Get accounting insights delivered directly to your inbox!
Au début des années 2000, des fraudes financières dans plusieurs grandes entreprises apparemment prospères, dont Enron, Tyco et WorldCom, ont ébranlé l'économie et miné la confiance du public dans les états financiers des entreprises. Le Loi Sarbanes-Oxley de 2002, communément appelée SOX, reflétait un effort bipartite du Congrès visant à s'attaquer aux causes profondes de ces scandales financiers.
La loi Sarbanes-Oxley a abordé plusieurs thèmes, notamment le renforcement de la supervision de la profession comptable par le Public Company Accounting Oversight Board (PCAOB), l'établissement de nouvelles normes pour préserver l'indépendance des auditeurs, la reconfiguration des comités d'audit et l'exigence de meilleures informations sur les états financiers.
La section 203 de la SOX : La responsabilité des entreprises en matière de rapports financiers et la section 404 : Évaluation des contrôles internes par la direction obligent les entreprises à inclure un rapport de contrôle interne dans tous leurs rapports financiers. Ce rapport doit indiquer que la direction a mis en œuvre des contrôles internes et évalué l'exactitude et l'efficacité de la structure de contrôle interne.
Pour faire cette affirmation, l'entreprise doit procéder à des tests SOX. Les tests SOX ne sont pas seulement obligatoires pour les sociétés cotées en bourse : la section 302 oblige les entreprises publiques et privées à maintenir des contrôles internes et à tester ces contrôles au moins une fois par an.
Si cette exigence est nouvelle pour vous, ou si vous souhaitez simplement mettre à jour vos contrôles internes, nous vous guiderons tout au long du processus de test SOX.
Qu'est-ce que les tests de conformité à la norme SOX ?
Conformité aux normes SOX les tests sont comme un bilan de santé pour les contrôles internes d'une entreprise en matière d'information financière.
Dans le cadre du processus de test SOX, le directeur financier et les autres responsables financiers, avec l'aide du service d'audit interne et d'auditeurs externes, évaluent les contrôles internes de l'entreprise et les testent pour s'assurer qu'ils fonctionnent comme prévu.
Quel est l'objectif du processus de test SOX ?
L'objectif des tests SOX est double : garantir l'exactitude des données financières et prévenir les fraudes. Bien que cela ne soit pas infaillible, le fait de tester les contrôles internes chaque année permet de garantir aux investisseurs et aux parties prenantes que les informations financières qu'ils reçoivent sont fiables. Ce processus permet également de protéger l'entreprise, ses dirigeants et ses administrateurs contre les répercussions juridiques liées aux inexactitudes financières.
Les 4 étapes du test SOX
La plupart des entreprises utilisent quatre étapes de tests SOX dans le cadre d'un audit de conformité SOX.
Étape 1 : Évaluation initiale
Les tests SOX commencent par une évaluation initiale. Ici, la société décrit les procédures pas à pas, en documentant les principaux domaines et contrôles du processus d'information financière de l'entreprise.
L'entreprise documente généralement ces procédures pas à pas à l'aide d'organigrammes, de récits, ou les deux.
Au cours de cette évaluation initiale, l'équipe de conformité rassemble également des preuves pour montrer que les activités de contrôle censées avoir lieu se déroulent réellement. Si l'équipe de conformité SOX constate des lacunes lors de l'évaluation initiale, elle peut élaborer un plan d'action pour corriger la lacune.
Étape 2 : Tests intermédiaires
La prochaine étape de la conformité aux normes SOX consiste à effectuer des tests intermédiaires. Vers le milieu de l'exercice financier de l'entreprise, l'équipe de conformité SOX effectue Contrôles SOX des tests visant à s'assurer que les lacunes constatées lors de la phase d'évaluation initiale ont été corrigées et que les principaux contrôles fonctionnent comme prévu.
L'équipe peut prendre note de toute modification des rôles, de la technologie ou des processus métier nécessitant une refonte des contrôles internes ou une mise à jour de la documentation associée.
Étape 3 : Tests de fin d'année
Alors que l'exercice financier de l'entreprise touche à sa fin, l'équipe de conformité SOX effectue une dernière série de tests. C'est l'occasion de tester à nouveau tous les contrôles qui ne fonctionnaient pas comme prévu lors de l'évaluation initiale ou des phases de tests intermédiaires et de s'assurer que toutes les mesures correctives prises par l'entreprise pour remédier à ces lacunes étaient efficaces.
Il s'agit d'une phase critique car l'entreprise revoit les contrôles internes dans le contexte des données de l'année complète.
Étape 4 : Tests réalisés par des auditeurs indépendants
Enfin, il est temps de confier les tests de conformité SOX à une tierce partie : les auditeurs indépendants. Une équipe d'audit externe effectue ses propres tests et fournit un examen impartial du travail des auditeurs internes.
L'examen des contrôles internes portera sur les points suivants :
- Contrôles d'accès : contrôles physiques et électroniques, tels que mots de passe sécurisés et authentification multifactorielle
- Cybersécurité : services et matériel destinés à empêcher une violation de données
- Gestion des modifications : enregistrement de ce qui a été modifié sur le réseau, de la date et de l'auteur de la modification
- Procédures de sauvegarde : des systèmes de sauvegarde doivent être en place pour protéger les données sensibles
Les auditeurs externes contribuent à garantir que chaque étape du processus répond aux normes strictes de conformité SOX. S'ils soulèvent des préoccupations, les auditeurs internes doivent y répondre immédiatement et expliquer les contrôles d'atténuation ou les modifications de processus que la société mettra en œuvre pour protéger ses dossiers financiers et ses actifs.
Recommandations relatives aux tests SOX
Les tests des contrôles SOX peuvent être longs et coûteux, mais ils sont essentiels pour aider l'entreprise à maintenir les normes de conformité SOX et à garantir que la structure de contrôle interne fonctionne comme prévu.
Les recommandations suivantes vous aideront à vous assurer que vos procédures de conformité portent leurs fruits.
Exécuter une analyse des risques de fraude
Tout d'abord, effectuez une analyse approfondie de la fraude. Cela implique d'examiner minutieusement les différents domaines de l'organisation et ses procédures d'information financière pour détecter tout risque de fraude potentiel.
Tenez compte des risques de fraude internes et externes.
Parmi les risques de fraude interne, on peut citer le détournement de fonds et le détournement d'actifs. N'oubliez pas le triangle de la fraude, qui décrit les trois conditions qui mènent à une augmentation des cas de fraude interne : motivation, opportunité et rationalisation.
Parmi les exemples de risques de fraude externes, citons la fraude des fournisseurs et les violations de données. Votre service informatique peut être une ressource précieuse pour vous aider à identifier les risques de fraude externes et les contrôles internes mis en place pour garantir la sécurité des données.
Votre évaluation des risques de fraude peut vous aider à formuler un plan complet de gouvernance et de gestion des risques.
Audits internes et externes
Le partenariat entre les auditeurs internes et externes permet d'identifier les signaux d'alarme en matière de non-conformité et de repérer les domaines susceptibles d'être améliorés avant qu'ils ne deviennent un problème.
L'équipe d'audit interne constitue une source centralisée d'informations sur l'efficacité de l'environnement de contrôle de l'organisation. Ils peuvent également apporter une valeur ajoutée à l'audit externe en participant à des réunions avec les auditeurs indépendants, en les aidant à identifier les contrôles internes liés aux états financiers et en fournissant de la documentation à l'appui des tests de contrôle SOX. Dans de nombreux cas, leurs efforts de gestion des risques contribuent à réduire le coût d'un audit externe.
Gérer les contrôles clés
Réduisez le nombre de commandes clés à tester. De nombreuses équipes d'audit pensent à tort que tous les contrôles importants sont des contrôles clés. Cependant, les contrôles clés sont un ensemble de contrôles internes qui, s'ils sont testés et jugés efficaces sur le plan opérationnel, fournissent une assurance suffisante que l'entreprise dispose d'une structure de contrôle interne adéquate et est conforme à la norme SOX.
Par exemple, une organisation peut avoir 100 contrôles dans un certain domaine de l'information financière, mais en exécuter cinq vers la fin du processus. Ces cinq contrôles confirment que les 95 autres contrôles ont fonctionné et qu'il n'y a aucun autre problème de rapprochement ni aucune autre erreur. Si les cinq tests finaux ne révèlent que peu ou rien à corriger, ces cinq commandes à elles seules peuvent suffire pour votre ensemble de touches.
Si vous identifiez chaque contrôle interne de votre flux de travail comme un contrôle clé, quelle que soit son importance réelle, le nombre de contrôles clés que vous devez tester devient ingérable et cela demande plus de travail à votre équipe d'audit et aux auditeurs externes.
La loi SOX n'oblige pas les entreprises à utiliser des contrôles spécifiques. Elle oblige plutôt les organisations à concevoir et à mettre en œuvre leurs propres contrôles, souvent à l'aide d'un cadre de contrôle. À l'aide d'un Liste de contrôle de conformité SOX peut vous aider à garantir que votre entreprise suit les meilleures pratiques et les exigences de conformité SOX lors de la conception des contrôles internes en matière d'information financière.
Simplifiez votre audit de conformité SOX avec la gestion de conformité FloQast
Les tests de conformité à la norme SOX peuvent être un processus stressant, long et coûteux. Mais ce n'est pas obligatoire. En suivant ces étapes et recommandations et en tirant parti des capacités d'automatisation de Logiciel de conformité SOX, vous pouvez vous assurer que les états financiers de votre organisation sont exacts et fiables, établissant ainsi une base de confiance avec les parties prenantes.
Planifiez une démonstration de Gestion de la conformité de FloQast pour découvrir comment la rationalisation des contrôles financiers associée à la clôture peut aider votre entreprise à se mettre en conformité en temps réel et prête à être auditée. N'oubliez pas que les tests SOX ne concernent pas uniquement la conformité ou la gouvernance d'entreprise ; ils visent à protéger l'intégrité financière de votre entreprise.