Automatisation SOX : Prenez le contrôle de vos contrôles

Si vous demandez à quelqu'un ce qu'il pense de SOX, vous risquez de raviver la vieille querelle entre les New York Yankees et les Boston Red Sox.
Supervizor |
3 décembre 2024
Dans cet article, vous obtiendrez une compréhension plus approfondie des raisons de l'adoption de la loi SOX, de son impact sur les entreprises et de la façon d'utiliser la technologie pour renforcer la conformité SOX.

Qu'est-ce qui a conduit à SOX ?

Tout le monde se souvient des scandales comptables du début des années 2000. En 2002, un lanceur d'alerte a révélé qu'Enron dissimulait ses dettes et ses actifs aux investisseurs et créanciers en utilisant des états financiers et des dettes hors bilan. En conséquence, le cours de l'action est passé de 90,75 $ à 0,26 $ en seulement deux ans. Juste après, Tyco International a été exposé pour avoir détourné 2 milliards de dollars afin de financer le style de vie somptueux des dirigeants de l'entreprise. Pour compléter le trio, WorldCom a régulièrement gonflé ses documents financiers (y compris son formulaire 10-k, son bilan, son compte de résultat et son rapport annuel) pour surévaluer ses bénéfices de 3,8 milliards de dollars et induire en erreur ses investisseurs. Le gouvernement fédéral, en particulier la SEC, a subi une forte pression pour renforcer les exigences de divulgation et d'audit pour les sociétés cotées.

D'accord, nous savons pourquoi - mais qu'est-ce que c'est exactement ?

En 2002, le gouvernement américain a institué la loi Sarbanes-Oxley, une loi en 11 parties divisée en plusieurs sous-sections. Lorsque les entreprises entrent en bourse, elles disposent de deux ans pour se conformer à SOX, ce qui n'est pas une mince affaire. Cependant, la SEC l'a promulguée pour fournir des directives aux entreprises afin qu'elles soient plus transparentes dans leurs audits et leurs divulgations.

Est-ce que ça a fonctionné ? (Alerte spoiler : Oui et Non)

La loi Sarbanes-Oxley est tristement célèbre pour les deux principales ressources qu'elle épuise : le temps et l'argent.
Lors de sa première publication, les économistes prévoyaient que les entreprises dépenseraient environ 1 % de leurs revenus en coûts de conformité - pour chaque milliard de revenus, un million de dépenses. Cependant, des enquêtes auprès d'entreprises réelles ont révélé que les coûts réels étaient beaucoup plus élevés que prévu. Les entreprises dont le chiffre d'affaires moyen était supérieur ou inférieur à 2,5 milliards de dollars ont constaté que leurs coûts de conformité étaient 25 % ou 80 % plus élevés que les estimations initiales, respectivement.
Sans même mentionner le temps nécessaire pour effectuer les tests. De la documentation aux tests, la réalisation complète d'un seul contrôle clé prend en moyenne 35,9 heures par an. Cela signifie qu'il faut environ 4,5 jours ouvrables pour compléter un seul contrôle. Cela est largement dû aux méthodes d'échantillonnage et de test - recueillir manuellement des échantillons et les tester individuellement est très répétitif et prend du temps pour comprendre si le contrôle fonctionne.
Aussi écrasant que cela puisse paraître, l'introduction de l'automatisation dans le domaine de la conformité réduit considérablement les coûts. Pour en savoir plus sur les avantages potentiels de l'automatisation, lisez notre article ici.

Alors pourquoi les gens grimacent-ils chaque fois que je mentionne SOX ?

En ce qui concerne la conformité SOX, les deux sections les plus importantes sont la Section 302 et la Section 404. Ces sections définissent différentes mesures de conformité pour les contrôles internes. Les points clés de chaque section sont décrits ci-dessous :

Section 302 

Responsabilité des entreprises pour les rapports financiers

Section 404 

Évaluation par la direction des contrôles internes
Les PDG/directeurs financiers doivent :
  • Examiner personnellement tous les rapports financiers de l'entreprise
  • Être tenus responsables de tous les contrôles comptables internes
  • Signaler toute fraude, inexactitude ou déficience dans les contrôles comptables internes ou dans la gestion du comité d'audit
  • Indiquer tout changement significatif (pertinent) dans les contrôles comptables internes
En résumé : Tous les rapports financiers des entreprises doivent être "présentés de manière fidèle."
Partie A : La direction de toutes les sociétés cotées en bourse doit :
  • Certifier si les contrôles internes sur les rapports financiers sont efficaces ou inefficaces et pourquoi
Partie B : Les grandes sociétés cotées en bourse doivent :
  • Faire auditer en externe leurs contrôles internes sur les rapports financiers pour évaluer leur efficacité
En résumé : La direction doit maintenir des contrôles internes adéquats et certifier formellement, avec les auditeurs, qu'ils sont en place.

 

Commençons – la liste de contrôle SOX :

Prévenir la falsification des données

Pourquoi : La falsification des données est exactement ce qu'elle semble être – modifier des données de sorte qu'elles ne soient plus ce qu'elles étaient vraiment. La personne qui falsifie les données peut être condamnée à une amende et/ou jusqu'à 20 ans de prison. Le PDG/directeur financier qui certifie un rapport financier trompeur/frauduleux peut être condamné à une amende de plus de 5 millions de dollars et passer 20 ans en prison.
Étapes :
  • Surveillance interne :
  • Mettre en place des systèmes pour suivre les connexions et détecter les tentatives de connexion suspectes/irrégulières aux systèmes de données financières
  • Surveillance externe :
  • Mettre en place des systèmes pour détecter les violations de sécurité (comme les attaques de phishing et de rançongiciel)
  • Ces systèmes doivent générer automatiquement des alertes pertinentes et mettre à jour automatiquement un système de gestion des incidents ; ceux-ci, ainsi que les réponses de l'entreprise, doivent être divulgués aux auditeurs avec des permissions en lecture seule.

Maintenir une piste d'audit claire

Pourquoi : Lors d'un audit SOX, il est essentiel que les auditeurs aient accès à une piste d'audit et/ou à des informations sécurisées. La capacité de voir et d'analyser qui a effectué des modifications, ce qui a été modifié et quand ces modifications ont été apportées est essentielle.
Étapes :
  • Mettre en place des systèmes qui appliquent des horodatages et des détails d'utilisateur sur toutes les données financières/pertinentes pour SOX
  • Investir dans un stockage de données sécurisé et crypté, à la fois sur site et hors site, pour conserver les données
  • S'assurer que les permissions des utilisateurs sont correctement spécifiées, tant pour les fichiers physiques que pour les données électroniques, et sont correctement protégées (par exemple, par mot de passe)

Utiliser un logiciel de gestion de la conformité extractible

Pourquoi : Non seulement ces systèmes vous aident à maintenir une piste d'audit claire, comme spécifié à l'étape 2, mais ils vous permettent également d'extraire ces données de tous les systèmes d'information, fichiers et/ou bases de données. Lors d'un audit, l'accessibilité à ces informations de manière consolidée et vérifiable est essentielle.
Étapes :
  • Comme son nom l'indique – procurez-vous ce logiciel !
  • Cette étape est simplifiée si vous utilisez également un flux de travail centralisé pour réguler la gestion des documents d'audit.

Tester vos contrôles (et en prime, les signaler et les divulguer)

Pourquoi : Au final, la mise en place de protocoles et de contrôles d'audit n'est utile que si vous disposez de systèmes pour vous assurer qu'ils sont efficaces dans la réalisation de leurs objectifs. Par conséquent, vous devez avoir une méthode pour tester les contrôles afin de rapporter l'efficacité de vos mesures de protection. De plus, bon nombre de ces méthodes incluent des fonctionnalités permettant de fournir des rapports réguliers aux auditeurs tout en leur donnant des permissions en lecture seule.
Étapes :
  • Mettre en place des systèmes qui génèrent des rapports sur les flux de données, les messages/alertes et les incidents de sécurité
  • Utiliser ces systèmes pour enregistrer à la fois ce qui s'est produit et comment cela a été traité
  • Activer les autorisations nécessaires pour permettre aux auditeurs d'accéder à ces rapports

Surveiller et auditer en continu l'ensemble des données

Pourquoi : Effectuer un audit ponctuel peut grandement déformer la performance de l'entreprise. Les audits périodiques détectent les erreurs bien après qu'elles se soient produites, laissant peu de marge pour corriger l'erreur. Tester uniquement un échantillon des transactions signifie qu'il existe des faiblesses cachées dans les données qui ne sont pas découvertes lors des audits annuels. La surveillance continue permet aux entreprises de surveiller les transactions comptables et opérationnelles en temps réel et d'être alertées régulièrement sur les inexactitudes dans les données de transaction.
Étapes :
  • Extraire régulièrement toutes les données du système ERP
  • Nettoyer et enrichir les données pour pouvoir reconnaître tous les schémas comptables
  • Exploiter les données nettoyées et extraites pour exécuter les contrôles pertinents pour votre entreprise

À découvrir également

5 Avantages de l'automatisation des contrôles

L'un des plus grands défis des directeurs financiers est de jongler avec le temps et les ressources ...

Voir l'article

4 signes que vous devriez automatiser vos contrôles internes

C'est un exploit herculéen de se frayer un chemin à travers cette quantité de travail. Cependant, il...

Voir l'article

Christian Mouillon : les contrôles comptables automatisés comme garanties

1. Pourriez-vous décrire votre parcours professionnel ? J'ai passé ma carrière chez EY, qui est une ...

Voir l'article