Actul Sarbanes Oxley, altfel cunoscut sub numele de SOX, este o legislație foarte complexă. A introdus modificări semnificative în gestionarea financiară a societăților cotate la bursă în Statele Unite. Managementul de vârf este acum obligat să certifice că au revizuit controalele interne și că controalele funcționează corect. Auditorii independenți trebuie să elaboreze un raport care să ateste certificarea de către conducere a controalelor interne. Auditorii care efectuează audituri de conformitate SOX trebuie instruiți cu privire la noile cerințe și la modul de determinare și măsurare a conformității, pentru a atesta certificarea managementului.
Obțineți o înțelegere a legii SOX și a tuturor aspectelor de conformitate care merg împreună cu ea. Auditurile anuale necesită o înțelegere mai aprofundată a controalelor interne decât în trecut. Pentru a-și exprima opinia cu privire la controalele interne, auditorul trebuie să facă teste suficiente de controale pentru a obține un nivel ridicat de asigurare cu privire la eficacitatea acestora. Acest lucru va necesita CPA pentru a testa în mod adecvat de control preventiv, precum și de detectiv.
Obțineți o înțelegere a cadrului de control intern al COSO. Există cinci componente ale cadrului de control intern al COSO: mediul de control, evaluarea riscurilor, informarea și comunicarea, activitățile de control și monitorizarea. Auditorii trebuie să aibă o înțelegere a tuturor celor cinci componente pentru a evalua în mod corespunzător controalele interne și atestă eficiența acestora.
Aflați cum puteți să cartografiați și să documentați comenzile interne. Aceasta implică maparea proceselor (flow charting) pentru a arăta cum funcționează un anumit control sau o serie de comenzi. Auditorul va examina această documentație și va testa controalele ca parte a auditului, deci este important ca auditorul să fie instruit în procesul de cartografiere a proceselor.
Aflați cum să testați controalele interne pentru a determina dacă funcționează conform destinației. Aceste teste pot presupune selectarea tranzacțiilor de tip eșantion pentru a examina conformitatea cu controalele interne și / sau rularea datelor de testare prin sistemele de control și examinarea rezultatelor. În orice caz, auditorii trebuie să fie instruiți în legătură cu aceste tehnici.
Aflați cum să identificați și să raportați problemele de control intern. Unele probleme de control pot fi relativ mici și ușor de stabilit, în timp ce altele pot constitui o slăbiciune materială care creează riscul de denaturare financiară. Orice slăbiciune materială ar fi raportată, iar managementul ar trebui să prezinte un plan de măsuri corective. Slăbiciunile minore pot fi comunicate informal și conducerea ar putea să le corecteze fără planuri formale de acțiune corectivă. Auditorii au nevoie de instruire și în ceea ce privește aspectele legate de raportare ale auditului.
