Sarbanes-Oxley: plus de transparence sur les services informatiques

SOX – ‘Sarbanes-Oxley Act’ ? concerne tout le monde, même nos entreprises européennes. Il serait temps justement que tout le monde y pense, et en particulier nos responsables informatique

C’est bien au-delà des Etats-Unis que les entreprises sont concernées par

Sarbanes-Oxley Act (SOX), l’ensemble des lois américaines qui définissent les nouvelles règles de gouvernance, édictées après les scandales (Enron, Worldcom, etc.) qui ont ébranlés une partie des fondements économiques de l’Amérique triomphante. Car il n’y a pas seulement les entreprises américaines qui sont concernées, mais aussi toutes leurs filiales, et les entreprises qui travaillent pour elles ou exportent vers l’Amérique du Nord. Et si cela ne suffisait pas, les juridictions occidentales, en particulier européennes, travaillent à faire évoluer leurs propres législations, qui devraient se rapprocher de SOX. Et de toutes façons, SOX va rapidement influer sur les comportements des entreprises et devenir une part de leurs règles de bonnes pratiques ! La section 404 de SOX devrait être l’une des premières à être mises en application. Elle concerne l’auto évaluation des contrôles internes des procédures de ‘reporting‘ financier. Les données financières de l’entreprise doivent donc être correctement collectées, traitées et stockées. Ces procédures concernent d’une manière ou d’une autre les services technologiques et de traitement de l’information dans l’entreprise. En particulier SOX prévoit la traçabilité de TOUS les mouvements financiers, donc obligatoirement de TOUS les processus IT partagés. C’est tout le schéma directeur de l’information dans l’entreprise qui doit être validé, et peut être revu, ainsi que les responsabilité de chacun afin de s’assurer que les termes de SOX soient respectés. Il ne faut pas oublier qu’en rupture avec les pratiques courantes de la gouvernance d’entreprise, SOX prévoit la responsabilité des maillons stratégiques de l’entreprise, avec des peines d’emprisonnement à l’appui en cas de poursuites ! Rien de mieux qu’un dirigeant en prison pour ternir la réputation d’une entreprise? Les responsables informatiques, au c?ur du traitement de l’information dans l’entreprise, figurent désormais au premier rang des personnes concernées par le Sarbanes-Oxley Act. En ont-ils conscience ? Ils feraient sans doute mieux de s’assurer que leurs services et l’entreprise qui les emploie sont bien en conformité avec SOX, car désormais même le plus obscure sous traitant d’une entreprise américaine pourra être contrôlé? Sans risque, pensez-vous ? Et la perte d’un contrat pour non respect des règles de gouvernance, vous avez chiffré ce que cela représente ? Le site Web du Sarbanes-Oxley Act : https://www.sarbanes-oxley.com/ Conserver les emails durant trois ans

L’un des volets les moins connus de SOX concerne les échanges de documents. L’administration américaine entend pouvoir remonter les trois dernières années.

Les emails sont directement concernés. On se souvient que dans certains scandales financiers ces dernières années, de grands organismes de contrôle et de validation s’étaient empressés de faire disparaître des documents jugés compromettants. L’entreprise doit désormais stocker tous les documents ayant existé, même les documents intermédiaires, durant 3 ans. Et disposer d’un moyen d’accès rapide à cette information.