Testissimo - Le site du test logiciel

Sarbanes Oxley, l’intérêt d’une démarche de modélisation
Date de publication : 27/03/2005

Qu’est-ce que Sarbanes Oxley ?

Adoptée en juillet 2002 par le Congrès américain, la Loi Sarbanes Oxley oblige les entreprises américaines ou cotées aux Etats-Unis à répondre de certaines prérogatives administratives dont l’analyse de leurs procédures financières et la publication de leurs résultats dans les plus brefs délais.

Guidée par trois principes : l’exactitude et l’accessibilité de l’information, la responsabilité des gestionnaires et l’indépendance des vérificateurs/auditeurs, la loi vise à augmenter la responsabilité corporative et à mieux protéger les investisseurs pour rétablir leur confiance dans le marché.

Quels sont les enjeux ?

Maîtriser ses processus et son Système d ’Information : La formalisation des processus et la cartographie du SI représentent un pré-requis à la mise en place d’un dispositif de contrôle interne. Il s’agit de :

Délimiter le périmètre : définition des activités à décrire (macro process puis process élémentaires)
Partager un langage commun : définition d'un risque SOX, d'un contrôle, d'une activité, d'un enjeu SOX...
Nommer un process owner : centralisation des informations liées au process et optimisation de la chaîne de validation

Maîtriser ses risques : L’identification et l’évaluation des risques de type SOX est au cœur de la problématique de ce projet. Pour cela, il faut être capable de :

Coordonner les actions des « process owners » afin d’obtenir une analyse homogène et d’assurer la pertinence des risques identifiés
Disposer d’une structure indépendante de contrôle interne

Assurer une communication efficace : La communication autour des enjeux, des objectifs et de l’avancement du projet est un facteur indispensable à l’implication des acteurs concernés.
Les intérêts d’une démarche de modélisation

Un dispositif contraignant... pour les sociétés qui n'ont pas encore documenté l'existant

La mise en place d'un dispositif de contrôle interne est une contrainte pour l'ensemble des sociétés. Il l'est d'autant plus pour les sociétés qui n'en bénéficiaient pas avant la mise en place du projet Sarbanes Oxley.

Une importante charge de travail :
La contrainte se matérialise essentiellement par la charge de travail qu'il faut déployer par l'ensemble des acteurs du projet. Et plus particulièrement pour les "sachants" qui doivent s'investir et délivrer leurs connaissances sur des activités qui ne font parfois l'objet d'aucune procédure.

Une méthode lourde :
L'appropriation de la méthode représente également un frein dans la mise en place du projet Sox. En effet, de nombreux concepts (assertions d'audit, contrôles transversaux, enjeux clés) doivent être intégrés par les opérationnels avant de se lancer dans la documentation de l'existant.

Le périmètre du projet SOX :
Le projet SOX doit trouver sa place au milieu des autres projets (parfois de même nature) déjà engagés : Bâle II, projets d'organisation/réorganisation en cours, Certification ISO...

Des intérêts divergents :
Les enjeux sont différents selon qu'on se place du point de vue d'un opérationnel, d'un responsable opérationnel, d'un « process owner », d'un correspondant SOX, d'un directeur général ou bien encore d'un directeur financier.

L'ensemble de ces freins aura certainement contribué au nouveau délai fixé pour la mise en application du projet Sox (1er juillet 2006).

Une opportunité pour d'autres

La mise en place du projet SOX peut être vécue comme une opportunité de faire évoluer l'organisation, développer des avantages concurrentiels et gagner en efficacité opérationnelle. La mise en place d'un dispositif de contrôle interne présente de nombreux avantages :

Le partage de l'information pour une meilleure compréhension de son activité :
La documentation de l'existant permet de partager l'information et la rendre compréhensible aux yeux de l'ensemble des acteurs concernés par le projet SOX tant en interne (directions opérationnelles, direction générale, direction financière) qu'en externe (commissaires aux comptes). Ainsi une information claire et partagée permet de fournir un support nécessaire à la réflexion des éléments à améliorer.

La responsabilisation des opérationnels :
Le projet Sox est également une opportunité pour l'ensemble des sociétés car il permet de responsabiliser les acteurs de chacun des process identifié.

L'obtention de budgets :
Du point de vue de certains opérationnels, le projet SOX est le moyen de pouvoir enfin bénéficier de budgets pour améliorer l'existant : implémenter des outils pour fiabiliser les opérations réalisées, automatiser les relations avec des partenaires extérieurs...

Si vous devez initier cette démarche, je vous propose quelques pistes structurantes que j'ai mises en oeuvre chez l'un de nos clients. Elles s'articulent autour de trois étapes majeures :

La documentation de l’existant :

• Description des processus
• Identification des risques
• Identification des contrôles associés

La définition d’un plan de mise sous contrôle :

• Analyse de l’adéquation entre les contrôles existants et les risques identifiés
• Hiérarchisation / priorisation des actions à mettre en œuvre
• Définition de la démarche de mise en œuvre (intervenants, planning…)

La mise en œuvre des actions :

• Rédaction de cahiers des charges
• Suivi des développements informatiques
• Organisation et pilotage des recettes utilisateurs
• Rédaction / adaptation des procédures

Avec notamment, pour chacune d'elles :

1- Documentation :

Documenter c'est Maîtriser, Expliquer, Chiffrer, Partager, Comparer, Transmettre, Pérenniser
La documentation correspond à l'analyse et la formalisation des risques et des contrôles existants pour un process identifié du point de vue de l'existence, l'occurrence, la fiabilité, l'exhaustivité, l'habilitation, la protection des actifs, la réglementation...
Chaque point de contrôle identifié fera ensuite l'objet d'une évaluation quant à sa maturité, sa supervision, son degré d'automatisation.
La finalité est donc de fournir la preuve que des contrôles effectifs et efficaces sont en place et documentés face aux risques de l'activité.
Le chantier "documentation" doit également faire apparaître, pour chaque process élémentaire, les enjeux financiers s'y rapportant afin de définir son niveau de criticité.

2- Mise sous contrôle :

La mise sous contrôle répond à l'obligation de mise en place et de maintien d'un dispositif de contrôle interne EFFICIENT (section 404).
Pour tous les "Control deficiencies", il est nécessaire de mettre en place un plan d'améliorations permettant d'atteindre le seuil de maturité correspondant aux exigences de fiabilité, d'exhaustivité, de protection des actifs, de formalisation...
La mise sous contrôle permet donc de fiabiliser par la mise en place d'actions correctrices de nature organisationnelles (formalisation de procédures, renfort du pilotage par la supervision des contrôles...) ou informatiques (développement d'outils, développement de contrôles automatisés).

3- Mise en oeuvre des recommandations :

La mise en oeuvre des recommandations définies dans l'étape de mise sous contrôle met en relief l'intervention des SI qui sont au cœur du dispositif : ils permettent de réaliser, contrôler, suivre et fournir un traçage des opérations aux fins d'audit et de transparence.
Ils permettent notamment de remplacer progressivement les trop nombreuses feuilles de calcul utilisées par les opérationnels. Les SI faciliteront donc la validation des auditeurs internes et des commissaires aux comptes.

Bonne pratique
Utiliser pour les scripts des techniques de développement éprouvées
Dossier
Faire vivre un Référentiel de tests automatisés
Retour d'expérience
La journée des métiers à L'ISTIA