Sarbanes Oxley Act, ellers kendt som SOX, er et meget komplekst stykke lovgivning. Det har indført betydelige ændringer i den økonomiske forvaltning af børsnoterede selskaber i USA. Den øverste ledelse skal nu certificere, at de har gennemgået interne kontroller, og at kontrollerne fungerer korrekt. Uafhængige revisorer er forpligtet til at udstede en rapport, der attesterer ledelsens certificering af interne kontroller. Revisorer, der udfører SOX-overensstemmelsesrevisioner, skal trænes på de nye krav og hvordan man kan bestemme og måle overholdelse for at attestere ledelsens certificering.
Få en forståelse af SOX loven og alle de overholdelsesproblemer, der følger med det. De årlige revisioner kræver en mere dybtgående forståelse af interne kontroller end tidligere. For at udtale sig om interne kontroller skal revisor foretage tilstrækkelige kontrolprøver for at opnå høj grad af sikkerhed for deres effektivitet. Dette vil kræve, at CPA på passende måde tester forebyggende såvel som detektiv kontrol.
Få en forståelse af COSO's interne kontrolramme. Der er fem komponenter til COSO's interne kontrolramme: kontrolmiljø, risikovurdering, information og kommunikation, kontrolaktiviteter og overvågning. Revisorerne skal have en forståelse for alle fem komponenter for korrekt at kunne evaluere interne kontroller og attestere deres effektivitet.
Lær, hvordan du kortlægger og dokumenterer interne kontroller. Dette indebærer proces kortlægning (flow charting) for at vise, hvordan en bestemt kontrol eller serie af styringer fungerer. Revisor vil gennemgå denne dokumentation og afprøve kontrollen som en del af revisionen, så det er vigtigt, at revisor er uddannet i proceskortlægning.
Lær hvordan du tester interne kontroller for at afgøre, om de virker som de skal. Disse tests kan indebære at vælge stikprøver, der skal undersøges for at overholde interne kontroller og / eller løbende testdata gennem kontrolsystemerne og undersøge resultaterne. Under alle omstændigheder skal revisorer trænes på disse teknikker.
Lær, hvordan du identificerer og rapporterer om interne kontrolproblemer. Nogle kontrolproblemer kan være forholdsvis små og let fastsatte, mens andre kan være en materiel svaghed, der skaber risiko for økonomisk fejlinformation. Enhver materiel svaghed vil blive rapporteret, og ledelsen skal fremlægge en korrigerende handlingsplan. Mindre svagheder kunne formidles uformelt og ledelsen kunne rette op på dem uden en formel korrigerende handlingsplan. Revisorer har også brug for træning i revisionsrapporteringsaspekterne af revisionen.
