Comment se préparer à un audit SOX

Les audits SOX sont obligatoires pour toutes les sociétés cotées en bourse aux États-Unis. En tant que professionnel de la finance, il est important de connaître les exigences d'un audit SOX et de mettre en place les mesures nécessaires pour garantir un audit réussi et sans heurts. Cet article donne un aperçu des principales étapes à suivre pour se préparer à un audit SOX.

Qu'est-ce qu'un audit SOX ?

Un audit SOX, ou audit Sarbanes-Oxley, est un audit annuel réalisé conformément à la loi Sarbanes-Oxley de 2002. Le Congrès a adopté la loi Sarbanes-Oxley en réponse à plusieurs grands scandales comptables, notamment ceux d'Enron, de Tyco et de WorldCom - des cas de fraude d'entreprise majeurs qui ont eu un impact sur le marché et les investisseurs en provoquant un manque de confiance dans les sociétés cotées en bourse. Le projet de loi a été parrainé par le sénateur Paul Sarbanes du Maryland et le représentant Mike Oxley de l'Ohio. L'objectif de la loi Sarbanes-Oxley est d'améliorer la gouvernance d'entreprise et les pratiques d'information financière.

Les exigences d'un audit SOX découlent des articles 302, 404 et 409 de la loi Sarbanes-Oxley. Cette section exige que les sociétés cotées en bourse établissent et maintiennent des contrôles internes efficaces sur les rapports financiers. Pour ce faire, les entreprises doivent mettre en place un système de gouvernance et des procédures d'information financière. Elles doivent également veiller à ce que leurs états financiers soient exacts et fiables. 

Quel est l'objectif d'un audit SOX ?

L'objectif d'un audit SOX est de s'assurer que les états financiers des entreprises publiques sont exacts et fiables.

Pour obtenir cette assurance, les entreprises doivent faire appel à des cabinets d'experts-comptables indépendants pour évaluer chaque année la qualité de la gestion de leurs contrôles internes et mettre ce rapport de contrôle interne à la disposition des parties prenantes.

Bien que la conformité à la loi SOX soit principalement considérée comme une obligation pour les entreprises publiques, certains aspects de cette loi s'appliquent également aux entreprises publiques :

• Sociétés étrangères cotées en bourse exerçant des activités aux États-Unis
• Les entreprises privées qui souhaitent faire une première offre publique de vente (IPO).
• Les cabinets comptables qui offrent des services à ces entités

Même si votre entreprise est une société privée ou un organisme à but non lucratif et qu'elle n'est pas tenue de se conformer à la loi SOX, le maintien d'une structure de contrôle interne adéquate pour protéger vos rapports financiers annuels est tout simplement une bonne pratique commerciale.

Qui peut effectuer un audit SOX ?

Un audit de conformité à la loi SOX doit être réalisé par un auditeur externe indépendant de l'organisation. L'indépendance de l'auditeur est cruciale, car elle garantit que l'auditeur n'a pas de conflits d'intérêts susceptibles d'altérer son jugement et de l'empêcher de s'acquitter de ses tâches de manière objective. L'auditeur externe est responsable de la conduite de l'audit et de l'émission du rapport d'audit. 

L'équipe d'audit interne de l'entreprise peut également effectuer des audits internes pour s'assurer que les contrôles de l'entreprise fonctionnent et que l'organisation est prête à faire l'objet d'un audit externe.

La direction, y compris le PDG et le Directeur financier, est responsable de la mise en œuvre et du maintien du système de contrôle financier, et l'auditeur indépendant examine les contrôles et procédures internes de la société pour s'assurer qu'ils fonctionnent comme prévu.

Bien que l'audit SOX se concentre sur les contrôles internes des rapports financiers, les cabinets d'experts-comptables sont de plus en plus souvent amenés à comprendre la technologie de l'entreprise, car les contrôles internes impliquent la sécurité informatique, la sauvegarde des données et les contrôles d'accès.

Le Public Company Accounting Oversight Board (PCAOB) procède régulièrement à des inspections des cabinets d'experts-comptables qui réalisent les audits SOX des entreprises publiques afin de s'assurer qu'ils respectent les normes d'audit.

Quels sont les documents nécessaires ?

Pour se préparer à un audit SOX, les entreprises doivent fournir certains documents à leur auditeur. Le document le plus important est l'état financier de l'entreprise. Ce document fournit une vue d'ensemble de la situation financière et des performances de l'entreprise. Parmi les autres documents généralement fournis à l'auditeur figurent le rapport de gestion, la documentation sur les contrôles internes et les résultats de tout test de contrôle interne.

L'état financier est le document le plus important car il sert de base à l'évaluation des contrôles financiers de l'entreprise. Toutefois, les autres documents sont également importants parce qu'ils donnent un aperçu de la performance financière de l'entreprise et de la manière dont elle est gérée.

Processus de préparation de l'audit SOX

Plusieurs mesures doivent être prises pour préparer une entreprise publique à un audit SOX. 

Mettre en place une structure de contrôle interne

L'étape la plus cruciale consiste à mettre en place un système de contrôle des informations financières. Ce système doit comprendre des procédures d'information financière et des lignes directrices en matière de responsabilité de la direction. 

La loi Sarbanes-Oxley ne fournit pas de liste spécifique de contrôles internes à suivre, mais il existe plusieurs cadres de contrôle interne qui peuvent servir de guide. Deux cadres de gestion des risques bien établis sont le Committee of Sponsoring Organizations (COSO), qui est recommandé pour les processus comptables généraux, et le Control Objectives for Information and related Technology (COBIT), qui contient des lignes directrices pour l'élaboration de politiques et de pratiques en matière de contrôles informatiques.

Le soutien de votre service informatique est essentiel pour se conformer à la loi SOX, car la technologie que vous utilisez pour l'établissement des rapports financiers peut contribuer aux contrôles électroniques, à la protection des données et à la prévention d'une violation des données.

Documenter les politiques, procédures et processus pertinents

Conserver la documentation relative à l'ensemble des politiques, procédures et processus ayant une incidence sur les rapports financiers et les informations à fournir. Documenter toute modification apportée à ces politiques et procédures au cours de l'année. En documentant ces changements, vous contribuez à créer une culture de la responsabilité et vous montrez l'importance accordée aux contrôles internes, ce qui permet d'éviter les faiblesses potentielles lors de l'audit externe.

Former et sensibiliser le personnel aux contrôles SOX 

Vos employés doivent comprendre les bases de la conformité à la loi SOX, de fond en comble. Moins ils savent ce qui est conforme à la loi SOX et ce qui ne l'est pas, plus ils sont susceptibles de s'engager à leur insu dans des activités frauduleuses et de prendre d'autres risques en matière d'information financière. 

Cartographier les responsabilités organisationnelles

L'un des moyens de protéger votre organisation est de séparer les tâches. 

La séparation des tâches consiste à répartir différents types de tâches ou de responsabilités entre différentes personnes afin de réduire le risque de fraude. Il peut s'agir de séparer les responsabilités liées à l'autorisation et à l'enregistrement des transactions, à la vérification des informations, à la garde des actifs et à la préparation des états financiers. 

Par exemple, vous pouvez confier à différents employés la responsabilité de tenir le grand livre, d'approuver les bons de commande ou d'émettre des chèques pour payer les factures. De cette manière, aucun individu n'a le pouvoir de commettre des fraudes ou d'apporter des modifications qui pourraient passer inaperçues. Un autre exemple lié aux contrôles informatiques est le fait de ne pas autoriser une personne à apporter une modification à la base de données de développement et à la transférer à la base de données de production. Ce contrôle de la gestion des modifications est conçu pour empêcher les modifications frauduleuses des systèmes qui ont une incidence sur les documents financiers.

Dans le cadre d'un audit de conformité à la loi SOX, vos auditeurs externes peuvent interroger les membres du personnel pour s'assurer que leurs tâches correspondent aux contrôles internes documentés et qu'ils ont reçu une formation adéquate sur la manière de respecter les normes de conformité à la loi SOX.

Maintenir une piste d'audit

Une piste d'audit est nécessaire pour protéger les données financières et garantir l'exactitude des rapports financiers. Vous devez disposer d'un enregistrement détaillé de chaque transaction financière, écriture de journal et approbation.

Rencontrez vos auditeurs externes

Une fois que vous avez engagé vos auditeurs indépendants, organisez une réunion pour présenter les membres de votre équipe et discuter de vos exigences en matière de conformité à la loi Sarbanes-Oxley. Vos auditeurs doivent également vous fournir une liste préliminaire liste de contrôles de conformité SOX et une liste de documents dont ils auront besoin pour entamer le processus d'évaluation des risques et de test des contrôles SOX.

Un audit de conformité SOX est un moyen essentiel de s'assurer que les entreprises respectent les réglementations financières. Pour se préparer à un audit SOX, il est essentiel d'établir un système de contrôle interne pour les rapports financiers et de documenter toutes les politiques, procédures et processus pertinents. En prenant ces mesures, vous pouvez contribuer à la réussite de l'audit SOX.