La nouvelle version de l'IDW PS 340 a permis d'élargir considérablement les exigences en matière de gestion des risques à l'échelle de l'entreprise. Cette évolution a été précédée de vives discussions sur des aspects tels que la capacité à supporter les risques et l'agrégation des risques. Il s'agit essentiellement de discussions sur la méthodologie du système de gestion des risques et sur la question de savoir dans quelle mesure et à quelles étapes du processus les approches quantitatives sont utiles et/ou nécessaires.

Pour de nombreux gestionnaires de risques, ces exigences signifient une adaptation importante de la gestion des risques dans l'entreprise, à laquelle ils doivent faire face en plus de leurs tâches quotidiennes. Dans notre livre blanc IDW PS 340 n.F., vous apprendrez comment vous pouvez mettre en œuvre les exigences de la norme d'audit à l'aide d'Alyne Software as a Service et comment vous pouvez actualiser votre gestion des risques.

Télécharger le livre blanc

La conformité est en constante évolution. Il s'agit d'un domaine extrêmement vaste, avec de nombreuses significations différentes et des exigences en constante évolution. Auparavant, la conformité était principalement confinée au secteur des services financiers, mais aujourd'hui, elle est devenue une pierre angulaire fondamentale de toutes les organisations, quel que soit leur secteur d'activité. Les entreprises sont confrontées à toute une série de règlements, de directives et de lois qui définissent leurs activités quotidiennes et couvrent un large éventail de domaines - de la protection des données dans le département des ressources humaines à la fiscalité et à la corruption dans le département des finances.

Pour toutes les organisations qui cherchent à mettre en place des processus de conformité efficaces, les enjeux sont considérables. Pour les gérer, les équipes chargées de la conformité sont souvent confrontées à des questions sur la manière d'intégrer toutes les réglementations requises, de réduire les coûts et de maintenir des programmes qui permettent à l'organisation de s'adapter facilement au changement. Il n'est pas rare que de nombreuses entreprises se sentent perdues dans un océan de feuilles de calcul et de paperasserie, sans aucune perspective de transparence réelle.

Alors que le monde change et que les environnements professionnels évoluent, il devient de plus en plus difficile d'ignorer la nécessité d'une gestion numérique de la conformité capable d'apporter efficacité, clarté et collaboration entre les différentes fonctions de l'entreprise.

Si votre organisation dépend encore d'une gestion manuelle de la conformité, il y a de fortes chances que l'information soit segmentée et que votre travail de conformité ne soit pas aussi intégré qu'il devrait l'être. Ces approches se traduisent généralement par des angles morts qui empêchent les responsables de la conformité, dans les différentes fonctions, de travailler ensemble de manière transparente. En conséquence, les entreprises passent souvent à côté d'informations ou de connaissances clés qui pourraient potentiellement les aider à atteindre la conformité avec moins de ressources et d'efforts.

Le travail de mise en conformité est plus efficace lorsque l'on aborde les normes et les réglementations en fonction de leurs points communs, plutôt qu'individuellement. Un processus de conformité intelligent est un processus qui englobe une approche holistique intégrée de la gestion de la conformité, verticalement et horizontalement.

Chez Alyne, nous comprenons la nécessité de simplifier, de numériser et d'automatiser les processus afin de minimiser les conjectures et de favoriser la collaboration au sein de votre organisation, tout en maintenant la transparence et la cohérence au sein de votre cadre de contrôle.

Contactez un expert pour en savoir plus sur la technologie de conformité réglementaire de Mitratech.

La première codification des contrôles comptables internes a eu lieu il y a près de quarante ans, sous l'impulsion de la multiplication des affaires de corruption dans les entreprises américaines en 1977. Depuis lors, et plus notoirement en raison du scandale comptable Enron et d'autres, les exigences en matière de contrôles et de rapports financiers sont lentement devenues plus clairement définies et appliquées. La loi Sarbanes-Oxley (SOX) est en vigueur depuis 2002 pour toutes les sociétés cotées en bourse aux États-Unis et pour celles qui y exercent leurs activités, afin de prévenir les erreurs comptables et les pratiques frauduleuses et de s'en protéger. La section 404 exige la mise en œuvre d'un contrôle interne adéquat sur les rapports financiers (ICFR) au sein des sociétés cotées en bourse afin de garantir des pratiques d'information financière équitables conformément aux principes comptables généralement acceptés (GAAP). Les auditeurs externes doivent attester de la conception et de l'efficacité du contrôle interne sur l'information financière et de l'exactitude des états financiers d'une organisation.

Bien qu'il soit mentionné ci-dessus que les exigences deviennent "plus clairement définies", les exigences réelles sur la manière de se conformer ne sont pas si simples et la loi Sarbanes-Oxley n'est pas louée pour ses conseils directs sur la meilleure manière de se conformer. La loi Sarbanes-Oxley, bien qu'elle exige des organisations qu'elles mettent en place des contrôles internes efficaces régissant à la fois les sphères informatiques et financières, ne fournit pas de liste de contrôle à suivre, ni de jalons pour mesurer les résultats obtenus. L'ambiguïté des exigences de la loi Sarbanes-Oxley a été largement condamnée en raison de sa nature vague, sans parler de l'absence de différenciation entre les éléments clés du processus.

Malgré l'absence d'un cadre de contrôle clairement défini par la loi SOX, les deux principales organisations responsables de la mise en œuvre de la loi SOX, à savoir la SECC et le PCAOB, indiquent des cadres communs largement acceptés, tels que COSO et COBIT, voire une combinaison des deux, à adopter dans votre quête de conformité à la loi SOX et de garantie de l 'ICFR. La combinaison des cadres peut également contribuer à garantir que tous les aspects sont couverts dans votre liste de contrôle de la conformité à la loi SOX et aider votre organisation à satisfaire aux exigences de l'ICFR, telles qu'elles sont énumérées dans la section 404.

COSO, COBIT, SOX ET ICFR

Comité des organisations de parrainage de la Commission Treadway (COSO) - 1985

Le cadre COSO fournit une approche de gestion des risques appliquée aux contrôles internes et articule des concepts clés que les organisations peuvent utiliser pour prévenir la fraude. Le cadre met également l'accent sur les contrôles financiers, conçus pour répondre aux exigences de la loi SOX 404 en matière de CIRF. Toutefois, le cadre ne tient pas pleinement compte de l'environnement informatique de l'organisation. Selon le COSO, il existe trois types de contrôles internes :

• Celles qui affectent le fonctionnement d'une entreprise
• Ceux qui affectent la conformité d'une entreprise avec les lois et les règlements.
• Celles qui affectent l'information financière d'une entreprise. l'information financière d'une entreprise. (ICFR)

Objectifs de contrôle pour les technologies de l'information et les technologies connexes (COBIT) - 1992

COBIT est un cadre de gestion des technologies de l'information développé par l'ISACA, qui fournit un chemin clair pour développer des politiques et des bonnes pratiques pour le contrôle des technologies de l'information, aidant ainsi les organisations à atteindre leurs objectifs dans le domaine des technologies de l'information. Le modèle COBIT permet aux responsables de combler le fossé entre les exigences de contrôle, les questions techniques et les risques commerciaux.

Loi Sarbanes-Oxley (SOX) - 2002

• Section 404 - Contrôle interne de l'information financière

La loi SOX s'applique à toutes les sociétés cotées en bourse aux États-Unis, ainsi qu'aux filiales détenues à 100 % et aux sociétés étrangères cotées en bourse et exerçant des activités aux États-Unis. Le rapport sur les contrôles internes, prévu par l'article 4 de la loi, communément appelé SOX 404, exige que toutes les entreprises concernées disposent de contrôles internes adéquats pour présenter des données financières exactes dans leurs rapports annuels. Plus précisément, la loi SOX 404 exige des entreprises qu'elles mettent en place un contrôle interne adéquat sur les rapports financiers (ICFR) afin de s'assurer que des pratiques équitables en matière de rapports financiers ont été mises en place conformément aux principes comptables généralement acceptés (GAAP).

Conformité SOX et respect des exigences ICFR au sein d'Alyne

Dans un monde interconnecté, l'intégrité financière dépend fortement d'une infrastructure informatique sécurisée et fonctionnant correctement. Pour pouvoir suivre ses finances, il faut une transparence totale et l'assurance de savoir où et comment circulent les données. Pour satisfaire aux exigences de l'ICFR définies dans la loi SOX 404, une organisation doit non seulement disposer de contrôles financiers solides, axés sur l'intégrité financière de l'entreprise, mais aussi couvrir les contrôles d'entreprise pertinents, avec des sujets liés à l'informatique et à la sécurité de l'information.

Couvert par Alyne :

• Cartographie complète basée sur COBIT-COSO.

• Contrôles étendus des technologies de l'information et de la sécurité de l'information.

• Bibliothèque des contrôles financiers axée uniquement sur l'intégrité financière d'une entreprise.

Modèle de contrôle et d'évaluation du CIFR :

Le contenu disponible au sein de la plateforme Alyne nous a permis de publier un ensemble de contrôle prêt à l'emploi pour ICFR : Internal Control over Financial Reporting (ICFR) pour la conformité avec SOX et SOC 1.

En plus de l'ensemble de contrôles, Alyne propose un modèle d'évaluation prêt à l'emploi avec des niveaux de maturité préconfigurés qui aident les entreprises à évaluer la maturité de leur intégrité financière. Des auto-évaluations régulières aident les organisations à vérifier la conformité avec leurs exigences en matière d'information financière et les aident à renforcer leur contrôle interne sur l'information financière. La dernière fonctionnalité d' Alyne en matière de contrôle interne sur les rapports financiers permet un contrôle complet de la santé de votre entreprise ainsi que de votre base de fournisseurs, à la fois pour la conformité SOX et SOC 1.

Téléchargez notre dernier livre blanc et apprenez-en plus sur SOX/SOC-in-a-Box et sur la manière dont Alyne peut aider votre organisation à respecter les exigences de la loi américaine Sarbanes-Oxley (SOX) en matière de contrôle interne des rapports financiers (ICFR), "Management Assessment of Internal Controls", et le cadre System and Organisation Controls 1 (SOC 1), défini comme "Reporting on an Examination of Controls at a Service Organisation Relevant to User Entities' Internal Control Over Financial Reporting" (Rapport sur l'examen des contrôles d'un organisme de services pertinents pour le contrôle interne des entités utilisatrices sur les rapports financiers).

Conformité HIPAA

Bien que la loi HIPAA (Health Insurance and AccountabiIity Management Act) ait été promulguée pour la première fois en 1996, la mise en conformité reste une tâche souvent difficile, laissant de nombreuses entités couvertes et associés commerciaux dépourvus des mesures appropriées et ne sachant toujours pas comment se conformer à l'ensemble des règles HIPAA énoncées dans la partie 164. La loi a été conçue pour offrir aux consommateurs un meilleur accès à l'assurance maladie, réduire la fraude, protéger la confidentialité et la sécurité des informations sur les soins de santé et promouvoir l'efficacité et la normalisation au sein du secteur. La réglementation HIPAA s'applique à toutes les entités couvertes qui traitent des données sur la santé ou liées à la santé, y compris les chambres de compensation financière, et à tout fournisseur qui utilise ou transmet des informations personnelles sur la santé (PHI).

Selon un rapport de Research and Markets, le marché mondial des applications de santé mobile devrait atteindre 134,7 milliards de dollars américains d'ici 2027. En fait, deux tiers des plus grands hôpitaux du monde proposent des applications mobiles à leurs patients. Avec l'essor de la télésanté, le besoin de sécurité des données dans le secteur des soins de santé a accru l'utilisation et le partage des dossiers médicaux électroniques (EHR) des patients.

La prolifération des technologies numériques a modifié le mode de fonctionnement de nombreux prestataires de soins de santé. L'augmentation de l'efficacité et de la connectivité s'est accompagnée d'une augmentation du stockage et de la transmission d'éléments clés d'informations confidentielles sur la santé, d'où un besoin encore plus grand de sécurité et de confidentialité des informations sur les patients. L'HIPAA réglemente la sécurité, la confidentialité et la protection des informations personnelles sur la santé (PHI) détenues par les entités couvertes et les tiers, et donne aux individus le droit de comprendre et de contrôler la manière dont leurs informations sur la santé sont utilisées ou divulguées.

Règles de confidentialité de l'HIPAA

La règle de confidentialité de l'HIPAA (partie 164, sous-partie E) se concentre sur les nombreuses utilisations et divulgations d'informations personnelles sur la santé (PHI) et d'informations personnelles identifiables (PII) avec les droits de la personne concernée. Ces informations comprennent les dossiers médicaux et d'autres informations personnelles sur la santé, et s'appliquent aux plans de santé, aux centres d'échange d'informations sur la santé et aux prestataires de soins de santé qui effectuent certaines transactions par voie électronique.

Règles de sécurité HIPAA

La règle de sécurité de l'HIPAA (partie 164, sous-partie C) est la norme de sécurité pour la protection des PHI électroniques (e-PHI). Cet ensemble de règles garantit l'existence de mesures de protection techniques et non techniques (notamment administratives et physiques) afin de s'assurer que les PHI électroniques sont transmis et traités de manière sécurisée et responsable.

Règle de notification des violations de l'HIPAA

La règle de notification des violations de l'HIPAA (partie 164, sous-partie D) exige des entités couvertes et de leurs associés commerciaux qu'ils informent les personnes concernées et les médias d'une violation de données personnelles non sécurisées. En fonction de sa gravité, si la violation de données affecte 500 personnes ou plus, le secrétaire d'État à la santé et aux services sociaux doit être informé au plus tard 60 jours après la violation.

La technologie peut être un excellent facilitateur pour aider à simplifier les exigences, fournir une plus grande transparence des risques, éduquer et former les employés, et même agir comme une source centralisée de données, en allégeant la pression du processus d'audit. Vous souhaitez en savoir plus sur les capacités d'Alyne et sur la cartographie complète de la partie 164 de la réglementation HIPAA ?

Télécharger le livre blanc HIPAA ici ou parlez à un expert pour en savoir plus. https://mitratech.com/schedule-demo/.