Sarbanes Oxley Act, atau dikenal sebagai SOX, adalah undang-undang yang sangat kompleks. Ini telah memperkenalkan perubahan signifikan pada manajemen keuangan perusahaan publik di Amerika Serikat. Manajemen puncak sekarang diperlukan untuk menyatakan bahwa mereka telah meninjau kontrol internal dan bahwa kontrol berfungsi dengan benar. Auditor independen diharuskan menerbitkan laporan yang membuktikan sertifikasi manajemen untuk pengendalian internal. Auditor yang melakukan audit kepatuhan SOX harus dilatih tentang persyaratan baru dan cara menentukan dan mengukur kepatuhan untuk membuktikan sertifikasi manajemen.
Dapatkan pemahaman tentang hukum SOX dan semua masalah kepatuhan yang menyertainya. Audit tahunan membutuhkan pemahaman yang lebih mendalam tentang kontrol internal daripada di masa lalu. Untuk menyatakan pendapat tentang kontrol internal, auditor harus melakukan tes kontrol yang memadai untuk mendapatkan tingkat kepastian yang tinggi tentang efektivitasnya. Ini akan membutuhkan CPA untuk menguji kontrol pencegahan dan detektif secara memadai.
Dapatkan pemahaman tentang kerangka kerja pengendalian internal COSO. Ada lima komponen dalam kerangka kerja pengendalian internal COSO: lingkungan pengendalian, penilaian risiko, informasi dan komunikasi, kegiatan kontrol, dan pemantauan. Auditor harus memiliki pemahaman tentang kelima komponen untuk mengevaluasi dengan baik kontrol internal dan membuktikan keefektifannya.
Pelajari cara memetakan dan mendokumentasikan kontrol internal. Ini melibatkan pemetaan proses (diagram alur) untuk menunjukkan bagaimana kontrol tertentu atau serangkaian kontrol bekerja. Auditor akan meninjau dokumentasi ini dan menguji kontrol sebagai bagian dari audit, sehingga penting bagi auditor untuk dilatih tentang pemetaan proses.
Pelajari cara menguji kontrol internal untuk menentukan apakah mereka berfungsi sebagaimana dimaksud. Tes ini dapat melibatkan pengambilan sampel transaksi untuk memeriksa kepatuhan dengan kontrol internal dan / atau menjalankan data uji melalui sistem kontrol dan memeriksa hasilnya. Dalam hal apa pun, auditor perlu dilatih tentang teknik-teknik ini.
Pelajari cara mengidentifikasi dan melaporkan masalah kontrol internal. Beberapa masalah kontrol mungkin relatif kecil dan mudah diperbaiki sementara yang lain mungkin merupakan kelemahan material yang menciptakan risiko salah saji keuangan. Setiap kelemahan material akan dilaporkan dan manajemen harus menyajikan rencana tindakan korektif. Kelemahan kecil dapat dikomunikasikan secara informal dan manajemen dapat memperbaikinya tanpa rencana aksi korektif formal. Auditor juga perlu pelatihan tentang aspek pelaporan audit.
