Сарбанес Оклеи Ацт, иначе познат као СОКС, је веома сложен закон. Она је увела значајне промене у финансијско управљање компанија које се јавно тргују у Сједињеним Државама. Од топ менаџмента се сада тражи да потврди да су прегледали интерне контроле и да контроле функционишу исправно. Независни ревизори су дужни да издају извештај који потврђује да је менаџмент потврдио интерне контроле. Ревизори који изводе ревизије СОКС усклађености морају бити обучени о новим захтјевима и како одредити и мјерити усклађеност како би потврдили цертификацију управе.
Разумијевање СОКС закона и свих питања усклађености с њом. Годишње ревизије захтијевају дубље разумијевање унутарњих контрола него у прошлости. Да би изразио мишљење о унутрашњим контролама, ревизор мора да уради довољно тестова контроле како би добио високе нивое сигурности о њиховој ефикасности. То ће захтијевати да ЦПА адекватно тестира превентивне и детективске контроле.
Разумијевање оквира интерне контроле ЦОСО. Постоји пет компоненти у оквиру ЦОСО интерне контроле: контролно окружење, процјена ризика, информације и комуникација, контролне активности и мониторинг. Ревизори морају имати разумијевање свих пет компоненти како би могли правилно процијенити интерне контроле и потврдити њихову ефикасност.
Научите како да мапирате и документујете интерне контроле. Ово укључује мапирање процеса (дијаграм тока) како би се показало како функционише одређена контрола или низ контрола. Ревизор ће прегледати ову документацију и тестирати контроле као дио ревизије, тако да је важно да ревизор буде обучен за мапирање процеса.
Научите како да тестирате интерне контроле да бисте утврдили да ли раде како је планирано. Ови тестови могу укључивати одабир узорака трансакција за испитивање усклађености са интерним контролама и / или покретање тест података кроз контролне системе и испитивање резултата. У сваком случају ревизори морају бити обучени о овим техникама.
Научите како да идентификујете и извештавате о питањима унутрашње контроле. Нека питања контроле могу бити релативно мала и лако фиксирана, док друга могу бити материјална слабост која ствара ризик од финансијских погрешних приказивања. Било каква материјална слабост би била пријављена и менаџмент би морао представити корективни акциони план. Незнатне слабости би могле бити саопштене неформално и менаџмент би их могао исправити без формалних корективних акционих планова. Ревизорима је такође потребна обука о аспектима извештавања ревизије.
