Comment se préparer à un audit SOX

Les audits SOX sont obligatoires pour toutes les sociétés cotées en bourse aux États-Unis. En tant que professionnel de la finance, il est important de connaître les exigences d'un audit SOX et de mettre en place les mesures nécessaires pour garantir un audit fluide et réussi. Cet article donne un aperçu des principales étapes à suivre pour préparer un audit SOX.

Qu'est-ce qu'un audit SOX ?

Un audit SOX, ou audit Sarbanes-Oxley, est un audit annuel réalisé conformément à la loi Sarbanes-Oxley de 2002. Le Congrès a adopté la loi Sarbanes-Oxley en réponse à plusieurs scandales comptables majeurs, notamment ceux d'Enron, Tyco et Worldcom, des affaires majeures de fraude commerciale qui ont eu un impact sur le marché et les investisseurs en suscitant un manque de confiance dans les sociétés cotées en bourse. Le projet de loi a été parrainé par le sénateur Paul Sarbanes du Maryland et le représentant Mike Oxley de l'Ohio. L'objectif de la loi Sarbanes-Oxley est d'améliorer la gouvernance d'entreprise et les pratiques d'information financière.

Les exigences d'un audit SOX découlent des articles 302, 404 et 409 de la loi Sarbanes-Oxley. Cette section impose aux sociétés cotées en bourse d'établir et de maintenir des contrôles internes efficaces en matière d'information financière. Pour ce faire, les entreprises doivent mettre en place un système de gouvernance et des procédures d'information financière. Ils doivent également s'assurer que les états financiers de leur entreprise sont exacts et fiables.

Quel est l'objectif d'un audit SOX ?

L'objectif d'un audit SOX est de s'assurer que les états financiers des entreprises publiques sont exacts et fiables.

Pour obtenir cette assurance, les entreprises doivent engager des cabinets comptables indépendants pour effectuer une évaluation annuelle de la manière dont l'entreprise gère ses contrôles internes et mettre ce rapport de contrôle interne à la disposition des parties prenantes.

Alors que Conformité aux normes SOX est principalement considéré comme une exigence pour les entreprises publiques, mais certains aspects de celui-ci s'appliquent également à :

• Sociétés étrangères cotées en bourse exerçant des activités aux États-Unis
• Les entreprises privées qui souhaitent procéder à un premier appel public à l'épargne (IPO)
• Les cabinets comptables qui offrent des services à ces entités

Même si votre entreprise est une entreprise privée ou à but non lucratif et qu'elle n'est pas tenue de se conformer à la SOX, le maintien d'une structure de contrôle interne adéquate pour protéger vos rapports financiers annuels constitue simplement une bonne pratique commerciale.

Qui peut effectuer un audit SOX ?

Un audit de conformité SOX doit être effectué par un auditeur externe indépendant de l'organisation. L'indépendance de l'auditeur est cruciale, car elle garantit que l'auditeur n'est pas en situation de conflit d'intérêts susceptible d'altérer son jugement et de l'empêcher de s'acquitter de ses tâches de manière objective. L'auditeur externe est chargé de réaliser l'audit et de publier le rapport d'audit.

L'équipe d'audit interne de la société peut également effectuer des audits internes pour s'assurer que les contrôles de l'entreprise fonctionnent et que l'organisation est prête à se soumettre à un audit externe.

La direction, y compris le PDG et le directeur financier, est responsable de la mise en œuvre et de la maintenance du système de contrôles financiers, et l'auditeur indépendant examine les contrôles et procédures internes de l'entreprise pour s'assurer qu'ils fonctionnent comme prévu.

Bien qu'un audit SOX soit axé sur les contrôles internes en matière d'information financière, les cabinets comptables sont de plus en plus tenus de comprendre la technologie de l'entreprise, car les contrôles internes impliquent la sécurité informatique, la sauvegarde des données et les contrôles d'accès.

Le Public Company Accounting Oversight Board (PCAOB) inspecte régulièrement les cabinets comptables qui effectuent des audits SOX des entreprises publiques afin de s'assurer qu'ils respectent les normes d'audit.

Quels sont les documents nécessaires ?

Pour se préparer à un audit SOX, les entreprises doivent fournir certains documents à leur auditeur. Le document le plus important est l'état financier de l'entreprise. Ce document donne un aperçu de la situation financière et des performances de l'entreprise. Les autres documents généralement fournis à l'auditeur comprennent les discussions et analyses de la direction, la documentation des contrôles internes et les résultats de tout test de contrôle interne.

L'état financier est le document le plus important car il constitue la base de l'évaluation des contrôles financiers de l'entreprise. Cependant, les autres documents sont également importants car ils donnent un aperçu de la performance financière de l'entreprise et de la façon dont elle est gérée.

Processus de préparation à l'audit SOX

Plusieurs étapes doivent être prises pour préparer une entreprise publique à un audit SOX.

Mettre en place une structure de contrôle interne

L'étape la plus cruciale consiste à mettre en place un système de contrôle des informations financières. Ce système devrait inclure des procédures d'information financière et des directives relatives à la responsabilité de la direction.

La loi Sarbanes-Oxley ne fournit pas de liste précise de contrôles internes à suivre, mais plusieurs cadres de contrôle interne peuvent servir de guide. Deux cadres de gestion des risques bien établis comprennent le Comité des organisations de parrainage (COSO), qui est recommandé pour les processus comptables généraux, et les objectifs de contrôle pour les technologies de l'information et connexes (COBIT), qui contient des directives pour l'élaboration de politiques et de pratiques en matière de contrôles informatiques.

L'assistance de votre service informatique est essentielle pour vous conformer à la norme SOX, car la technologie que vous utilisez pour les rapports financiers peut contribuer aux contrôles électroniques, à la protection des données et à la prévention des violations de données.

Documenter les politiques, procédures et processus pertinents

Tenez à jour la documentation de toutes les politiques, procédures et processus ayant un impact sur les rapports financiers et les informations à fournir. Documentez tout changement apporté à ces politiques et procédures au cours de l'année. En documentant ces changements, vous contribuez à créer une culture de responsabilité et à montrer l'importance accordée aux contrôles internes, évitant ainsi d'éventuelles faiblesses lors de votre audit externe.

Former et éduquer le personnel sur les contrôles SOX

Vos employés doivent comprendre les bases de la conformité SOX de fond en comble. Moins ils savent ce qui est conforme à la norme SOX et ce qui ne l'est pas, plus ils sont susceptibles de se livrer à des activités frauduleuses sans le savoir et de prendre d'autres risques en matière d'information financière.

Cartographier les responsabilités organisationnelles

L'un des moyens de protéger votre organisation consiste à séparer les tâches.

La séparation des tâches est la pratique qui consiste à séparer différents types de tâches ou de responsabilités entre différentes personnes afin de réduire le risque de fraude. Cela peut inclure la séparation des responsabilités relatives à l'autorisation et à l'enregistrement des transactions, à la vérification des informations, à la garde des actifs et à la préparation des états financiers.

Par exemple, vous pouvez confier à différents employés la responsabilité de la tenue du grand livre, de l'approbation des bons de commande ou de la réduction des chèques pour payer les factures. De cette façon, aucune personne n'a tous les pouvoirs nécessaires pour commettre une fraude ou apporter des modifications qui pourraient passer inaperçues. Un autre exemple lié aux contrôles informatiques est le fait de ne pas autoriser une personne à apporter une modification à la base de données de développement et à déplacer la modification vers la base de données de production. Ce contrôle de gestion des modifications est conçu pour empêcher les modifications frauduleuses des systèmes qui ont un impact sur les dossiers financiers.

Dans le cadre d'un audit de conformité SOX, vos auditeurs externes peuvent interroger le personnel pour s'assurer que ses tâches correspondent aux contrôles internes documentés et qu'il est correctement éduqué et formé sur la manière de maintenir les normes de conformité SOX.

Maintenir une piste d'audit

Une piste d'audit est nécessaire pour protéger les données financières et garantir l'exactitude des informations financières. Vous devez disposer d'un enregistrement détaillé de chaque transaction financière, de chaque entrée de journal et de chaque approbation.

Rencontrez vos auditeurs externes

Une fois que vous aurez engagé vos auditeurs indépendants, planifiez une réunion pour présenter les membres de votre équipe et discuter de vos exigences de conformité SOX. Vos auditeurs devraient également fournir un document préliminaire Liste de contrôle de conformité SOX et une liste des documents dont ils auront besoin pour commencer le processus d'évaluation des risques et de contrôle des émissions de SOX.

Un audit de conformité SOX est un moyen essentiel de s'assurer que les entreprises respectent les réglementations financières. Pour préparer un audit SOX, il est essentiel de mettre en place un système de contrôles internes pour l'information financière et de documenter toutes les politiques, procédures et processus pertinents. En prenant ces mesures, vous pouvez contribuer à la réussite de l'audit SOX.