Votre système SOX doit-il être remplacé ?

Il y a quinze ans, la loi Sarbanes-Oxley (SOX) a été promulguée. Peu après, les entreprises se sont ruées sur les moyens de s’y conformer. Cela a également donné lieu à une vague d’implémentations de logiciels qui étaient nécessaires et qui devaient être en place et fonctionner très rapidement. Il va sans dire que cela a nécessité l’utilisation de la technologie disponible à l’époque. Pour beaucoup, le lien avec cette technologie n’a pas été rompu. Certes, il y a eu des mises à jour et, pour certains, une migration vers de nouvelles versions et, plus récemment, vers des systèmes basés sur l’informatique en nuage, mais pour beaucoup (environ la moitié si l’on se base sur la durée typique d’une génération, qui est d’environ 30 ans), le système qu’ils utilisent a été mis en place par une génération précédente d’auditeurs, et par ceux qui sont soumis aux exigences de la loi SOX en matière de conservation des documents et de rapports. Plus récemment, l’accent a été mis sur les approches fondées sur les risques. Il n’est souvent pas possible de faire absolument tout ce qui est exigé (et ce n’est certainement pas rentable), c’est pourquoi de nombreuses organisations ont développé des approches basées sur le risque. En 2002, l’accent n’était pas mis sur le risque. La principale norme sur le risque à l’époque était probablement la norme AS:NZS4360:1999 et ce n’est qu’en 2009 qu’est apparue la norme ISO 31000, qui constitue aujourd’hui la base du risque dans de nombreuses autres normes (note : la norme ISO 31000 est en cours de révision et un nouveau projet de norme internationale a été publié le 17 février 2017). Si une réforme de la loi SOX est envisagée, le consensus général semble être que cette réforme sera davantage axée sur les institutions financières. Quoi qu’il en soit, les changements pourraient être aussi soudains que les changements déclenchés par la loi SOX en 2002, qui ont fait l’effet d’un tsunami. Il existe toutefois des changements apportés par la technologie qui pourraient rendre cette prochaine vague plus simple à gérer pour ceux qui y sont préparés. Tout d’abord, l’informatique dématérialisée. Alors que beaucoup débattent encore des droits et des inconvénients d’avoir des données SOX dans le nuage, l’utilisation du nuage est de plus en plus acceptée. Les principaux avantages sont les suivants

– Rapidité de mise en œuvre.

– Vitesse de mise à jour.

– La sécurité.

Pensez aux grands fournisseurs de services en nuage qui disposent de centaines, voire de milliers de personnes et de systèmes hautement spécialisés pour protéger le système et les données, par rapport aux ressources informatiques de la plupart des entreprises.

Coût.

Le coût partagé de l’infrastructure en nuage est généralement bien inférieur à celui des implémentations sur site. Deuxièmement, l’intégration du processus SOX dans tous les créneaux de l’organisation a donné naissance à la gestion intégrée des risques – où les risques dans n’importe quelle partie de l’organisation sont gérés de manière cohérente et s’appuient sur les données interconnectées pour s’assurer qu’il n’y a qu’une seule instance des faits, de sorte qu’une meilleure prise de décision peut se produire et que les problèmes potentiels peuvent faire surface avant qu’ils ne deviennent des incidents majeurs. Troisièmement, les « Big Data » sont là. Bien que cela puisse constituer un défi en soi, la clé réside dans la superposition d’outils de visualisation des données qui se situent au-dessus des données, fournissant des informations sur cette masse de données et présentant ces informations de manière à ce qu’elles soient facilement compréhensibles et qu’elles permettent aux décideurs de prendre des décisions éclairées sur la base des données actuelles. Mais les implémentations sur site peuvent ne pas avoir la capacité de tirer parti de cette vague aussi efficacement que les systèmes basés sur le cloud. L’informatique dématérialisée est là pour durer, et c’est peut-être le meilleur moment pour envisager de s’y installer.

Pourquoi la conformité à la loi SOX prend-elle autant de temps ?

Même après 15 ans, les dirigeants de grandes entreprises publiques disent qu’ils ont toujours du mal à stabiliser les coûts et à réduire le nombre d’heures consacrées à la conformité à la loi Sarbanes-Oxley (SOX), selon l’étude de Protiviti. Protiviti 2017 Sarbanes-Oxley Compliance Survey de Protiviti.

Les principales conclusions de l’étude sont les suivantes :

L’évolution de la réglementation accroît le temps consacré à la conformité SOX

La plupart des entreprises, quelle que soit leur taille, ont vu le temps qu’elles consacraient à la conformité à la loi SOX augmenter l’année dernière, et pour deux tiers d’entre elles, cette augmentation a été supérieure à 10 %. Selon l’étude, l’évolution des réglementations, comme la norme d’audit AS.18 (AS.2410 recodifiée), les informations non conformes aux GAAP et les contrôles associés, l’augmentation de la documentation relative à la cybersécurité et l’importance accrue accordée aux rapports SOC externalisés, ont probablement été des facteurs déterminants. Les exigences réglementaires associées continueront probablement à changer, ce qui rend difficile de prévoir le nombre d’heures que les organisations – en particulier les grandes et complexes – devront consacrer à la conformité d’une année à l’autre.

Les organisations complexes consacrent plus de temps à la conformité SOX

Il n’est pas surprenant de constater qu’il existe une corrélation entre le nombre de sites et les coûts annuels de mise en conformité avec la loi SOX, avec un écart moyen de près d’un million de dollars entre les organisations les moins complexes et les plus complexes. Plus précisément, l’enquête indique que plus le nombre de sites de l’entreprise est élevé, plus le nombre de contrôles est important. Près de 43 % des entreprises ayant plus de 12 sites ont déclaré qu’entre 78 et 100 % des contrôles étaient classés comme contrôles clés, ce qui est nettement plus élevé que pour les entreprises ayant entre 4 et 12 sites.

L’externalisation permet de résoudre les problèmes de conformité à la loi SOX

De plus en plus d’entreprises externalisent leur travail de mise en conformité avec la loi SOX, probablement en raison des contraintes de temps qu’elle impose à l’organisation. En conséquence, elles constatent que les coûts se stabilisent. Cependant, ces coûts de tiers ne sont généralement pas pris en compte dans le budget de conformité à la loi SOX, mais dispersés dans les budgets des unités opérationnelles. Pour les grandes organisations, il est donc encore plus difficile de déterminer avec précision le montant des dépenses consacrées à la conformité à la loi SOX.

Lire « Les audits externes coûtent-ils ou font-ils économiser de l’argent aux entreprises ?

Le travail de mise en conformité avec la loi SOX est toujours perçu positivement par les dirigeants

Malgré les coûts, les dirigeants ont déclaré que la conformité à la loi SOX les avait aidés à créer des processus plus rationnels et plus légers, ce qui présente des avantages qui vont au-delà de la conformité. Mais pour obtenir une valeur à long terme de leurs efforts, il faudra peut-être examiner de plus près la manière dont ils intègrent le travail de conformité dans d’autres aspects du contrôle des risques.

Le rôle de la technologie de gestion des risques dans la conformité à la loi SOX

Les résultats de cette enquête devraient inciter les dirigeants des grandes entreprises et des entreprises en croissance à réfléchir à ce qu’ils peuvent faire pour maîtriser les délais et les coûts de mise en conformité avec la loi SOX. La plupart des grandes entreprises ont probablement déjà investi dans un certain type de système de gestion de la conformité à SOX. pour soutenir les efforts de mise en conformité avec la loi SOXmais cette technologie risque de prendre de l’âge.

Les dirigeants doivent se demander si leurs solutions technologiques sont suffisamment souples pour leur permettre de contrôler les délais et les coûts à l’avenir. Apprenez comment La technologie SaaS de gestion des risques peut aider les organisations complexes et internationales à suivre l’évolution des réglementations et à intégrer la conformité à la loi SOX dans leur programme ERM global.

Pourquoi la conformité à la loi SOX prend-elle autant de temps ?

L’évolution de la réglementation accroît le temps consacré à la conformité SOX

Les organisations complexes consacrent plus de temps à la conformité SOX

L’externalisation permet de résoudre les problèmes de conformité à la loi SOX

Le travail de mise en conformité avec la loi SOX est toujours perçu positivement par les dirigeants

Le rôle de la technologie de gestion des risques dans la conformité à la loi SOX

Ready to Talk?

Work with us.

Connect with us.

Votre système SOX doit-il être remplacé ?

Pourquoi la conformité à la loi SOX prend-elle autant de temps ?

L’évolution de la réglementation accroît le temps consacré à la conformité SOX

Les organisations complexes consacrent plus de temps à la conformité SOX

L’externalisation permet de résoudre les problèmes de conformité à la loi SOX

Le travail de mise en conformité avec la loi SOX est toujours perçu positivement par les dirigeants

Le rôle de la technologie de gestion des risques dans la conformité à la loi SOX

Share This, Choose Your Platform!

Related Posts

IFRS S1 et S2 : Comment obtenir un succès durable ?

Conformité des services financiers : Passer de l’obligation à l’opportunité

Résilience opérationnelle : tour d’horizon de la réglementation : Ce qu’il faut savoir sur les échéances de 2025

Ready to Talk?

Work with us.

Connect with us.