli wewnętrznej.
15. EU-OSHA komunikuje się z podmiotami zewnętrznymi w sprawach mających wpływ na funkcjonowanie kontroli wewnętrznej.
Działania w zakresie monitoringu
16. EU-OSHA wybiera, opracowuje i przeprowadza bieżące lub oddzielne oceny, aby ustalić, czy elementy kontroli wewnętrznej są obecne i funkcjonują.
17. W stosownych przypadkach EU-OSHA identyfikuje nieprawidłowości w zakresie kontroli wewnętrznej i informuje o nich w odpowiednim czasie podmioty odpowiedzialne za podjęcie działań naprawczych.