Qu'est-ce que la conformité SOX 404 et comment y parvenir ?

La conformité à la norme SOX 404 est une nécessité pour toutes les sociétés cotées en bourse aux États-Unis, en plus des filiales en propriété exclusive et des sociétés étrangères cotées en bourse qui font des affaires aux États-Unis.

Il a été créé après un certain nombre de scandales d'entreprise très médiatisés au début des années 2000 et a été mis en place pour mieux protéger les actionnaires et accroître la transparence grâce à des informations cohérentes et précises sur les entreprises.

Il existe un certain nombre de sections dans les 11 titres de SOX, mais certaines seront plus pertinentes pour les entreprises en raison de leur portée et de leur coût, en particulier SOX 404, qui concerne l'évaluation des contrôles internes concernant les rapports financiers.

La conformité SOX 404 peut être très coûteuse, mais grâce à la technologie moderne et à la gestion des documents, de nombreux processus auparavant manuels peuvent être automatisés, ce qui réduit les risques et les coûts.

Dans cet article de blog, nous allons jeter un œil à SOX 404, y compris ce qui est requis et ce que les organisations peuvent faire pour être conforme.

Qu'est-ce que la section 404 de SOX ?

L'article 404 de la loi SOX est l'aspect le plus coûteux et le plus complexe de la conformité SOX et concerne les rapports financiers annuels.

L'article 404 exige que les rapports annuels incluent la propre évaluation de l'entreprise de ses contrôles internes sur l'information financière, ainsi qu'un auditeur attestant et rendant compte de l'évaluation de l'entreprise.

Cet auditeur doit être un tiers et doit démontrer la fiabilité et l'exactitude des contrôles internes d'une entreprise.

En vertu de l'article 404, les personnes inscrites auprès de la SEC seront tenues d'inclure dans leur déclaration annuelle :

• Une déclaration de la responsabilité de la direction d'établir et de maintenir un contrôle interne adéquat sur l'information financière
• Une déclaration identifiant le cadre utilisé par la direction pour évaluer l'efficacité du contrôle interne
• Évaluation par la direction de l'efficacité du contrôle interne à la fin du dernier exercice de la société
• Une déclaration selon laquelle le vérificateur externe de la société a émis un rapport d'attestation sur l'évaluation de la direction

Que signifient les contrôles internes ?

Dans toute entreprise, quelle que soit sa taille, le personnel de direction doit maintenir un ensemble de normes pour garantir l'exactitude de ses états financiers.

La législation elle-même ne précise pas exactement ce que les entreprises doivent faire pour respecter leurs normes de contrôle interne, ce qui a conduit de nombreuses personnes à interpréter ce que signifie réellement « contrôle interne ».

Heureusement, il existe des cadres, notamment le cadre de contrôle interne COSO, développé comme une initiative conjointe de cinq organisations : Institute of Internal Auditors (IIA), American Institute of Certified Public Accountants (AICPA), Financial Executives International (FEI), The Association of Accountants and Financial Professionals in Business (IMA) et American Accounting Association (AAA).

Les contrôles décrits dans le cadre de contrôle COSO sont appropriés à adopter pour les entreprises qui cherchent à assurer la conformité SOX 404.

Le cadre COSO

Le cadre COSO contient 17 principes répartis en cinq sous-sections qui doivent être suivies afin de démontrer à un auditeur tiers que l'entreprise est en conformité avec les exigences de cybersécurité SOX.

Environnement de contrôle

L'environnement de contrôle définit l'ensemble des normes et des processus qui sont à la base de la mise en œuvre du contrôle interne dans une entreprise.

Un système de contrôle interne efficace repose sur l'environnement de contrôle et doit être guidé par les objectifs stratégiques suivants :

• Fournir des rapports financiers fiables aux parties prenantes internes et externes
• Faire fonctionner l'entreprise de manière efficace et efficiente
• Se conformer à toutes les lois et réglementations applicables
• Protéger les actifs et les informations sensibles

Principes associés

1. Démontrer son engagement envers l'intégrité et les valeurs éthiques
2. Veiller à ce que le conseil exerce sa responsabilité de surveillance
3. Établir des structures, des lignes hiérarchiques, des pouvoirs et des responsabilités
4. Démontrer son engagement envers une main-d'œuvre compétente
5. Tenir les gens responsables

Évaluation des risques pour SOX

Une évaluation des risques pour SOX est cruciale pour déterminer quels sont les facteurs de risque d'une entreprise et comment ils seront gérés.

Dans ce cas, le « risque » est défini comme la probabilité qu'un événement se produise qui perturbe les objectifs de l'entreprise.

L'évaluation des risques exige de la haute direction qu'elle considère les implications des changements dans l'environnement de contrôle et qu'elle prenne des mesures, le cas échéant, pour gérer les risques.

Principes associés

1. Spécifiez les objectifs appropriés
2. Identifier et analyser les risques
3. Évaluer les risques de fraude
4. Identifier et analyser les changements qui pourraient affecter de manière significative les contrôles internes

Les activités de contrôle

Les activités de contrôle font référence aux mesures qui sont prises pour aider à atténuer les risques déterminés dans l'évaluation des risques.

Ces activités peuvent être préventives ou de détection et peuvent être exécutées à tous les niveaux d'une organisation.

Principes associés

1. Sélectionner et développer des activités de contrôle qui atténuent les risques
2. Sélectionner et développer des contrôles technologiques
3. Déployer des activités de contrôle par le biais de politiques et de procédures

Information & communication

Les informations et les communications circulant de haut en bas et entre les organisations sont partagées de manière efficace et efficiente.

Les systèmes d'information et les référentiels doivent fournir aux parties prenantes appropriées des informations pertinentes pour leurs objectifs établis en temps opportun et de manière suffisamment compréhensible.

Il en va de même pour les parties prenantes extérieures à l'organisation.

Principes associés

1. Utiliser des informations pertinentes et de qualité pour soutenir la fonction de contrôle interne
2. Communiquer les informations de contrôle interne en interne
3. Communiquer les informations de contrôle interne à l'externe

Surveillance

Des évaluations continues des contrôles internes doivent être adoptées par l'organisation afin de s'assurer que les fonctions de contrôle interne fonctionnent correctement.

Lorsque des lacunes sont découvertes, elles doivent être évaluées et communiquées en temps opportun à la haute direction et au conseil d'administration (si nécessaire) afin qu'elles puissent être corrigées rapidement.

Principes associés

1. Effectuer des évaluations continues ou périodiques des contrôles internes (ou une combinaison des deux)
2. Communiquer les lacunes du contrôle interne

Pourquoi devriez-vous établir le cadre COSO dans votre entreprise ?

Si une organisation ne parvient pas à mettre en œuvre les contrôles du cadre COSO, elle peut très bien être en violation des exigences SOX 404 imposées par la loi fédérale pour les rapports financiers.

Les auditeurs jugeront les capacités de contrôle interne d'une entreprise par rapport au cadre COSO, il est donc préférable que les entreprises se conforment à cette norme afin de se conformer à SOX.

Comment mettre en œuvre le cadre COSO

Article connexe : Que se passe-t-il lors d'un audit des risques de cybersécurité ?

La mise en œuvre du COSO implique d'évaluer où se situe actuellement une organisation parmi ses cinq sous-sections et de comprendre ce qui est nécessaire pour se mettre aux normes.

Cela comprendra un audit SOX, qui devrait intégrer le cadre COSO et une évaluation des 17 principes mentionnés précédemment, généralement en quatre étapes distinctes.

Planification et portée

La mise en œuvre commence au début : les principales parties prenantes seront impliquées et les auditeurs de cybersécurité désigneront les bonnes parties prenantes pour chacun des principes.

Par exemple, des cadres supérieurs de la suite seront engagés pour de nombreuses activités d'environnement de contrôle, tandis que le personnel informatique peut être engagé pour les principes de politique et de procédure technologiques, et une conformité peut être engagée en tant que partie prenante clé pour les principes de surveillance.

Les auditeurs devront avoir une image complète de l'endroit où toutes les données de l'entreprise sont stockées, y compris dans les applications tierces fonctionnant sous le réseau de l'entreprise.

Exécution

Les auditeurs effectueront des tests d'intrusion et des analyses de vulnérabilité afin d'établir clairement où en est l'entreprise avec son modèle actuel dans le cadre du COSO.

Analyse et rapport

Ces résultats seront ensuite communiqués aux principales parties prenantes et des recommandations seront formulées pour aider l'entreprise à se conformer au cadre COSO, auquel cas l'organisation pourra être sûre qu'elle est conforme à la norme SOX 404.

L'essentiel

La conformité SOX 404 est une forme de conformité nécessaire mais franchement assez complexe pour les sociétés cotées en bourse.

Les exigences de SOX 404 signifient le respect du cadre COSO. Ses 17 principes offrent une base solide et des moyens pour qu'une organisation soit conforme à la norme SOX 404, et c'est une bonne idée pour les entreprises de suivre cette norme pour mettre leurs contrôles internes à niveau.

Pour mettre en œuvre le cadre COSO, les entreprises doivent envisager de faire appel à un fournisseur de services de sécurité gérés pour auditer leurs systèmes et fournir des recommandations sur les solutions, politiques et procédures à adopter pour se mettre en conformité.

Si vous devez vous conformer à SOX 404 mais que vous ne savez pas par où commencer, envisagez de faire effectuer une évaluation des risques pour SOX par Impact. Contactez-nous dès aujourd'hui pour vous lancer dans la sécurisation de votre avenir.