Det er ledelsens ansvar at etablere og opretholde et effektivt internt kontrolsystem. Som led i revisionen af regnskabsaflæggelsen skal revisorerne få en forståelse af det interne kontrolsystem og afgøre, om det interne kontrolsystem fungerer efter hensigten. Revisorer gennemgår interne kontroller ved at gennemføre gennemløb for at få en forståelse af de interne kontroller og at vurdere den samlede risiko for væsentlig fejlinformation i årsregnskabet.
Dokumentere de transaktionsklasser, der har væsentlig indflydelse på årsregnskabet. Disse er de klasser af transaktioner, der er nøglen til årsregnskabet, fordi de har et stort dollarvolumen. Kontantindtægter og kontantudbetalinger vil f.eks. Altid være nøglen til årsregnskabet, fordi de repræsenterer de kontanter, der kommer ind og går ud af virksomheden. For at dokumentere alle væsentlige transaktionsklasser skal der være nogle parametre til at gå forbi (dvs. en materialitetstærskel), der etablerer et dollarbeløb, der anses for væsentligt for årsregnskabet. Når alle væsentlige transaktionsklasser er blevet identificeret og dokumenteret, bliver kunden bedt om at give en beskrivelse af processerne for hver klasse.
Dokumentere en forståelse af kundens system for interne kontroller ved hjælp af beskrivelsen af procedurer for hver væsentlig transaktionsklasse, der leveres af kunden. Sarbanes Oxley Act har resulteret i betydelige ændringer i den måde, interne kontroller er designet, dokumenteret, overvåget og vedligeholdt. Den resulterende forbedrede dokumentation (dvs. proceskort), som ledelsen er forpligtet til at opretholde, letter auditoren at få en forståelse af klientens system for intern kontrol. Revisorer bruger checklister, flowcharts, fortællinger og interne kontrol spørgeskemaer til at dokumentere deres forståelse af klientens interne kontrolsystem.
Vælg en prøve transaktion fra hver af de væsentlige transaktionsklasser. Bestem, om transaktionsprøven passer korrekt gennem det interne kontrolsystem i overensstemmelse med din forståelse og dokumentationen for, hvordan systemet skal fungere. Eksempelvis vælger revisor en kontant udbetalingstransaktion og sporer den fra begyndelsen til slutningen gennem kundens system (dvs. fra en godkendt indkøbsforespørgsel til den udstedte købsordre til dokumentationen for levering og inspektion af varer til optagelsen i betalinger, betaling og udstedelse af betaling, check af rydning af banken og opgørelse på kontoudskrift), notering og dokumentation af eventuelle afvigelser fra de dokumenterede interne kontrolprocedurer.
Diskuter resultaterne af walkthrough med ledelsen og informer ledelsen om eventuelle mangler, der kræver øjeblikkelig opmærksomhed. Dokumentér eventuelle ændringer i risikovurderinger, og om den samlede risiko for væsentlig fejlinformation i årsregnskabet er ændret på nogen måde (øget eller reduceret). Dokumentere resultaterne i revisionsarbejdsdokumenterne og fremhæve eventuelle resultater, der kan præsenteres for ledelsen i et ledelsesbrev eller som kan påvirke revisionsudtalelsen på nogen måde.
