Par quel bout prendre Sarbanes-Oxley ?

Face à Sarbanes-Oxley, il faut bien commencer quelque part. Ne serait-ce que pour vérifier ce qui doit l’être avant de tout chambouler. Dans ce contexte, plusieurs grands cabinets d’audit financier et informatique ont élaboré une liste de questions à se poser pour transformer le  »

bordel ambiant » cher à Roland Moreno en un discours de la méthode. Voici les principales d’entre elles. 1) Comment est effectué le suivi et le reporting des transactions concernant le bilan et des obligations afférentes à ce dernier ? 2) Les paiements de la société d’audit externe font-ils l’objet d’un contrôle par flags transactionnels sur les bons de commande, les demandes de chèque, ou par d’autres moyens intégrés dans le système ? 3) Le prévisionnel en cours est-il déployé partout dans l’entreprise (au niveau de la business unit, de la gamme de produits, des niveaux fonctionnels) ? 4) Combien d’outils sont employés dans ce processus prédictif ? Idem pour le processus de prévisions budgétaires ? 5) Les systèmes de reporting permettent-ils de remonter jusqu’à la comptabilité générale ? 6) Est-ce que la trésorerie des opérations et celle des fonds de roulement sont calculées automatiquement ? 7) Quelle est la fréquence de fourniture des informations clé (concernant les résultats financiers) sur le bureau des managers opérationnels ? Quotidienne, hebdo, mensuelle ? 8) Le système de déclaration fiscale est-il intégré au système de consolidation de la société ? 9) La consolidation et les rapports d’activité sont-ils effectués sur un tableur ? 10) Les systèmes de reporting transactionnel disposent-ils d’alertes par agent ? 11) Comment identifie-t-on et approuve-t-on les saisies manuelles ? 12) Combien de temps passe-t-on à compiler les données et les déclarations financières plutôt que d’analyser ces données ? 13) Combien de réajustements de haut de bilan sont-ils effectués durant le processus de consolidation ? 14) Le rapport d’activités est-il fait sur tableur ? 15) Selon quelle fréquence met-on à jour la documentation de contrôle pour prendre en compte les nouvelles modifications réalisées sur les contrôles en interne (aussi bien transactionnels que financiers) ? 16) Dispose-t-on de contrôles permettant de garantir que toutes les lignes du bilan ont bien été correctement approuvées ? 17) Les systèmes de reporting montrent-ils bien les réserves constituées ainsi que l’évaluation d’autres comptes spéciaux ? 18) Les systèmes ont-ils été mis à jour pour identifier les nouvelles responsabilités conformément à la réglementation Sarbanes-Oxley ? 19) Les prévisions de bénéfices sont-elles liées à des modèles prédictifs ? 20) Vos prévisions de C.A. s’effectuent-elles en fonction des indicateurs de votre trésorerie? 21) Y a-t-il désaccord entre les prévisions et des résultats réels examinés et quelles en sont les causes identifiées ? 22) Combien de temps prend le processus de développement des prévisions ? Idem du processus budgétaire ? 23) Il y a une différence significative entre les déclarations financières selon le timing, la fonction, ou le système choisis ? 24) Des plans comptables standards sont-ils employés dans toute la société ? 25) Combien de temps faut-il à la société pour obtenir les résultats de ses divisions ? 26) Quelles procédures sont en place pour détecter et empêcher les fraudes fiscales et financières ? 27) La société a-t-elle identifié des secteurs à haut risque où la fraude peut survenir et a-t-elle développé des instructions pour l’empêcher ? 28) Mesure-t-on les catégories suivantes d’indicateurs non financiers : la direction, la communication, les capitaux propres, la réputation, les réseaux et alliances, la technologie, le patrimoine humain, la culture, l’innovation, le patrimoine intellectuel, l’adaptabilité de l’entreprise ? 29) Les systèmes de vente quanfifient-ils les volumes de fin de trimestre en fonction de certains seuils ? 30) Combien de temps faut-il pour développer des rapports ad hoc ? 31) Modélise-t-on la sensibilité des obligations hors bilan (accords d’échanges, risque de change, obligations de rachat, etc) ? Selon quelle fréquence ? 32) La société peut-elle déterminer sa rentabilité au moyen de scenarii alternatifs ? 33) A-t-on créé des modèles financiers pour toutes les opérations à haut risque, idem de certains programmes, etc ? 34) Combien de temps faut-il pour collecter les éléments nécessaires au progiciel de gestion ? 35) Chaque unité d’exploitation dispose-t-elle d’un modèle financier pour les facteurs clef de son activité ? 36) Les documents sont-ils sauvegardés périodiquement pour garantir le bon niveau d’intégrité des rapports concernant les informations vitales ? 37) La société a-t-elle une politique de conservation de l’information électronique ? 38) Des contrôles internes sont-il incorporés dans toutes les nouvelles mises en oeuvre du système (financier et non-financier) ? 39) Quelle est la fréquence de sauvegarde des données ? 40) Quels types de contrôles ont-ils été implantés pour garantir la conservation des enregistrements et éviter la falsification des données ? 41) Quels sont les éléments décrivant le mieux les fonctionnalités liées au traitement des transactions financières au sein de votre société ? 42) Combien de modifications des instructions liées au déclarations financières, suite à la détection de points faibles (notamment au niveau de l’autorisation des transactions, de la sauvegarde des actifs, du maintien de l’intégrité des enregistrements et des processus de consolidation) ont-elles été effectuées l’année passée ? 43) Combien de systèmes différents sont impliqués dans le processus de développement de la déclaration financière ? 44) Les demandes du fisc et les exigences de conservation des données sont-elles bien remplies ? 45) Le point de départ pour toute expédition des déclarations fiscales et des rapports d’audit a-t-il été vérifié et validé ? 46) Quelles sont les alertes implantées pour prévenir les ressources clef de transactions spécifiques survenant dans la société ? 47) La société examine-t-elle ses transactions lors de saisies peu communes ? 48) Quelles instructions ont été implantées pour détecter tout export de ces données via mail ou téléphonie de type data ?