Sarbanes-Oxley to przepisy przyjęte przez Kongres Stanów Zjednoczonych, które wymagają od spółek publicznych poddawania się surowym audytom informacji finansowych i kontroli wewnętrznej. Audyty te — znane jako audyty SOX — są dość powszechne i nie muszą oznaczać, że firma jest niewłaściwa w swoich procesach księgowych. Badanie dostarcza inwestorom i innym interesariuszom informacji o tym, w jakim stopniu firma przestrzega ogólnych standardów rachunkowości i posiada odpowiednią kontrolę zarządczą nad informacjami biznesowymi i finansowymi.
Audyt SOX rozpocznie się od spotkania audytorów z kierownictwem firmy. Podczas tego spotkania audytorzy omówią zakres, długość, cel i oczekiwane wyniki procesu przeglądu. Spółki publiczne mają pewne ulgi przy zatrudnianiu audytora do procesu audytu SOX. Firma księgowa przeprowadzająca badanie musi być jednak zarejestrowana w rządowych lub agencjach nadzoru księgowego. Zapewnia to opinii publicznej, że audytorzy przeprowadzający badania terenowe i przegląd mają odpowiednie wykształcenie i szkolenie niezbędne do przeprowadzenia audytu. Audytorzy SOX muszą być również oddzieleni od zwykłych audytorów firmy. Jeżeli ci sami audytorzy przeprowadzają oba audyty, może to stanowić konflikt interesów.
Audyt SOX sprawdza rozbieżności i zniekształcenia w informacjach finansowych firmy, siłę kontroli wewnętrznej i ładu korporacyjnego w dziale księgowości. Podczas testowania odchyleń i zniekształceń audytorzy dokonają przeglądu dokumentów przygotowanych przez firmę. Audytorzy mogą również ponownie przeliczyć dokumenty finansowe i porównać instrukcje przygotowania ze standardowymi zasadami rachunkowości. Chociaż niektóre odchylenia są zazwyczaj akceptowalne, odchylenia lub zniekształcenia przekraczające pięć procent są ogólnie postrzegane jako znaczące.
Przeglądy kontroli wewnętrznej sprawdzają, którzy pracownicy są odpowiedzialni za określone czynności, ile podobnych zadań wykonuje jedna osoba, który kierownik nadzoruje różnych pracowników, kto ma dostęp do oprogramowania księgowego i jakie ustawienia domyślne pozwalają wykryć błędy w oprogramowaniu księgowym. Audyt SOX skupi się głównie na kontroli wewnętrznej, ponieważ są to procedury mające na celu ograniczenie błędów i zakazanie nieuczciwych działań związanych z informacjami finansowymi firmy.
Audyt SOX generalnie nie zapewni kierownictwu firmy działań naprawczych niezbędnych do rozwiązania problemów księgowych. Chociaż pewne wskazówki są z pewnością potrzebne, audytorzy SOX szybko zamazują swoją niezależność, oferując zbyt wiele działań naprawczych, ponieważ wkracza to w obszar usług konsultacyjnych. Zgodnie z przepisami SOX audytorzy nie mogą oferować usług doradczych swoim klientom audytorskim, ponieważ będzie to skutkowało wieloma usługami księgowymi oferowanymi przez jedną firmę księgową.
Niezaliczenie audytu SOX często skutkuje wymaganym audytem naprawczym. Większość audytorów oceni audyt w 100-punktowej skali, przy czym cokolwiek poniżej 70 punktów skutkuje zaplanowanym powtórnym audytem. Audyt naprawczy przetestuje obszary, w których firma zawiodła podczas audytu początkowego, i zapewni, że poprawki firmy będą skuteczne i będą kontynuowane bezterminowo w celu ochrony informacji firmy.