Listes de contrôle de la conformité SOX

Veiller au respect de la loi Sarbanes-Oxley et renforcer les contrôles internes.

Qu’est-ce que la liste de contrôle de conformité SOX ?

Une liste de contrôle de la conformité à la loi SOX est un outil utilisé pour évaluer la conformité à la loi Sarbanes-Oxley, ou SOX, renforcer les contrôles des technologies de l’information et de la sécurité, et faire respecter les pratiques financières légales. Les sociétés américaines cotées en bourse, les sociétés internationales dont les titres de créance ou de participation sont enregistrés auprès de la Securities and Exchange Commission des États-Unis et les prestataires de services financiers tiers des entités susmentionnées doivent veiller à se conformer à la loi SOX afin de protéger les investisseurs, d’accroître la transparence de la gouvernance d’entreprise et d’instaurer la confiance du public.

Qu’est-ce que la loi Sarbanes-Oxley ?

La loi Sarbanes-Oxley de 2002, également connue sous le nom de « Public Company Accounting Reform and Investor Protection Act » au Sénat et de « Corporate and Auditing Accountability and Responsibility Act » à la Chambre des représentants, porte le nom de ses promoteurs, le sénateur Paul Sarbanes (D-Md) et le représentant Michael Oxley (R-Ohio). Le Congrès américain a adopté la loi SOX à la suite des scandales comptables survenus dans les entreprises suivantes : Enron, WorldCom et Arthur Andersen entre autres.

La SEC américaine applique la loi SOX afin d’empêcher les pratiques commerciales trompeuses, telles que le fait de ne pas inscrire d’énormes dettes au bilan, de sous-déclarer les coûts d’exploitation en les capitalisant au lieu de les passer en charges, et de gonfler les recettes par de fausses écritures comptables qui finissent par entraîner des millions de dollars d’amendes et de condamnations pénales.

Qu’est-ce que le contrôle interne SOX ?

En vertu de l’article 404 de la SOX, chaque rapport financier annuel doit inclure un rapport sur le contrôle interne, indiquant que la direction est responsable de la mise en place et du maintien d’une structure et de procédures de contrôle interne adéquates pour l’établissement des rapports financiers. Chaque rapport de contrôle interne doit également contenir l’évaluation par la direction de l’efficacité de la structure et des procédures susmentionnées, ainsi que la divulgation des mesures de sécurité, des violations et des défaillances, attestée par des auditeurs externes agréés et faisant l’objet d’un rapport de leur part.

La conformité SOX en 2020

La règle finale de la SEC visant à exempter davantage de catégories d’entreprises de l’obligation d’attestation par les auditeurs des états financiers de la direction est entrée en vigueur depuis le 27 avril 2020. L’adoption d’amendements a été décidée afin de réduire les charges de conformité pour les entreprises, en particulier pour les cas les plus compliqués, les plus contestés et les plus coûteux à mettre en œuvre.l’article 404 de la loi SOX : Évaluation des contrôles internes par la direction.

Ce changement signifie que certaines entreprises à faible chiffre d’affaires peuvent déposer l’évaluation de l’efficacité du contrôle interne sur l’information financière (CIIF) effectuée par leurs dirigeants, sans attestation d’un auditeur indépendant. La SEC a estimé que 539 entreprises seraient exemptées, ce qui permettrait de réduire les coûts de mise en conformité et d’encourager davantage d’entreprises à s’introduire en bourse.

Toutefois, les investisseurs sont également susceptibles d’intégrer la perte de l’attestation d’audit des contrôles internes dans la prime de risque de leurs actions, ce qui les incite à acheter des actions à des taux d’actualisation plus élevés en raison du risque accru lié à la faiblesse potentielle des contrôles internes. En fin de compte, la conformité à la loi SOX 404 peut être résumée comme suit un précédent communiqué de presse de la SEC:

« Le Congrès n’a jamais voulu que la procédure 404 devienne inflexible, lourde et inutile. L’objectif de la section 404 est de fournir aux investisseurs des informations significatives sur l’efficacité des systèmes de contrôle interne d’une entreprise, sans créer de charges inutiles en matière de conformité ni gaspiller les ressources des actionnaires ».

Quelles sont les exigences d’un audit SOX ?

L’audit comprend l’examen des contrôles, des politiques et des procédures d’un audit 404. Il portera également sur le personnel, ses fonctions et sa description de poste, et sur la question de savoir s’il a reçu la formation nécessaire pour accéder en toute sécurité aux informations financières. Selon les sections 302, 404 et 409 de la loi Sarbanes Oxley, les conditions suivantes doivent faire l’objet d’un suivi, d’un enregistrement et d’un audit :

  • Contrôles internes
  • Activité du réseau
  • Activité de la base de données
  • Activité de connexion
  • Activité du compte
  • Activité des utilisateurs
  • Accès à l’information

L’échec d’un audit de conformité à la loi SOX peut entraîner des amendes et des sanctions importantes susceptibles de nuire à la réputation de l’organisation.

Quelle est la différence entre SOX et J-SOX ?

J-SOX est l’équivalent japonais de la loi Sarbanes Oxley des États-Unis. Les réglementations SOX et J-SOX visent toutes deux à évaluer les systèmes de contrôle interne liés à l’information financière. Bien qu’il y ait des similitudes dans les normes et les exigences, elles présentent toutes deux des différences. Parmi celles-ci figurent le cadre de contrôle interne, l’approche d’évaluation, le champ d’application des entités, le champ d’application du processus, etc.

Qu’est-ce que la procédure SOX ?

Toutes les entités soumises à la SOX doivent fournir l’IFCR conformément à la section 404, tandis que les évaluations de l’efficacité de la gestion de certaines petites entreprises déclarantes dans l’IFCR peuvent être soumises sans attestation de l’auditeur externe conformément à la section 404 du règlement final de la SEC. la règle finale de la SEC.
Private companies preparing for their initial public offering (IPO) should also comply with the Sarbanes-Oxley Act.

En outre, le Division de la finance d’entreprise de la SEC des États-Unis procède à un certain niveau d’examen de chaque entreprise déclarante au moins une fois tous les trois ans et examine un nombre important d’entreprises plus fréquemment.

Quelles sont les exigences en matière de conformité à la loi SOX ?

La conformité à la loi SOX étant essentielle pour maintenir votre entreprise à flot, voici les autres sections de la loi Sarbanes-Oxley sur lesquelles vous devez vous concentrer :

Article 302 de la loi SOX : Responsabilité des entreprises en matière de rapports financiers

Le directeur général et le directeur financier d’une entreprise sont directement responsables de l’exactitude de la documentation et de la certification de tous les rapports financiers soumis à la SEC. La mise en place de comités d’audit, de comités de rémunération et de comités de divulgation composés de membres du conseil d’administration et l’obtention d’un bon conseil juridique peuvent contribuer à renforcer les contrôles internes et à limiter la responsabilité de l’entreprise.

Étant donné que l’article 302 de la loi Sarbanes-Oxley a pour but d’empêcher la production de rapports financiers erronés, assurez-vous que les contrôles de sécurité vérifiables qui empêchent la falsification des données, établissent des délais et suivent l’accès aux données sont opérationnels, que leur efficacité est régulièrement vérifiée et qu’ils sont capables de détecter les failles de sécurité.

Article 401 de la SOX : Informations à fournir dans les rapports périodiques

Tous les états financiers de l’entreprise figurant dans les rapports périodiques doivent être établis en tenant compte de tous les engagements, obligations ou transactions hors bilan importants, vérifiés par un cabinet d’experts-comptables agréé et publiés à l’intention du public.

Article 409 de la loi SOX : informations en temps réel sur l’émetteur

Tout changement dans la situation financière ou les opérations d’une entreprise doit être signalé presque en temps réel en utilisant des tendances et des informations qualitatives ainsi que des présentations graphiques afin de protéger les investisseurs et l’intérêt public.

Article 802 de la loi SOX : Sanctions pénales en cas de modification de documents

Des peines pouvant aller jusqu’à 20 ans d’emprisonnement attendent quiconque altère, détruit, mutile, dissimule, couvre ou falsifie tout enregistrement, document ou objet tangible dans l’intention d’influencer, d’entraver ou d’empêcher une enquête judiciaire. Tout auditeur qui ne conserve pas les documents d’examen pendant une période de 5 ans est passible d’une amende et/ou d’une peine d’emprisonnement ne dépassant pas 10 ans.

Article 906 de la loi SOX : Responsabilité des entreprises en matière de rapports financiers

Tous les états financiers de la société figurant dans les rapports périodiques doivent être certifiés par le directeur général et le directeur financier au moyen d’une déclaration écrite, en plus de celle requise par la section 302, attestant qu’ils sont pleinement conformes aux exigences et que les informations qu’ils contiennent donnent une image fidèle de la situation financière et des résultats des opérations de la société.

Comment utiliser la liste de contrôle de la conformité SOX ?

La conformité à la loi SOX étant essentielle pour les sociétés cotées en bourse, il est important qu’une entreprise adopte une approche normalisée lorsqu’il s’agit de suivre sa propre conformité. Une liste de contrôle de la conformité à la loi SOX permet aux entreprises de dresser la liste de leurs points de conformité et d’éviter d’omettre des domaines critiques susceptibles d’entraîner une non-conformité à la loi. L’utilisation de cette liste dans une plateforme très intuitive permet toutefois d’améliorer la documentation, la précision et la rapidité.

Étapes de l’utilisation de la liste de contrôle de la conformité SOX

Une conformité SOX efficace suit les étapes suivantes :

  • Définissez les rôles pertinents de l’équipe de direction – Précisez qui effectuera les audits ou les inspections SOX afin de garantir une mise en œuvre interne harmonieuse de la loi.
  • Identifier les domaines de conformité – Adaptez votre liste de contrôle aux exigences de la conformité SOX. Utilisez-la comme base solide pour poser les bonnes questions et déterminer les points critiques de l’approche visant à assurer et à maintenir la conformité.
  • Déterminer si les contrôles clés fonctionnent – Analyser si les systèmes actuellement mis en œuvre fonctionnent en choisissant entre Oui, Non ou N/A, les organisations pouvant même personnaliser leur propre série de réponses.
  • Reconnaître les domaines potentiels de non-conformité – Grâce à ce document, l’équipe de direction peut repérer de manière proactive les incidents de non-conformité et évaluer la manière dont ils peuvent être améliorés et évités à l’avenir.
  • Ajouter des commentaires – Ajoutez des recommandations, des suggestions ou des commentaires pour renforcer l’approche de l’organisation en matière de conformité SOX, avant de signer.

Vous cherchez encore une liste de contrôle?

Créez un modèle de liste de contrôle personnalisé instantanément avec l'IA
Équipe de rédaction de SafetyCulture Team
Article par

Équipe de rédaction de SafetyCulture Team

À propos des auteurs

L’équipe de rédaction de contenu SafetyCulture fournit des informations de qualité faciles à comprendre pour aider les lecteurs à appréhender des sujets complexes et à améliorer la sécurité et la qualité sur le lieu de travail. Notre équipe de rédacteurs est expérimentée dans la rédaction d’articles pour des domaines variés tels que la sécurité, la qualité, la santé et la conformité.

Découvrez plus de modèles

Liste de contrôle pour l'audit de conformité SOX
Une liste de contrôle d’audit SOX est un outil utilisé par les auditeurs internes pour vérifier la mise en œuvre des contrôles de sécurité, en se concentrant sur la section 302 : Responsabilité de l’entreprise en matière de documents financiers et Section 404. Utilisez cette liste de contrôle pour : évaluer les mesures de protection prises par l’entreprise pour empêcher la falsification des données ; suivre l’accès aux données ; détecter les failles de sécurité ; et les mesures appropriées pour la divulgation aux auditeurs SOX.
Liste de contrôle pour l'évaluation des risques SOX
Cette évaluation des risques SOX peut être utilisée pour évaluer les facteurs susceptibles d’exposer l’entreprise à un risque élevé de fraude. Utilisez cette liste de contrôle pour effectuer une l’évaluation des risques d’inexactitudes résultant d’une information financière frauduleuse, la lutte contre les menaces pesant sur la stabilité financière ou la rentabilité en raison des conditions économiques, sectorielles ou opérationnelles de l’entité, et les pressions excessives exercées par la direction pour satisfaire aux exigences de tiers, et le détournement d’actifs, en mettant en évidence toute relation défavorable entre l’entité et les employés ayant accès à de l’argent liquide ou à d’autres actifs susceptibles d’être volés, qui pourrait motiver ces employés.
Modèle d'évaluation des risques SOX
Ce modèle d’évaluation des risques SOX peut être utilisé par les professionnels des technologies de l’information et de la sécurité des données pour évaluer les risques de sécurité et les vulnérabilités des systèmes informatiques internes. Utilisez ce modèle pour déterminer la source ou la vulnérabilité des menaces telles que les défaillances matérielles ou logicielles, les erreurs humaines et les attaques intentionnelles de l’intérieur ou de l’extérieur, pour spécifier les contrôles existants et pour recommander d’autres options afin de réduire les risques.
Liste de contrôle pour l'audit comptable
Ce modèle d’examen financier prêt à l’emploi peut être utilisé par les entreprises pour réaliser un audit de leurs éléments comptables et de leurs finances. Il est idéal d’utiliser une liste de contrôle d’audit lors de ces examens afin de s’assurer qu’aucun des éléments essentiels devant être vérifiés ne sera oublié. En outre, ce modèle est facilement personnalisable pour les utilisateurs et les organisations.