           Auditor menggunakan penilaian risiko pengendalian dan hasil pengujian pengendalian untuk menentukan risiko deteksi yang direncanakan serta pengujian substantif terkait untuk audit atas laporan keuangan. Auditor melakukannya dengan menghubungkan penilaian risiko pengendalian dengan tujuan audit yang berkaitan dengan saldo untuk akun-akun yang dipengaruhi oleh jenis transaksi utama, serta dengan empat tujuan audit penyajian dan pengungkapan.
Pelaporan Pengendalian Internal Menurut Section 404
           Berdasarkan penilaian dan pengujian auditor atas pengendalian internal, auditor diharuskan oleh UU Sarbanes-Oxley untuk menyusun laporan audit mengenai pengendalian internal atas pelaporan keuangan. Lingkup laporan auditor mengenai pengendalian internal seperti yang disyaratkan oleh PCAOB Standar 2, terbatas pada perolehan kepastian yang layak bahwa kelemahan yang material dalam pengendalian internal telah teridentifikasi.
Mengevaluasi, Melaporkan, dan Menguji Pengendalian Internal untuk Perusahaan Nonpublik
- Persyaratan pelaporan. Auditor diharuskan oleh standar auditing (SAS 112) untuk mengeluarkan laporan tertulis mengenai defisiensi yang signifikan dan kelemahan yang material dalam pengendalian internal kepada pihak yang bertanggunng jawab atas tata kelola dan manajemen, sama seperti untuk perusahaan publik.
- Luas pengendalian internal yang disyaratkan. Manajemen yang bertanggung jawab untuk menetapkan pengendalian internal yang memadai dalam perusahaan nonpublik, persis seperti manajemen untuk perusahaan publik. Pengendalian utama yang tersedia dalam perusahaan kecil adalah pengetahuan dan perhatian personil operasi di puncak, yang sering kali adalah pemilik-manajer. Kepentingan pribadi dalam organisasi dan hubungan yang erat dengan personil membuat evaluasi yang cermat atas kompetensi karyawan serta keseluruhan sangat mungkin dilakukan.
- Luas pemahaman yang diperlukan. Untuk klien nonpublik yang lebih kecil, banyak auditor memperoleh tingkat pemahaman yang hanya cukup untuk menilai apakah laporan keuangan dapat diaudit, dan untuk mengevaluasi lingkungan pengendalian guna mengetahui sikap manajemen terhadap pengendalian internal.
- Menilai risiko pengendalian. Perbedaan paling penting dalam menilai risiko pengendalian perusahaan nonpublik adalah penilaian risiko pengendalian pada tingkat maksimum untuk satu atau semua tujuan yang berkaitan dengan pengendalian apabila pengendalian internal untuk tujuan itu tidak ada atau tidak efektif.
- Luas pengujian pengendalian yang diperlukan. Auditor tidak akan melakukan pengujian pengendalian apabila menilai resiko pengendalian pada tingkat maksimum akibat tidak memadainya pengendalian.
