Automatiser un programme de certification SOX 302

S'assurer que des fondés de pouvoir certifient les rapports trimestriels peuvent être une tâche considérable. Pour rationnaliser ce processus, les organisations doivent garantir une répartition juste des responsabilités entres les intervenants du contrôle interne. Cet article illustre comment mener des sous-certifications avec des propriétaires de contrôle et déployer des demandes de certification 302 à l'aide des applications Résultats et Projets.

Il s'appuie sur les exemples présentés dans Implémenter un programme SOX 404.

Qu'est-ce qu'une certification 302 ?

La section 302 de Sarbanes-Oxley (SOX) exige qu'un PDG ou un directeur financier valide l'intégrité des contrôles clés qui ont une incidence sur le reporting des états financiers trimestriellement.

Avant la validation par les signataires, les demandes de certification sont envoyées aux propriétaires de processus et de contrôle dans les différents départements de l'organisation. Cette méthode permet de garantir aux fondés de pouvoir l'efficacité des contrôles internes clés dans le reporting financier au niveau de tous les départements et leur apporter la confiance nécessaire pour valider les certifications 302 trimestrielles.

Où automatiser un programme de certification 302 ?

Vous pouvez automatiser un programme de certification 302 à l'aide des applications Résultats et Projets.

Une image étendue

  • Un projet individuel peut contenir plusieurs certifications.
  • Les questionnaires peuvent être déployés depuis Projets, les réponses sont stockées dans des tables dans Résultats.
  • Les déclencheurs automatisent vos processus de remédiation de l'organisation en exécutant un ensemble d'actions piloté par les données d'enregistrement dans des tables.

Étapes

Prêt pour un tour ?

Étudions plus précisément ces fonctions dans leur contexte.

1. Créer un programme de certification

Les programmes de certification vous permettent de définir des groupes de personnes ayant besoin de procéder à une certification, les éléments qu'ils doivent certifier et d'autres informations contextuelles. Vous pouvez envoyer les demandes de certification aux personnes concernées, au moment opportun et fournir l'assurance dont les PDG et les directeurs financiers ont besoin lorsqu'ils signent les certifications 302 trimestrielles.

Astuce

Pour poursuivre l'automatisation et la rationalisation des procédures de certification, vous pouvez définir le programme de certification une fois et l'utiliser à nouveau chaque trimestre. Vous n'avez qu'à rollforwarder le projet qui contient le programme de certification.

Activer les certifications

La première étape consiste à activer les certifications dans un projet. Une fois activées, vous pouvez commencer à créer un programme de certification.

Exemple

Scénario

En tant que directeur SOX, vous devez obtenir des sous-certifications de la part de tous les membres du comité de divulgation afin de prendre en charge les certifications SOX 302 du PDG et du directeur financier.

Processus

Rubrique d'aide Créer des programmes de certification

Dans les paramètres du projet Canada - Examen SOX 2018, vous activez des certifications.

Résultat

Vous pouvez commencer à créer un programme de certification dans le projet.

Saisir des détails sur la certification

Une fois que vous avez activé les certifications dans le projet, vous pouvez commencer à créer un programme de certificaton en saisissant des détails de base. Vous pouvez personnaliser l'objet et le message de l'e-mail que vous prévoyez d'envoyer puis fournir des détails pertinents pour les personnes qui participent au programme de certification.

Exemple

Scénario

Vous êtes prêt(e) à commencer la création d'un programme de certification. Centralisez toute la documentation relative au programme, définissez une date d'échéance du programme et proposez des informations contextuelles appropriées aux membres du comité de divulgation.

Processus

Rubrique d'aide Créer des programmes de certification

Dans le tableau de bord du projet Canada - Examen SOX 2018, vous cliquez sur Ajouter une certification. Vous saisissez les détails clés suivants :

  • Nom Sous-certification des membres du comité de divulgation
  • Date d'échéance 14 décembre 2018
  • Objet de l'e-mail Action requise : Sous-certification SOX
  • Message de l'e-mail Dans le cadre de notre procédure de reporting annuelle et trimestrielle, ce questionnaire sera remis à chaque fin de période de rapport afin de s'assurer que tous les événements, contrats et faits pertinents ont été déclarés et que toutes les informations essentielles figurent dans nos déclarations réglementaires. Vous devez y répondre d'ici le 14 décembre 2018.

Vous devez également joindre quelques fichiers justificatifs pour fournir du contexte supplémentaire aux membres du comité de divulgation.

Résultat

Vous avez fourni les principales informations sur le programme de certification et personnalisé le message et l'objet de l'e-mail que vous voulez envoyer aux participants. Les instructions ou fichiers supplémentaires que vous avez indiqués seront intégrés au questionnaire envoyé aux membres du comité de divulgation.

Créer ou sélectionner un questionnaire

Une auto-évaluation est une méthode optimale pour évaluer des processus et des contrôles internes de l'organisation et qui se présente généralement sous la forme d'un questionnaire. Grâce aux questionnaires d'auto-évaluation, il est possible d'évaluer le niveau de conformité de SOX section 302 dans une organisation et d'identifier efficacement les domaines d'exposition au risque ainsi que la mise en évidence d'opportunités éventuelles.

Astuce

Vous pouvez copier l'un des modèles de questionnaire suivants depuis Résultats comme point de départ de la création de votre propre questionnaire :

  • Certification de divulgation des responsables
  • Certification de divulgation des cadres
  • Certification SOX 302

Exemple

Scénario

Dans le cadre de votre procédure de reporting annuelle et trimestrielle, vous devez remettre un questionnaire à la fin de chaque période de rapport. Assurez-vous que tous les événements, contrats et faits pertinents ont été déclarés et que toutes les informations essentielles ont été prises en compte en vue d'être intégrées dans des déclarations réglementaires.

Processus

Rubrique d'aide Création de questionnaires

Dans Résultats, vous copiez le questionnaire Certification de divulgation des cadres de la collection Modèles de questionnaires vers la collection Canada - Examen SOX 2018 renommez le questionnaire Sous-certification SOX 302.

Ensuite, vous adaptez la langue du questionnaire et modifiez les questions du formulaire afin qu'elles soient en adéquation avec les exigences de votre organisation. Enfin, vous revenez à Projets et sélectionnez le questionnaire que vous venez de créer.

Résultat

Vous êtes désormais prêt(e) à envoyer le questionnaire pour rassembler les informations provenant des membres du comité de divulgation.

Indiquer des participants et éléments

Les PDG et les directeurs financiers sont généralement éloignés des activités de contrôle quotidiennes. Cependant, ils doivent avoir confiance lorsqu'ils signent la certification, car les conséquences peuvent être sérieuses. De nombreuses organisations appliquent une procédure de sous-certification qui demande aux employés de procéder à une sous-certification. Une chaîne de responsabilité est ainsi créée au sein de l'organisation. Dans le programme de certification, vous pouvez indiquer qui doit procéder à une sous-certification et quels sont les éléments qui doivent faire l'objet d'une sous-certification. Vous pouvez également définir si les participants doivent répondre dans un ordre spécifié ou simultanément.

Exemple

Scénario

Vous avez précédemment créé un questionnaire Sous-certification SOX 302 et vous pouvez désormais planifier son envoi aux personnes suivantes :

Vous souhaitez que Shalini réponde en premier puisque c'est la personne la plus proche des opérations de l'entreprise. Ensuite, vous souhaitez que ce soit Brad puis Tim.

Processus

Rubrique d'aide Créer des programmes de certification

Vous créez une certification séquentielle, vous définissez le groupe de certification « Personnel informatique » et ajoutez Shalini, Brad et Tim au groupe, dans cet ordre. Pour finir, vous indiquez les contrôles que chaque participant doit sous-certifier : NS-002, NS-005, NS-006.

Résultat

Vous avez indiqué qui doit procéder à la sous-certification et l'ordre dans lequel ces personnes doivent fournir leurs réponses. Vous avez également défini les contrôles que chaque personne doit sous-certifier.

Examiner et finaliser

La dernière étape de la création d'un programme de certification consiste à vérifier votre configuration et à choisir d'envoyer des demandes de certification ultérieures ou immédiates.

Exemple

Scénario

Vous avez terminé le paramétrage de votre programme de certification. Désormais, examinez les informations avant d'envoyer officiellement les demandes de certification aux membres du comité de divulgation.

Processus

Rubrique d'aide Créer des programmes de certification

Vous examinez chaque section afin de vérifier que les informations sont exactes. Lors de l'examen, vous constatez que vous devez toujours fournir des informations contextuelles aux membres du comité de divulgation.

Par conséquent, vous décidez d'enregistrer le programme de certification et d'envoyer des demandes de certifications ultérieurement.

Résultat

Le programme de certification est enregistré. Vous pouvez revenir à votre configuration et envoyer les demandes de certifications ultérieurement.

2. Déployer les demandes de certification 302

Les certifications SOX 302 et le rapport financier sont très importants pour la branche exécutive de l'activité et résultent souvent en une exigence critique de la part des Contrôleurs, des vice-présidents et même du directeur financier. Les questionnaires vous permettent de déployer plusieurs demandes de certification 302 auprès des propriétaires répartis dans plusieurs départements de l'organisation et d'agréger les réponses pour poursuivre l'examen ou l'escalade.

Astuce

Les demandes de certification peuvent être envoyées à n'importe qui, y compris aux utilisateurs sans licence.

Exemple

Scénario

Vous êtes prêt(e) à envoyer des demandes de certification aux membres du comité de divulgation. Vous avez besoin de ces éléments afin de pouvoir examiner les contrôles dont ils ont la charge, évaluer la pertinence des contrôles et communiquer les résultats à la direction.

Processus

Rubrique d'aide Créer des programmes de certification

Vous ouvrez votre programme de certification enregistré et envoyez les demandes de certification.

Résultat

Shalini est la première personne à recevoir le questionnaire. Elle reçoit un e-mail qui répertorie les trois contrôles pour lesquels elle doit fournir une sous-certification. Lorsque Shalini a envoyé sa première réponse sur l'un des contrôles, Brad commence à recevoir les questionnaires.

Il reçoit un e-mail qui référence le contrôle spécifique que Shaline a récemment certifié et il est alors en mesure d'envoyer sa propre réponse. Il reçoit les e-mails suivants (un par contrôle) une fois que Shalini a terminé la sous-certification.

Tim commence à recevoir les questionnaires dès que Brad a envoyé sa première réponse. Il reçoit les e-mails suivants (un par contrôle) une fois que Brad a terminé la sous-certification. Lorsque Tim a terminé, toutes les certifications sont terminées.

Toutes les réponses sont enregistrées à nouveau dans la collection Canada - Examen SOX 2018 en attente d'autres examens ou escalades.

3. Automatiser les flux de travail de certification 302

Les déclencheurs effectuent un ensemble d'actions dès que des conditions ou des seuils spécifiques sont atteints et ils permettent d'automatiser plusieurs aspects du programme de certification 302. Ils permettent d'agréger des réponses via plusieurs niveaux de certification, de définir des critères spécifiques pour qu'ils s'exécutent à chaque période trimestrielle 302 et de définir des flux de travail d'escalade pour des certifications terminées et non traitées.

Astuce

Pour suivre les certifications en suspens et tout indicateur tardif, vous pouvez visualiser les données à l'aide de Storyboards, ou créez un tableau de bord spécifique des résultats SOX 302 dans Rapports.

Exemple

Scénario

Pour permettre à votre équipe SOX d'optimiser l'identification et la réponse à des certifications non-traitées, vous devez créer un flux de travail de réponse automatisé qui lance toutes les semaines un contrôle des demandes de certification en attente.

Toute demande de certification inactive pendant 10 jours doit passer en priorité essentielle et être affectée au membre de l'équipe compétent pour enquête et remédiation.

Processus

Rubrique d'aide Créer un déclencheur

Vous configurez un déclencheur planifié qui s'exécute tous les les lundis à 9h00 GMT lorsque les enregistrements demeurent inactifs pendant 10 jours.

Le déclencheur effectue les actions suivantes lorsque les enregistrements ne sont pas mis à jour :

  • Il affecte l'enregistrement à un membre de l'équipe SOX.
  • passe la priorité de l'enregistrement en essentielle ;

Résultat

Le déclencheur informe le membre de l'équipe SOX et augmente la priorité de l'enregistrement lorsque les conditions sont satisfaites. L'action est automatisée et tout le processus est géré via Résultats sans système externe ou goulot d'étranglement avec lequel composer.

Quelles sont les prochaines étapes ?

Pour en savoir plus sur les façons de s'assurer de l'efficacité de l'environnement de contrôle en testant les contrôles, consultez la rubrique Démontrer l'assurance sur les contrôles internes.