La loi Sarbanes Oxley, également connue sous le nom de SOX, est un projet de loi très complexe. Il a introduit des changements importants dans la gestion financière des sociétés cotées en bourse aux États-Unis. La direction est maintenant tenue de certifier qu'elle a passé en revue les contrôles internes et que ceux-ci fonctionnent correctement. Les auditeurs indépendants sont tenus de publier un rapport attestant de la certification des contrôles internes par la direction. Les auditeurs effectuant des audits de conformité SOX doivent être formés aux nouvelles exigences et aux méthodes pour déterminer et mesurer la conformité afin d’attester de la certification par la direction.
Comprenez bien la loi SOX et tous les problèmes de conformité qui s’y rattachent. Les audits annuels nécessitent une compréhension plus approfondie des contrôles internes que par le passé. Afin d'exprimer une opinion sur les contrôles internes, l'auditeur doit effectuer des tests suffisants sur les contrôles pour obtenir des niveaux élevés d'assurance de leur efficacité. Cela nécessitera que le CPA teste de manière adéquate les contrôles préventifs et les contrôles de détection.
Comprendre le cadre de contrôle interne du COSO. Le cadre de contrôle interne du COSO comprend cinq composantes: environnement de contrôle, évaluation des risques, information et communication, activités de contrôle et surveillance. Les auditeurs doivent bien comprendre les cinq composantes afin d’évaluer correctement les contrôles internes et d’attester de leur efficacité.
Apprenez à mapper et à documenter les contrôles internes. Cela implique un mappage de processus (organigramme) pour montrer le fonctionnement d'un contrôle particulier ou d'une série de contrôles. L'auditeur examinera cette documentation et testera les contrôles dans le cadre de l'audit. Il est donc important qu'il soit formé à la cartographie des processus.
Apprenez à tester les contrôles internes pour déterminer s’ils fonctionnent comme prévu. Ces tests peuvent impliquer le choix d’échantillons de transactions pour vérifier leur conformité aux contrôles internes et / ou l’exécution de données de test par le biais des systèmes de contrôle, ainsi que l’examen des résultats. Dans tous les cas, les auditeurs doivent être formés à ces techniques.
Apprenez à identifier et à signaler les problèmes de contrôle interne. Certains problèmes de contrôle peuvent être relativement mineurs et faciles à résoudre, tandis que d'autres peuvent constituer une faiblesse matérielle qui crée un risque d'anomalie financière. Toute faiblesse importante serait signalée et la direction devrait présenter un plan de mesures correctives. Les faiblesses mineures pourraient être communiquées de manière informelle et la direction pourrait les corriger sans plans d'action correctifs formels. Les auditeurs ont également besoin de formation sur les aspects de la vérification relatifs aux rapports.
