search Le média de ceux qui réinventent l'entreprise

[USA] La matrice SOX de séparation des tâches

[USA] La matrice SOX de séparation des tâches

Par Nicolas Payette

Mis à jour le 20 mai 2019, publié initialement en 31 octobre 2017

Les scandales financiers de certaines entreprises américaines au début des années 2000 (dont Enron est la plus connue) ont poussé les Etats-Unis à réformer la comptabilité des sociétés côtés en bourse en vue de protéger les investisseurs. Cette loi de 2002, votée par le congrès américain et connue sous le nom de loi Sarbacanes-Oxley (ou SOX), impose de nouvelles normes financières aux entreprises en vue de fiabiliser l'information financière. L'une d'elles : la matrice SOX.
Nous parlerons dans un instant de la matrice SOX, mais permettez-moi d'abord de répondre à une question de l'un de nos lecteurs.

Il va sans dire que j'apprécie tous les commentaires, y compris un commentaire récent concernant mon article, la séparation des tâches et son rôle dans les questions de conformité Sarbanes-Oxley :

M. Hankewicz a mentionné la section 404 dans son article « Séparation des tâches et son rôle dans les questions de conformité Sarbanes-Oxley ». Il a déclaré que « cette section (404) est une liste complète des contrôles internes admis que les entreprises doivent avoir mise en place pour être considérées conformes à SOX. La liste cible les contrôles internes de l'application et met en lumière les domaines où des rapports frauduleux sont susceptibles de se produire ». Nous AIMERIONS qu'il s'agisse d'une « liste exhaustive ». En fait, l'adéquation des contrôles fait l'objet d'une interprétation individuelle. IL N’Y A PAS « d'indications clés dans cette section [pour] la séparation des tâches ».

Je crois que l'introduction de SOX et de la section 404 (Évaluation du contrôle interne) était une tentative de rétablir la confiance chez les investisseurs dans les organisations cotées en bourse suite aux incidents médiatisés liés à des activités de déclarations frauduleuses. La section 404 stipule qu'un rapport de contrôle interne doit inclure les rapports financiers pour toutes les organisations cotées en bourse. Je suis d'accord, la section 404 laisse beaucoup de place à l'interprétation individuelle en indiquant en termes assez généraux que la direction de l'entreprise est responsable de mettre en place une « structure de contrôle interne adéquate » et que tous les auditeurs doivent pouvoir attester du niveau de « contrôle interne » de l'organisation.

De toute évidence, la section 404 a été la partie la plus difficile à gérer de SOX. Cependant, la Public Company Accountability Oversight Boardle (PCAOB) a tenté de démystifier les éléments les plus ambigus de la section. En ce sens, en 2004, la PCAOB a publié sa norme de vérification n° 2 et, en 2007, elle a remis le rapport d’orientation AS 5.

Ces rapports d'orientation ont été modélisés selon les normes établies par le Committee of Sponsoring Organization of the Treadway Commission (COSO) établi depuis longtemps (depuis 1965).

Parmi les principales dispositions :

  1. identifier les éléments importants du rapport financier
  2. identifier les risques liés aux éléments des rapports financiers importants dans ces comptes ou divulgations
  3. déterminer quels contrôles au niveau des transactions feront face à ces risques en l’absence de contrôles précis au niveau de précision suffisant
  4. déterminer les contrôles du niveau de transaction qui répondraient à ces risques en l'absence de contrôles précis au niveau de l'entité
  5. déterminer la nature, l'étendue et la chronologie des faits recueillis pour compléter l'évaluation des contrôles internes

Vous pouvez trouver d'autres informations sur les sites web COSO et PCAOB.

La matrice SOX de séparation des tâches

Un élément fondamental du contrôle interne est la séparation de certaines tâches clés. L'idée de base qui sous-tend la séparation des tâches est qu'aucun employé ou groupe ne devrait être en mesure de commettre des erreurs systémiques ou des fraudes dans le cours normal des tâches. En général, les principales tâches incompatibles qu’il faut séparer sont :

  • la garde des actifs
  • l'autorisation ou l'approbation des opérations connexes affectant ces actifs
  • l’enregistrement ou la déclaration de transactions connexes
  • l’exécution de la transaction ou des transactions

Une caractéristique essentielle de la séparation des tâches/responsabilités au sein d'une organisation est qu'aucun employé ou groupe d'employés d'une société américaine ne dispose d’un contrôle illimité sur toute transaction ou groupe de transactions.

Sur la base des critères ci-dessus, j'ai construit une matrice pour mettre en évidence les tâches exercées par un individu ou un groupe d'individus qui pourraient conduire à une séparation inappropriée des tâches.

La matrice est divisée en trois parties :

  1. Le contrôle comptable et des stocks
  2. Le contrôle des dépenses et financiers
  3. L’organisation et l’infrastructure informatique

Chaque onglet comporte quatre domaines principaux :

  • De gauche à droite, chaque section répertorie un ensemble d'activités, pour un total de 98 activités dans les trois onglets.
  • La colonne à l'extrême gauche énumère les rôles individuels pour les personnes qui exécutent généralement les critères d'activité
  • J'ai vérifié les cellules où les rôles s'alignent sur les activités - cela vous permet de déterminer facilement les domaines potentiels de conflit.
  • Au bas de chaque onglet, j'ai résumé le nombre total de responsabilités qui se chevauchent et j'ai attribué un facteur risque :

Élevé : 0 à 4 responsabilités qui se chevauchent
Moyen : 5-9 responsabilités qui se chevauchent
Faible : plus de 9 responsabilités qui se chevauchent

Les facteurs de risque sont basés sur les principes comptables généralement admis, ainsi que sur les principes SOX de la section 404. Ils sont conçus comme une ligne directrice pour évaluer les organisations et pour mettre en évidence les domaines qui nécessitent un ajustement supplémentaire.
 

Plus il y a de personnes qui examinent une activité, plus le risque pour votre organisation de voir des activités frauduleuses est faible. J'ai créé une section (bleu foncé) où vous pouvez évaluer votre propre organisation.

L'objectif est de s'assurer qu'une séparation suffisante des tâches est en place et qu'il existe plusieurs contrôles et contrepoids pour minimiser le risque de fraude.

Télécharger la matrice