کنترل های داخلی با هدف رویارویی با ریسک ها تعریف می شوند. از این رو باید دارای مجموعه ای از ویژگی های مطلوب باشند تا بتوانند اثربخش باشند. انجمن بین المللی حسابرسان داخلی 12 ویژگی را به شرح زیر برای کنترل های داخلی را بیان نموده است. در طراحی کنترل های داخلی باید این ویژگی ها مورد توجه قرار گیرد. هرگونه ضعف در کنترل های داخلی می تواند اثربخشی آنها را در رویارویی با ریسک ها تضعیف نماید و سازمان را با مخاطراتی در دستیابی به اهداف خود روبرو سازد.
عملیاتی
کنترل های داخلی باید به نحوی طراحی شوند که براساس نظام و مدل عملیاتی سازمان قابل اجرا باشند. مدل عملیاتی سازمان مجموعه ای از فرآیندها، روش ها، تجهیزات، منابع و نیروهای عملیاتی هستند که وظیفه اصلی سازمان را اجرا می کنند. کنترل های داخلی باید با مدل عملیاتی سازگار و مطابق باشند. به عنوان مثال در سازمانی که بخش اعظم کارها به صورت فیزیکی انجام می شود طراحی کنترل های کاملا الکترونیکی می تواند عملیاتی نباشد.
پایدار
کنترل ها باید در طول زمان رفتار یکسان و پایداری را از خود نشان دهند. رمز چنین رفتاری در نظر گرفتن استثنائات و پاسخگویی به آنها به نحو مطلوب است. زمانی که یک استثنا رخ می دهد کنترل باید بتواند تا حد امکان واکنش مناسبی را نسبت به آن نشان دهند. در غیر این صورت کنترل در برخی از موارد رفتار مطلوب و در برخی موارد دیگر رفتار نامشخصی را از خود نشان می دهد.
ساده
کنترل های داخلی باید حتی الامکان ساده بوده و اجرای آنها نیازمند پیچیدگی زیادی نباشد. کنترل های پیچیده نیازمند دستورالعمل های مفصل و آموزش گسترده هستند و اجرای آنها نیز با استفاده از ابزارهای پیچیده میسر خواهد بود. کنترل های پیچیده خود می توانند باعث بروز برخی از ریسک ها شوند و در عمل اثربخش نباشند.
کامل
کنترل های داخلی که برای یک ریسک خاص طراحی می شوند باید کامل بوده و تمامی ابعاد عملیاتی و فرآیندی مربوطه را پوشش دهند. در موارد که کنترل های داخلی ضعف دارند و امکان طراحی آنها به صورت کامل وجود ندارد از کنترل های تکمیلی و جبرانی استفاده می شود. کنترل های ناقص تنها برخی از شرایطی که کنترل با آنها روبرو است را پوشش می دهند.
اجرایی
کنترل ها باید براساس امکانات و قابلیت های سازمان طراحی شوند به نحوی که در عمل قابل اجرا باشند. برخی از کنترل ها در طراحی بسیار، جذاب و قابل توجه هستند لیکن قابلیت اجرایی ندارند. محدودیت های اجرایی کنترل ممکن است ناشی از محدودیت های سازمانی از جمله فرآیندها، روش های عملیاتی، تجهیزات و منابع در دسترس باشد.
قابل استفاده
قابل استفاده بودن بدین معنا است که کارکنان بتوانند کنترل را پیاده سازی کنند. از این رو باید کنترل اولا با سطح توانمندی ها و قابلیت های آنها تطابق داشته باشد و ثانیا مسیر و دستورالعمل مشخصی برای اجرای آن وجود داشته باشد.
مناسب
کنترل باید برای کاهش تاثیرات ریسک مورد نظر مناسب باشد. به عبارت دیگر کنترل باید دقیقاً برای رویارویی با ریسک طراحی شده باشد. ممکن است کنترل در نگاه اول جذاب و کامل به نظر برسد لیکن نتواند هدف مورد نظر را تامین کند چرا که اصلا با هدف مورد انتظار آن تطابقی نداشته باشد.
مقرون به صرفه
منافع کنترل باید بیش از هزینه های کنترل باشد. به عبارت دیگر کنترل باید بتواند به ازای هزینه ای که برای طراحی و پیاده سازی آن تخصیص می یابد، منافعی بالاتر را ناشی از کاهش ریسک ها برای سازمان تامین کند.
در زمان مناسب
کنترل باید بتواند در زمان مناسب واکنش نشان دهد. به عبارت دیگر واکنش کنترل باید در زمانی باشد که به نحو مطلوبی تاثیرات نامطلوب ریسک را محدود نموده یا کاهش دهد.
با معنی
کنترل باید براساس ادبیات و مبانی عملی سازمان طراحی گردد به نحوی که تمامی کارکنان در سازمان درک مشخصی نسبت به آن داشته باشند.
منطقی
کنترل های داخلی باید براساس مبانی علمی و ادبیات حرفه ای مورد نظر صحیح و درست باشد. به عنوان مثال کنترل های مالی باید با اصول حسابداری در تطابق بوده و براساس اصول مدیریت مالی و حسابداری صحیح و منطقی باشند.
سازگار
کنترل های داخلی نباید با سایر کنترل های داخلی سازمان در تناقض باشند.