A Lei Sarbanes-Oxley de 2002 (SOX) foi concebido como uma resposta aos escândalos contábeis do início dos anos 2000. Em muitos desses escândalos, um problema particular era que os auditores tinham interesse nas empresas em que foram realizando a auditoria, levando a auditorias fraudulenta que foram mais positivas do que mereciam ser. SOX, que entrou em vigor em 2004, abordou este problema através da criação de um conselho de supervisão de auditoria, o PCAOB, e instituindo um novo conjunto de requisitos de auditores destinados a separar os interesses dos auditores de seus clientes, reduzir as possibilidades de fraude, e aumentar o nível global de prestação de contas. Deve-se notar que a SOX aplica-se apenas às empresas públicas.
Conflitos de interesse
SOX exige que os auditores não podem realizar qualquer trabalho de consultoria para as empresas objecto de auditoria. Esse trabalho inclui contabilidade, design de TI e jurídica, gestão, ou de serviços bancários de investimento. A ideia subjacente a esta legislação é que um auditor prestar esses serviços seria, na verdade, ser auditar o seu próprio trabalho para a empresa. Além disso, os auditores não podem aconselhar os clientes sobre como realizar suas próprias auditorias interna. Para cumprir com estes regulamentos, os auditores devem fornecer o PCAOB com uma lista de seus clientes, bem como uma descrição dos serviços prestados e as taxas cobradas de cada cliente. Para evitar auditores criando relações estreitas com seus clientes, eles não podem auditar a mesma empresa há mais de cinco anos em uma fileira.
Controles internos
Uma das partes mais controversas da SOX é a seção 404, que exige que os auditores realizar uma avaliação de risco de cima para baixo dos controles internos de uma empresa. Este requisito significa que os auditores devem não só examinar a validade dos relatórios financeiros de uma empresa, mas também as maneiras pelas quais a empresa gera seus números. Este elemento foi posto em prática para identificar eventuais pontos fracos no sistema de contabilidade de uma empresa que poderia ser comprometida e levar a fraude. Muitas empresas opor-se aos elevados custos envolvidos com a documentar e testar as numerosas partes destes sistemas em antecipação a uma auditoria externa, e de fato decisões recentes têm tentado aliviar esses fardos.
Tecnologia da Informação
Como os sistemas de contabilidade estão sob crescente escrutínio com SOX, não é nenhuma surpresa que as auditorias de sistemas de TI são agora obrigados também. Contas deve examinar como as transações financeiras são registrados e compilados, bem como quais os funcionários são capazes de informações de entrada e acesso. Em geral, os defensores da legislação SOX para sistemas automáticos centralmente, como estes são vistos como sendo menos propenso a manipulação. considerações de segurança de TI, tais como backup de dados, firewalls, e colocação do servidor também estão sujeitos a auditoria, e, no caso de um sistema de e-mail empresa dependente de TI também podem ser auditados.
Auditorias internas e comitês
Além dos requisitos de auditores externos, SOX exige que as empresas executar suas próprias auditorias interna completa. Estas auditorias são projetados para diagnosticar e resolver quaisquer problemas antes que os auditores externos começar, e também são avaliados quanto à sua eficácia. As empresas também são obrigadas a formar comitês de auditoria feitos por pessoas não diretamente empregados pela empresa, embora os membros do conselho são permitidos. Estas comissões são realizadas pessoalmente responsável pelos resultados da auditoria externa para que os resultados pobres não pode ser atribuído aos auditores.
Procedimentos de auditoria substantivos
Lista de verificação de auditoria para a fabricação
Tipos de auditoria de qualidade
Uma lista de verificação para uma ts 16949 auditoria interna