The Sarbanes-Oxley Act explained: Definition, purpose, and provisions (Français)

Sarbanes-Oxley Act: Summary and definition

La Loi Sarbanes-Oxley (parfois appelée SOA, Sarbox ou SOX) est une loi américaine visant à protéger les investisseurs en empêchant les pratiques comptables et financières frauduleuses dans les sociétés cotées en bourse. Adoptée en 2002 à la suite d’une série de scandales d’entreprises et de l’Éclatement de la bulle Internet, Sarbanes-Oxley a imposé un certain nombre de mandats de reporting, de comptabilité et de conservation des données pour s’assurer que les pratiques commerciales des grandes entreprises restent au-dessus du Conseil.,

alors que de nombreuses dispositions de Sarbanes-Oxley sont centrées sur les questions financières et comptables, un traitement approprié des données d’entreprise est la pierre angulaire de nombreux aspects du fonctionnement de la loi—et cela a un impact énorme sur celle-ci, sur laquelle nous nous concentrerons dans cet article.

Quel est le but de la Loi Sarbanes-Oxley?

La Loi Sarbanes-Oxley est le produit d’une série de scandales qui ont eu lieu au tournant du Millénaire., Plusieurs sociétés cotées en bourse—Enron et WorldCom étaient deux des plus importantes-ont utilisé des supercheries comptables, des sociétés écrans et d’autres techniques frauduleuses pour cacher des pertes commerciales au public et maintenir les cours des actions artificiellement élevés. Les dirigeants et les membres du Conseil d’administration ont utilisé cette tromperie pour s’enrichir, encaissant et laissant les investisseurs (et, dans le cas d’Enron, les employés qui avaient été invités à mettre leur retraite en actions de la société) tenir le sac lorsque la tromperie ne pouvait plus être maintenue et que le cours de l’action s’effondrait.,

ces scandales se sont déroulés à peu près au même moment où les cours des actions dot-com se sont effondrés, et bien qu’aucune de ces sociétés internet à un stade précoce n’ait commis de fraude à une telle échelle qu’Enron, beaucoup de gens pensaient qu’ils avaient gonflé les rapports de leur potentiel de GAIN avant

la Loi Sarbanes-Oxley a imposé un lourd fardeau réglementaire pour tenter d’empêcher ce genre d’abus de se reproduire., La loi vise à améliorer le comportement des entreprises en s’assurant que les entreprises produisent et conservent des données précises sur leurs propres finances, et qu’elles soient en mesure de mettre ces données à la disposition des investisseurs et des régulateurs en temps quasi réel. Pour L’informatique, cela signifie que d’énormes quantités de données d’entreprise doivent être conservées méticuleusement précises et absolument à l’abri—des menaces internes et externes—et doivent être mises à la disposition des auditeurs et des investisseurs à court terme.

à qui Sarbanes-Oxley s’adresse-t-il?,

quelques dispositions de Sarbanes-Oxley s’appliquent aux entreprises privées—la loi interdit à ces entreprises de détruire des documents pour entraver l’enquête d’une agence fédérale, par exemple, ou de représailles contre les lanceurs d’alerte. Cependant, dans l’ensemble, les dispositions de la loi dont nous discuterons ici s’appliquent aux entreprises dont les actions sont négociées en bourse ou qui préparent une introduction en bourse pour entrer en bourse. La transparence des données imposée par la loi vise à protéger les investisseurs ou les investisseurs potentiels contre les erreurs de jugement des finances d’une entreprise dues à la manipulation par des initiés.,

dispositions Sarbanes-Oxley

Les dispositions de la Loi Sarbanes-Oxley sont divisées en sections numérotées. Jetons un coup d’œil aux sections les plus intéressantes en termes de sécurité informatique et de sécurité des données:

  • Section 302: les entreprises publiques doivent déposer des rapports réguliers auprès de la Security and Exchange Commission. Les cadres supérieurs doivent se porter personnellement garants des informations contenues dans ces rapports et sont responsables de l’établissement de contrôles internes des données.,
  • Section 404: les rapports financiers annuels doivent inclure une section sur ces contrôles internes évaluant leur efficacité; toute lacune découverte dans ces contrôles doit être divulguée. Les vérificateurs externes enregistrés doivent se porter garants de l’évaluation par la direction des contrôles internes.
  • article 409: tout changement important dans les conditions financières ou les opérations de la société doit être divulgué au public en temps opportun.
  • articles 802 et 906: ce sont les articles qui traitent des sanctions., Nous entrerons dans les détails plus loin dans l’article, mais ils interdisent de modifier des documents dans le but d’entraver une enquête et rendent également illégal pour quiconque de certifier un rapport financier trompeur ou frauduleux.

De ces sections 404 est considérée comme la plus complexe et la plus lourde. Non seulement des systèmes techniques élaborés doivent être mis en place pour maintenir l’intégrité et la protection des données, mais la direction de l’entreprise et les auditeurs externes doivent évaluer et documenter régulièrement l’efficacité de ces systèmes.,

exigences Sarbanes-Oxley

Ce sont beaucoup de dispositions à digérer, et vous devrez creuser profondément dans les mandats spécifiques qu’elles imposent. Mais voici un résumé de haut niveau de ce que la loi exige qui vaut la peine de garder à l’esprit en tant que vue de 10 000 pieds:

toutes les entreprises applicables doivent établir un cadre comptable financier capable de générer des rapports financiers facilement vérifiables avec des données source traçables. Ces données sources doivent rester intactes et ne peuvent faire l’objet de révisions non documentées., De plus, toute révision d’un logiciel financier ou comptable doit être entièrement documentée sur ce qui a été modifié, pourquoi, par qui et quand.

vous reconnaîtrez ici des éléments de la triade CIA et de ses variantes. En particulier, l’intégrité des données doit être protégée, les données doivent être accessibles à ceux qui en ont besoin et la non-répudiation doit être appliquée pour s’assurer qu’il est possible de savoir qui a créé ou modifié les données.

contrôles Sarbanes-Oxley

Les moyens par lesquels les exigences Sarbanes-Oxley sont mises en œuvre au sein d’une organisation sont appelés contrôles., Un contrôle dans ce contexte est une règle interne destinée à prévenir ou détecter les erreurs ou les malversations dans le cadre d’un cycle d’information financière.

Sarbanes-Oxley exige que les contrôles soient mis en œuvre dans l’ensemble de l’entreprise. Le blog Varonis donne quelques exemples précis des types de règles qui seraient étudiées dans le cadre d’une procédure D’audit Sarbanes-Oxley:

  • accès: vous aurez besoin de règles qui couvrent à la fois l’accès physique à vos Bureaux et aux fichiers Papier et l’accès électronique à vos données., La loi impose un modèle d’accès le moins permissif, en vertu duquel les employés n’ont qu’un accès aussi étendu que nécessaire pour faire leur travail, mais pas plus étendu que cela.
  • sauvegarde des données: les dossiers financiers doivent être sauvegardés hors site de la manière prévue par la loi.
  • sécurité: vous aurez besoin d’un ensemble de règles qui démontrent que vous avez protégé vos données contre les violations, bien que la mise en œuvre soit laissée à votre discrétion dans des limites raisonnables.,
  • Gestion du changement: vous devez disposer de procédures définies pour ajouter ou modifier les bases de données et les logiciels qui gèrent les finances de votre entreprise, ainsi que pour ajouter de nouveaux utilisateurs à vos systèmes.

vous remarquerez que ces contrôles sont décrits de manière abstraite. En général, les contrôles sont définis en termes de ce qu’ils font (ou empêchent), et c’est à lui de comprendre comment les implémenter., Par exemple, les règles sur l’accès électronique peuvent identifier les titres d’emploi dont les titulaires sont autorisés à modifier les données financières internes d’une entreprise, mais il appartiendra au service informatique de l’entreprise de s’assurer que les bonnes personnes disposent des autorisations appropriées sur les systèmes pertinents pour le faire (OU être empêchées de le faire).

Cela fait évidemment beaucoup de travail, et a peut-être sans surprise créé une industrie artisanale de progiciels pré-écrits pour aider à mettre en œuvre des contrôles Sarbanes-Oxley standardisés.,il a pour mandat de prendre les mesures suivantes, telles que résumées dans le blog Varonis:

  1. Les PDG et les directeurs financiers doivent assumer la responsabilité de l’information financière et des contrôles internes
  2. Un rapport de contrôle interne doit être rédigé qui jette un regard honnête sur les contrôles de l’entreprise
  3. des politiques formelles de sécurité des données doivent être rédigées et appliquées de manière cohérente, et une stratégie de sécurité des données doit être développée
  4. toutes les étapes de conformité doivent être enregistrées et documentées en permanence

tout cela demande beaucoup de travail de la part des entreprises, et beaucoup cherchent de l’aide pour le faire., Une organisation qui offre des ressources est le Comité des organismes de parrainage de la Commission Treadway, ou COSO. Créé en 1985 pour aider à lutter contre la fraude d’entreprise, COSO maintient depuis des années un cadre de contrôles internes que les entreprises peuvent suivre afin de mettre en œuvre les meilleures pratiques anti-fraude. La révision la plus récente, qui date de 2013, décrit spécifiquement comment elle peut vous aider à atteindre la conformité Sarbanes-Oxley.,liste de contrôle des RCE qui vous donne une idée rapide de tout ce que vous devez couvrir:

  1. prévenir la falsification des données
  2. consigner les délais pour les activités clés
  3. créer des contrôles vérifiables pour suivre l’accès
  4. tester, vérifier et divulguer les garanties aux auditeurs
  5. faire rapport sur l’efficacité des garanties
  6. détecter les violations de sécurité
  7. divulguer les violations de sécurité et les défaillances des contrôles de sécurité aux auditeurs

RSI Security a un regard plus en profondeur sur ce que vous devez faire face à un audit de conformité Sarbanes-Oxley qui a beaucoup de grands détails.,

sanctions Sarbanes-Oxley

Les sanctions Sarbanes-Oxley peuvent être très graves—et, surtout, elles s’appliquent directement aux personnes occupant des postes de pouvoir dans les entreprises, pas seulement aux entreprises en tant qu’institutions. Alors que les dirigeants d’entreprise qui signent par erreur des rapports erronés peuvent être punis pour cela, le pire traitement est réservé à la fraude délibérée. Par exemple, un chef de la direction ou un directeur financier qui certifie sciemment un rapport qui enfreint la loi peut être condamné à une amende pouvant aller jusqu’à 5 millions de dollars ou à une peine d’emprisonnement pouvant aller jusqu’à 20 ans.,

loi Sarbanes-Oxley: cas et exemples

Il y a certainement des occasions où le gouvernement fédéral américain utilise les armes que Sarbanes-Oxley fournit. Par exemple, en 2003, peu de temps après l’adoption de la loi, des employés D’Ernst & Young ont été arrêtés pour avoir détruit des documents concernant l’un de leurs clients. en 2014, la FEC a porté plainte contre le PDG et le directeur financier d’une société informatique de Floride pour avoir trompé les auditeurs sur l’état de leurs contrôles internes.,

Mais dans la pratique, certains considèrent Sarbanes-Oxley comme une occasion manquée lorsqu’il s’agit de poursuivre la fraude d’entreprise. Même lorsque les rapports financiers peuvent s’avérer frauduleux, il peut être difficile de prouver que les PDG et les directeurs financiers étaient au courant de la fraude lorsqu’ils ont signé les rapports—et si les procureurs ont des preuves solides de cela, ils peuvent presque toujours utiliser les preuves pour déposer des accusations de fraude encore plus sévères qui ne font, Pourtant, le professeur de droit Peter Henning dit que la loi a eu un effet dissuasif positif: il est établi que « les manigances comptables ne seront plus tolérées. »J’espère que cela vous donnera l’impression que la lutte pour la certification en vaut la peine.

Share

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *