Recevez des informations sur la comptabilité directement dans votre boîte aux lettres électronique !
Au début des années 2000, des fraudes financières commises dans plusieurs grandes entreprises apparemment prospères, dont Enron, Tyco et WorldCom, ont ébranlé l'économie et sapé la confiance du public dans les états financiers des entreprises. La loi Sarbanes-Oxley de 2002, communément appelée SOX, est le fruit d'un effort bipartisan du Congrès pour s'attaquer aux causes profondes de ces scandales financiers.
La loi Sarbanes-Oxley aborde plusieurs thèmes, notamment le renforcement de la surveillance de la profession comptable par le Public Company Accounting Oversight Board (PCAOB), l'établissement de nouvelles normes visant à préserver l'indépendance des auditeurs, la reconfiguration des comités d'audit et l'obligation d'améliorer les informations figurant dans les états financiers.
L'article 203 de la SOX : la responsabilité des entreprises en matière de rapports financiers et l'article 404 : Évaluation des contrôles internes par la direction exigent des entreprises qu'elles joignent un rapport sur le contrôle interne à tous leurs rapports financiers. Ce rapport doit indiquer que la direction a mis en œuvre des contrôles internes et évalué la structure de contrôle interne pour en vérifier l'exactitude et l'efficacité.
Pour ce faire, l'entreprise doit s'engager dans des tests SOX. Les tests SOX ne sont pas seulement obligatoires pour les sociétés cotées en bourse - la section 302 exige que les sociétés cotées en bourse et les sociétés privées maintiennent des contrôles internes et testent ces contrôles au moins une fois par an.
Si cette exigence est nouvelle pour vous, ou si vous souhaitez simplement mettre à jour vos contrôles internes, nous vous guiderons tout au long du processus de test SOX.
Qu'est-ce que le test de conformité SOX ?
Les tests de conformité à la loi SOX sont en quelque sorte un bilan de santé des contrôles internes de l'entreprise en matière d'information financière.
Dans le cadre du processus de test SOX, le Directeur financier et d'autres responsables financiers - avec l'aide du service d'audit interne et des auditeurs externes - évaluent les contrôles internes de l'entreprise et les testent pour s'assurer qu'ils fonctionnent comme prévu.
Quel est l'objectif du processus de test SOX ?
L'objectif des tests SOX est double : garantir l'exactitude des données financières et prévenir la fraude. Bien qu'ils ne soient pas infaillibles, les tests annuels des contrôles internes permettent de garantir aux investisseurs et aux parties prenantes que les informations financières qu'ils reçoivent sont dignes de confiance. Ce processus contribue également à protéger l'entreprise, ses dirigeants et ses administrateurs des répercussions juridiques liées à des inexactitudes financières.
Les 4 étapes des tests SOX
La plupart des entreprises utilisent quatre étapes de test SOX dans le cadre d'un audit de conformité SOX.
Étape 1 : Évaluation initiale
Les tests SOX commencent par une évaluation initiale. Dans ce cas, l'entreprise établit un plan de cheminement des processus, documentant les domaines et les contrôles clés au sein du processus d'information financière de l'entreprise.
L'entreprise documente généralement ces visites à l'aide d'organigrammes, de récits ou des deux.
Au cours de cette évaluation initiale, l'équipe chargée de la conformité rassemble également des preuves démontrant que les activités de contrôle censées se dérouler se déroulent réellement. Si l'équipe de conformité SOX constate des lacunes au cours de l'évaluation initiale, elle peut élaborer un plan d'action pour y remédier.
Étape 2 : Tests intermédiaires
L'étape suivante de la mise en conformité avec la loi SOX est le test intermédiaire. Vers le milieu de l'exercice fiscal de l'entreprise, l'équipe chargée de la conformité à la loi SOX effectue des tests de contrôle pour s'assurer que les lacunes constatées au cours de la phase d'évaluation initiale ont été comblées et que les contrôles clés fonctionnent comme prévu.
L'équipe peut noter toute modification des rôles, de la technologie ou des processus d'entreprise qui nécessite une refonte des contrôles internes ou une mise à jour de la documentation correspondante.
Étape 3 : Tests de fin d'année
Lorsque l'exercice fiscal de l'entreprise touche à sa fin, l'équipe chargée de la conformité à la loi SOX effectue une dernière série de tests. C'est l'occasion de tester à nouveau les contrôles qui n'ont pas fonctionné comme prévu lors de l'évaluation initiale ou des phases de test intermédiaires, et de s'assurer que les mesures correctives prises par l'entreprise pour remédier à ces lacunes ont été efficaces.
Il s'agit d'une phase critique car l'entreprise examine les contrôles internes dans le contexte des données de l'année entière.
Étape 4 : Tests effectués par des auditeurs indépendants
Enfin, il est temps de confier les tests de conformité à la loi SOX à une tierce partie : les auditeurs indépendants. Une équipe d'audit externe effectue ses propres tests et fournit un examen impartial du travail des auditeurs internes.
L'examen des contrôles internes portera sur les points suivants :
- Contrôles d'accès - contrôles physiques et électroniques, tels que les mots de passe sécurisés et l'authentification multifactorielle
- Cybersécurité - services et matériel pour prévenir les violations de données
- Gestion des modifications - enregistrement de ce qui a été modifié sur le réseau, de la date de la modification et de l'auteur de la modification.
- Procédures de sauvegarde - des systèmes de sauvegarde doivent être mis en place pour protéger les données sensibles.
Les auditeurs externes veillent à ce que chaque étape du processus réponde aux normes rigoureuses de la conformité SOX. S'ils soulèvent des inquiétudes, les auditeurs internes doivent y répondre immédiatement et expliquer les contrôles d'atténuation ou les modifications de processus que l'entreprise mettra en œuvre pour protéger ses documents financiers et ses actifs.
Recommandations pour les tests SOX
Les tests de contrôle SOX peuvent être longs et coûteux, mais ils sont essentiels pour aider l'entreprise à respecter les normes de conformité SOX et garantir que la structure de contrôle interne fonctionne comme prévu.
Les recommandations suivantes vous aideront à faire en sorte que vos procédures de conformité portent leurs fruits.
Effectuer une analyse des risques de fraude
Tout d'abord, procéder à une analyse approfondie de la fraude. Il s'agit d'examiner minutieusement les secteurs de l'organisation et ses procédures d'information financière afin de déceler tout risque de fraude potentiel.
Tenir compte des risques de fraude interne et externe.
Parmi les exemples de risques de fraude interne figurent le détournement de fonds et le détournement d'actifs. N'oubliez pas le triangle de la fraude, qui met en évidence les trois conditions qui conduisent à une augmentation des cas de fraude interne : la motivation, l'opportunité et la rationalisation.
Parmi les exemples de risques de fraude externe, on peut citer la fraude aux fournisseurs et les violations de données. Votre service informatique peut être une ressource précieuse pour aider à identifier les risques de fraude externe et les contrôles internes en place pour garantir la sécurité des données.
Votre évaluation des risques de fraude peut vous aider à formuler un plan complet de gouvernance et de gestion des risques.
Audits internes et externes
Le partenariat entre les auditeurs internes et externes permet d'identifier les signaux d'alerte en matière de non-conformité et de repérer les domaines susceptibles d'être améliorés avant qu'ils ne deviennent un problème.
L'équipe d'audit interne constitue une source centralisée d'informations sur l'efficacité de l'environnement de contrôle de l'organisation. Elle peut également apporter une valeur ajoutée à l'audit externe en participant aux réunions avec les auditeurs indépendants, en les aidant à identifier les contrôles internes liés aux états financiers et en fournissant la documentation nécessaire pour étayer les tests de contrôle de la loi SOX. Dans de nombreux cas, leurs efforts en matière de gestion des risques contribuent à réduire le coût d'un audit externe.
Gérer les contrôles clés
Réduire le nombre de contrôles clés à tester. De nombreuses équipes d'audit pensent à tort que tous les contrôles importants sont des contrôles clés. Or, les contrôles clés sont un ensemble de contrôles internes qui, s'ils sont testés et jugés efficaces, donnent une assurance suffisante que l'entreprise dispose d'une structure de contrôle interne adéquate et qu'elle est conforme à la loi Sarbanes-Oxley.
Par exemple, une organisation peut disposer de 100 contrôles sur un certain domaine de l'information financière, mais effectuer cinq de ces contrôles vers la fin du processus. Ces cinq contrôles confirment que les 95 autres contrôles ont fonctionné et qu'il n'y a pas d'autres problèmes de réconciliation ou d'autres erreurs. Si les cinq tests finaux ne révèlent rien ou presque qui doive être corrigé, ces cinq contrôles à eux seuls peuvent suffire pour votre ensemble de contrôles clés.
Si vous identifiez chaque contrôle interne dans votre workflow comme un contrôle clé, quelle que soit son importance réelle, le nombre de contrôles clés que vous devez tester devient ingérable, et cela crée un surcroît de travail pour votre équipe d'audit et les auditeurs externes.
La loi SOX n'impose pas aux entreprises d'utiliser des contrôles spécifiques. Elle exige plutôt que les organisations conçoivent et mettent en œuvre leurs propres contrôles, souvent à l'aide d'un cadre de contrôle. L'utilisation d'une liste de contrôles de conformité à la loi SOX permet de s'assurer que l'entreprise respecte les meilleures pratiques et les exigences de conformité à la loi SOX lors de la conception des contrôles internes sur les rapports financiers.
Rationalisez votre audit de conformité SOX avec FloQast Compliance Management
Les tests de conformité SOX peuvent être un processus stressant, long et coûteux. Mais ce n'est pas une fatalité. En suivant ces étapes et recommandations et en exploitant les capacités d'automatisation des logiciels de conformité SOX, vous pouvez vous assurer que les états financiers de votre organisation sont exacts et fiables, établissant ainsi une base de confiance avec les parties prenantes.
Planifiez une démonstration de FloQast Compliance Management pour découvrir comment la rationalisation des contrôles financiers et la clôture peuvent aider votre entreprise à atteindre la conformité en temps réel et à être prête pour l'audit. N'oubliez pas que les tests SOX ne sont pas seulement une question de conformité ou de gouvernance d'entreprise ; il s'agit de protéger l'intégrité financière de votre entreprise.