Merupakan tanggung jawab manajemen untuk menetapkan dan memelihara sistem kontrol internal yang efektif. Sebagai bagian dari audit laporan keuangan, auditor diharuskan untuk memperoleh pemahaman tentang sistem pengendalian internal dan untuk menentukan apakah sistem pengendalian internal berfungsi sebagaimana dimaksud. Auditor meninjau kontrol internal dengan melakukan langkah-langkah untuk memperoleh pemahaman tentang kontrol internal dan untuk menilai risiko salah saji material yang material terhadap laporan keuangan.
Dokumentasikan kelas-kelas transaksi yang memiliki pengaruh signifikan terhadap laporan keuangan. Ini adalah kelas-kelas transaksi yang merupakan kunci untuk laporan keuangan, karena mereka memiliki volume dolar yang besar. Misalnya, penerimaan kas dan pengeluaran uang tunai akan selalu menjadi kunci dalam laporan keuangan, karena itu mewakili kas yang masuk dan keluar dari perusahaan. Untuk mendokumentasikan semua kelas transaksi yang signifikan harus ada beberapa parameter yang harus dilalui (yaitu, ambang batas materialitas) yang menetapkan jumlah dolar yang dianggap signifikan terhadap laporan keuangan. Setelah semua kelas transaksi yang signifikan telah diidentifikasi dan didokumentasikan, klien diminta untuk memberikan deskripsi proses untuk setiap kelas.
Dokumentasikan pemahaman tentang sistem kontrol internal klien menggunakan deskripsi prosedur untuk setiap kelas transaksi signifikan yang disediakan oleh klien. Sarbanes Oxley Act telah mengakibatkan perubahan signifikan pada cara kontrol internal dirancang, didokumentasikan, dipantau, dan dipelihara. Dokumentasi yang ditingkatkan yang dihasilkan (yaitu, peta proses) bahwa manajemen diperlukan untuk mempertahankan memfasilitasi auditor mendapatkan pemahaman tentang sistem kontrol internal klien. Auditor menggunakan daftar periksa, diagram alur, narasi, dan kuesioner kontrol internal untuk mendokumentasikan pemahaman mereka tentang sistem kontrol internal klien.
Pilih contoh transaksi dari masing-masing kelas transaksi yang signifikan. Tentukan apakah sampel transaksi mengalir dengan benar melalui sistem kontrol internal sesuai dengan pemahaman Anda dan dokumentasi tentang bagaimana sistem seharusnya bekerja. Misalnya, auditor memilih transaksi pencairan kas dan melacaknya dari awal hingga akhir melalui sistem klien (yaitu, dari permintaan pesanan pembelian yang disetujui hingga pesanan pembelian yang dikeluarkan, ke dokumentasi pengiriman dan inspeksi barang, hingga pencatatan di hutang dagang, untuk pemrosesan dan penerbitan pembayaran, ke cek kliring bank dan muncul di laporan bank), mencatat dan mendokumentasikan penyimpangan dari prosedur kontrol internal yang terdokumentasi.
Diskusikan hasil penelusuran dengan manajemen dan beri tahu manajemen tentang segala kekurangan yang perlu segera diperhatikan. Dokumentasikan setiap perubahan pada penilaian risiko dan apakah risiko keseluruhan bahwa salah saji material dalam laporan keuangan dapat berubah dengan cara apa pun (meningkat atau menurun). Dokumentasikan temuan dalam kertas kerja audit dan soroti setiap temuan yang dapat disajikan kepada manajemen dalam surat manajemen atau yang dapat memengaruhi opini audit dengan cara apa pun.
