Qu’est-ce que la conformité à la loi SOX (Sarbanes-Oxley Act) ?

Pour être conformes à la loi SOX, les sociétés cotées qui exercent leurs activités aux États-Unis doivent :

• Mettre en place des contrôles internes pour empêcher la falsification des données financières.
   
• déposer des rapports réguliers auprès de la SEC (Securities and Exchange Commission) attestant de l’efficacité des contrôles de sécurité et de l’exactitude des informations financières ;
  
  
• Effectuer un audit annuel indépendant de leurs états financiers et de leurs contrôles.

La loi SOX fixe également des règles pour les cabinets comptables qui auditent les sociétés anonymes et les analystes qui publient des recherches sur les titres. La loi prévoit des amendes importantes et des sanctions pénales pour les activités financières frauduleuses et certaines formes de non-conformité.

Bien que la loi SOX soit un règlement financier, les parties prenantes de toute l’entreprise sont impliquées dans la mise en conformité. Les services informatiques et les équipes de cybersécurité jouent désormais un rôle particulièrement important, car les organisations se tournent de plus en plus vers des solutions technologiques pour protéger les informations financières dans des réseaux d’entreprise complexes.

Selon un rapport publié en 2003 par le cabinet de conseil Protiviti, plus de la moitié des entreprises estiment que la mise en conformité SOX prend désormais plus de temps. Les entreprises dépensent en moyenne plus d’un million de dollars américains par an pour assurer leur conformité SOX.

La loi Sarbanes-Oxley de 2002 est une loi fédérale américaine coparrainée par le sénateur Paul Sarbanes et le représentant Michael Oxley. Le Congrès a adopté cette loi à la suite de plusieurs scandales financiers survenus à l’aube du 21^e siècle, notamment les faillites d’Enron, de WorldCom et de Tyco.

Dans ces cas comme dans d’autres, des sociétés cotées ont tiré parti de plusieurs failles dans les règles comptables et se sont rendues coupables de fraude pour gonfler leurs valeurs, faisant perdre des milliards aux investisseurs. Par exemple, lorsque les manigances d’Enron ont été révélées, le cours de son action est passé de 90,75 cents de dollars à seulement 60 cents.

Dans certains cas, les entreprises ont été aidées par des cabinets d’experts-comptables externes qui étaient censés les auditer. Arthur Andersen, autrefois l’un des plus grands cabinets d’experts-comptables, a cessé ses activités en raison de son rôle dans les scandales d’Enron et de WorldCom.

La loi SOX vise à prévenir la fraude au sein des entreprises en établissant des prescriptions réglementaires strictes sur la manière dont les organisations protègent les documents financiers contre la falsification et en renforçant l’indépendance des auditeurs par rapport à leurs clients.

Il s’agit d’un projet de loi ambitieux qui comporte 11 titres au total. Voici quelques-uns de ses effets les plus significatifs : 

1. la création du Public Company Accounting Oversight Board (PCAOB) ;
2. Les exigences en matière de reporting financier sont renforcées.
3. Les dirigeants d’entreprise sont personnellement responsables de la divulgation des informations financières et des contrôles.
4. L’indépendance des auditeurs et des analystes externes est accrue.
5. Les lanceurs d’alerte sont protégés.

La loi SOX a conduit à la création du PCAOB, un organisme à but non lucratif qui établit des normes d’audit financier et réglemente les cabinets d’experts-comptables responsables du contrôle des sociétés cotées.

Le PCAOB peut enquêter sur les entreprises soupçonnées de non-conformité et les sanctionner en imposant des amendes pouvant s’élever à 10 000 $ pour les particuliers et à 2 000 000 $ pour les organisations.

En vertu de la loi Securities Exchange Act de 1934, les sociétés cotées d’une certaine taille étaient déjà tenues de déposer des rapports financiers annuels et trimestriels auprès de la SEC. La loi SOX souligne que ces rapports doivent être exempts de déclarations trompeuses.

Les rapports doivent être préparés conformément aux principes comptables généralement admis, un ensemble d’exigences formulées par le Financial Accounting Standards Board.

Certaines opérations hors bilan que les entreprises pouvaient auparavant exclure de leurs rapports financiers, telles que les dettes détenues par des filiales non consolidées, doivent désormais être déclarées si elles ont un effet significatif sur la situation financière de l’entreprise. L’information est « importante » si elle est susceptible d’amener un investisseur raisonnable à reconsidérer une décision d’investissement.

Les entreprises doivent également communiquer publiquement et dans les meilleurs délais tout changement important dans leurs informations financières.

Enfin, les entreprises doivent mettre en place des contrôles internes pour protéger les données financières contre la falsification et l’utilisation frauduleuse par des acteurs internes ou externes. Cela comprend la conservation des documents financiers pendant certaines périodes.

En vertu de la loi SOX, le directeur général (PDG), le directeur financier (CFO) et tous les dirigeants d’entreprise occupant des fonctions similaires sont personnellement responsables de la véracité des états financiers et de l’efficacité des structures de contrôle interne.

Les dirigeants peuvent être passibles d’amendes et de sanctions pénales si les rapports financiers sont inexacts, même s’ils n’ont pas intentionnellement induit les investisseurs en erreur.

Les conflits d’intérêts ont contribué aux scandales qui ont conduit à l’adoption de la loi SOX. Les cabinets d’experts-comptables qui contrôlaient les états financiers des sociétés anonymes fournissaient souvent des services de conseil lucratifs à ces mêmes sociétés.

Les comptables étaient incités à produire des rapports d’audit jugés acceptables par leurs clients, faute de quoi ils risquaient de perdre ces contrats lucratifs.

De même, les analystes qui rendent compte de la valeur des actions travaillent souvent pour des organisations qui fournissent des services de banque d’investissement ou d’autres services aux sociétés anonymes.

La loi SOX vise à éliminer ces conflits d’intérêts de plusieurs manières. Tout d’abord, elle impose aux sociétés anonymes de créer des comités d’audit indépendants de la direction.

Ces comités sont chargés de recruter des auditeurs indépendants et d’assurer la coordination avec eux. La loi SOX interdit également aux entreprises de tenter d’influencer les résultats des audits.

Les cabinets comptables ne peuvent pas fournir de services de conseil ou d’autres services aux mêmes entreprises pour lesquelles ils effectuent des audits SOX et les entreprises doivent alterner les auditeurs externes tous les cinq ans.

Les analystes financiers doivent opérer indépendamment des services de banque d’investissement de leurs établissements. Ils doivent également faire connaître tout conflit d’intérêts potentiel dans leurs rapports sur les titres détenus.

La loi SOX interdit toute représaille, rétrogradation, licenciement, suspension, harcèlement ou autre préjudice à l’encontre des employés qui signalent une fraude potentielle.

La loi SOX s’applique à toutes les sociétés cotées en bourse qui exercent leurs activités aux États-Unis et à leurs filiales en propriété exclusive. Elle s’applique également aux analystes financiers et aux cabinets d’experts-comptables qui auditent des sociétés cotées.

Bien que les sociétés non cotées et les organisations à but non lucratif ne soient généralement pas soumises à la loi SOX, il existe quelques exceptions. Les sociétés non cotées qui se préparent à entrer en bourse par le biais d’un premier appel public sont soumises à la loi SOX lorsqu’elles déposent une déclaration d’enregistrement auprès de la SEC. Les lanceurs d’alertes desdites sociétés qui fournissent des services aux sociétés cotées sont protégés par la loi SOX lorsqu’ils signalent les fautes commises par leurs clients publics.

La loi SOX interdit à toute entreprise, cotée, non cotée ou à but non lucratif, de détruire ou de falsifier des documents financiers pour faire obstruction à une enquête fédérale.

Bien que la loi SOX soit une réglementation américaine, elle a des répercussions sur les organisations en dehors du pays. Les sociétés cotées dont le siège social se trouve à l’extérieur des États-Unis doivent se conformer aux exigences de la loi SOX si elles exercent leurs activités aux États-Unis.

L’adoption de la loi SOX a également incité d’autres pays à adopter leurs propres lois de lutte contre la fraude financière, comme la Loi sur le respect de la promesse d’une économie forte (aussi appelée « C-SOX ») du Canada et la Loi sur les instruments financiers et les changes du Japon (également appelée « J-SOX »).

En Europe, nombreux sont ceux qui ont constaté un chevauchement important entre la conformité à la loi SOX et la conformité au règlement général sur la protection des données (RGPD). En particulier, bon nombre des contrôles de sécurité et des processus de protection des données qui permettent d’assurer la conformité à la loi SOX permettent également d’assurer la conformité au RGPD. L’Union européenne a également mis en place des règles similaires à la loi SOX concernant l’indépendance des auditeurs financiers.

La conformité SOX signifie essentiellement que toutes les informations financières communiquées par une entreprise sont parfaitement exactes et que cette entreprise dispose des contrôles et de la documentation nécessaires pour étayer ses états financiers.

Cependant, le processus de mise en conformité avec la loi SOX peut être complexe. La loi SOX ne décrit pas de manière exhaustive tous les contrôles dont une entreprise a besoin ni toutes les étapes que les auditeurs doivent suivre. La conformité SOX s’atteint de différentes manières selon les entreprises.

À un niveau élevé, la loi SOX comporte trois grandes exigences :

1. Déposer des rapports financiers précis certifiés par les dirigeants de l’entreprise.
   
2. Mettre en place de contrôles internes appropriés.
   
3. Effectuer des audits réguliers.

En vertu de la section 302 de la SOX relative à la responsabilité des entreprises en matière de reporting financier, le PDG, le directeur financier ou leurs homologues doivent signer chaque rapport financier annuel et trimestriel déposé par l’entreprise auprès de la SEC.

Lors de la signature des rapports, le PDG et le directeur financier doivent attester que les états financiers sont parfaitement exacts. Ils doivent également attester que les contrôles internes appropriés sont en place et ont été validés au cours des 90 derniers jours.

En vertu de la section 404 de la loi SOX relative à l’évaluation de la gestion des contrôles internes, chaque rapport financier annuel déposé auprès de la SEC doit contenir un rapport de contrôle interne approfondi. Le rapport de contrôle interne indique que la direction est responsable des contrôles internes et évalue l’efficacité des contrôles internes de l’entreprise à la fin de l’exercice fiscal le plus récent.

Les entreprises doivent signaler promptement tout changement important de leurs états financiers. Si les incidents de cybersécurité peuvent être considérés comme des changements importants en vertu de la loi SOX, il convient de noter que la SEC a adopté de nouvelles règles en juillet 2023, encore plus strictes en ce qui concerne les obligations déclaratives liées à ces incidents.

En particulier, les organisations doivent signaler les incidents de cybersécurité dans les quatre jours qui suivent la constatation de l’incident ou qui pourraient avoir un impact important. Les entreprises doivent signaler les incidents survenus chez des tiers, tels que les services cloud, s’ils sont susceptibles d’affecter l’organisation de manière significative.

Les entreprises mettent en place des contrôles internes SOX afin d’empêcher les acteurs internes et externes de modifier frauduleusement les données financières ou de les utiliser à des fins illicites.

La loi SOX n’énumère pas explicitement tous les contrôles que les entreprises doivent mettre en place. Les organisations s’appuient souvent sur des cadres de gouvernance d’entreprise tels que le Control Objectives for Information and Related Technology (en français « Objectifs de contrôle de l’information et des technologies associées »), qui appartient à l’ISACA (« Information Systems Audit and Control Association »).

Le cadre des exigences du Committee of Sponsoring Organisations of the Treadway Commission est également largement utilisé. Bien que ces cadres n’aient pas été conçus spécifiquement pour la loi SOX, les schémas de contrôle qu’ils présentent répondent généralement aux exigences de conformité de la loi SOX.

Les organisations mettent en place des contrôles au niveau des processus opérationnels et de l’infrastructure des technologies de l’information.

Les contrôles des processus opérationnels comprennent des éléments tels que la formation des employés aux exigences de la loi SOX et la mise en place de canaux de signalement sécurisés pour les lanceurs d’alerte.

De nombreuses entreprises appliquent également la séparation des tâches, un principe selon lequel le workflow est divisé en plusieurs parties et différents employés sont responsables de chaque étape.

L’idée est qu’aucun employé ne contrôle à lui seul l’ensemble du workflow et que chaque personne impliquée contrôle les autres. Ainsi, la personne qui approuve les paiements ne doit pas être celle qui établit les chèques à partir du compte de l’entreprise.

Les entreprises peuvent également créer des processus de stockage et de conservation des documents afin de se conformer aux exigences de la loi SOX en la matière. Par exemple, les auditeurs sont tenus de conserver tous les documents de travail associés à un audit pendant sept ans.

L’automatisation prend de plus en plus d’importance dans les efforts de conformité SOX à mesure que les réseaux d’entreprise deviennent plus complexes. Selon Protiviti, une entreprise dispose en moyenne de 36 applications métier qui relèvent des dispositions de la loi SOX. Les contrôles de sécurité informatique peuvent aider à appliquer les règles SOX dans toutes ces applications.

Certaines entreprises utilisent un logiciel spécialisé pour la conformité avec la loi SOX afin de stocker de manière sécurisée les données et les documents concernés, suivre les activités pertinentes et détecter les lacunes dans les contrôles internes. Cependant, les entreprises peuvent aussi utiliser des outils de cybersécurité plus généraux à des fins de conformité SOX.

Les outils de protection des données, tels que les solutions de prévention des pertes de données (DLP), permettent de savoir où les données sensibles sont stockées, qui y accède et ce qu’il en fait. Certains outils DLP peuvent également empêcher les utilisateurs d’apporter des modifications non autorisées aux données financières ou de les déplacer vers des emplacements non autorisés. Les organisations peuvent également utiliser des sauvegardes automatisées pour récupérer les données en cas de destruction ou de falsification.

La gestion des identités et des accès (IAM) permet aux entreprises de définir des politiques de contrôle d’accès précises selon le principe du moindre privilège. Les employés se voient accorder le niveau minimal d’autorisations dont ils ont besoin pour faire leur travail.

Les plateformes IAM contribuent également à rationaliser la gestion du changement en permettant aux entreprises de mettre à jour et de supprimer rapidement les autorisations d’accès lorsque des personnes rejoignent l’entreprise, changent de rôle ou s’en vont.

Les entreprises peuvent s’appuyer sur une solution de gestion des informations et des événements de sécurité (SIEM) pour surveiller l’activité du réseau, détecter les violations de la sécurité et répondre plus promptement aux incidents. Les solutions SIEM conservent également les journaux de sécurité qui permettent aux entreprises de prouver leur conformité lors des audits SOX.

Certains outils SIEM comportent des fonctionnalités spécifiques à la loi SOX ou s’intègrent à des outils conçus à cette fin, ce qui leur permet d’enregistrer automatiquement les informations pertinentes et de générer des rapports de conformité.

Les obligations de la loi SOX en matière de sécurité de l’information s’étendent aux centres de données cloud dans lesquels les entreprises stockent ou traitent des informations financières. Les entreprises doivent également mettre en place des contrôles pour ces sources de données.

Comme indiqué ci-dessus, le PDG et le directeur financier doivent se porter garants de l’exactitude de chaque rapport financier et de l’efficacité des contrôles internes. Des audits réguliers fournissent aux dirigeants les justificatifs dont ils ont besoin pour établir ces déclarations.

En procédant à des audits internes réguliers des pratiques d’information financière et des contrôles des données, les entreprises peuvent contrôler la conformité au fil du temps, identifier les lacunes et remédier aux faiblesses.

Les constatations des audits internes peuvent également aider les auditeurs externes qui effectuent des audits annuels de conformité SOX. Lors de l’audit annuel, un cabinet comptable indépendant effectue sa propre évaluation des contrôles internes et des rapports financiers. Les résultats de cet audit sont souvent inclus dans le rapport annuel de la société à la SEC.

Auparavant, les auditeurs devaient indiquer s’ils estimaient que les évaluations des contrôles internes par la direction étaient exactes. Cette exigence a été supprimée lorsque la SEC a adopté la norme d’audit n° 5 (Auditing Standard No. 5) en 2007.

La loi SOX ne précise pas exactement comment les managers et les cabinets comptables doivent effectuer leurs audits. En revanche, la SEC indique que les auditeurs et les managers doivent utiliser une évaluation des risques descendante (TDRA) pour déterminer la portée de leurs audits. La procédure TDRA identifie les comptes, les divulgations et les autres domaines les plus exposés au risque de fraude importante et se concentre sur l’évaluation des principaux contrôles permettant d’y faire face.

Se conformer à la loi SOX présente des avantages. Les investisseurs peuvent avoir davantage confiance dans les informations financières publiées et, par conséquent, être plus enclins à investir dans des entreprises conformes. La loi SOX limite également les incitations à la fraude des dirigeants d’entreprise en les tenant personnellement responsables de leurs états financiers.

La conformité SOX peut aider les entreprises à améliorer leur posture globale de cybersécurité. La plupart des contrôles de sécurité des données qu’elles appliquent pour empêcher la falsification financière peuvent également servir à lutter contre les cyberattaques. Par exemple, les solutions IAM contribuent à empêcher les pirates d’accéder aux comptes des utilisateurs et les outils SIEM facilitent la détection des incidents de sécurité en cours.

Le non-respect de la loi SOX peut également entraîner des sanctions civiles et pénales pour les entreprises et les individus.

Les dirigeants qui certifient un rapport financier inexact peuvent être condamnés à une amende pouvant atteindre 1 million de dollars et à une peine d’emprisonnement pouvant aller jusqu’à 10 ans. Les dirigeants qui certifient délibérément des déclarations trompeuses sont passibles d’une amende pouvant s’élever à 5 millions de dollars et d’une peine d’emprisonnement pouvant aller jusqu’à 20 ans.

Les dirigeants peuvent également voir leur rémunération liée à l’intéressement récupérée si l’organisation doit procéder à un retraitement des états financiers. En vertu des règles de la SEC adoptées en 2022, les dirigeants n’ont même pas besoin d’être coupables. La clause de reprise est automatiquement déclenchée chaque fois qu’un retraitement montre que les objectifs liés à l’incitation n’ont pas été atteints.

La loi SOX rend également illégal le fait d’endommager, de modifier ou d’interférer de toute autre manière avec les documents financiers. Pour cela, les employés peuvent être condamnés à des peines de prison allant jusqu’à 20 ans. Les dirigeants d’entreprise qui exercent des représailles contre les lanceurs d’alerte sont passibles d’amendes et de peines de prison allant jusqu’à 10 ans.

La SEC peut interdire aux personnes qui enfreignent les règles de la loi SOX d’exercer des fonctions de dirigeant d’entreprise, d’administrateur, de courtier, de conseiller ou de distributeurs. Les entreprises peuvent même être radiées des marchés boursiers en cas de manquement grave.