Table des matières

Les audits peuvent-ils sauver votre entreprise ?

Qu’est-ce que la loi SOX ?

3 Défis de la mise en conformité avec la loi Sarbanes Oxley

La conformité Sox et le coût de l’exemption

Solutions technologiques et conformité SOX

Audit et prévention de la fraude

La responsabilité des auditeurs internes

Que se passe-t-il si je fais l’objet d’un audit ?

Les audits peuvent-ils sauver votre entreprise ?

Qu’on le veuille ou non, les exigences des auditeurs externes en matière d’information financière des entreprises se sont révélées « très efficaces » pour détecter les fraudes, selon une étude récente de l’American Accounting Association. Votre entreprise est-elleexemptée de l’audit externe prévu par la loi Sarbanes-Oxley (SOX) ? Si c’est le cas, cette exemption peut en fait coûter à votre entreprise autant qu’elle lui permet d’économiser, selon une étude récente publiée fin juin par d’importantes institutions universitaires. L’étude étudedirigée par des universitaires de l’université de Washington et de l’université de Georgetown, a révélé que si l’exemption de l’audit SOX peut être bénéfique pour les entreprises sur le plan financier – en leur évitant des frais d’audit élevés – elle peut également entraîner des dépenses encore plus coûteuses en raison d’informations erronées, notamment :

  1. Baisse de la performance opérationnelle due à la non-remédiation
  2. Les valeurs de marché qui ne reflètent pas l’état du contrôle interne sous-jacent d’une entreprise

Qu’est-ce que la loi SOX ?

La loi Sarbanes-Oxley (SOX ) a été adoptée par le Congrès américain en 2002 afin de lutter contre les activités comptables frauduleuses des entreprises.

Plus précisément, la disposition 404(a) de la loi SOX exige des organisations qu’elles mettent en place des contrôles comptables internes et des méthodes de reporting. L’article 404(b) exige que les auditeurs externes surveillent le contrôle interne des entreprises en matière d’information financière.

Les entreprises dont la capitalisation boursière est inférieure à 75 millions de dollars sont exemptées de façon permanente de l’application de l’article 404(b) depuis 2010, grâce à la loi Dodd Frank – un sursis accordé aux petites entreprises par crainte qu’elles ne soient pas en mesure de supporter le poids des coûts liés à la mise en conformité.

3 défis à relever pour se conformer à la loi Sarbanes-Oxley

Même si les entreprises pensent que les audits externes peuvent les protéger des dangers de la fraude, elles restent confrontées aux frustrations liées au respect de la loi Sarbanes-Oxley et d’autres exigences en matière d’audit.

1. Les exigences et les réglementations évoluent constamment

Les organisations doivent suivre le rythme de ces changements et modifier leurs propres processus afin de répondre à ces obligations en constante évolution. Lire, « Vos auditeurs s’intéressent à ces 8 points ».

2. Garder le rythme lorsque les règles changent constamment coûte du temps et de l’argent

Elle peut en fait peser lourdement sur les ressources d’une organisation. En l’absence de personnel, d’outils ou de technologies adéquats, les organisations peuvent se retrouver à détourner des ressources des performances de l’entreprise simplement pour rester en conformité.

3. La technologie est rapidement dépassée

Les entreprises doivent non seulement adapter leurs processus et leurs rapports à l’évolution des règles et des exigences, mais aussi mettre à jour la technologie qu’elles utilisent pour soutenir leurs efforts de mise en conformité. Pour les entreprises qui ont investi dans la technologie au début de l’ère Sarbanes-Oxley et qui disposent aujourd’hui de « systèmes hérités », cela peut constituer un véritable défi. Heureusement, au cours des dernières années, la technologie de gestion intégrée des risques a considérablement évolué pour rendre la gestion de la conformité et de l’audit plus souple. Cette technologie étant désormais proposée sous forme de logiciel-service, elle présente des avantages tels que la rapidité de déploiement et de modification, l’amélioration de la productivité des auditeurs et des audités, la réduction de la dépendance à l’égard du personnel informatique et une réduction globale des coûts. Les entreprises peuvent ainsi se concentrer sur les problèmes – qu’il s’agisse de fraude ou de tout autre problème mis en évidence par un audit – plutôt que sur le fonctionnement de la technologie.

Conformité à la loi SOX et coût de l’exemption

Toutefois, le poids de la conformité peut être intéressant à supporter, selon l’étude, qui s’intitule Les avantages et les coûts de l’exemption de la section 404(b) de la loi Sarbanes-Oxley : Evidence from small firms’ internal control disclosures. L’étude est basée sur un échantillon de plus de 5 300 organisations exemptées et des observations annuelles de 2007 à 2014.

Elle confirme en tout cas que les frais d’audit ne sont pas une dépense anodine – les économies réalisées sur les frais d’audit étant estimées à 388 millions de dollars au total pour les cabinets exemptés évalués au cours de l’analyse sur sept ans.

Cependant, l’étude a montré que le coût de l’exemption 404(b) était beaucoup plus élevé que les économies qu’elle permettait de réaliser. Entre 2007 et 2014, les entreprises de l’échantillon de l’étude ont perdu des bénéfices potentiels considérables – estimés à 856 millions de dollars au total – parce qu’elles n’ont pas correctement remédié à leurs contrôles internes.

En outre, ils ont subi un retard supplémentaire de 935 millions de dollars en termes de valeur marchande globale. 935 millions de dollars de retard dans la valeur de marché globale en raison de la divulgation tardive des informations sur le contrôle interne.

En fin de compte, l’étude a conclu que « l’exemption au titre de l’article 404(b) est coûteuse dans la mesure où elle conduit les entreprises à ne pas découvrir ou divulguer des contrôles internes inefficaces (par exemple, des déclarations erronées) ».

Les deux principales pertes qui découlent d’une déclaration erronée – comme mentionné ci-dessus – sont la baisse des performances opérationnelles due à l’absence de remédiation et les valeurs de marché qui ne reflètent pas l’état du contrôle interne sous-jacent de l’entreprise.

Solutions technologiques et conformité SOX

Les déclarations erronées qui résultent d’un non-respect ou d’un manque de surveillance des contrôles comptables et des méthodes de déclaration peuvent s’avérer coûteuses. Bien entendu, ces coûts ne tiennent même pas compte des pénalités et des amendes encourues par les grandes organisations qui doivent effectivement se conformer à la loi SOX 404(b). C’est pourquoi les grandes entreprises se sont tournées vers la technologie pour obtenir de l’aide lorsque les exigences ont été mises en place. En fait, la loi SOX a entraîné une augmentation considérable de la fourniture de logiciels pour répondre aux exigences de la loi – des logiciels coûteux et encombrants qui sont maintenant désuets et ne peuvent pas répondre à la nature évolutive des exigences ou aux besoins changeants des entreprises. Cependant, au cours des dernières années, une nouvelle technologie SaaS a été développée pour aider les contrôles comptables internes et les méthodes d’établissement de rapports, ce qui s’est avéré plus rapide, plus sûr et plus efficace, avec une réduction du soutien interne nécessaire. Même la technologie de gestion des risques peut désormais intégrer des solutions pour résoudre ces problèmes. Cela signifie que la technologie est accessible aux grandes comme aux petites organisations, que la conformité à la loi SOX 404(b) soit requise ou non, et ce pour une fraction des coûts qui découlent de la production de rapports erronés. Plus récemment, l’accent a été mis sur les approches basées sur le risque. Il n’est souvent pas possible de faire absolument tout ce qui est requis (et ce n’est certainement pas rentable), c’est pourquoi de nombreuses organisations ont développé des approches basées sur le risque. En 2002, l’accent n’était pas mis sur le risque. La principale norme sur le risque à l’époque était probablement la norme AS:NZS4360:1999 et ce n’est qu’en 2009 qu’est apparue la norme ISO 31000, qui constitue aujourd’hui la base du risque dans de nombreuses autres normes (note : la norme ISO 31000 est en cours de révision et un nouveau projet de norme internationale a été publié le 17 février 2017). Si une réforme de la loi SOX est envisagée, le consensus général semble être qu’elle sera davantage axée sur les réformes des institutions financières. Quoi qu’il en soit, les changements pourraient être aussi soudains que les changements déclenchés par la loi SOX en 2002, qui ont fait l’effet d’un tsunami.

Avantages d’avoir des données SOX dans l’informatique dématérialisée

Il y a cependant des changements apportés par la technologie qui peuvent rendre cette prochaine vague plus simple à gérer pour ceux qui sont préparés. Tout d’abord, l’informatique dématérialisée. Alors que beaucoup débattent encore des droits et des inconvénients d’avoir des données SOX dans le nuage, l’utilisation du nuage est de plus en plus acceptée. Les principaux avantages sont les suivants

Rapidité de mise en œuvre.

Vitesse de mise à jour.

La sécurité.

Pensez aux grands fournisseurs de services en nuage qui disposent de centaines, voire de milliers de personnes et de systèmes hautement spécialisés pour protéger le système et les données, par rapport aux ressources informatiques de la plupart des entreprises.

Coût.

Le coût partagé de l’infrastructure en nuage est généralement bien inférieur à celui des implémentations sur site. Deuxièmement, l’intégration du processus SOX dans tous les créneaux de l’organisation a donné naissance à la gestion intégrée des risques – où les risques dans n’importe quelle partie de l’organisation sont gérés de manière cohérente et s’appuient sur les données interconnectées pour s’assurer qu’il n’y a qu’une seule instance des faits, de sorte qu’une meilleure prise de décision peut se produire et que les problèmes potentiels peuvent faire surface avant qu’ils ne deviennent des incidents majeurs. Troisièmement, les « Big Data » sont là. Bien que cela puisse constituer un défi en soi, la clé réside dans la superposition d’outils de visualisation des données qui se situent au-dessus des données, fournissant des informations sur cette masse de données et présentant ces informations de manière à ce qu’elles soient facilement compréhensibles et qu’elles permettent aux décideurs de prendre des décisions éclairées sur la base des données actuelles. Mais les implémentations sur site peuvent ne pas avoir la capacité de tirer parti de cette vague aussi efficacement que les systèmes basés sur le cloud. L’informatique dématérialisée est là pour durer, et c’est peut-être le meilleur moment pour envisager de s’y installer.

Audit et prévention de la fraude

Si les exigences de la loi Sarbanes-Oxley en matière d’audit – ou toute autre exigence d’audit d’ailleurs – sont généralement considérées comme lourdes et coûteuses par les dirigeants d’entreprise, les risques associés à l’absence d’audit (même si votre entreprise n’est pas tenue de le faire) peuvent être encore plus coûteux, surtout si et quand une fraude est détectée. Par exemple, une organisation typique perd chaque année 5 % de ses revenus à cause de la fraude, selon le dernier Rapport aux Nations sur la fraude et les abus professionnelspublié en 2014 par l’Association of Certified Fraud Examiners. Le rapport souligne également que plus de 22 % des cas de l’enquête ont entraîné des pertes d’au moins 1 million de dollars, et que la perte médiane s’élevait à 145 000 dollars. La nature coûteuse de la fraude explique pourquoi la détection de la fraude est si importante – et, en fait, pourquoi les audits externes sont potentiellement tout aussi importants. L’étude de l’American Accounting Association, publiée dans Auditing : A Journal of Practice and Theory, suggère qu’il existe un lien entre la faiblesse des contrôles internes sur l’information financière et un risque plus élevé de fraude comptable non divulguée dans les entreprises publiques. Ce lien « est une considération importante lorsqu’il s’agit d’évaluer les coûts et les avantages de la loi Sarbanes-Oxley », selon un récent article du New York Times intitulé « Sarbanes-Oxley, Bemoaned as a Burden, Is an Investor’s Ally » (La loi Sarbanes-Oxley, considérée comme un fardeau, est l’alliée des investisseurs). Cette considération est devenue d’un grand intérêt ces derniers temps, alors que le Congrès envisage de réduire certaines des réglementations de la loi.

La responsabilité des auditeurs internes

Les services d’audit interne ont toujours été considérés comme une fonction axée sur la gouvernance et la conformité, destinée à garantir que les processus de gestion des risques, de gouvernance et de contrôle interne de l’organisation fonctionnent efficacement afin de se conformer aux réglementations et aux normes qui affectent l’activité de l’entreprise. Les membres du conseil d’administration attendent des auditeurs internes qu’ils innovent de manière à protéger et à transformer l’entreprise, ce quisignifie que la conformité est essentielle. La technologie de gestion intégrée des risques aide à développer efficacement des moyens innovants pour fournir une meilleure stratégie permettant aux auditeurs internes de concentrer efficacement leurs efforts sur la prévision des risques et la protection de leurs organisations. Les données peuvent être saisies, normalisées et examinées en temps réel, en un seul endroit. Des informations et des réflexions précises sont immédiatement disponibles et actualisées, plutôt qu’enfermées dans des feuilles de calcul envoyées par courrier électronique et contenant des données anciennes qui ne sont plus pertinentes. Les systèmes automatisés et basés sur le cloud encouragent le partage d’informations au sein de l’organisation et fournissent des données et des analyses en temps réel. Les représentations visuelles ou graphiques instantanées des données réduisent le temps nécessaire à l’élaboration des rapports et vous permettent d’améliorer les stratégies d’audit, d’accélérer les cycles d’audit, de réduire les coûts d’audit et d’accroître la productivité des auditeurs.

Pourquoi l’audit interne doit-il passer du contrôle des cases à l’innovation ?

La nécessité d’être pertinent est souvent le principal moteur des services d’audit interne qui tentent de passer de fonctions basées sur la conformité à des opérations de transformation – un concept qui est certainement familier aux cabinets d’audit externe qui s’efforcent également d’être pertinents et d’apporter de la valeur à leurs clients. Pour les auditeurs eux-mêmes, passer d’un rôle axé sur la conformité à un rôle innovant sera évidemment plus satisfaisant sur le plan professionnel. Mais les entreprises, elles aussi, tirent des avantages financiers très réels d’une conception de la conformité qui sort des sentiers battus plutôt que de se contenter de « cocher des cases ». Mais à quoi ressemble réellement l’innovation par le biais des services d’audit interne ? Selon l’étude « pulse of the profession » de l’Institut des auditeurs internes, les services d’audit interne doivent transformer leurs opérations et améliorer leurs réponses à des perturbations commerciales en constante évolution. Pour simplifier, cela signifie qu’ils doivent identifier et atténuer les risques préjudiciables avant la perturbation, ainsi que réaliser les avantages du risque, afin que la direction puisse prendre des décisions éclairées pour protéger et ajouter de la valeur à l’entreprise. Si cela semble impossible, ce n’est pas le cas… du moins pour les organisations qui sont prêtes à investir dans la bonne technologie. Selon l’étude annuelle de PwC sur l ‘état de la profession d’audit interne, 56 % des responsables de l’audit interne estiment que l’adoption des technologies a un impact sur la valeur de l’audit interne pour l’organisation.

Que se passe-t-il si je fais l’objet d’un audit ?

Si votre entreprise est soumise à la conformité SOX ou à d’autres exigences en matière d’audit externe – ou si elle fait appel à des auditeurs externes dans le cadre de ses activités – vous risquez de faire l’objet d’un examen plus approfondi de la part de vos auditeurs.

En effet, une multitude de cabinets d’audit seront eux-mêmes soumis à une surveillance accrue, le Public Company Accounting Oversight Board (PCAOB) ayant annoncé à la fin du mois d’août son intention d’examiner 195 auditeurs enregistrés de sociétés publiques et d’autres émetteurs en 2017 autour de quelques domaines clés.

La nature et l’étendue des résultats des inspections du PCAOB continuent d’influencer de manière significative la manière dont le secteur de l’audit fonctionne et dont les entreprises conçoivent et mettent en œuvre les contrôles internes.

Les principaux domaines d’intérêt pour les examens du PCAOB en 2017 sont les suivants :

  1. Domaines d’audit dans lesquels les inspecteurs ont relevé des déficiences par le passé, tels que l’évaluation des risques d’anomalies significatives et la réponse à ces risques.
  2. les domaines d’audit affectés par les récents développements économiques, y compris le taux élevé d’activités de fusion et d’acquisition et les fluctuations des prix du pétrole et du gaz naturel
  3. Les domaines d’information financière qui requièrent un jugement important, y compris les considérations relatives à la continuité de l’exploitation et les informations relatives à l’impôt sur le revenu
  4. Conformité d’un cabinet d’audit aux nouvelles règles de transparence (formulaire AP)
  5. Préparation aux nouvelles normes comptables relatives à la reconnaissance des revenus et à la comptabilisation des contrats de location
  6. Travaux d’autres auditeurs sur des audits multinationaux
  7. L’utilisation par l’auditeur des technologies de l’information, en particulier des outils d’audit logiciel
  8. Le système de contrôle de qualité du cabinet d’audit

Que votre entreprise soit soumise à des audits externes par choix ou par nécessité, vous n’êtes pas étranger à l’évolution constante des réglementations, des normes de conformité et des exigences d’audit, qui peuvent faire déraper votre processus de conformité et d’audit. Toutefois, le fait de savoir ce que recherchent vos auditeurs peut contribuer à réduire ce stress.

Vous souhaitez en savoir plus sur la façon dont la technologie de gestion des risques peut résoudre vos problèmes de conformité à la loi SOX ou d’audit ? En savoir plus sur la solution Sarbanes-Oxley SOX de Riskonnect.

Pourquoi la conformité à la loi SOX prend-elle autant de temps ?

Même après 15 ans, les dirigeants de grandes entreprises publiques disent qu’ils ont toujours du mal à stabiliser les coûts et à réduire le nombre d’heures consacrées à la mise en conformité avec la loi Sarbanes-Oxley (SOX). Enquête 2017 de Protiviti sur la conformité à la loi Sarbanes-Oxley.

Les principales conclusions de l’étude sont les suivantes :

L’évolution de la réglementation accroît le temps consacré à la conformité SOX

La plupart des entreprises, quelle que soit leur taille, ont vu le temps qu’elles consacraient à la conformité à la loi SOX augmenter l’année dernière, et pour deux tiers d’entre elles, cette augmentation a été supérieure à 10 %. Selon l’étude, l’évolution des réglementations, comme la norme d’audit AS.18 (AS.2410 recodifiée), les informations non conformes aux GAAP et les contrôles associés, l’augmentation de la documentation relative à la cybersécurité et l’importance accrue accordée aux rapports SOC externalisés, ont probablement été des facteurs déterminants. Les exigences réglementaires associées continueront probablement à changer, ce qui rend difficile de prévoir le nombre d’heures que les organisations – en particulier les grandes et complexes – devront consacrer à la conformité d’une année à l’autre.

Les organisations complexes consacrent plus de temps à la conformité SOX

Il n’est pas surprenant de constater qu’il existe une corrélation entre le nombre de sites et les coûts annuels de mise en conformité avec la loi SOX, avec un écart moyen de près d’un million de dollars entre les organisations les moins complexes et les plus complexes. Plus précisément, l’enquête indique que plus le nombre de sites de l’entreprise est élevé, plus le nombre de contrôles est important. Près de 43 % des entreprises ayant plus de 12 sites ont déclaré qu’entre 78 et 100 % des contrôles étaient classés comme contrôles clés, ce qui est nettement plus élevé que pour les entreprises ayant entre 4 et 12 sites.

L’externalisation permet de résoudre les problèmes de conformité à la loi SOX

De plus en plus d’entreprises externalisent leur travail de mise en conformité avec la loi SOX, probablement en raison des contraintes de temps qu’elle impose à l’organisation. En conséquence, elles constatent que les coûts se stabilisent. Cependant, ces coûts de tiers ne sont généralement pas pris en compte dans le budget de conformité à la loi SOX, mais dispersés dans les budgets des unités opérationnelles. Pour les grandes organisations, il est donc encore plus difficile de déterminer avec précision le montant des dépenses consacrées à la conformité à la loi SOX.

Lire « Les audits externes coûtent-ils ou font-ils économiser de l’argent aux entreprises ?

Le travail de mise en conformité avec la loi SOX est toujours perçu positivement par les dirigeants

Malgré les coûts, les dirigeants ont déclaré que la conformité à la loi SOX les avait aidés à créer des processus plus rationnels et plus légers, ce qui présente des avantages qui vont au-delà de la conformité. Mais pour obtenir une valeur à long terme de leurs efforts, il faudra peut-être examiner de plus près la manière dont ils intègrent le travail de conformité dans d’autres aspects du contrôle des risques.

Le rôle de la technologie de gestion des risques dans la conformité à la loi SOX

Les résultats de cette enquête devraient inciter les dirigeants des grandes entreprises et des entreprises en croissance à réfléchir à ce qu’ils peuvent faire pour maîtriser les délais et les coûts de mise en conformité avec la loi Sarbanes-Oxley. La plupart des grandes entreprises ont probablement déjà investi dans un certain type de solution technologique pour soutenir les efforts de mise en conformité avec la loi SOX, mais cette technologie est peut-être en train de montrer ses limites. Les dirigeants doivent examiner si leurs solutions technologiques sont suffisamment agiles pour aider à contrôler les délais et les coûts à l’avenir. Découvrez comment la technologie SaaS de gestion des risques peut aider les entreprises complexes et internationales à suivre l’évolution des réglementations et à intégrer la conformité à la loi SOX dans leur programme ERM global.