La Llei Sarbanes Oxley, també coneguda com SOX, és una legislació molt complexa. Ha introduït importants canvis en la gestió financera de les empreses comercialitzades als Estats Units. Ara es requereix una alta direcció per certificar que han revisat els controls interns i que els controls funcionen correctament. Els auditors independents estan obligats a emetre un informe que acrediti la certificació dels controls interns de la direcció. Els auditors que realitzen auditories de compliment SOX s'han de capacitar sobre els nous requisits i sobre com determinar i mesurar el compliment per tal de donar fe de la certificació de la direcció.
Obteniu una comprensió de la llei SOX i tots els problemes de compliment que acompanyen. Les auditories anuals requereixen una comprensió més profunda dels controls interns que en el passat. Per tal d'expressar una opinió sobre controls interns, l'auditor ha de fer proves suficients de controls per obtenir uns nivells elevats de garantia sobre la seva efectivitat. Això requerirà que la CPA prova adequadament els controls preventius i detectius.
Obteniu una comprensió del marc de control intern de COSO. Hi ha cinc components per al marc de control intern COSO: entorn de control, avaluació de riscos, informació i comunicació, activitats de control i seguiment. Els auditors han de comprendre els cinc components per avaluar adequadament els controls interns i demostrar la seva eficàcia.
Obteniu informació sobre com cartografiar i documentar controls interns. Això implica mapatge de processos (diagrama de flux) per mostrar com funciona un determinat control o sèrie de controls. L'auditor revisarà aquesta documentació i provarà els controls com a part de l'auditoria, per la qual cosa és important que l'auditor estigui format en l'assignació de processos.
Obteniu informació sobre com provar controls interns per determinar si estan treballant segons el previst. Aquestes proves poden incloure la selecció de transaccions de mostra per examinar el compliment dels controls interns i / o executar dades de prova a través dels sistemes de control i examinar els resultats. En qualsevol cas, els auditors han de ser entrenats en aquestes tècniques.
Obteniu informació sobre com identificar i informar sobre problemes de control intern. Alguns problemes de control poden ser relativament menors i fàcilment fixos, mentre que altres poden ser una debilitat material que crea un risc d'equivocació financera. Es reportaria qualsevol debilitat material i la gestió hauria de presentar un pla d'acció correctiva. Les debilitats menors es podrien comunicar de forma informal i la gestió podria corregir-les sense un pla d'acció correctiva formal. Els auditors també necessiten formació sobre els aspectes informatius de l'auditoria.
