L'Intelligence artificielle en audit et contrôle interne : potentiel et limites
Dans un monde où la technologie évolue à un rythme effréné, les équipes d'audit et de contrôle inter...
Si vous demandez à quelqu'un ce qu'il pense de « SOX », il est probable qu'il évoque la rivalité légendaire entre les Yankees de New York et les Red Sox de Boston. Dans le secteur de la conformité, cependant, SOX prend une toute autre signification : la loi Sarbanes-Oxley.
Dans cet article, vous découvrirez pourquoi SOX a été promulguée, son impact sur les entreprises, et comment utiliser la technologie pour renforcer la conformité à cette réglementation.
Pourquoi SOX a-t-elle vu le jour ?
Les scandales comptables du début des années 2000, comme ceux d'Enron, Tyco International et WorldCom, ont ébranlé la confiance des investisseurs. Enron dissimulait ses dettes et actifs via des déclarations hors bilan, provoquant une chute vertigineuse de son action, passant de 90,75 $ à 0,26 $ en seulement deux ans. Tyco International a détourné 2 milliards de dollars au profit de ses dirigeants, tandis que WorldCom a gonflé artificiellement ses résultats de 3,8 milliards de dollars. Sous pression, le gouvernement américain, notamment la SEC, a dû renforcer les obligations de transparence et d'audit des sociétés cotées, donnant naissance à la loi Sarbanes-Oxley.
En quoi cela consiste-t-il vraiment ?
Adoptée en 2002, la loi Sarbanes-Oxley impose aux entreprises cotées des règles strictes en matière de transparence et d'audit financier. Objectif : clarifier les directives et restaurer la confiance dans les marchés financiers. Les entreprises ont eu un délai serré de deux ans pour se conformer.
Cela a-t-il fonctionné ?
SOX est réputée pour sa complexité et son coût. Initialement estimé à 1% du chiffre d'affaires, le coût réel de la conformité s'avère souvent bien supérieur, entre 25% et 80% plus élevé selon la taille de l'entreprise. Documenter et tester un seul contrôle clé peut prendre jusqu'à 36 heures par an, soit près de 4,5 jours de travail, principalement en raison des méthodes manuelles employées. Heureusement, l'automatisation offre aujourd'hui des solutions pour réduire ces coûts. (Pour en savoir plus sur les avantages de l'automatisation, consultez notre article ici.)
Pourquoi la conformité SOX fait-elle peur ?
Les deux sections centrales de SOX sont la Section 302 et la Section 404, qui précisent les obligations en matière de contrôles internes.
Section 302 : Responsabilité des dirigeants
- Les CEO/CFO doivent examiner et certifier personnellement tous les rapports financiers
- Ils sont tenus responsables des contrôles internes
- Ils doivent signaler toute fraude, inexactitude ou faiblesse des contrôles
- Toute modification significative des contrôles doit être reportée
En résumé, la section 302 exige une présentation "fidèle" des rapports financiers.
Section 404 : Évaluation des contrôles internes
- La direction doit certifier l'efficacité des contrôles internes sur l'information financière.
- Un audit externe des contrôles internes est requis pour les grandes entreprises.
En résumé, la section 404 garantit la fiabilité des rapports financiers grâce à des contrôles internes efficaces et vérifiables.
Checklist SOX : comment se préparer efficacement ?
Voici les étapes clés pour une mise en conformité SOX réussie :
Prévenir la falsification des données
Enjeu : Manipuler des données financières peut entraîner de lourdes sanctions, amendes et peines de prison, pour les fraudeurs comme pour les dirigeants. Un PDG ou directeur financier certifiant un rapport frauduleux risque jusqu'à 5 millions de dollars d'amende et 20 ans de prison.
Actions :
- Surveillance interne : Suivre les accès aux systèmes financiers pour détecter toute activité suspecte.
- Surveillance externe : Détecter les violations de sécurité (phishing, ransomware, etc.) grâce à des systèmes d'alerte automatisés et un système de gestion des incidents. Ces incidents et les réponses de l'entreprise doivent être documentés et accessibles aux auditeurs.
Maintenir une piste d’audit claire
Enjeu : Fournir aux auditeurs une piste d'audit claire et des informations sécurisées est crucial. Il est essentiel de pouvoir retracer qui a modifié quoi et quand.
Actions :
- Horodater et documenter les modifications des données financières.
- Stocker les données de manière sécurisée et cryptée, sur site et hors site.
- Gérer rigoureusement les autorisations d'accès aux données, physiques et électroniques.
- Utiliser un logiciel de gestion de la conformité permettant l'extraction des données.
Utiliser un logiciel de gestion de conformité extractible
Enjeu : Centraliser et faciliter l'accès aux données d'audit pour les auditeurs.
Actions :
- Se doter d'un logiciel de gestion de conformité.
- Idéalement, utiliser un flux de travail centralisé pour la gestion des documents d'audit.
Tester régulièrement les contrôles
Enjeu : Démontrer l'efficacité des contrôles mis en place.
Actions :
- Mettre en place des systèmes de reporting sur les flux de données, les alertes et les incidents de sécurité.
- Documenter les incidents et leur gestion.
- Donner aux auditeurs un accès en lecture seule à ces rapports.
Surveiller et auditer les données en continu
Enjeu : Détecter les anomalies en temps réel et corriger les erreurs rapidement. Un audit ponctuel ne reflète pas la réalité de l'activité et peut passer à côté de faiblesses importantes.
Actions :
- Extraire régulièrement les données du système ERP.
- Nettoyer et enrichir les données pour identifier tous les schémas comptables.
- Utiliser ces données pour exécuter des contrôles pertinents pour l'entreprise.
