Commission des bourses de valeurs (SEC)

L'attestation SOX basée sur le cadre COSO est la seule évaluation de conformité autorisée pour les sociétés enregistrées auprès de la SEC et offre le plus haut niveau d'assurance à vos clients.

Les modules comprennent:

  • Gestion des risques d’entreprise – Cadre intégré
  • Contrôle interne – Cadre intégré

 

Services de conformité Sarbanes-Oxley (SOX)

La loi Sarbanes-Oxley (SOX) vise à garantir la fiabilité et l'exactitude des rapports financiers et à garantir l'absence d'anomalies majeures dans les contrôles internes. La conformité exige la certification des états financiers et des rapports par le PDG et le directeur financier de l'organisation, le maintien de contrôles internes rigoureux sur les données, la protection des lanceurs d'alerte et la réalisation d'audits réguliers par des auditeurs indépendants.

Les services de conformité SOX comprennent l'évaluation des risques, le développement de contrôles internes, la documentation et le suivi afin d'éviter les inexactitudes dans les rapports financiers. Une assistance à la préparation des audits internes est également proposée, notamment pour la collecte de preuves et la réponse aux questions.

Notre processus de conformité SOX

La conformité à la loi SOX est requise pour les rapports financiers publiés par les sociétés cotées en bourse. Ce processus en plusieurs étapes garantit leur exactitude et leur sécurité. Il consiste notamment à établir un cadre de contrôle interne pour protéger les données financières ; ces contrôles doivent être régulièrement testés. Un audit annuel est requis pour évaluer ces contrôles et les états financiers associés, et ces documents doivent être transmis à la SEC pour en valider l'exactitude.

Continuum GRC aide au processus de conformité SOX, en fournissant une évaluation des risques et en aidant à mettre en œuvre les contrôles internes robustes requis pour répondre aux normes de la SEC.

QFP

La loi SOX est une norme de conformité réglementaire visant à prévenir la fraude financière. Si votre organisation ne respecte pas ces normes d'information financière et ces contrôles internes, vous vous exposez à de lourdes amendes, que ce soit pour un particulier ou une entreprise. Des sanctions plus graves peuvent aller jusqu'à l'emprisonnement, voire la radiation de la cote.

Les normes SOC (Service Organization Control) et SOX (Sarbanes-Oxley Act) sont des cadres de conformité en matière de sécurité. La norme SOC s'applique aux organisations de services qui collaborent avec d'autres entreprises manipulant des informations sensibles. Ces normes de sécurité sont volontaires. La conformité à la norme SOX est obligatoire pour les sociétés cotées du secteur financier. Elles exigent des contrôles et des pratiques internes rigoureux.

Des tests de contrôle interne SOX doivent être effectués chaque année pour maintenir la conformité. Cependant, certains événements ou changements peuvent nécessiter des tests plus fréquents. Si l'organisation a connu des changements majeurs au niveau du personnel, des systèmes ou des processus, des tests peuvent être nécessaires pour garantir la conformité. Ces tests peuvent être quotidiens, hebdomadaires ou mensuels.

L'article 404 exige que les organisations évaluent et rendent compte de leurs contrôles internes spécifiques relatifs à l'information financière et aux informations d'entreprise connexes. Cela vise à garantir l'exactitude, la transparence et, surtout, la fiabilité de leurs états financiers. En démontrant de solides pratiques financières, elles préviennent la fraude et renforcent la confiance des investisseurs.

Les normes et exigences de conformité SOX améliorent la gouvernance d'entreprise en imposant des pratiques favorisant la transparence, l'intégrité et la responsabilité dans l'information financière. Outre des contrôles internes renforcés, la conformité SOX exige des dirigeants qu'ils certifient personnellement l'exactitude de l'information financière de leur entreprise, ce qui les responsabilise et contribue à prévenir la fraude.

Qu'attendez-vous?

Vous n’êtes qu’à une conversation de mettre la puissance de Continuum GRC à votre service. 

Contactez-nous en utilisant le formulaire ci-dessous ou en nous appelant au 1-888-896-6207 pour une assistance immédiate.

Téléchargez notre brochure d'entreprise.

À propos de cette norme

Le Cadre COSO, Mis au point par le Comité des organisations de parrainage de la Commission Treadway (COSO), est un modèle largement reconnu pour la conception, la mise en œuvre et l'évaluation systèmes de contrôle interne Pour garantir l'atteinte des objectifs organisationnels dans des domaines tels que le reporting financier, les opérations et la conformité. Bien que non spécifique au cloud computing ou à la cybersécurité comme d'autres référentiels (par exemple, C5, CIS, CJIS, CMMC), ce référentiel est particulièrement pertinent pour les organisations cherchant à gérer les risques et à se conformer à des réglementations telles que Sarbanes-Oxley (SOX), GDPR, ou d'autres normes de gouvernance. Vous trouverez ci-dessous un aperçu de la conformité du cadre COSO en fonction de sa structure, de son objectif et de ses exigences.

Objectif du cadre COSO

Le cadre COSO vise à :

  • Améliorer les contrôles internes:Fournir une approche structurée pour gérer les risques et garantir des rapports financiers fiables, des opérations efficaces et le respect des lois et réglementations.
  • Soutenir la gestion des risques: Aligner les processus organisationnels avec les objectifs stratégiques tout en atténuant les risques.
  • Assurer la conformité:Aidez les organisations à répondre aux exigences réglementaires (par exemple, les réglementations SOX et SEC) en établissant des environnements de gouvernance et de contrôle robustes.
  • Promouvoir la responsabilité:Favoriser une culture d’intégrité, de transparence et de responsabilité à tous les niveaux d’une organisation.

Principales caractéristiques du cadre COSO

  1. Structure et portée:
    • Le Contrôle interne COSO 2013 – Cadre intégré (mise à jour à partir de 1992) est la version principale utilisée aujourd'hui, avec une version connexe Cadre de gestion des risques d'entreprise (GRE) du COSO (mis à jour en 2017) pour une gestion des risques plus large.
    • Le cadre est organisé autour cinq composants du contrôle interne et 17 principes qui guide la mise en œuvre :
      • Environnement de contrôle:Établit le ton au sommet, en mettant l’accent sur l’intégrité, l’éthique et la gouvernance (5 principes).
      • Évaluation des risques :Identifie et analyse les risques à l’atteinte des objectifs (4 principes).
      • Les activités de contrôle:Met en œuvre des politiques et des procédures pour atténuer les risques (3 principes).
      • Information et communication:Assure que les informations pertinentes sont saisies et communiquées efficacement (3 principes).
      • Activités de surveillance:Évalue et améliore l’efficacité des contrôles au fil du temps (2 principes).
    • S'applique aux organisations de toutes tailles et de tous secteurs, y compris celles des secteurs public et privé, et s'adapte aux environnements de cloud computing pour faire face aux risques liés à l'informatique.
  2. Principes 17 (Exemples) :
    • Environnement de contrôle:Le conseil d’administration fait preuve d’indépendance et de surveillance (Principe 2).
    • Évaluation des risques :Spécifie les objectifs pour identifier et évaluer les risques (Principe 6).
    • Les activités de contrôle:Déploie des activités de contrôle au moyen de politiques et de procédures (Principe 10).
    • Information et communication:Communique les informations pertinentes en interne et en externe (Principe 13).
    • Activités de surveillance:Effectue des évaluations continues ou séparées des contrôles (Principe 16).
  3. Conformité avec la réglementation:
    • Le cadre COSO est une pierre angulaire pour Conformité SOX, en particulier l’article 404, qui exige que la direction évalue et rende compte des contrôles internes sur l’information financière (CIIF).
    • Cartes vers d'autres normes comme ISO 31000 (gestion des risques), NIST800-53 (cybersécurité) et COBIT (gouvernance informatique), permettant l'intégration avec des cadres de cybersécurité tels que CIS Controls ou CMMC.
    • Soutient le respect des réglementations telles que GDPR, HIPAA et PCI DSS en abordant la gouvernance des données et la gestion des risques.
  4. Audit et évaluation:
    • Les organisations mènent auto-évaluations ou s'engager auditeurs indépendants évaluer la conception et l’efficacité des contrôles internes.
    • Audits externes (par exemple, pour SOX) s'appuient sur le COSO pour évaluer le CIFR, les auditeurs examinant la documentation, testant les contrôles et identifiant les déficiences.
    • Il n’existe pas de certification COSO officielle, mais la conformité est démontrée par des rapports d’audit et des déclarations de gestion.

Les exigences de conformité

Pour se conformer au cadre COSO, les organisations doivent :

  • Établir un environnement de contrôle:
    • Donnez le ton de l’intégrité grâce au leadership, aux politiques éthiques et aux structures de gouvernance.
    • Définir les rôles et les responsabilités en matière de surveillance (par exemple, conseil d’administration, comité d’audit).
  • Effectuer des évaluations des risques:
    • Identifier les risques liés aux rapports financiers, aux opérations et aux objectifs de conformité.
    • Évaluer la probabilité et l’impact, en priorisant les risques à atténuer.
  • Mettre en œuvre des activités de contrôle:
    • Déployer des politiques, des procédures et des contrôles techniques (par exemple, contrôles d’accès, séparation des tâches) pour faire face aux risques identifiés.
    • Dans les environnements cloud, cela inclut le chiffrement, la gestion des accès et la supervision des fournisseurs.
  • Assurer une communication efficace:
    • Maintenir des systèmes pour capturer, traiter et partager les informations pertinentes (par exemple, données financières, rapports de conformité).
    • Communiquer les attentes en matière de contrôle aux employés et aux parties prenantes.
  • Surveiller et évaluer:
    • Effectuer une surveillance continue (par exemple, des audits en temps réel) et des évaluations périodiques (par exemple, des revues annuelles).
    • Remédier rapidement aux déficiences et mettre à jour les contrôles si nécessaire.
  • Processus documentaires:
    • Maintenir une documentation détaillée des contrôles, des évaluations des risques et des résultats des tests pour soutenir les audits.
    • Utilisez des outils comme Boîte à outils du cadre de contrôle interne du COSO pour les modèles et les conseils.

COSO en pratique

  • Adoption:
    • Largement utilisé par les sociétés cotées en bourse pour la conformité SOX, ainsi que par les organisations privées, les agences gouvernementales et les organisations à but non lucratif pour la gouvernance et la gestion des risques.
    • Appliqué dans des contextes de cloud computing pour gérer les risques liés à la sécurité des données, à la gestion des fournisseurs et aux contrôles informatiques.
  • Intégration avec d'autres frameworks:
    • Aligne avec NIST800-53 Contrôles CIS pour la conformité en matière de cybersécurité.
    • Compléments CMMC CJIS en fournissant une structure de gouvernance pour les contrôles de sécurité informatique et des données.
    • Cartes de ISO 27001 pour la gestion de la sécurité de l'information et COBIT pour la gouvernance informatique.
  • Avantages sociaux:
    • Fournit une approche flexible, fondée sur des principes, adaptable à divers secteurs et exigences réglementaires.
    • Renforce la confiance des parties prenantes grâce à une gouvernance transparente et à des rapports financiers fiables.
    • Réduit les risques de fraude, d’erreurs et de non-conformité grâce à des contrôles structurés.
  • Limites:
    • La mise en œuvre peut nécessiter beaucoup de ressources, en particulier pour les petites organisations.
    • Nécessite un engagement continu en matière de surveillance et de mise à jour des contrôles.
    • Il ne s'agit pas d'un cadre spécifique à la cybersécurité, il doit donc être associé à des normes telles que NIST ou CIS pour les contrôles techniques dans les environnements cloud.
  • Ressources:
    • Site Web du COSO: Propose des conseils, des boîtes à outils et des modèles pour la mise en œuvre.
    • Outils de conformité SOX: Des plateformes comme Continuum GRC intégrer COSO pour les évaluations ICFR.
    • Formation:Disponible auprès du COSO, des organisations professionnelles (par exemple, IIA, AICPA) et des cabinets de conseil.

DEVELOPPEMENTS récents

  • Mise à jour du cadre 2013:
    • Élargi pour répondre aux environnements commerciaux modernes, y compris les risques liés à la technologie et au cloud computing.
    • Approche fondée sur des principes mis en avant pour une flexibilité dans tous les secteurs.
  • Cadre de gestion des risques de l'entreprise 2017:
    • Intégré au cadre de contrôle interne pour aligner la gestion des risques sur les objectifs stratégiques.
    • A abordé les risques émergents tels que la cybersécurité, les fournisseurs tiers et la transformation numérique.
  • Orientation 2023:
    • Le COSO a publié des directives supplémentaires sur l’application du cadre à ESG (Environnemental, Social, Gouvernance) rapports et risques du cloud computing, reflétant son adaptabilité aux nouvelles priorités réglementaires.

Comment les organisations peuvent utiliser COSO

  • Organisations:
    • Adoptez le cadre COSO pour concevoir et évaluer les contrôles internes pour les rapports financiers (par exemple, SOX), l’efficacité opérationnelle ou la conformité (par exemple, RGPD).
    • Utilisez les 17 principes pour structurer les évaluations des risques et les activités de contrôle, en particulier pour les systèmes informatiques et cloud.
    • Exploitez les outils COSO ou les plateformes tierces (par exemple, SAP GRC, ServiceNow) pour la mise en œuvre.
  • Fournisseurs de cloud:
    • Appliquez COSO pour gérer les risques liés à la sécurité des données, à la surveillance des fournisseurs et à la conformité aux exigences des clients.
    • Alignez les contrôles COSO avec les cadres de cybersécurité tels que C5 ou CMMC pour les contrats du DoD.
  • Comptes:
    • Utilisez les cinq composants et les 17 principes du COSO pour évaluer l’efficacité des contrôles internes.
    • Tester les déficiences de conception ou de fonctionnement, en particulier pour la conformité à la section 404 de la loi SOX.
  • Équipes de conformité:
    • Associez les principes COSO aux exigences réglementaires (par exemple, SEC, RGPD) pour rationaliser les audits.
    • Intégrez-vous à des cadres tels que NIST ou CIS Controls pour une gouvernance informatique complète.

Conclusion

Le cadre COSO est un modèle polyvalent, fondé sur des principes, permettant d'établir des contrôles internes robustes pour atteindre les objectifs financiers, opérationnels et de conformité. Ses cinq composantes et ses 17 principes offrent une approche structurée de la gestion des risques et de la gouvernance, ce qui le rend essentiel à la conformité SOX et adaptable à d'autres réglementations comme le RGPD ou la HIPAA. Bien que non spécifique à la cybersécurité, il complète des cadres tels que C5, CIS Controls, CJIS et CMMC en fournissant une base de gouvernance pour les environnements informatiques et cloud. Les organisations peuvent tirer parti de la flexibilité, des outils et des cartographies de COSO pour renforcer la responsabilisation, réduire les risques et respecter les exigences réglementaires. Pour des conseils détaillés, consultez les ressources officielles de COSO ou consultez des professionnels de la conformité.

Des avantages incroyables

Vignette YouTubeYouTube icône