SAP Logo LeanIX is now part of SAP
LE GUIDE ULTIME

La conformité SOX

La loi SOX est une loi fédérale visant à imposer des pratiques en matière d’audit et de réglementation. Elle a été adoptée pour protéger les employés, les parties prenantes et le public contre les erreurs de comptabilité et les pratiques frauduleuses au sein des entreprises.

Qu’est-ce que la conformité à la loi Sarbanes-Oxley (SOX) ?

Vous souhaitez savoir en quoi consiste précisément la loi SOX ? Les prochains paragraphes vous expliqueront la vraie signification de la conformité SOX pour vous permettre de bien saisir la loi, ses règlements et les critères de conformité.

Premièrement, il importe de souligner que la loi SOX est une loi fédérale visant à définir des pratiques en matière d’audit et de réglementation. La loi Sarbanes-Oxley a été adoptée pour protéger les employés, les parties prenantes et le public contre les erreurs de comptabilité et les pratiques frauduleuses au sein des entreprises. À l’heure actuelle, toutes les entreprises publiques doivent se conformer à la loi SOX au niveau financier et au niveau informatique. Il faut dès lors réajuster la façon dont les services informatiques conservent les documents d’entreprise afin de se conformer à la loi SOX.

Toutefois, la loi ne précise pas comment une entreprise doit stocker ses documents ni ne définit de pratiques propres à chaque type d’entreprise. En effet, la loi SOX définit uniquement quels documents doivent être conservés, et combien de temps. Pour se conformer à la loi SOX, les entreprises sont obligées de conserver tous leurs documents, y compris les documents électroniques et les messages, pendant au moins cinq ans.

Il est crucial de bien comprendre en quoi consiste la loi SOX pour bien en saisir l’impact et l’application. Si la conformité SOX concerne la réglementation de la communication financière des entreprises publiques, elle contient également des dispositions qui s’appliquent aux entreprises qui ne sont pas cotées en bourse et aux organisations à but non lucratif.

Histoire de la loi Sarbanes-Oxley de 2002 (SOX)

La loi Sarbanes-Oxley, plus communément appelée la loi SOX, a pour objectif d’améliorer la comptabilité des entreprises publiques. Elle a été créée pour rétablir la confiance des investisseurs après une hausse des pratiques comptables et commerciales frauduleuses.

George W. Bush a promulgué cette loi le 30 juillet 2002, affirmant qu’il s’agissait de la plus grande réforme des pratiques commerciales aux États-Unis depuis Franklin Delano Roosevelt.

Parmi les grands scandales financiers à l’origine de cette loi figurent notamment Enron, WorldCom et Tyco. Le scandale d’Enron a été abordé dans le documentaire d’Alex Gibney intitulé « Enron : The Smartest Guys in The Room », qui démontre comment cette entreprise brassant des milliards a ruiné la vie de milliers de personnes en moins de deux ans.

WorldCom a été impliquée dans un scandale de pratiques comptables frauduleuses. Après un dépôt de bilan, la SEC (organisme fédéral américain de réglementation et de contrôle des marchés financiers) a infligé à l’entreprise une amende de 750 millions de dollars. Le PDG et le directeur financier ont été respectivement condamnés à 25 et 5 ans d’emprisonnement.

Tyco est un autre exemple de scandale qui a conduit à l’adoption de la loi SOX. Dans cette affaire, l’ancien PDG et le directeur financier ont détourné des centaines de millions de dollars en falsifiant les registres de l’entreprise, violant de nombreuses lois au passage.

Les exemples ci-dessus, ainsi que de nombreux autres événements similaires, ont rendu la loi SOX nécessaire. Depuis son entrée en vigueur, les fraudes commerciales sont bien plus difficiles à mettre en place.

Elle n’a toutefois pas empêché des entreprises comme Wells Fargo, HSBC ou Valeant, entre autres, de s’engager dans des pratiques commerciales frauduleuses. Ces nouvelles affaires démontrent qu’une telle loi ne suffit pas pour éliminer complètement les fraudes.

Exigences juridiques pour la conformité informatique

En tant qu’expert informatique, vous devez connaître les sections de la loi SOX qui vous concernent. Avant d’y jeter un coup d’œil, précisions que l’objectif principal est d’atteindre une transparence totale en matière de comptabilité. Votre rôle, dans le cadre de cette loi, sera de définir et de réduire au maximum les risques.

Toute entreprise américaine ou étrangère inscrite à la SEC doit se conformer à la loi SOX. Selon les entreprises qui y sont enregistrées, plus de la moitié des entreprises cotées en bourse du classement Fortune 500 dépenseront plus d’un million de dollars pour se conformer à cette loi.

Penchons-nous à présent sur les articles les plus importantes de la loi SOX, à savoir les articles 302, 404, 409 et 802.

Article 302

L’article 302 concerne la communication des informations aux directeurs. Pour se conformer à la loi SOX, le PDG et le directeur financier doivent se porter garants de l’exactitude des états financiers de l’entreprise. Ceux-ci doivent attester avoir évalué le CIIF dans un délai de 90 jours après la certification des bilans financiers.

La conformité SOX passe par le contrôles internes des états financiers. Il importe de mettre en place des tâches automatisées comme la collecte de données, les tests et le reporting des activités de correction.

Il convient de noter que ces rapports doivent être rédigés dans un langage clair tant pour l’auditeur que pour les dirigeants.

Article 404

Cet article porte sur l’établissement de contrôles de conformité SOX pour garantir l’exactitude des états financiers. En vertu de cette loi, toutes les entreprises doivent mettre en place des contrôles internes pour garantir la transparence et l’adéquation des états financiers.

Un auditeur externe doit réviser les contrôles chaque année et déterminer la capacité de l’entreprise à consigner, tester et maintenir ses contrôles internes. Cet article englobe les tests d’applications, la sécurité, les intégrations logicielles et l’automatisation des processus.

L’objectif est de s’assurer que les procédures permettent une communication précise et complète des états financiers. Par ailleurs, les procédures doivent protéger les comptes d’actifs contre tout accès non autorisé.

Article 409

L’article 409 porte sur la divulgation des informations en temps utile. Lors d’événements de type fusions, acquisitions, dépôts de bilan, dissolutions de fournisseurs et brèches de données, les aspects fiscaux d’une entreprise subissent de grands changements.

Pour garantir la conformité SOX, il importe de divulguer le plus rapidement possible les informations qui pourraient affecter la performance financière d’une entreprise.

La loi SOX oblige les services à utiliser un logiciel de conformité SOX qui envoie des alertes de divulgation. Ces mécanismes doivent informer rapidement les parties prenantes et les régulateurs lorsque des changements sont opérés au sein des états financiers.

Article 802 

Avec les technologies modernes, il est facile de garder des copies physiques et électroniques. Cet article de la loi SOX repose sur la conservation des documents. Les solutions informatiques pour PME (petites et moyennes entreprises) facilitent la comptabilité dans la mesure où tous les documents peuvent être stockés sur des supports numériques.

Les feuilles de calcul sur l’ordinateur d’un utilisateur, les messages, les courriels et les appels enregistrés concernant des questions financières, des transactions financières et d’autres informations sur les ressources d’une entreprise doivent être conservés et mis à la disposition des auditeurs pendant au moins cinq ans.

L’objectif de la loi SOX est de garantir que l’automatisation des processus internes englobe toutes les informations financières importantes et sensibles nécessaires à la réalisation de bilans complets. Les experts informatiques sont responsables de ces systèmes de gestion.

The goal of SOX IT compliance is to ensure that the internal processes are automated to capture all the important and sensitive financial information needed to make the records complete. The proper functionality of such management systems falls on IT experts.

L’archivage fait partie intégrante de cette mission. Les services informatiques sont chargés de la conservation des documents et de la migration des anciennes technologies vers les nouvelles, en créant une bibliothèque unifiée. Ainsi, toutes les informations sont facilement accessibles pour les futurs audits.

Ce que vous devez savoir sur l’Unified Compliance Framework (UCF)

L’Unified Compliance Framework rassemble toutes les exigences qu’une entreprise doit respecter. Ce cadre inclut notamment les réglementations SOX, HIPAA, PCI et DSS. Ainsi, le cadre rassemble toutes les lois fédérales et les lois des États qui aident les entreprises à se conformer à la législation.

Une équipe informatique peut dès lors adopter un ensemble de contrôles lui permettant de se conformer à plusieurs réglementations.

Network Frontiers est l’organe de direction des cadres UCF. Il met ces cadres à jour pour s’assurer qu’aucune réglementation n’est ignorée ou manquante. Ils offrent aux experts informatiques une source fiable et leur permettent de gagner un temps considérable étant donné qu’ils ne doivent pas suivre les changements eux-mêmes.

Cette approche d’utilisation des cadres est extrêmement pratique, car elle permet de se conformer à de nombreuses réglementations à l’aide d’un seul test. La meilleure solution pour utiliser ces informations est de trouver une plateforme unifiée qui permet l’automatisation des flux de travail.

Une solution est l’intégration de la base de données de gestion de configuration (CMDB) qui sert de système informatique pour la comptabilité.

Grâce à cette base de données, les informations sont consignées de sorte qu’elles restent accessibles aux auditeurs externes. Le temps de préparation à un audit est dès lors considérablement réduit.

Grâce à ces cadres unifiés, vous économisez les deux principales ressources pour une entreprise : le temps et l’argent.

Analysons à présent les cadres unifiés plus en détail.

Le cadre COBIT

Le cadre COBIT a été développé par l’ISACA en vue de créer, d’organiser et de mettre en œuvre les changements nécessaires. Cet outil permet de se conformer plus facilement aux exigences internes de la loi SOX en sensibilisant les parties prenantes aux risques et problèmes techniques.

COBIT aide les entreprises à mieux orienter leurs équipes informatiques vers le succès. Il aide les services informatiques à mettre en place une gouvernance dans l’ensemble de l’entreprise.

Le rôle de l’équipe informatique est de simplifier le processus d’audit en consignant correctement les informations. Ce type de cadre permet à une entreprise de maintenir une surveillance de sa comptabilité.

Cobit_Framework_for Finance_Industry

Figure 1: COBIT Principles*

 

Le cadre COSO

Le Cadre COSO (Committee of Sponsoring Organizations of the Treadway Commission) a créé un référentiel à 5 composantes. Vous pouvez utiliser ces composantes pour jeter les bases du contrôle interne de votre entreprise.

Les clés du succès sont le leadership, une culture de la responsabilisation et des valeurs communes. Le cadre COSO représente une approche qui définit et évalue les risques à chaque niveau de l’entreprise.

Ce cadre a été créé une dizaine d’années avant l’entrée en vigueur de la loi SOX. Il jouit toutefois d’une bonne réputation auprès de la SEC et de la PCAOB.

coso_framework_cube

Figure 2 : Cadre COSO**

 

Quel cadre choisir ?

Pour vous conformer aux exigences de la loi SOX, vous pouvez opter pour un cadre adapté ou pour une combinaison de plusieurs cadres. Cette dernière vous permet de couvrir tous les éléments de votre checklist relative à la conformité SOX.

Le niveau de précision que permet d’atteindre un cadre unifié est nettement plus élevé que celui d’un simple cadre. En d’autres termes, vous devez définir les informations recherchées par les auditeurs et établir ensuite un cadre adapté à vos besoins spécifiques.

Parmi les autres cadres existants, on peut citer l’Information Technology Government Institute Framework (ITGI) et le Statement on Standards for Attestation Engagement (norme SSAE-18).

Checklist de la conformité SOX

Une checklist de la conformité permet de déterminer plus facilement ce que l’on attend de vous. Les audits diffèrent d’une entreprise à l’autre. Il est dès lors illusoire de penser que la conformité SOX est identique pour toutes les entreprises.

Voici toutefois quelques éléments que toutes les entreprises devraient prendre en considération avant un audit :

  • Utilisez-vous un cadre reconnu (COSO, COBIT, ITGI ou une combinaison) ?
  • Existe-t-il des politiques qui définissent comment créer, maintenir et modifier des systèmes comptables, comme des programmes informatiques qui traitent les informations financières ?
  • Existe-t-il des protocoles de gestion des failles potentielles de sécurité ?
  • Existe-t-il des mécanismes de surveillance de tous les accès aux données sensibles ?
  • Existe-t-il des mécanismes qui empêchent de falsifier des données sensibles ? Sont-ils testés et éprouvés ?
  • Avez-vous déjà rencontré des failles de sécurité et, le cas échant, les avez-vous divulguées à vos auditeurs ?
  • Disposez-vous de rapports récents et valides de conformité à la norme SAS 70, issus de tous les services ?

Cette checklist vous permettra de détecter les éventuelles lacunes.

C2019-3

Figure 3 : Cadre COBIT*

Conclusion

La plupart des personnes concernées par la législation SOX considèrent celle-ci comme une solution permettant d’anticiper les problèmes financiers. Pour d’autres en revanche, elle constitue un frein pour les personnes qui souhaitent s’implanter aux États-Unis en raison de son coût exorbitant.

Toutefois, la conformité SOX n’est pas forcément compliquée à mettre en œuvre. En effet, la plupart de ces tâches peuvent être automatisées. Elle facilite en outre la résolution des problèmes liés à l’autorisation, à la localisation des données cachées et à la détection d’erreurs dans les états financiers.

En revanche, la conformité SOX est nettement plus ardue si vous ne travaillez pas avec les meilleures solutions de sécurité. Les services informatiques doivent s’assurer que la conformité des données, les mesures de sécurité et les solutions logicielles qui automatisent les fonctions sont à la pointe.

Grâce à la protection des données et une plateforme unifiée fonctionnelle, les équipes informatiques sont mieux préparées pour les audits.

*Source :
**Source

LIVR BLANC GRATUIT

Comment gérer les réglementations de sécurité informatique avec l’outil EAM pour les institutions financières

Aperçu des 7 premières pages

Page: /