Il peut sembler étrange pour beaucoup que la question du reporting Sarbanes-Oxley (SOX) refasse surface tant d'années après l'adoption de la législation initiale en 2002, et après que des milliards de dollars ont été investis dans les systèmes, les processus et la technologie mis en œuvre par les entreprises pour se conformer à la loi.
Néanmoins, les efforts, les ressources et les coûts liés à la mise en conformité avec la loi SOX n'ont cessé d'augmenter ces dernières années en raison de l'attention renouvelée portée aux feuilles de calcul dans le processus SOX. En effet, la direction, les auditeurs et le Public Company Accounting Oversight Board (PCAOB) ont pleinement saisi l'ampleur et l'importance de l'omniprésence des feuilles de calcul dans les applications et les processus clés de l'entreprise.
Si le risque lié aux feuilles de calcul est un nouveau domaine d'intérêt de la loi SOX, ses principes clés restent inchangés. Les résultats trimestriels et annuels communiqués par les sociétés cotées aux États-Unis doivent refléter fidèlement l'activité sous-jacente, et les cadres supérieurs, généralement le PDG et le directeur financier, doivent être prêts à l'attester.
Cela signifie que le même niveau de contrôle de gestion, de transparence et d'auditabilité doit être appliqué à l'environnement des feuilles de calcul, nouvellement significatif, que celui appliqué à l'environnement informatique de l'entreprise qui sous-tend le reste de l'environnement SOX.
Les entreprises tiennent généralement à conserver l'utilisation des feuilles de calcul, car leur puissance et leur souplesse contribuent à leur flexibilité et à leur dynamisme. Nombre d'entre elles reconnaissent de plus en plus que la loi SOX signifie qu'elles doivent mettre en place la même gouvernance et le même contrôle que le reste de leur parc informatique.
Compte tenu des défis posés par la gestion des risques liés aux feuilles de calcul dans le cadre de la loi SOX et de l'importance des résultats, les institutions doivent réfléchir attentivement à la meilleure façon de tirer parti de la puissance des feuilles de calcul, tout en atténuant les risques qui y sont associés. Ils doivent assurer la gouvernance des données que la direction, les auditeurs et les régulateurs attendent.
Une approche des meilleures pratiques pour la gestion des risques liés aux feuilles de calcul dans le cadre de la conformité à la loi SOX
Sur la base de l'expérience acquise en aidant un large éventail d'entreprises à gérer les risques liés aux feuilles de calcul dans le cadre de divers régimes de conformité, il s'agit d'une approche des meilleures pratiques pour la gestion des risques liés aux feuilles de calcul dans le cadre de la loi Sarbanes-Oxley.
Identifier les feuilles de calcul SOX
Un reporting SOX efficace dépend de l'existence de fondations adéquates, et l'identification de toutes les feuilles de calcul SOX clés est vitale. Ces feuilles de calcul peuvent couvrir toute une série de domaines et de fonctions : processus de gestion des recettes, modèles de gestion des coûts, modèles d'amortissement, modèles de reconnaissance des recettes, enregistrements des contrats ou gestion des commandes, par exemple. Les feuilles de calcul jouent également un rôle important dans les modèles de consolidation et les rapports sur le dernier kilomètre. Combinées aux données provenant d'une série de systèmes d'entreprise, elles fournissent les résultats finaux de la loi SOX qui doivent être attestés.
Ces feuilles de calcul se trouvent dans différents départements, unités commerciales et même pays. Des versions, des formats et des définitions différents peuvent être utilisés au sein d'une même unité commerciale, une situation amplifiée dans plusieurs unités commerciales. Cette situation offre une grande marge de manœuvre pour l'émergence d'un risque lié aux feuilles de calcul lors de l'implantation et de l'établissement des rapports.
Évaluez les risques de vos feuilles de calcul SOX
Dans un cadre SOX qui utilise des feuilles de calcul, ces dernières auront une importance variable. L'importance d'une feuille de calcul peut, par exemple, dépendre du nombre d'autres feuilles de calcul qui lui sont liées, du nombre de formules et de feuilles de calcul qu'elle contient et de la complexité de ses formules et macros. Bien qu'il s'agisse d'un critère utile, d'autres feuilles de calcul, beaucoup plus simples, peuvent être tout aussi importantes pour les rapports SOX.
Le fait de disposer d'un modèle d'évaluation systématique des risques pour la conformité à la loi SOX permet aux personnes de toute l'entreprise de convenir objectivement des feuilles de calcul qui doivent faire l'objet d'un examen approfondi. Cela peut constituer la base d'un modèle efficace de mise en œuvre d'un projet de gestion des feuilles de calcul SOX, et servir à développer le cadre de gestion des risques, d'audit et de gouvernance dont les institutions ont besoin.
Elle permet également de cibler la gestion des risques sur les bons domaines, au lieu de disperser les efforts en évaluant un trop grand nombre de feuilles de calcul inadaptées.
Contrôler et auditer vos feuilles de calcul SOX
La dernière étape consiste à surveiller de près vos feuilles de calcul SOX clés, afin d'identifier les changements qui y sont apportés et leur impact potentiel sur les résultats SOX et sur l'ensemble de l'entreprise. Il est important que les modifications apportées aux feuilles de calcul - aux formules, aux sources de données, aux feuilles de calcul individuelles et aux macros par exemple - puissent être facilement identifiées, car elles peuvent avoir un impact important sur les résultats SOX finaux.
Ces changements doivent être facilement identifiables, vérifiables et notifiables, de sorte que le cadre de gestion des risques et de gouvernance, essentiel pour se conformer à la loi Sarbanes-Oxley, soit pleinement pris en charge.
Quelle que soit la manière dont une institution aborde ce défi, il est important que le modèle de gestion des risques et de la gouvernance soit considéré comme une condition préalable à la mise en œuvre d'un modèle de gestion des feuilles de calcul SOX, au même titre que la gestion des données, ainsi que l'intégration et la conception des systèmes. En plus de garantir l'exactitude des résultats finaux, cette approche permet de s'assurer que les résultats SOX finaux, tirés des processus basés sur des feuilles de calcul, sont entièrement alignés sur les exigences de la loi SOX en matière d'audit et de gouvernance des données.
Fournir ces capacités en utilisant des processus manuels est pour le moins difficile. Il est possible de mettre en œuvre ces capacités, en tirant parti de l'automatisation, de manière efficace et efficiente, en utilisant les capacités de ClusterSeven.
Découvrir PolicyHub
It’s the Policy Management solution that’s easy to use, so you can build stronger compliance.
