Sarbanes-Oxley (SOX) : Un guide simple

La loi Sarbanes-Oxley est un texte législatif entré en vigueur en 2002. Cette loi a été adoptée par le Congrès des États-Unis afin de fournir une protection essentielle aux actionnaires et aux membres du public contre la fraude et les erreurs comptables importantes. La loi a également été conçue pour améliorer la visibilité des informations communiquées par les entreprises et éviter les inexactitudes.

En vertu de la loi Sarbanes-Oxley, les entreprises sont tenues de respecter des réglementations strictes et des délais de mise en conformité avec la loi SOX. Les règles de conformité font l'objet de lignes directrices précises, ce qui garantit que les entreprises sont toujours pleinement responsables de leurs actes.

Les exigences de la loi Sarbanes-Oxley se concentrent sur quatre domaines principaux :

1. Responsabilité des entreprises
2. Renforcement des sanctions pénales
3. Réglementation comptable
4. Nouvelles protections

La loi Sarbanes-Oxley tire son nom des deux membres du Congrès américain qui l'ont parrainée : Paul Sarbanes et Michael Oxley. Les deux hommes ont rédigé cette loi en réponse à plusieurs affaires scandaleuses de fraude et de comptabilité criminelle, telles que WorldCom et Enron. Leur objectif était de faire en sorte que des affaires similaires ne puissent plus jamais se reproduire, en améliorant radicalement la responsabilité.

Depuis 2002, la conformité à la loi SOX est une responsabilité essentielle de toutes les entreprises publiques, en particulier des organismes de comptabilité publique et des sociétés de gestion. Certaines parties de la loi doivent également être respectées par les entreprises privées.

Pour se conformer pleinement à la législation Sarbanes-Oxley, les entreprises doivent respecter des exigences à la fois financières et numériques. L'un des principaux domaines de la réglementation SOX que les entreprises doivent connaître concerne le stockage des informations.

La législation SOX ne détermine pas la manière dont les entreprises conservent les documents, ni ne donne de directives strictes sur les meilleures pratiques commerciales à utiliser. Toutefois, elle fixe des règles sur les types d'informations à conserver et sur la durée de conservation de ces informations. Par exemple, les entreprises sont tenues de conserver les enregistrements et les messages électroniques pendant au moins cinq ans. En cas de non-respect de cette obligation, des amendes peuvent être imposées. Dans les cas les plus graves, des peines d'emprisonnement peuvent même être prononcées.

Afin de vous assurer que votre entreprise respecte toutes les exigences de la loi SOX, il est conseillé d'utiliser une liste de contrôle de conformité, qui rassemble toutes les règles et réglementations des sections 302 et 404 de la loi.

Sections 302 et 404 de la loi SOX

La loi SOX de 2002 a été une force motrice fondamentale pour garantir la responsabilité des entreprises publiques. Deux de ses dispositions clés, connues sous le nom de Section 302 et Section 404, ont joué un rôle crucial dans son importance à ce jour.

Section 302 : Ce mandat couvre un ensemble de garanties conçues pour s'assurer que les membres de l'équipe dirigeante d'une entreprise sont tenus de certifier formellement l'exactitude des rapports financiers. La section elle-même comprend des garanties pour la prévention de la falsification des données, des garanties sur l'établissement de calendriers, des contrôles vérifiables sur l'accès aux données et des garanties opérationnelles recommandées. En outre, cette section couvre également l'établissement de rapports sur l'efficacité de ces mesures de protection et la détection d'éventuelles violations de la sécurité.

Article 404 : Cette section exige la mise en œuvre de contrôles internes et de méthodes d'établissement de rapports par la direction et les auditeurs. Sa mise en place est coûteuse, car les contrôles internes qu'elle exige sont très onéreux. Ces contrôles couvrent la divulgation des mesures de sécurité aux auditeurs SOX agréés, ainsi que la divulgation aux auditeurs de toute violation ou défaillance éventuelle de la sécurité.

Section 802

La tenue de registres est l'objet principal de la section 802 de la loi. Elle couvre la tenue de registres de trois manières distinctes. Tout d'abord, la loi SOX établit des lignes directrices sur la destruction des documents et la détection des faux documents. Deuxièmement, la loi SOX fixe le calendrier de conservation des documents. Troisièmement, la loi Sarbanes-Oxley donne aux entreprises des règles sur les documents qu'elles doivent conserver. Cette section accorde également une attention particulière aux messages électroniques et à la manière correcte de les conserver.

SOX et risque lié aux feuilles de calcul

Malgré l'importance croissante de systèmes informatiques d'entreprise de plus en plus complexes, l'utilisation de feuilles de calcul dans les entreprises est encore très répandue. Les directives de conformité SOX doivent donc être gardées à l'esprit lorsqu'il s'agit de gérer de tels ensembles de feuilles de calcul. En raison de leur flexibilité inhérente, les feuilles de calcul présentent des risques importants si elles ne sont pas gérées efficacement. Le fait que de nombreuses feuilles de calcul soient également liées à différentes sources de données et à d'autres feuilles de calcul signifie que le risque lié aux feuilles de calcul est un facteur que les entreprises ne peuvent pas ignorer.

Étapes pour répondre aux exigences de la loi Sarbanes-Oxley

1. Établir un plan : s'assurer de la clarté des informations à communiquer et du moment où elles doivent l'être. Développez des objectifs à court terme pour l'année en cours ainsi que des objectifs à long terme qui correspondent à l'évolution de l'organisation.
2. Choisir un ou plusieurs cadres pour soutenir la conformité : différentes organisations ont créé des cadres et des modèles à utiliser lors de l'élaboration des contrôles internes SOX et de la conformité, tels que le Committee of Sponsoring Organizations of the Treadway Commission (COSO), les Control Objectives for Information and Related Technologies (COBIT) et l'Information Technology Governance Institute (ITGI).
3. Effectuer une évaluation des risques liés à la loi Sarbanes-Oxley : il est essentiel, lors de l'élaboration d'un plan de mise en conformité complet, de savoir quels processus sont pertinents pour la conformité et où des risques potentiels peuvent survenir.
4. Évaluer les contrôles au niveau de l'entité : quels sont les contrôles en place et dans quelles divisions ?
5. Documenter les processus : tout processus relevant de la loi SOX doit être documenté afin que les responsabilités et les informations soient claires. Les contrôles qui protègent contre la fraude ou d'autres risques doivent également être clarifiés.
6. Contrôles informatiques : la sécurité des données devrait toujours figurer en tête de liste des priorités et le maintien de cette sécurité est essentiel pour l'évaluation des risques de la loi Sarbanes-Oxley en vue de la mise en conformité.
7. Évaluer les fournisseurs tiers : Il est de la responsabilité de votre organisation de mettre en place des contrôles adéquats pour protéger vos informations financières, ce qui implique une évaluation approfondie des fournisseurs tiers auxquels vous pouvez faire appel.
8. Tests des contrôles internes : les contrôles clés doivent être testés régulièrement pour s'assurer qu'ils répondent aux exigences de la loi Sarbanes-Oxley.
9. Évaluer les déficiences : lorsque des déficiences sont constatées au cours des tests, elles doivent être évaluées afin de déterminer si elles sont significatives. Toute déficience ayant un effet significatif sur l'organisation doit être signalée.
10.  Communication des résultats : la direction générale et le comité d'audit devraient recevoir des mises à jour sur l'état de la conformité et des contrôles internes.