Sarbanes Oxley Act, ellers kjent som SOX, er et meget komplekst stykke lovgivning. Det har innført betydelige endringer i den økonomiske styringen av børsnoterte selskaper i USA. Toppledelsen er nå pålagt å bekrefte at de har gjennomgått interne kontroller og at kontrollene fungerer som de skal. Uavhengige revisorer er pålagt å utstede en rapport som vitner om ledelsens sertifisering av interne kontroller. Revisorer som utfører SOX-overensstemmelsesrevisjon, må være opplært om de nye kravene og hvordan man skal bestemme og måle samsvar for å kunne bekrefte ledelsens sertifisering.
Få en forståelse av SOX-loven og alle overholdelsesproblemene som følger med. De årlige revisjonene krever en mer grundig forståelse av interne kontroller enn tidligere. For å uttale seg om interne kontroller må revisor gjøre nok kontroller for å få høy grad av sikkerhet for effektiviteten. Dette vil kreve at CPA tilstrekkelig tester forebyggende samt detektive kontroller.
Få en forståelse av COSOs interne kontrollramme. Det er fem komponenter til COSOs interne kontrollramme: kontrollmiljø, risikovurdering, informasjon og kommunikasjon, kontrollaktiviteter og overvåking. Revisorene må ha forståelse for alle fem komponentene for å kunne evaluere interne kontroller på riktig måte og attestere for effektiviteten.
Lær hvordan du kartlegger og dokumenterer interne kontroller. Dette innebærer prosesskartlegging (flytdiagrammer) for å vise hvordan en bestemt kontroll eller serie kontroller virker. Revisor vil gjennomgå denne dokumentasjonen og teste kontrollene som en del av revisjonen, så det er viktig at revisor er opplært i prosesskartlegging.
Lær hvordan du tester interne kontroller for å avgjøre om de fungerer som beregnet. Disse testene kan innebære å plukke prøvetransaksjoner for å undersøke for samsvar med interne kontroller og / eller kjørende testdata gjennom kontrollsystemene og undersøke resultatene. I alle fall må revisorer bli trent på disse teknikkene.
Lær hvordan du identifiserer og rapporterer om interne kontrollproblemer. Noen kontrollproblemer kan være forholdsvis små og lette, mens andre kan være en materiell svakhet som skaper en risiko for økonomisk feilinformasjon. Eventuell vesentlig svakhet vil bli rapportert og ledelsen må presentere en korrigerende handlingsplan. Mindre svakheter kunne kommuniseres uformelt og ledelsen kunne rette opp dem uten formelle korrigerende handlingsplaner. Revisorene trenger også opplæring i rapporteringsaspekter av revisjonen.
