Article
Section 404 de la SOX : évaluation des contrôles internes par la direction
La section 404 de la loi Sarbanes-Oxley (SOX) impose à toutes les sociétés cotées en bourse (à quelques exceptions près) d’implémenter des contrôles et des procédures internes pour l’établissement des rapports financiers. Chacun des contrôles internes définis par SOX 404 doit être documenté, testé, maintenu et certifié par un audit tiers afin de confirmer son efficacité, sa fiabilité et son exactitude. L’objectif de SOX 404 est d’éliminer les vecteurs de fraude dans les entreprises.
Organisations exemptées de la conformité SOX 404 |
|---|
– Les entreprises déclarantes non accélérées (« non-accelerated filers ») ou les entreprises dont le fonds de caisse public est inférieur à 75 millions de dollars. |
Responsabilités du CEO et CFO dans la conformité à la SOX 404
Dans les sociétés cotées en bourse, le directeur général (CEO) et le directeur financier (CFO) sont directement responsables de tout rapport financier déposé auprès de la Securities Exchange Commission (SEC). Chaque année, le directeur général et le directeur financier de l’organisation sont tenus de déposer un rapport annuel qui évalue la mise en place, le maintien et le test d’efficacité des contrôles internes sur les rapports financiers.
Le directeur général et le directeur financier sont tenus personnellement responsables et s’exposent à des sanctions pénales potentiellement sévères en cas de violation, y compris des peines d’emprisonnement et des millions de dollars d’amende. Le rapport SOX 404 sur les contrôles internes doit comprendre les éléments suivants :
- Une déclaration sur la responsabilité de la direction dans l’établissement et le maintien d’un contrôle interne adéquat sur l’information financière.
- Une déclaration identifiant le cadre utilisé par la direction pour évaluer l’efficacité du contrôle interne.
- L’évaluation par la direction de l’efficacité du contrôle interne à la fin de l’exercice fiscal le plus récent de l’entreprise.
- Une déclaration indiquant que l’auditeur externe de l’entreprise a émis un rapport d’attestation sur l’évaluation de la direction.
Implémentation des contrôles SOX 404
Que signifie « contrôles internes » ?
Les contrôles internes SOX, également appelés contrôles internes SOX 404, sont des règles qui permettent de prévenir et de détecter les erreurs dans le processus d’information financière d’une organisation. Les contrôles internes SOX 404 doivent être appliqués à tous les processus et systèmes associés aux rapports financiers de l’organisation. Cela inclut :
- Le contrôle de l’environnement
Ensemble de normes et de processus qui constituent la base du contrôle interne au sein d’une organisation. - L’évaluation des risques
Processus d’identification et d’évaluation des risques susceptibles de perturber la réalisation des objectifs d’une organisation. - Des activités de contrôle
Mesures prises pour atténuer les risques identifiés. - Information et communication
Flux d’informations nécessaires pour soutenir les fonctions de contrôle interne. - Le suivi
Évaluation continue des performances des contrôles internes.
Voici les cinq étapes clés de l’implémentation des contrôles internes SOX 404.
Plan
- Créer un plan de projet.
- Établir un calendrier.
- Évaluer la matérialité et les risques.
- Étudier les comptes, les systèmes et les processus.
- Définir l’approche de la conformité SOX 404.
Documenter
- Interroger les principaux responsables des processus et des contrôles internes existants.
- Identifier les contrôles clés.
- Effectuer une analyse des lacunes.
- Recommander des améliorations aux processus et aux systèmes.
Tester
- Effectuer des tests par échantillonnage des contrôles internes clés.
- Évaluer l’efficacité des tests.
- Documenter les méthodologies et les résultats.
- Tester les contrôles pour mesurer les performances.
Remédier
- Concevoir des solutions pour combler les lacunes et les déficiences.
- Implémenter les solutions.
Évaluer.
- Documenter les conclusions.
- Réévaluer la matérialité et le risque.
- Documenter les questions non résolues.
Test et audit de la SOX 404
Le test et l’audit des contrôles internes SOX 404 peuvent être complexes et prendre du temps, car ils portent sur tous les actifs informatiques d’une organisation et sur tous les dispositifs ayant accès aux données financières.
Domaines d’audit SOX 404
Un audit des contrôles internes SOX 404 se concentre sur quatre domaines clés.
- Contrôle d’accès
Ce domaine de l’audit SOX 404 évalue les systèmes et les processus utilisés pour restreindre l’accès aux informations sensibles afin de s’assurer que seuls les utilisateurs autorisés disposent d’un accès physique et numérique. Les contrôles numériques comprennent les barrières d’accès numériques, telles que la gestion des identités et des accès, l’authentification et le cryptage. Les contrôles d’accès physiques comprennent les badges, les serrures et la vidéosurveillance. - Sécurité informatique
Les contrôles de sécurité informatique pris en compte dans le cadre d’un audit des contrôles internes SOX 404 comprennent les mesures prises pour identifier et protéger les données sensibles contre les cyberattaques. Ce domaine couvre les activités de surveillance et de détection des cyberattaques, ainsi que les plans d’intervention visant à atténuer les dommages et à rétablir la situation en temps utile. - Sauvegarde des données
L’audit SOX 404 évalue les systèmes et les plans de sauvegarde et de récupération des données afin de déterminer leur efficacité à minimiser les temps d’arrêt et les pertes de données en cas de sinistre. La conformité SOX 404 exige que les systèmes de production et de sauvegarde qui traitent les données financières soient conformes aux normes. - Gestion des changements
La façon dont une organisation gère les changements apportés à son environnement informatique est évaluée dans le cadre d’un audit des contrôles internes SOX 404. Cela comprend l’intégration des employés, l’installation d’une nouvelle infrastructure, les mises à jour du matériel et des logiciels, et les changements de configuration. Toute modification doit être enregistrée et toute modification jugée sensible doit être surveillée afin de détecter toute vulnérabilité.
Tests SOX 404
Le processus de test des contrôles internes SOX 404 consiste en quatre cycles. Nombre d’entre eux se déroulent tout au long de l’année, certains contrôles internes étant effectués tout au long de l’année.
- Évaluation initiale
- Tests intermédiaires
- Tests de fin d’année
- Tests effectués par des auditeurs indépendants
Qu’est-ce que le cadre de référence COSO ?
Le cadre le plus couramment utilisé pour l’implémentation du contrôle interne SOX 404 est le cadre intégré de contrôle interne, qui a été élaboré en 2013 par le Committee of Sponsoring Organizations of the Treadway Commission (COSO) en collaboration avec cinq organisations du secteur privé.
- Financial Executives International (FEI)
- The American Accounting Association (AAA)
- The American Institute of Certified Public Accountants (AICPA)
- The Institute of Internal Auditors (IIA)
- The Institute of Management Accountants (IMA)
Ce cadre complet détaille les contrôles internes à implémenter pour se conformer à SOX 404. La plupart de ces contrôles sont obligatoires et, s’ils ne sont pas implémentés, l’organisation risque d’enfreindre les exigences de SOX 404.
Bien que le cadre de contrôle interne COSO soit volontaire, ses directives de conformité SOX 404 garantissent que les organisations disposent de l’infrastructure et des systèmes de sécurité requis ou identifient les lacunes négligées qui doivent être corrigées pour maintenir la conformité. En outre, la majorité des auditeurs fondent leurs examens des capacités de contrôle interne des organisations sur le cadre COSO.
Les principes du cadre COSO
Le cadre COSO repose sur 17 principes qui s’alignent sur les cinq composantes du contrôle interne prescrites par SOX 404. Ces principes détaillent ce qui est nécessaire pour démontrer à un auditeur tiers la conformité aux exigences de SOX 404.
17 principes du cadre COSO
| Composantes du contrôle interne SOX 404 | Principes du COSO |
|---|---|
| Environnement de contrôle | 1. Démontrer un engagement en faveur de l’intégrité et des valeurs éthiques 2. Veiller à ce que le conseil d’administration soit indépendant et exerce une responsabilité de surveillance 3. Établir la structure, l’autorité, les lignes hiérarchiques et les responsabilités 4. Démontrer son engagement à attirer, développer et conserver un personnel compétent 5. Faire respecter l’obligation de rendre compte dans l’ensemble de l’organisation |
| Évaluation des risques | 6. Définir des objectifs appropriés et spécifiques 7. Identifier et analyser les risques 8. Évaluer le risque de fraude 9. Identifier et analyser les changements significatifs susceptibles d’avoir une incidence sur les contrôles internes |
| Activités de contrôle | 10. Sélectionner et développer des activités de contrôle interne qui contribuent à atténuer les risques 11. Sélectionner et développer des contrôles sur la technologie 12. Maintenir et appliquer les contrôles internes à l’aide de politiques et de procédures approfondies |
| Information et communication | 13. Utiliser des informations pertinentes et de qualité pour soutenir l’exécution des contrôles internes 14. Communiquer en interne les informations relatives au contrôle interne 15. Communiquer les informations sur le contrôle interne à l’extérieur |
| Suivi | 16. Procéder à des évaluations continues et/ou périodiques des contrôles internes 17. Évaluer et communiquer les déficiences du contrôle interne |
SOX 404 : une opportunité d’améliorer les rapports financiers
La mise en conformité avec SOX 404 peut s’avérer lourde et fastidieuse, mais elle n’a pas à être difficile. L’implémentation et le respect des processus adéquats et des meilleures pratiques permettent d’alléger le fardeau de la conformité SOX 404 et d’améliorer les rapports financiers.
