Det er ledelsens ansvar å etablere og vedlikeholde et effektivt internkontrollsystem. Som en del av en finansiell revisjon må revisorene få en forståelse av det interne kontrollsystemet og å avgjøre om internkontrollsystemet fungerer som beregnet. Revisorer vurderer interne kontroller ved å gjennomføre gjennomganger for å få forståelse for de interne kontrollene og å vurdere den samlede risikoen for vesentlig feilinformasjon i regnskapet.
Dokument klasser av transaksjoner som har vesentlig effekt på regnskapet. Dette er klassene av transaksjoner som er nøkkelen til regnskapet, fordi de har et stort dollarvolum. For eksempel vil kontantinnskudd og kontantutbetalinger alltid være nøkkelen til regnskapet, fordi de representerer kontanter som kommer inn og går ut av selskapet. For å dokumentere alle signifikante transaksjonsklasser må det være noen parametere som går forbi (det vil si en materialitetsterskel) som etablerer et dollarbeløp som anses som vesentlig for regnskapet. Når alle viktige transaksjonsklasser er identifisert og dokumentert, blir klienten bedt om å gi en beskrivelse av prosessene for hver klasse.
Dokumentere forståelse av klientens system for interne kontroller ved å bruke beskrivelsen av prosedyrer for hver signifikant transaksjonsklasse levert av klienten. Sarbanes Oxley Act har resultert i vesentlige endringer i måten interne kontroller utformes, dokumenteres, overvåkes og vedlikeholdes. Den resulterende forbedrede dokumentasjonen (dvs. prosesskart) som ledelsen er nødvendig for å opprettholde, muliggjør at revisor får en forståelse av klientens interne kontrollsystem. Revisorer bruker sjekklister, flytskjemaer, fortellinger og interne kontroll spørreskjemaer for å dokumentere forståelsen av klientens interne kontrollsystem.
Velg en prøve transaksjon fra hver av de viktigste transaksjonsklassene. Bestem om transaksjonsprøven er korrekt gjennom det interne kontrollsystemet i samsvar med din forståelse og dokumentasjonen for hvordan systemet skal fungere. Eksempelvis velger revisor en kontant utbetalingstransaksjon og sporer den fra begynnelse til slutt gjennom kundens system (dvs. fra en godkjent innkjøpsordreforespørsel til den utstedte innkjøpsordren, til dokumentasjon av levering og inspeksjon av varer til opptaket i betalbar betaling, betaling og utstedelse av betaling, kontroll av banken og oppføring på kontoutskriften), notering og dokumentasjon av eventuelle avvik fra de dokumenterte interne kontrollprosedyrene.
Diskuter resultatene av gjennomgangen med ledelsen og informer ledelsen om eventuelle mangler som trenger umiddelbar oppmerksomhet. Dokumentere eventuelle endringer i risikovurderinger og om den samlede risikoen for at vesentlig feilinformasjon i regnskapet kan oppstå, har endret seg på noen måte (økt eller redusert). Dokumentere funnene i revisjonsarbeidspapirene og fremheve eventuelle funn som kan bli presentert for ledelsen i et ledelsesbrev eller som kan påvirke revisjonsuttalelsen på noen måte.
