Share knowledge and exchange experiences
to achieve and maintain excellent sustainable results.

SOX: Les contrôles et audits selon Sarbanes & Oxley

La loi américaine “Sarbanes & Oxley” (en abrégé SOX) a beaucoup fait parler d’elle et certainement suite aux scandales Enron et WorldCom aux Etats-Unis. Mais de quoi s’agit-il ? Etes-vous concernés ? Est-ce compliqué ? Est-ce uniquement financier ? Y-a-t’il un lien avec ISO 9001 et les audits Qualité ?. Lisez cet article pour en savoir plus.

Par Philippe Pitsch, Senior Consultant & Business Manager, FalconStone s.p.r.l

Qu’est ce que SOX?

SOX est l’abréviation d’une loi US, “ The Sarbanes & Oxley act”, qui fut votée par le parlement américain suite aux scandales “Enron” et “WorldCom”. Sarbanes et Oxley étant les deux parlementaires ayant proposé le texte de loi. Cette loi s’applique à toutes les sociétés, US ou non, qui sont cotées en bourse aux Etats-Unis.

Elle a pour but majeur d’obliger les sociétés en questions à mettre en place au sein de leur organisation des procédures de contrôle nécessaires afin de détecter toutes les fraudes et/ou erreurs dans la gestion financière de l’entreprise, et donc de s’assurer que les informations financières publiées par ces sociétés soient exactes et réelles. Ceci afin de ne pas influencer erronément le cours de l’action en Bourse. Le CEO de la société étant en outre personnellement responsable de l’information publiée.

Etes-vous concernés?

Si votre entreprise est cotée en bourse aux Etats-Unis, elle est concernée par SOX. Si votre entreprise n’est pas une entreprise américaine (US), SOX est d’application. Mais également les filiales, établies aux Etats-Unis ou non, de ces sociétés sont visées.

SOX et l’IT.

Afin de s’assurer que toutes les informations financières à publier soient correctes, il y a lieu de s’assurer que le traitement informatique de l’information se fasse sans risque d’erreurs. Pour ce faire, toutes les applications informatiques à caractère financier de l’entreprise doivent être contrôlées et auditées régulièrement (minimum une fois par an). Le département informatique de l’entreprise doit donc mettre en place des procédures de gestion informatique. Ces procédures sont la plupart du temps basées sur les règles d’IT Governance et utilisent les techniques d’audits contenues dans des méthodologies telles que COBIT®, pour ne citer que celle-là. COBIT® : « Control Objectives in Information and related ® Technology ». COBIT sert de cadre pour l’IT Governance et a été publié par le “IT Governance Institute”. Pour plus ® d’information sur COBIT ,visitez www.itgi.org

SOX et les Business Processes.

D’autre part, tous les processus ayant un impact sur la gestion financière de l’entreprise doivent être décrits, maintenus à jour et audités régulièrement. Les processus visés sont tous ceux qui génèrent, directement ou indirectement, des mouvements comptables. A titre d’exemple, on peut citer les processus de facturation, de paiement, d’investissement ou de rémunération, mais aussi des processus tels que le gestion de contrats de maintenance ou d’assurance, d’inventaire ou d’enregistrement de commandes clients qui peuvent indirectement influencer les résultats comptables.

Les mouvements comptables liées à ces processus doivent reposés sur une réalité (exemple pour une facture : existence d’une livraison et d’un bon de commande du client) et être imputés dans le bon compte comptable.

Outre la description des processus en eux-mêmes, il y a lieu d’identifier les risques qui y sont liés. A titre d’exemple on peut citer les risques de fraude, d’erreurs d’imputations comptables, de dépenses ou de transactions non autorisées ou encore de transactions dupliquées, erronées ou oubliées. L’identification de ces risques doit être liée, voire inclus dans les descriptions de processus. Cela signifie que dans chaque processus, il faut énoncer le risque et décrire la procédure de contrôle qui permet de déceler les erreurs et de les rectifier.

Contrôles,Audits et Certification.

Après avoir décrit vos processus et identifié les risques, il faut vous assurer que tout ceci est sous contrôle et vérifié, et que les risques sont éliminés.

Il y a donc lieu d’écrire des procédures (ou instructions de travail) pour exécuter les contrôles nécessaires. Ces procédures de contrôles feront également partie intégrante de vos processus et doivent permettre de s’assurer que le risque est couvert en tout moment. Les contrôles seront donc exécutés en cours de processus par les responsables de l’activité décrite et au moment de l’exécution de l’activité.

Ensuite, il vous faudra encore établir un plan d’audit, qui aura pour but principal de vérifier la bonne exécution et l’efficacité des procédures de contrôles mises en place.

En fin de compte, l’entièreté du système sera audité et reconnu conforme par un bureau d’audit financier accrédité (par exemple, un réviseur d’entreprise).

SOX et votre système Qualité.

La mise en place d’un système de type SOX n’est pas simple, mais vous pouvez le gérer de la même façon qu’un projet de mise place d’un système Qualité de type ISO9001.

En effet, globalement, il s’agit de décrire des processus, de les auditer et de les tenir à jour.

Si vous disposez déjà d’un système Qualité du type ISO9001, il est recommandable d’intégrer SOX dans votre structure Qualité existante. Il s’agit d’identifier les processus à décrire pour SOX, de vérifier s’il existent dans votre système Qualité et de les adapter en y incluant les procédure de contrôle exigées par SOX, et ensuite d’intégrer les audits SOX dans votre planning annuel d’audits Qualité. Enfin il faudra décrire les processus qui ne seraient pas décrits dans le cadre de votre système Qualité. Les audits internes SOX ne sont pas différents, quant à la méthodologie et l’approche, qu’un audit interne Qualité. La seule différence étant le référentiel, qui sera celui de SOX plutôt que celui d’ISO9001. Mais les deux peuvent être combinés.

Si vous ne disposez pas d’un système Qualité de type ISO9001, mettez votre système SOX en place comme un système ISO9001. Pensez donc à l’optimalisation de vos processus, même pour les parties qui ne sont directement liées à SOX. C’est une façon de rentabiliser votre démarche SOX et sera certainement un vrai tremplin vers un système de de gestion de la Qualité.