Pour se conformer à la loi SOX et répondre aux exigences de l'ICFR, les organisations doivent créer des contrôles qui couvrent un large éventail d'aspects informatiques et financiers, tous adaptés à leur structure organisationnelle unique. Les principales organisations se réfèrent à des cadres tels que COBIT et COSO, voire à une combinaison des deux, à adopter dans votre quête de conformité avec SOX et ICFR. La bibliothèque de contenu d'Alyne va au-delà de la fourniture de contrôles liés à l'informatique et à la sécurité de l'information et contient désormais une couverture étendue des contrôles financiers axés uniquement sur l'intégrité financière d'une entreprise.
La première codification des contrôles comptables internes a eu lieu il y a près de quarante ans, sous l'impulsion de la multiplication des affaires de corruption dans les entreprises américaines en 1977. Depuis lors, et plus notoirement en raison du scandale comptable Enron et d'autres, les exigences en matière de contrôles et de rapports financiers sont lentement devenues plus clairement définies et appliquées. La loi Sarbanes-Oxley (SOX) est en vigueur depuis 2002 pour toutes les sociétés cotées en bourse aux États-Unis et pour celles qui y exercent leurs activités, afin de prévenir les erreurs comptables et les pratiques frauduleuses et de s'en protéger. La section 404 exige la mise en œuvre d'un contrôle interne adéquat sur les rapports financiers (ICFR) au sein des sociétés cotées en bourse afin de garantir des pratiques d'information financière équitables conformément aux principes comptables généralement acceptés (GAAP). Les auditeurs externes doivent attester de la conception et de l'efficacité du contrôle interne sur l'information financière et de l'exactitude des états financiers d'une organisation.
Bien qu'il soit mentionné ci-dessus que les exigences deviennent "plus clairement définies", les exigences réelles sur la manière de se conformer ne sont pas si simples et la loi Sarbanes-Oxley n'est pas louée pour ses conseils directs sur la meilleure manière de se conformer. La loi Sarbanes-Oxley, bien qu'elle exige des organisations qu'elles mettent en place des contrôles internes efficaces régissant à la fois les sphères informatiques et financières, ne fournit pas de liste de contrôle à suivre, ni de jalons pour mesurer les résultats obtenus. L'ambiguïté des exigences de la loi Sarbanes-Oxley a été largement condamnée en raison de sa nature vague, sans parler de l'absence de différenciation entre les éléments clés du processus.
Malgré l'absence d'un cadre de contrôle clairement défini par la loi SOX, les deux principales organisations responsables de la mise en œuvre de la loi SOX, à savoir la SECC et le PCAOB, indiquent des cadres communs largement acceptés, tels que COSO et COBIT, voire une combinaison des deux, à adopter dans votre quête de conformité à la loi SOX et de garantie de l 'ICFR. La combinaison des cadres peut également contribuer à garantir que tous les aspects sont couverts dans votre liste de contrôle de la conformité à la loi SOX et aider votre organisation à satisfaire aux exigences de l'ICFR, telles qu'elles sont énumérées dans la section 404.
COSO, COBIT, SOX ET ICFR
Comité des organisations de parrainage de la Commission Treadway (COSO) - 1985
Le cadre COSO fournit une approche de gestion des risques appliquée aux contrôles internes et articule des concepts clés que les organisations peuvent utiliser pour prévenir la fraude. Le cadre met également l'accent sur les contrôles financiers, conçus pour répondre aux exigences de la loi SOX 404 en matière de CIRF. Toutefois, le cadre ne tient pas pleinement compte de l'environnement informatique de l'organisation. Selon le COSO, il existe trois types de contrôles internes :
- Celles qui affectent le fonctionnement d'une entreprise
- Ceux qui affectent la conformité d'une entreprise avec les lois et les règlements.
- Celles qui affectent l'information financière d'une entreprise. l'information financière d'une entreprise. (ICFR)
Objectifs de contrôle pour les technologies de l'information et les technologies connexes (COBIT) - 1992
COBIT est un cadre de gestion des technologies de l'information développé par l'ISACA, qui fournit un chemin clair pour développer des politiques et des bonnes pratiques pour le contrôle des technologies de l'information, aidant ainsi les organisations à atteindre leurs objectifs dans le domaine des technologies de l'information. Le modèle COBIT permet aux responsables de combler le fossé entre les exigences de contrôle, les questions techniques et les risques commerciaux.
Loi Sarbanes-Oxley (SOX) - 2002
-
Section 404 - Contrôle interne de l'information financière
La loi SOX s'applique à toutes les sociétés cotées en bourse aux États-Unis, ainsi qu'aux filiales détenues à 100 % et aux sociétés étrangères cotées en bourse et exerçant des activités aux États-Unis. Le rapport sur les contrôles internes, prévu par l'article 4 de la loi, communément appelé SOX 404, exige que toutes les entreprises concernées disposent de contrôles internes adéquats pour présenter des données financières exactes dans leurs rapports annuels. Plus précisément, la loi SOX 404 exige des entreprises qu'elles mettent en place un contrôle interne adéquat sur les rapports financiers (ICFR) afin de s'assurer que des pratiques équitables en matière de rapports financiers ont été mises en place conformément aux principes comptables généralement acceptés (GAAP).
Conformité SOX et respect des exigences ICFR au sein d'Alyne
Dans un monde interconnecté, l'intégrité financière dépend fortement d'une infrastructure informatique sécurisée et fonctionnant correctement. Pour pouvoir suivre ses finances, il faut une transparence totale et l'assurance de savoir où et comment circulent les données. Pour satisfaire aux exigences de l'ICFR définies dans la loi SOX 404, une organisation doit non seulement disposer de contrôles financiers solides, axés sur l'intégrité financière de l'entreprise, mais aussi couvrir les contrôles d'entreprise pertinents, avec des sujets liés à l'informatique et à la sécurité de l'information.
Couvert par Alyne :
-
Cartographie complète basée sur COBIT-COSO.
-
Contrôles étendus des technologies de l'information et de la sécurité de l'information.
-
Bibliothèque des contrôles financiers axée uniquement sur l'intégrité financière d'une entreprise.
Modèle de contrôle et d'évaluation du CIFR :
Le contenu disponible au sein de la plateforme Alyne nous a permis de publier un ensemble de contrôle prêt à l'emploi pour ICFR : Internal Control over Financial Reporting (ICFR) pour la conformité avec SOX et SOC 1.
En plus de l'ensemble de contrôles, Alyne propose un modèle d'évaluation prêt à l'emploi avec des niveaux de maturité préconfigurés qui aident les entreprises à évaluer la maturité de leur intégrité financière. Des auto-évaluations régulières aident les organisations à vérifier la conformité avec leurs exigences en matière d'information financière et les aident à renforcer leur contrôle interne sur l'information financière. La dernière fonctionnalité d' Alyne en matière de contrôle interne sur les rapports financiers permet un contrôle complet de la santé de votre entreprise ainsi que de votre base de fournisseurs, à la fois pour la conformité SOX et SOC 1.
Téléchargez notre dernier livre blanc et apprenez-en plus sur SOX/SOC-in-a-Box et sur la manière dont Alyne peut aider votre organisation à respecter les exigences de la loi américaine Sarbanes-Oxley (SOX) en matière de contrôle interne des rapports financiers (ICFR), "Management Assessment of Internal Controls", et le cadre System and Organisation Controls 1 (SOC 1), défini comme "Reporting on an Examination of Controls at a Service Organisation Relevant to User Entities' Internal Control Over Financial Reporting" (Rapport sur l'examen des contrôles d'un organisme de services pertinents pour le contrôle interne des entités utilisatrices sur les rapports financiers).
