Article

Guide de la conformité à la loi SOX : qu'est-ce que la conformité à la SOX?

Compliance
Temps de lecture : 31 minutes
Download PDF

Qu'est-ce que la conformité à la loi SOX ?

Le Sarbanes-Oxley Act (SOX) est une loi fédérale américaine promulguée en 2002 pour protéger les investisseurs et les clients des pratiques frauduleuses des entreprises. Les obligations de conformité à la SOX assurent l'exactitude des états financiers des sociétés, améliorent les déclarations d'intérêts financiers et dissuadent les entreprises de commettre des erreurs de comptabilité et des pratiques frauduleuses. La loi a reçu le nom des personnes qui ont été à son origine : le sénateur Paul Sarbanes (D-MD) et le représentant Michael G. Oxley (R-OH).

Les sociétés sont tenues de procéder chaque année à des vérifications de conformité à la SOX. Ces audits sont réalisés par des cabinets de vérification indépendants.

Dans le cadre de ces vérifications, les états financiers et les contrôles internes des sociétés sont évalués. Le directeur général et le directeur financier doivent signer des déclarations attestant de l'exactitude de toutes les informations transmises.

Non seulement les obligations de conformité à la SOX sont une obligation légale mais elles constituent une bonne pratique professionnelle. Toutes les organisations doivent se comporter de façon éthique et limiter l'accès à leurs données financières. La conformité à la SOX présente de surcroît l'avantage d'aider les organisations à préserver les données sensibles des menaces internes, des cyberattaques et des violations à la sécurité.

Les 11 titres de la SOX

La loi SOX est composée de onze titres. Sous chacun d'eux, les sections détaillent ce qu'il faut faire pour être en règle avec la SOX. Vous trouverez ci-dessous un index de la loi comportant la description des sections qui ont les plus fortes répercussions sur les sociétés.

Titre I - Conseil de supervision de la comptabilité des sociétés publiques

Le titre I établit le Conseil de supervision des sociétés publiques et explique dans quelles conditions il offre une supervision indépendante de cabinets comptables qui proposent des services de vérification. Il met également en place un conseil de supervision plus réduit qui est chargé d'agréer les vérificateurs, de définir les processus et procédures propres aux audits de conformité, d'inspecter et de corriger la conduite des audits et les contrôles de qualité et de faire appliquer la conformité aux obligations de la SOX.

Sect. 101. Établissement ; dispositions administratives
Sect. 102. Agrément par le Conseil
Sect. 103. Vérifications, contrôle qualité et normes et règles d'indépendance
Sect. 104. Inspections des cabinets comptables publics agréés
Sect. 105. Enquêtes et sanctions disciplinaires
Sect. 106. Cabinets comptables publics étrangers
Sect. 107. Supervision du Conseil par la commission
Sect. 108. Normes comptables
Sect. 109. Financements

Titre II - Indépendance des vérificateurs

C'est dans le titre II que sont fixées les normes relatives à l'indépendance des vérificateurs, dans le but de limiter les conflits d'intérêts. Il donne également des orientations sur les conditions d'agrément des nouveaux vérificateurs, la rotation des partenaires des audits et les obligations de déclarations administratives des vérificateurs, en empêchant que ce soit le même cabinet qui procède aux audits et accomplisse des services de vérification de la conformité à d'autres lois que la SOX.

Sect. 201. Services en dehors de l'exercice des vérificateurs
Sect. 202. Exigences de préapprobation
Sect. 203. Rotation des partenaires d'audits
Sect. 204. Rapport des vérificateurs pour auditer les comités
Sect. 205. Amendements de conformité
Sect. 206. Conflits d'intérêt
Sect. 207. Étude de la rotation obligatoire des cabinets comptables publics agréés
Sect. 208. Autorité de la commission
Sect. 209. Considérations des organismes réglementaires officiels des États

Titre III - Responsabilité sociale des entreprises 

Le titre III définit les responsabilités des cadres dirigeants, en particulier ceux qui assument à titre personnel la responsabilité de l'exactitude et de l'exhaustivité des états financiers de l'entreprise. Il détaille également les interactions des vérificateurs externes et des comités d'audit de l'entreprise et précise la responsabilité des cadres de l'entreprise par rapport à l'exactitude et la validité des états financiers. Cette partie de la législation SOX définit en outre les extinctions d'avantages particulières et les sanctions en cas de non-conformité.

Sect. 301. Comités d'audit des entreprises publiques
Sect. 302. Responsabilité sociale des entreprises vis-à-vis des états financiers
Les principaux points de la section 302 sont les suivants :

  • Les entreprises publiques doivent déposer leurs états financiers auprès de la Sect.
  • Les CEO (PDG) et CFO (Directeurs Financiers) doivent certifier qu'ils ont étudié et validé le rapport soumis et qu'il "ne contient aucune fausse déclaration"
  • Les signataires doivent attester que des contrôles internes sont en place et qu'ils étaient déjà en vigueur au cours des 90 jours précédant la rédaction du rapport, afin de garantir que toutes les informations fournies par la société sont exactes et accessibles par les vérificateurs.
  • Toutes les « lacunes » dans la conception ou la mise en œuvre de ces contrôles internes ont été identifiées et les vérificateurs en ont été informés.
  • Les vérificateurs doivent être informés de tous les changements apportés aux contrôles internes après l'envoi du rapport.

Sect. 303. Influence indue sur la conduite des audits.
Cette section interdit « tout acte de la part d'un comptable indépendant public ou certifié intervenant dans la réalisation d'une vérification des états financiers d'un déclarant visant à exercer une influence frauduleuse, avoir un effet de coercition, de manipulation ou de tromperie, dans le but de rendre ces états financiers substantiellement trompeurs. »
Sect. 304. Extinction de certaines primes et bénéfices
Sect. 305. Interdictions et sanctions infligées aux cadres et aux directeurs
Sect. 306. Délits d'initiés pendant les périodes d'interdiction de modification des fonds de pension
Sect. 307. Règles de responsabilité professionnelle pour les avocats
Sect. 308. Équité des fonds pour les investisseurs

Titre IV - Déclarations renforcées des intérêts financiers

Le titre IV explique à quelles obligations sont astreintes les transactions financières dans le cadre de la de conformité à la SOX, y compris les transactions extérieures au bilan, les chiffres des factures pro-forma et les transactions du personnel administratif relatives à des actions. Il précise également les contrôles internes obligatoires pour valider l'exactitude des états financiers, et impose à la fois des audits et des rapports sur ces contrôles.

Sect. 401. Déclarations des conflits d'intérêts dans les rapports périodiques
La section 401 revient sur l'obligation pour les rapports de conformité à la SOX de ne pas contenir de déclarations trompeuses ou fausses, ni d'erreurs factuelles. Il énonce en outre l'obligation pour les états financiers d'être établis conformément aux principes comptables généralement acceptés (PCGA).
Sect. 402. Dispositions renforcées sur les conflits d'intérêts
Sect. 403. Déclaration des transactions impliquant la direction et les principaux actionnaires
Sect. 404. Évaluation des contrôles internes par la direction
La section 404 est généralement considérée comme la plus compliquée, la plus difficile et la plus coûteuse à appliquer. Et notamment :

  • Elle invite la direction à mettre en place « une structure adaptée de contrôles internes et de procédures pour les états financiers. »
  • Elle établit que la direction a la responsabilité d'évaluer l'efficacité de ces contrôles et procédures au cours de la dernière année fiscale.
  • Elle impose à tout cabinet comptable public agréé qui prépare ou publie le rapport d'audit d'attester [de l'exactitude] de l'évaluation produite par la direction et d'en faire un rapport.

Sect. 405. Exemption
Sect. 406. Code de déontologie à l'intention des cadres financiers
Sect. 407. Déclaration de conflits d'intérêts de l'expert financier du comité d'audit
Sect. 408. Examen approfondi des déclarations d'intérêts périodiques des émetteurs
Sect. 409. Déclarations d'intérêts en temps réel des émetteurs
La section 409 stipule que les sociétés doivent informer sans délai le public de toutes modifications substantielles intervenues dans leur situation financière ou leurs opérations, et notamment de révéler les violations de données ou d'autres formes de cyberattaques.

Titre V - Conflits d'intérêts des analystes

Le titre V ne comporte qu'une seule section, destinée à rétablir la confiance des investisseurs dans les rapports des analystes en valeurs mobilières, en définissant les codes de déontologie et en exigeant la déclaration des conflits d'intérêts dont le public risquerait d'avoir connaissance.

Sect. 501. Traitement des analystes en valeurs mobilières par des associations de titres agréées et des bourses nationales d'échange de titres.

Titre VI - Ressources et autorité de la Commission

Le titre VI définit les pratiques pour rétablir la confiance des investisseurs dans les analystes en valeurs mobilières. Il insiste également sur le fait que la SEC a le pouvoir d'empêcher ou d'interdire aux professionnels en titres de placement d'exercer.

Sect. 601. Autorisation des appropriations
Sect. 602. Comparution et exercice devant la Commission
Sect. 603. Interdiction par l'autorité judiciaire du tribunal fédéral des très petites actions
Sect. 604. Qualifications des associés des sociétés de courtage

Titre VII - Études et rapports

Le titre VII précise les obligations du Contrôleur général et de la SEC (Securities and Exchange Commission) de procéder à diverses études et de faire état de leurs observations.

Sect. 701. Étude et rapport du General Accounting Office (GAO) concernant le rapprochement des cabinets comptables publics
Sect. 702. Étude et rapport de la Commission concernant les agences de notation du crédit
Sect. 703. Étude et rapport sur les violateurs et les violations
Sect. 704. Étude sur les actions de mise en application
Sect. 705. Étude des banques d'investissement

Titre VIII - Responsabilité des entreprises et responsabilité criminelle vis-à-vis de la fraude

Le titre VIII porte également le nom de « Corporate and Criminal Fraud Accountability Act of 2002 » (loi de 2002 sur la responsabilité des entreprises et la responsabilité criminelle vis-à-vis de la fraude). Il énumère les sanctions pénales pour manipulation, destruction ou altération de documents/écritures financières ou d'autres interférence avec les enquêtes. Il prévoit aussi des protections pour les lanceurs d'alerte.

Sect. 801. Titre abrégé
Sect. 802. Sanctions pénales pour altération de documents
La section 802 indique que toute personne qui altère, détruit ou falsifie sciemment des écritures s'expose à d'importantes amendes, peines d'emprisonnement ou les deux. De plus, il stipule que tous les documents de travail de l'audit ou de l'examen doivent être conservés pendant une durée de cinq ans après l'audit, y compris les documents électroniques et non électroniques.
Sect. 803. Dettes non libérables si contractées en violation des lois sur la fraude aux titres de placement
Sect. 804. Statut des limitations pour la fraude aux titres de placement
Sect. 805. Étude des orientations fédérales dans les peines à infliger pour entrave à la justice et fraude délictuelle étendue
Sect. 806. Protection des employés de sociétés cotées en bourse qui apportent des preuves de fraude
La section 806 porte sur les lanceurs d'alerte. Elle précise que la SOX protège les employés et cadres d'une société qui prêtent leur concours à une enquête, apportent des renseignements, témoignent dans une enquête ou provoquent la divulgation d'informations sur la fraude financières d'une société. Les employés sont protégés de la perte de leur poste et du harcèlement, de la rétrogradation, la suspension ou d'une quelconque autre discrimination. Cette section détaille également les compensations en cas de violations.
Sect. 807. Sanctions pénales infligées aux auteurs d'escroquerie actionnaires de sociétés cotées en bourse.

Titre IX - Renforcement des sanctions pénales pour les délits commis par des cols blancs

Le titre IX est également appelé « White Collar Crime Penalty Enhancement Act of 2002 » (loi de renforcement des sanctions pénales pour les délits commis par les cols blancs). L'augmentation du montant des sanctions pénales infligées aux cols blancs en cas de délits et complots y est exposée, ainsi que des recommandations pour une prolongation des condamnations. Cette section fait de la non-certification des états financiers d'une entreprise un délit.

Sect. 901. Titre abrégé.
Sect. 902. Tentatives et complots pour commettre des délits de fraude
La section 902 indique que « quiconque tente, ou complote de commettre un délit aux termes de ce chapitre se verra infliger les mêmes sanctions pénales que celles prescrites pour le délit. »
Sect. 903. Sanctions pénales en cas de fraude par courrier postal et électronique
Sect. 904. Sanctions pénales pour les violations de la loi de 1974 sur les revenus perçus par les salariés dans le cadre de la retraite
Sect. 905. Amendement aux orientations sur certaines peines à infliger aux cols blancs
Sect. 906. Responsabilité sociale des entreprises en matière d'états financiers
La section 906 traite également des sanctions pénales, y compris les amendes et peines d'emprisonnement infligées aux employés qui soumettent des rapports faux ou trompeurs en violation de la SOX. Les personnes dont la responsabilité peut être engagée sont les sous-traitants, les salariés, les agents et les cadres.

Titre X - Déclarations fiscales des entreprises

Le titre X ne comporte qu'une seule section. La section 1001 indique que c'est le directeur général qui doit signer la déclaration fiscale de l'entreprise.

Sect. 1001. Perception du Sénat concernant la signature des déclarations fiscales des entreprises par les directeurs généraux.

Titre XI - Responsabilité des entreprises vis-à-vis de la fraude

Le titre XI se compose de sept sections. La section 1101 recommande de nommer ce titre « Loi de 2002 sur la Responsabilité des entreprises vis-à-vis de la fraude. » Il qualifie de délits la fraude des entreprises et la falsification des écritures et leur attribue les sanctions pénales qui leur reviennent. En outre, il révise les orientations sur les condamnations et en durcit les sanctions.

Cela permet à la SEC d'avoir recours au gel temporaire des transactions ou des paiements jugés « substantiels » ou « inhabituels ». Il fait aussi de l'entrave à une procédure judiciaire un délit.

Sect. 1101. Titre abrégé
Sect. 1102. Falsification d'une écriture ou entrave à une procédure judiciaire officielle
Sect. 1103. Autorité de gel temporaire pour la Securities and Exchange Commission
Sect. 1104. Amendement aux orientations fédérales sur les condamnations
Sect. 1105. Pouvoir de la Commission d'interdire à des personnes d'occuper des postes de cadre ou de directeur
Sect. 1106. Augmentation du montant des amendes infligées par la loi américaine de 1934 sur les échanges de titres
Sect. 1107. Représailles contre les informateurs
Cette section renforce les protections des lanceurs d'alerte et établit des sanctions pénales fédérales sous forme d'amendes ou de peines d'emprisonnement inférieures à dix ans en cas de représailles contre un informateur.

Brève histoire de la SOX

Après une vague d'activités frauduleuses perpétrées par de grosses sociétés industrielles au tournant du 21e siècle, les autorités de réglementation ont cédé à la pression plaidant en faveur d'une protection des actionnaires. La SOX est née d'une volonté de combler les vides juridiques qui existaient dans la comptabilité et d'éliminer les lacunes des états financiers responsables de faillites ayant coûté des milliards de dollars aux investisseurs et ébranlé la confiance du public dans les marchés de titres américains.

La loi a été adoptée à une écrasante majorité, à la fois à la Chambre des Représentants et au Sénat (avec 423 voix pour, 3 voix contre et 8 abstentions, et 99 voix pour et 1 abstention au Sénat). Lors de la signature du décret de loi, le président George W. Bush a déclaré que c'était « la réforme sur les pratiques commerciales américaines qui allait le plus loin depuis l'époque de Franklin D. Roosevelt. L'ère des normes faibles et des faux profits a pris fin ; il n'y a plus en Amérique de salle de réunion qui soit au-dessus ou au-delà de la loi. »

Ce fut Harvey Pitt, le vingt-sixième président de la SEC, qui fit adopter les règles de conformité à la SOX. Il créa la PCAOB (Public Company Accounting Oversight Board, conseil de supervision des sociétés publiques comptables) pour faire appliquer les obligations de la SOX. La PCAOB supervise, inspecte et discipline les cabinets comptables dans leurs fonctions de vérificateurs des sociétés publiques.

Pourquoi l'entreprise a besoin de se conformer à la SOX

Être en conformité avec la SOX va plus loin que le simple respect d'une obligation légale ; suivre les règles fixées dans la SOX est une bonne pratique professionnelle. La SOX offre aux sociétés un cadre déontologique et protège leurs données financières et autres données sensibles. Mais il existe d'autres avantages pour les entreprises dans la conformité à la SOX :

Le renforcement de la structure de contrôle

Les entreprises qui adhèrent aux obligations de conformité à la SOX en matière de documentation des contrôles, notamment les manuels de production, les textes régissant le personnel et les processus de contrôles enregistrés, voient grimper leur productivité. Pourquoi ? Parce que de nombreuses organisations constatent d'importantes lacunes dans leur documentation. Le fait de se mettre au niveau des obligations de conformité de la SOX leur permet de corriger les erreurs et les omissions, ce qui profite à l'ensemble des opérations.

Des audits profitables

Dans la plupart des sociétés publiques, la conformité à la SOX revient au comité de vérification ou à la direction exécutive, qui sont aussi les promoteurs actifs des tâches de mise en conformité. Étant donné la largesse de vue qui doit être adoptée dans le cadre de la conformité à la SOX vis-à-vis de la gestion de risque et de la création de rapports, cet organisme apporte le poids de ses positions pour inciter à des améliorations dans les processus susceptibles de rehausser le niveau de préparation aux audits de l'organisation. De cette façon, la conformité à la SOX pousse à renforcer l'efficacité et l'efficience des processus, ce qui aboutit à leur rationalisation et réduit le temps et les coûts nécessaires pour les réaliser.

L'amélioration des déclarations financières

La multiplication des normes minimales pour les déclarations financières exigées pour la conformité à la SOX donne des résultats qui dépassent le cadre de la réussite aux audits. En réponse aux contrôles internes détaillés imposés pour prouver que des activités de contrôle sont en place pour toutes les déclarations des états financiers par rapport à tous les comptes et divulgations importants, toutes les lacunes conséquentes ont été repérées et corrigées.

Après leur mise en conformité à la SOX, les sociétés ont constaté qu'elles perdaient moins de temps à établir leurs déclarations et qu'elles avait gagné en fiabilité ; autrement dit, elles vont plus vite pour réunir les données et apporter des corrections.

Une hiérarchisation du risque

Les obligations de conformité à la SOX permettent aux organisations de déterminer quels systèmes privilégier en dirigeant des évaluations qui font mieux comprendre l'exposition au risque et les contrôles qui existent. Il est plus facile de savoir où diriger les efforts une fois que l'on a ôté de la liste les systèmes qui n'ont besoin d'être conformes à la SOX. étant donné que les obligations de conformité à la SOX sont plus strictes que les règles imposées par l'entreprise, le respect des obligations engendre un solide dispositif de sécurité.

La rationalisation des opérations

Au-delà de l'aspect financier, la conformité à la SOX aide les sociétés à rendre leurs processus plus performants. Les sociétés qui doivent adhérer aux obligations de conformité à la SOX voient leur documentation s'améliorer, leurs processus métier et informatiques se perfectionner et leur coûts d'audit baisser.

Qui doit se conformer à la SOX ?

La conformité à la loi SOX concerne un grand nombre d'organisations, mais les sociétés privées, les organisations caritatives et à but non lucratif n'ont pas besoin en général d'en observer l'intégralité. Voici quelques entités qui sont tenues d'adhérer aux obligations de la SOX :

  • Les sociétés cotées en bourses
  • Les filiales en propriété exclusive
  • Les compagnies étrangères cotées en bourse qui opèrent aux États-Unis
  • Les entreprises privées prévoyant leur offre publique initiale (OPI)
  • Les cabinets comptables auditant des sociétés publiques
  • Les cabinets comptables et d'audit

Les avantages de la conformité à la SOX

  • Une plus grande sécurité
    Les obligations de réduction du risque et de protection des données ont globalement amélioré la sécurité dans les sociétés qui doivent assurer la conformité à la SOX.
  • Un renforcement des contrôles internes
    La conformité à la SOX donne aux entreprises une base de compréhension des normes relatives aux contrôles internes qui préservent leur données et protègent leurs activités.
  • L'éradication des conflits d'intérêts comptables
    La SOX interdit que le cabinet qui mène les audits soit le même que celui qui s'occupe de la comptabilité.
  • Une meilleure gestion des risques
    La conformité à la SOX permet aux sociétés de se préoccuper avant tout de leurs risques élevés et de disposer au niveau de l'entreprise des contrôles les plus appropriés pour y remédier. Notamment l'intégration de l'informatique et de la sécurité entre les services compartimentés.

Optimisation de l'efficacité des processus grâce à la conformité SOX

  • La réduction de l'erreur humaine grâce à l'automatisation des processus
    L'automatisation des contrôles remplace les processus manuels sujets à l'inexactitude, ce qui réduit considérablement les erreurs, augmente la productivité et limite le recours aux tests des contrôles.
  • La prévisibilité des résultats financiers
    Grâce aux contrôles, aux tests, à l'automatisation et aux gains de productivité, les entreprises disposent d'une plus grande visibilité et peuvent prédire plus facilement leurs résultats financiers.
  • Une moindre complexité dans la comptabilité
    Plutôt que d'utiliser plusieurs pratiques comptables différentes, les entreprises adoptent un système centralisé et suivent les pratiques homologuées afin de simplifier les traitements et pouvoir mener plus vite des audits avec moins d'erreurs.
  • La simplification des modes opératoires
    Les améliorations dans la documentation rendent les descriptions de poste plus claires et offrent des définitions exactes indiquant quels sont les processus métiers et qui en a la responsabilité ; cela simplifie l'accueil des nouveaux embauchés dans l'entreprise et aide les salariés à mieux comprendre les opérations et comment elles sont accomplies.
  • Une uniformisation des processus
    Comme il est plus facile et plus rapide d'évaluer des processus standardisés dans le cadre d'un audit de conformité à la SOX, nombreuses sont les sociétés qui ont uniformisé leurs processus entre tous leurs systèmes, ce qui leur a permis de gagner du temps et d'exceller dans les audits.
  • La rationalisation des audits
    La conformité à la SOX permet aux équipes qui réalisent les audits d'avoir des responsabilités mieux définies pour rédiger les rapports, documenter les données et procéder aux tests.

Les difficultés auxquelles se heurte la conformité à la SOX

  • Une entreprise qui veut se conformer à la SOX s'expose à un surcoût financier qui est sans rapport direct avec les résultats d'exploitation.
  • Concevoir un cadre de contrôles internes pour la conformité à la SOX et le mettre en place peut être complexe et peser sur les ressources de l'entreprise.
  • Établir de nouveaux contrôles internes, construire des processus d'informations financières et confirmer l'exactitude des rapports pour être en conformité avec les critères de la SOX est une lourde tâche.
  • Embaucher de nouveaux employés et sous-traitants pour permettre la mise en œuvre de processus de conformité à la SOX est aussi chronophage qu'onéreux.
  • Mettre en place des contrôles pour les transactions non récurrentes ou d'un montant important, est difficile, tout comme évaluer les contrôles existants et remédier aux lacunes et faiblesses significatives.
  • Augmenter le nombre d'audits et de cabinets comptables coûte cher.
  • La séparation des tâches comptables exige souvent d'embaucher du personnel.

Obligations de conformité à la SOX

À un niveau élevé, les obligations de conformité à la SOX peuvent être résumées en quatre étapes :

  1. Transmettre à la SEC des états financiers qui ont été expertisés par un tiers, lequel ne peut pas être le même cabinet que celui qui s'occupe de la comptabilité ;
  2. Communiquer au public les modifications substantielles dans les délais définis dans les obligations de conformité à la SOX ;
  3. Concevoir, mettre en œuvre et tester les contrôles internes entre les systèmes informatiques pour assurer la sécurité des données financières.
  4. Établir une déclaration annuelle qui rende compte des contrôles internes et de leur adéquation, confirmées par la direction exécutive et vérifiée par une tierce partie.

Les audits de conformité à la SOX

Les audits de conformité à la SOX se déroulent essentiellement en quatre étapes : le contrôle des accès, la gestion du changement, les sauvegardes de données et la sécurité informatique.

Le contrôle des accès

Les organisations doivent avoir mis en place des contrôles qui garantissent que seuls des utilisateurs autorisés peuvent accéder aux informations sensibles et les consulter. Les contrôles des accès doivent englober les accès physiques (par exemple les portes, les armoires de classement) et les accès électroniques (par exemple les identifiants de connexion).

La gestion du changement

Des processus bien définis doivent être en place pour ajouter et retirer des utilisateurs et des appareils, ainsi que pour installer des logiciels et les mettre à jour. Une piste d'audit doit aussi être enregistrée et conservée pour indiquer qui a procédé au changement, qu'est-ce qui a été modifié et quand le changement a été fait.

Sauvegarde des données

Des systèmes doivent être en place pour qu'une sauvegarde (conservée sur site et hors site) de toutes les données/écritures financières et autres données sensibles soit effectuée, avec des systèmes de stockage appropriés.

La sécurité informatique

Les sociétés doivent certifier qu'elles savent exactement qui a accès à quelles données et ressources. De plus, elles doivent démontrer qu'elles disposent des bons outils pour protéger les données et empêcher les violations de données.

Mise en œuvre de la conformité à la SOX

Du point de vue informatique, les contrôles suivants doivent être en place pour permettre la conformité à la SOX :

De plus, les activités suivantes doivent aussi être surveillées, enregistrées et expertisées :

  • L'activité du compte
  • L'activité des bases de données
  • L'accès aux informations
  • L'activité interne
  • L'activité des connexions
  • L'activité du réseau
  • L'activité des utilisateurs

Les grandes étapes de la mise en œuvre de la conformité à la SOX

La conformité à la SOX peut être mise en œuvre de façon performante et efficace en suivant les étapes suivantes.

Établir un comité de conformité.

  • Les membres devant obligatoirement siéger dans ce comité sont le directeur général, le directeur financier et les directeurs des principales branches de l'entreprise.
  • Les membres conseillés sont les cadres de domaines fonctionnels (par exemple la finance, l'informatique, le juridique, les ressources humaines).

Évaluer les risques.

  • Identifier les types et l'étendue des risques dans les consignes du Conseil sur les risques
  • Évaluer les risques à l'échelle de toute l'entreprise dans l'organisation. Et notamment :
  • Les risques financiers
  • Le risque pour le capital humain
  • Les risques juridiques et réglementaires
  • Les risques opérationnels
  • Les risques stratégiques
  • Les risques technologiques
  • Quantifier chaque risque (c'est-à-dire sa probabilité, son étendue, son impact potentiel).
  • Documenter le paysage du risque pour identifier les rapports qu'ils entretiennent entre eux.
  • Élaborer un plan de gestion de risque.

Établir des consignes pour la mise en œuvre des contrôles

  • Définir des règles de décision et des objectifs de comptes rendus pour remédier aux risques.
  • Visée corrective
  • Visée de détection
  • Visée préventive
  • Fixer des objectifs pour appliquer des contrôles internes dans les domaines suivants :
  • Les services professionnels
  • Les services professionnels
  • Les systèmes et ressources
  • Les systèmes et ressources

Élaborer un plan de mise en œuvre.

  • Définir des étapes pour passer de la phase de projet/planification à la phase de production pour appuyer les opérations courantes au jour le jour.
  • Vérifier que les salariés ont ce dont ils ont besoin pour faire appliquer les contrôles internes.
  • Déterminer les facteurs qui interviennent dans la bonne application des méthodes de contrôles internes.

Informer sur les procédures en cours.

  • Expliquer quelle en en la raison.
  • S'assurer qu'elles sont clairement définies.
  • Trouver des experts de domaine pour répondre aux questions.

Assurer des formations.

  • Dispenser aux salariés les formations et les ressources dont ils ont besoin pour être en conformité avec la SOX.
  • Dispenser aux salariés les formations et les ressources dont ils ont besoin pour être en conformité avec la SOX.
  • S'appuyer sur les composantes internes et externes

Documenter les processus de gestion de risque.

  • Rédiger une documentation pour la totalité des contrôles
  • Diffuser des documents expliquant pourquoi les contrôles ont été adoptés.
  • Rédiger des descriptions et une analyse détaillées des contrôles en vue d'audits futurs.

Mener continuellement des évaluations.

  • Vérifier que les contrôles fonctionnent comme prévu.
  • Mettre des systèmes en place pour détecter les problèmes de bonne heure.
  • Faire les mises à jour nécessaires pour maintenir la conformité à la SOX.

Des pays autres que les États-Unis ont-ils des obligations de conformité à la SOX ?

Après le passage de la SOX, ses principes ont été codifiés en en loi dans plusieurs pays, et notamment :

  • Le Canada (2002)
  • L'Allemagne (2002)
  • Les Pays-Bas (2004)
  • La Turquie (2002)
  • La Turquie (2002)
  • Israël (2006)
  • L'Afrique du Sud (2002)
  • La France (2003)
  • L'Australie (2004)
  • L'Inde (2015)
  • L'Italie
  • Le Japon
  • Le Royaume-Uni

Êtes-vous en conformité avec la SOX ? Liste de questions à se poser

Voici des questions qu'il est recommandé se poser pour vérifier les points essentiels de conformité à la SOX. Chaque organisation a ses exigences propres mais ces questions permettront aux équipes d'axer leur action sur plusieurs domaines importants, et d'identifier les domaines proches, en réfléchissant aux questions au fur et à mesure qu'elles se posent.

Les systèmes de sauvegarde

  • Une documentation et des règles sont-elles en place pour régir les systèmes de sauvegarde ?
  • Les moyens de rétablissement de l'activité sont-ils régulièrement testés ?
  • Quels sont les systèmes de validation en place pour démontrer que les sauvegardes sont exactes et inviolables ?

Le contrôle des accès aux données

  • Des identifiants de connexion uniques avec des mots de passe difficiles à deviner sont-ils nécessaires ?
  • Les utilisateurs ont-ils la possibilité de partager leurs identifiants ?
  • Est-il possible de faire le lien entre les sessions du réseau et les utilisateurs ?
  • Quel est le processus de mise à jour des privilèges d'accès quand un utilisateur change de rôle ou quitte l'organisation ?
  • Quelles sont les technologies mises en œuvre pour suivre les connexions et détecter les tentatives de connexion suspectes aux systèmes utilisés pour les données financières ?
  • Qui a accès à des données financières sensibles ?

Les comptes rendus pour les données financières et métier

  • Y a-t-il des systèmes en place pour enregistrer les horodatages et les appliquer aux activités liées aux données qui relèvent de la conformité à la SOX ?
  • Est-il possible de faire une recherche de journaux et de les filtrer pour créer des rapports personnalisés ?
  • Où sont conservés ces journaux et sont-ils assortis de contrôles pour empêcher une altération frauduleuse ?
  • Les systèmes existants permettent-ils la récupération de données depuis une multitude de d'entrepôts, y compris les fichiers, les FTP et les bases de données ?
  • Des informations indiquant qui a accédé aux données ou les a modifiées sont-elles conservées ?

Les réactions aux violations de sécurité

  • Y a-t-il des systèmes de sécurité en place pour surveiller et analyser les données, identifier des signes de violation de sécurité, envoyer des alertes et envoyer automatiquement des mises à jour à un systèmes de gestion des incidents ?
  • Un plan de réaction aux incidents est-il en place, avec une équipe prête à le mettre en œuvre ?
  • Comment les cyberattaques (par exemple le hameçonnage, les ransomwares) sont-elles gérées ?
  • Y a-t-il un plan pour dévoiler aux vérificateurs l'existence de violations de sécurité et l'échec des contrôles de sécurité ?
  • Quels sont les systèmes en place pour consigner les violations de sécurité et donner les moyens au personnel d'enregistrer leur résolution ?
  • Quelles sont les processus pour faire remonter les incidents ?

La ségrégation des tâches

  • Les rôles des salariés sont-ils clairement définis et en comprennent-ils les paramètres ?
  • Y a-t-il des protocoles en place pour assurer une séparation des tâches digne de ce nm (par exemple, un utilisateur ne peut pas tout à la fois émettre une facture et l'approuver) ?
  • Y a-t-il des systèmes en place pour prévenir et détecter la fraude (par exemple un détournement) ?
  • L'organisation respecte-t-elle le principe du moindre privilège ?

Conservation

  • Si les données sont conservées dans le cloud, le niveau de service est-il conforme aux obligations de la SOX ?
  • Y a-t-il un plan de gestion des données qui donne des instructions sur la conservation, la protection des données, l'accès aux données et leur destruction ?

Vérification des garanties

  • Y a-t-il des systèmes en place garantissant aux principales parties prenantes de l'organisation, par des points quotidiens, que toutes les mesures de contrôle de la conformité à la SOX fonctionnent correctement ?
  • Est-il possible de fournir aux vérificateurs et à d'autres personnes des rapports qui puissent uniquement être consultés, sans pouvoir y apporter de modifications ?
  • Comment les garanties de conformité à la SOX sont-elles testées, vérifiées et révélées aux vérificateurs ?
  • Comment se fait le lien entre les signalements et les messages et alertes critiques, ou les incidents de sécurité qui se sont produits, et comment ils ont été traités ou créés ?

Solutions de conformité à la SOX

Il existe plusieurs solutions pour aider l'entreprise à se mettre en conformité avec la SOX. En voici quelques-unes parmi celles qui sont les plus utilisées :

  • Les logiciels de gestion des accès
    Ils servent à sécuriser les réseaux en limitant les accès extérieurs et en gérant les utilisateurs internes pour empêcher l'accès intérieurs non autorisés.
  • Les solutions de sauvegarde automatisée
    En cas de catastrophe ou d'une autre cause de perte de données, ces solutions garantissent qu'il existe des copies des applications et des données.
  • Les logiciels de transfert de données
    Ils servent à protéger les transferts de données, y compris le chiffrement pour protéger les fichiers en transit, et également à faire appliquer les règles relatives aux droits d'accès et de partage.
  • Les logiciels de gestion des journaux
    Ils servent à surveiller et à enregistrer les accès aux systèmes et aux fichiers afin de produire une piste d'audit et alerter les administrateurs en cas de détection d'activité inhabituelle.
  • Les logiciels de conformité à la SOX
    Ces solutions analysent les systèmes pour y détecter des menaces pour la sécurité, surveiller les données et générer des rapports.

La non-conformité a la SOX : des enjeux considérables

Un non-respect des dispositions de la SOX peut avoir de lourdes conséquences et se solde par la mise en cause personnelle des cadres dirigeants. Un directeur général ou un directeur financier qui remet délibérément des documents inexacts pendant un audit de conformité à la SOX s'expose à une peine de prison pouvant aller jusqu'à vingt ans, des amendes jusqu'à cinq millions de dollars, ou les deux.

Il est à noter par ailleurs que, s'agissant de conformité à la SOX, l'ignorance n'est pas une excuse. Si des informations inexactes sont transmises par erreur au cours d'un audit, un directeur général ou un directeur financier peut quand même se voir infliger une amende pouvant atteindre un million de dollars ou une peine de prison pouvant aller jusqu'à dix ans. Le non-respect des obligations de conformité à la SOX peut aussi entraîner la radiation d'une société des places boursières.

La conformité à la SOX réclame la plus grande attention. L'entreprise doit prendre le temps de trouver les systèmes dont elle a besoin pour accomplir cette tâche, investir dans la bonne mise en œuvre de systèmes et de processus et consacrer les moyens nécessaires pour maintenir la conformité à la SOX, notamment en exerçant une veille sur les changements de règles et les solutions correspondantes.

Lancez-vous

Découvrez ce que la sécurité des identités peut faire pour votre entreprise

Découvrez comment les solutions SailPoint permettent à l’entreprise moderne de résoudre l’équation : garantir un accès sécurisé aux ressources sans nuire à la productivité ou à l’innovation.

Demander une démoContactez-nous