Implémenter un programme SOX 404

La conformité Sarbanes-Oxley (SOX) peut représenter une lourde charge pour de nombreux acteurs, départements, procédures et systèmes. En créant un programme SOX 404 correctement structuré, les bonnes modifications des contrôles et des procédures peuvent être automatisées bien davantage au moment de la création du rapport. Cet article présente comment implémenter un programme SOX 404 à l'aide des applications Projets, Cadres et Rapports.

Cet article explique comment gérer le programme de conformité SOX via le cadre de contrôle interne COSO 2013, un cadre intégré qui permet aux organisations de mettre au point efficacement des systèmes de contrôle interne

Toutefois, il est possible d'appliquer le même flux d'activés à d'autres cadres qui prennent en charge les exigences de conformité SOX, tels que :

  • le cadre COBIT® 5 ;
  • les cadres de sécurité publiés par le Information Technology Governance Institute (ITGI) (institut de la gouvernance des systèmes d'information) ;
  • les normes d'audit développées par le Public Company Accounting Oversight Board (PCAOB) (comité de supervision comptable des entreprises) ;
  • les réglementations qui s'appliquent au gouvernement ou au système d'éducation supérieure, dont OMB Circular A-123 (circulaire PMB A-123), Uniform Grant Guidance (directives d'attribution d'aide uniforme), ou GreenBook.

Présentation de la conformité SOX

En 2002, la législation SOX Act a marqué le début d'un nouvel intérêt pour la conformité au sein de l'entreprise ; elle a imposé aux organisations de fournir des rapports annuels et trimestriels qui certifient l'exactitude de leurs rapports financiers. La SOX Act a été conçue pour renforcer la transparence du reporting financier et normaliser un système de contrôles internes et de soldes.

La Section 404 de la SOX impose aux organisations de faire procéder à un audit externe afin d'évaluer et de déclarer l'efficacité des contrôles internes.

Où implémenter un programme SOX 404 ?

Vous pouvez implémenter un programme SOX 404 à l'aide des applications Projets et Rapports.

Une image étendue

  • Les cadres s'utilisent pour capturer de manière centralisée la relation de base entre les exigences et les contrôles, gérer les modifications dans un environnement commercial et réglementaire en évolution, et créer des projets individuels.
  • Les projets permettent de tester la conception et l'efficacité opérationnelle du contrôler, et de capturer les problèmes. Si vous avez créé le contrôle dans un cadre, vous pouvez resynchroniser les modifications avec ce cadre à partir d'un projet pour l'utiliser également dans d'autres projets.
  • Il est possible de copier et de modifier facilement des modèles de rapport en fonction des données disponibles dans les applications Diligent One. Les rapports peuvent alors être diffusés aux destinataires selon un planning récurrent.

Dans un cadre, vous pouvez suivre l'assurance et les résultats du test associés aux risques et contrôles opérationnels dans plusieurs projets afin de développer un tableau de bord des résultats du projet et du risque. Lorsque vous testez des contrôles, Projets agrège automatiquement les résultats de test provenant des projets associés au cadre et calcule l'assurance en temps réel. À tout moment, vous pouvez générer des rapports à envoyer aux destinataires appropriés.

Étapes

Prêt pour un tour ?

Étudions plus précisément ces fonctions dans leur contexte.

1. Configurer le programme

La première étape consiste à comprendre la meilleure méthode pour configurer les données dans le système afin que vous puissiez les rapporter de manière appropriée.

Vous pouvez créer des cadres afin de gérer un ensemble structuré d'informations et utiliser des cadres pour créer plusieurs projets. Vous pouvez également personnaliser les termes et les libellés dans les projets en fonction des normes de votre organisation. Les structures d'étiquetage peuvent également être configurées pour mapper les objectifs, les risques et les contrôles aux points de données contextuelles pertinentes (actifs, propriétaires, entités, etc.) et permettre le reporting de risque et de contrôle dans ces dimensions.

Astuce

L'application Projets propose plusieurs bibliothèques de risque et de contrôle (modèles de projet ACL) qui contiennent du contenu pré-renseigné pour des flux de travail spécifiques, tel que la conformité SOX). Il existe deux modèles de projet qui correspondent aux exigences SOX 404 et qui permettent généralement de lancer rapidement les projets de conformité SOX et de créer des modèles réutilisables :

  • Modèle d'audit Sarbanes-Oxley (SOX) (Cadre COSO 2013)
  • Examen des contrôles généraux informatiques (contexte SOX)

Configurer la terminologie du projet

La terminologie peut varier grandement entre les différents types de projets mais aussi entre les organisations qui effectuent les mêmes types de projets. Les organisations peuvent configurer différents types de projets afin que la terminologie utilisée par chaque équipe soit reprise dans les projets pertinents.

Exemple

Scénario

En tant que responsable d'audit SOX, vous possédez deux projets. Vous voulez vous assurer que la terminologie affichée dans les deux projets SOX correspond au lexique préféré de votre organisation.

Processus

Rubrique d'aide Personnaliser les termes, les champs et les notifications

Vous accédez au type de projet Examen Sarbanes-Oxley et configurez les termes suivants dans chaque onglet :

Onglet Champ Terme
Projet Terme pour travail de terrain

Documentation et test du processus
Section Terme pour une section Processus significatif
Libellé pour l'onglet des sections

Processus SOX
Descriptions Libellé pour l'onglet des descriptions Descriptions et diagrammes
Problèmes Terme pour Problème

Déficience
Libellé pour l'onglet Problèmes Déficiences

Résultat

Les termes spécifiques sont appliqués aux projets que vous créez et associez au type de projet Examen Sarbanes-Oxley.

Configurer des projets et des cadres

Les cadres contribuent à réduire les efforts manuels nécessaires pour définir des projets et ils permettent de gérer de manière centralisée les informations dans des environnements réglementaires et commerciaux en constante évolution. Il est courant que certaines organisations segmentent les exigences SOX 404 par processus et sous-processus dans leurs projets et cadres.

Exemple

Scénario

Pour commencer le processus de centralisation de votre documentation SOX, vous créez deux projets :

  • Canada - Examen SOX 2018
  • Brésil - Examen SOX 2018

Récemment, vous avez constaté que des risques et contrôles similaires peuvent s'appliquer aux deux projets. Pour commencer la définition de vos projets, vous créez un projet à partir d'un modèle de projet intitulé Modèle d'audit Sarbanes-Oxley (SOX) (Cadre COSO 2013). Vous voulez utiliser ce modèle pour créer un ensemble individuel de risques et de contrôles utilisables dans les deux projets.

Processus

Rubriques d'aide

Vous créez un nouveau cadre intitulé Cadre de contrôle de processus SOX. Ensuite, vous importez les objectifs (qui contiennent les risques et les contrôles) depuis le modèle de projet vers le cadre. Pour finir, vous importez les objectifs du cadre vers chaque projet.

Résultat

Les objectifs, les risques et les contrôles d'un cadre sont liés aux objectifs, aux risques et aux contrôles dans les projets.

Vous pouvez désormais mettre à jour des projets si nécessaire, éventuellement appliquer à nouveau ces mises à jour au cadre ainsi que vous assurez que les mises à jour effectuées au niveau du cadre se propagent aux projets correspondants par synchronisation des projets avec les cadres.

Modéliser votre structure d'entité organisationnelle

Les organisations sont composées de différentes unités professionnelles, départements, emplacements, régions et entités juridiques, qui toutes ont des contrôles clés impactant le reporting des états financiers. Vous pouvez modéliser votre structure d'entité juridique et commerciale dans votre processus de gestion SOX afin de permettre la déclaration du statut de test et de la gestion des problèmes à la direction.

Exemple

Scénario

Votre organisation comporte différents départements, régions et emplacements. Vous voulez créer des rapports sur des contrôles internes de différents groupes représentatifs de l'activité et permettre aux acteurs de tous les niveaux de l'organisation d'obtenir les informations nécessaires.

Processus

Rubrique d'aide Configurer l'étiquetage des entités

Sous Gérer les entités, vous modélisez votre structure d'entreprise en fonction des départements, des régions et des sites qui sont applicables aux deux projets :

  • Canada - Examen SOX 2018
  • Brésil - Examen SOX 2018

Résultat

Vous pouvez désormais étiqueter des objectifs significatifs, des risques, des contrôles et des déficiences selon les points de données contextuelles pertinents et permettre le reporting du risque et du contrôle au niveau de ces dimensions.

2. Documenter des objectifs, des risques et des contrôles

L'utilisation des cadres comme un référentiel centralisé des informations vous permet de travailler avec les propriétaires de processus et de contrôle pour élaborer une version préliminaire des descriptions de processus, d'enregistrer les attributs de risque et de contrôle dans différents projets d'attestation et de demander de la documentation supplémentaire, si nécessaire. Des rôles utilisateurs spécifiques peuvent être exploités pour prescrire l'accès et la responsabilité appropriés aux propriétaires des contrôles et processus.

Planifier des projets

Tout projet commence par une phase de planification. La planification d'un projet implique de préparer et de consolider des informations sur la planification dans un projet dont le contexte, l'objectif et l'étendue du projet ainsi que les fichiers de planification correspondants. Les fichiers de planification peuvent inclure une diversité de documents, comme des informations sur le champ d'application, des lettres d'engagement, de la documentation sur la méthodologie d'échantillonnage SOX et même des détails sur les structures des équipes de projet.

Exemple

Scénario

Vous êtes en charge de préparer et de consolider toute la documentation de planification liée au projet Canada - Examen SOX 2018. Vous devez enregistrer ces informations dans le projet afin qu'elles soient référencées ultérieurement.

Processus

Rubrique d'aide Planifier des projets

Commencez par accéder à la page Planification et définissez le contexte, l'objectif et l'étendue du projet. Ensuite, vous ajoutez la documentation justificative à l'aide de la page Fichiers de planification :

Résultat

Les informations de planification sont capturées :

  • Contexte En 2002, la législation SOX Act a marqué le début d'un nouvel intérêt pour la conformité au sein de l'entreprise ; elle a imposé aux organisations de fournir des rapports annuels et trimestriels qui certifient l'exactitude de leurs rapports financiers. La SOX Act a été conçue pour renforcer la transparence du reporting financier et normaliser un système de contrôles internes et de soldes. La Section 404 de la SOX impose aux organisations de faire procéder à un audit externe afin d'évaluer et de déclarer l'efficacité des contrôles internes.
  • Objet / Objectif L'organisation s'est engagée à adopter SOX afin d'appliquer un modèle optimal et être prêt pour la conformité lorsque la société serait cotée.
  • Champ d'application Ce projet doit évaluer la conception et l'efficacité des contrôles préventifs et de détection dans l'organisation afin d'atténuer les risques de niveau processus en lien avec la conformité SOX 404. Nous intégrons tous les processus opérationnels clés dans le champ d'application du projet, notamment :
    • Contrôles de niveau entité : environnement de contrôle, évaluation du risque, informations et communication, suivi des activités, activités de contrôle
    • Clôture financière et reporting
    • Contrôles et procédures de divulgation
    • Imposition
    • Produit et créances
    • Contrôles généraux SI
    • Feuilles de calcul pour contrôles
    • Achats
    • Trésorerie
    • Stocks
    • Paie et Ressources humaines
    • Propriété usine et équipement

Descriptions de document

Les descriptions constituent un cadre qui permet de comprendre de quelle manière les contrôles internes de votre organisation s'intègrent à un processus opérationnel. De nombreuses organisations s'appuient d'abord sur des diagrammes pour visualiser et afficher le flux de travail détaillé dans un domaine donné. Il est possible d'attacher un contenu audio ou visuel pour supporter la documentation de description et vous pouvez associer les contrôles à des fins de référencement.

Exemple

Scénario

En tant que responsable d'audit SOX, une de vos responsabilités consiste à rédiger des descriptions qui présentent chaque processus. Vous devez élaborer une description qui lie le processus Produit et créances au projet Canada - Examen SOX 2018. Dans la description, vous prévoyez de définir le processus, de présenter clairement les systèmes informatiques qui prennent en charge les processus de facturation et de joindre une synthèse des risques et des contrôles primaires associés au processus. Comme vous collectez plus d'informations, vous voulez mettre à jour la description en conséquence.

Processus

Rubrique d'aide Définir des descriptions

Vous accédez à l'onglet Descriptions dans le projet et ajoutez une nouvelle description intitulée Description du processus Constatation des produits.

Vous commencez par définir la description comme suit :

Présentation du processus La constatation des produits correspond au processus d'enregistrement du produit, des factures et de la comptabilité clients en Amérique du nord (AN).

Systèmes informatiques

Système Processus pris en charge
QUO Facturation
EWR

Facturation
RIU Facturation
Reporting RIU

Reporting du produit et analyse
Base Xerdox

Reporting financier
Rac GL

Grand livre
Rac CC

Comptabilité clients

Pour finir, vous attachez un document Word qui résume les risques et les contrôles primaires associés au processus Produit et créances.

Résultat

La version préliminaire de la première partie de la description est rédigée, le document Word est alors ajouté comme pièce jointe justificative. Dans la plupart des cas, les descriptions doivent être mises à jour selon une périodicité trimestrielle, ou par intérim et roll-forward.

Pour ajouter la gestion du flux de travail et l'automatisation autour de la diffusion et de l'examen des diagrammes mis à jour, des descriptions et du reste de la documentation liée aux processus, vous pouvez :

  • approuver votre travail et affecter un membre de votre équipe comme le prochain examinateur du contenu de la description ;
  • créer un lien hypertexte dans votre projet SOX 404 respectif vers les rapports des diagrammes cumulés.

Définir des risques et des contrôles

La définition des risques et des contrôles entraîne la production d'une matrice de contrôle du risque (MCR). UN MCR est une combinaison des risques identifiés et des contrôles correspondants (les mesures ou les cours de l'action pour la manière d'atténuation du risque).

Astuce

Une fois que les risques et les contrôles sont définis, les propriétaires de processus peuvent définir un calendrier dans Projets pour garantir une exécution cohérente des activités de contrôle.

Exemple

Scénario

Votre organisation dispose d'un processus d'évaluation de risque mature et précis ; elle évalue le risque dans deux dimensions (Impact et Probabilité). La notation de l'impact s'effectue sur une échelle de 5 points et celle de la probabilité sur une échelle de 3 points.

Vous devez évaluer le score de risque inhérent afin de déterminer le risque brut auquel l'organisation sera confrontée si aucun contrôle ou tout autre facture d'atténuation n'est mis en place. Vous voulez également attribuer un score d'efficacité à vos contrôles primaires. Ainsi, tout échec de contrôle génère un score de risque résiduel.

Processus

Rubriques d'aide

Vous capturez les informations suivantes dans les projets Canada - Examen SOX 2018 et Brésil - Examen SOX 2018 :

Projet Risque Impact Probabilité
Canada - Examen SOX 2018 REV-R.01 Risque sans titre : Les produits et les encaissement peuvent ne pas être enregistrés, enregistrés dans une période inappropriée ou être enregistrés de manière incorrecte (par exemple, montant incorrect). 3 - Moyen 1 - Faible
Brésil - Examen SOX 2018 3 - Élevé 3 - Élevé

Vous attribuez également un score d'efficacité (poids du contrôle) aux contrôles associés dans chaque projet :

  • REV-03 30%
  • REV-04 20%
  • REV-05 50%

Résultat

L'évaluation du risque inhérent est terminée. Les scores de risque inhérent et résiduel sont agrégés dans le cadre à des fins de reporting. Le score de risque résiduel reste identique à celui du score de risque inhérent jusqu'à ce que la conception et l'efficacité du contrôle soient évalués.

Gérer les requêtes

Vous pouvez demander de la documentation auprès des responsables d'entreprise et d'autres intervenants et stockez les discussions pertinentes dans Projets. Vous pouvez également envoyer des rappels récurrents aux personnes en charge remplir les requêtes et de consolider plusieurs requêtes dans un seul e-mail.

Exemple

Scénario

Vous devez rassembler d'autres informations du département comptable afin de mieux comprendre le flux de trésorerie de l'organisation dans le contexte des ventes de marchandises.

Processus

Rubrique d'aide Ajouter des requêtes

Vous envoyez une requête au département comptable dans laquelle vous demandez une synthèse du journal des encaissements pour la période comptable en cours.

  • Description Veuillez fournir une synthèse du journal des encaissements pour la période comptable actuelle.
  • Statut Ouvert
  • Propriétaire Comptabilité
  • Date d'échéance 03/08/2018

Résultat

La Comptabilité reçoit la requête et peut fournir les documents pertinents en joignant un fichier et en publiant un commentaire.

3. Évaluer la conception et l'efficacité du contrôle

De nombreuses fonctions de conformité SOX souhaitent que l'entreprise assume certaines des responsabilités quant à l'évaluation de la conception et de l'efficacité du contrôle. Les propriétaires eux-mêmes peuvent accéder à des tâches simples, comme la mise à jour d'une revue générale de contrôle et la documentation des étapes de test d'efficacité du contrôle. Ceci permet à l'activité de véritablement être propriétaire de l'évaluation de ces contrôles. L'évaluation de la conception et de l'efficacité du contrôle vous permet de déterminer à quel niveau votre organisation gère le risque et les exigences de conformité.

Astuce

Inspirations, un catalogue des scénarios de risque et de tests provenant des initiatives Diligent au niveau international, propose une diversité d'idées de test d'analyse par processus qui couvrent toutes les opérations financières Pour plus d'informations, consultez la rubrique Outils et modèles.

Évaluer la conception du contrôle

Vous pouvez effectuer une revue générale pour évaluer la conception du contrôle. Les propriétaires de contrôle peuvent contribuer à évaluer la conception d'un contrôle au moyen d'attestation et/ou de mise à disposition de preuve, définir des plans d'action pour implémenter les contrôles manquants pour répondre aux instances de non-conformité ou expliquer la raison pour laquelle un contrôle est inutile.

Astuce

L'application Suivi des contrôles permet aux personnel de première ligne dans une organisation de gérer les contrôles auxquels il a accès, en dehors de l'application Projets. Suivi des contrôles est une application qui présente les informations sur les contrôles provenant de Projets dans une vue simplifiée et centralisée.

Exemple

Scénario

Après avoir évalué le risque inhérent et obtenu la documentation demandée, vous devez effectuer une revue générale afin d'évaluer la conception de chaque contrôle.

Processus

Rubrique d'aide Exécuter des procédures ou tester des contrôles

Vous capturez les revues générales dans les projets Canada - Examen SOX 2018 et Brésil - Examen SOX 2018 :

Conçu(e) de façon appropriée

Projet Risque Contrôle Attributs du contrôle Résultats de la revue générale
Canada - Examen SOX 2018 REV-R.01 : risque sans titre REV-03
  • Description Le comptable rapproche les encaissements à l'extrait de compte et les factures surlignées afin de garantir un enregistrement précis, complet et cohérent dans la période comptable appropriée. Le contrôleur examine le rapprochement et valide les écritures au journal associées.
  • Poids 30%
REV-04
  • Description Le contrôleur examine les expéditions qui se déroulent peu avant ou après la fin d'une période comptable afin de garantir un enregistrement complet et cohérent dans la période comptable appropriée, dont l'examen des factures liées.
  • Poids 20%
REV-05
  • Description Le contrôleur effectue un rapprochement des produits de la période qu'il compare aux produits que le département a déclaré. Tout écart significatif est examiné et fait l'objet d'une recherche si nécessaire.
  • Poids 50%
Brésil - Examen SOX 2018 REV-R.01 : risque sans titre REV-03
  • Description Le comptable rapproche les encaissements à l'extrait de compte et les factures surlignées afin de garantir un enregistrement précis, complet et cohérent dans la période comptable appropriée. Le contrôleur examine le rapprochement et valide les écritures au journal associées.
  • Poids 30%
REV-04
  • Description Le contrôleur examine les expéditions qui se déroulent peu avant ou après la fin d'une période comptable afin de garantir un enregistrement complet et cohérent dans la période comptable appropriée, dont l'examen des factures liées.
  • Poids 20%
REV-05
  • Description Le contrôleur effectue un rapprochement des produits de la période qu'il compare aux produits que le département a déclaré. Tout écart significatif est examiné et fait l'objet d'une recherche si nécessaire.
  • Poids 50%

Résultat

La revue générale pour chaque contrôle est enregistrée dans les deux projets :

Définissez des plans de test

Les plans de test identifient de quelle manière vous testez le contrôle. Vous pouvez définir des plans de test pour préciser la méthode de test, la taille totale de l'échantillonnage (répartie entre les sessions de test) et les étapes de test à suivre pour tester le contrôle.

Exemple

Scénario

Avant de commencer le test de l'efficacité des contrôles, vous devez préparer un plan de test qui identifie la manière selon laquelle vous allez tester chaque contrôle. Vous définissez la méthode de test, la taille totale de l'échantillonnage (répartie entre les sessions de test) et les étapes de test à suivre pour tester le contrôle.

Processus

Rubrique d'aide Exécuter des procédures ou tester des contrôles

Vous documentez le plan de test de REV-03 comme suit :

  • REV-03 Le comptable rapproche les encaissements à l'extrait de compte et les factures surlignées afin de garantir un enregistrement précis, complet et cohérent dans la période comptable appropriée. Le contrôleur examine le rapprochement et valide les écritures au journal associées.
  • Méthode de test Inspection
  • Taille totale de l'échantillonnage 25
  • Étapes du test / Attributs du test
    1. Confirmez qu'il existe une séparation des tâches.
    2. Confirmez les soldes de la comptabilité clients.
    3. Comparez les détails des encaissements avec les écritures au journal et les bordereaux de dépôt bancaire correspondants.
    4. Suivez les transferts bancaires et effectuez des tests de limite de trésorerie pour vous assurez que les transactions appropriées sont comprises dans les états financiers.
    5. Comparez les soldes de trésorerie avec les prévisions et les budgets.

Résultat

Le plan de test de REV-03 est enregistré.

Évaluer l'efficacité du contrôle

L'évaluation de l'efficacité du contrôle implique de documenter les résultats du test détaillé et de spécifier si le contrôle a réussi ou échoué. Lorsque vous avez terminé d'évaluer l'efficacité du contrôle, vous pouvez marquer des parties du texte et les lier à des justificatifs tels que des manuels de politique ou de procédure, des réglementations, des SLA/SLS et des contrats.

Astuce

Pour éviter une notation manuelle de l'efficacité du contrôle, vous pouvez utiliser des pilotes d'évaluation afin d'automatiser les différentes évaluations du contrôle. Vous pouvez lier une mesure créée dans l'application Résultats à une évaluation de contrôle dans Projets afin d'informer l'évaluation et de renseigner automatiquement les scores de risque inhérents en fonction de plages de mesures prédéfinies.

Exemple

Scénario

Vous avez évalué la conception du contrôle et préparé un plan de test qui définit le mode de test de chaque contrôle vous devez désormais évaluer l'efficacité du contrôle afin de déterminer le risque résiduel ou la quantité de risque qu'il reste après la mise en place de contrôles.

Processus

Rubriques d'aide

Vosu testez l'efficacité opérationnelle de chaque contrôle dans les deux projets Canada - Examen SOX 2018 et Brésil - Examen SOX 2018 et enregistrez les informations suivantes :

Fonctionnement efficace

Exception(s) notées

Projet Risque Contrôle Attributs du contrôle Tests du T1 Tests du T2 Tests du T3 Tests du T4
Canada - Examen SOX 2018 REV-R.01 : risque sans titre REV-03
  • Description Le comptable rapproche les encaissements à l'extrait de compte et les factures surlignées afin de garantir un enregistrement précis, complet et cohérent dans la période comptable appropriée. Le contrôleur examine le rapprochement et valide les écritures au journal associées.
  • Poids 30%
REV-04
  • Description Le contrôleur examine les expéditions qui se déroulent peu avant ou après la fin d'une période comptable afin de garantir un enregistrement complet et cohérent dans la période comptable appropriée, dont l'examen des factures liées.
  • Poids 20%
REV-05
  • Description Le contrôleur effectue un rapprochement des produits de la période qu'il compare aux produits que le département a déclaré. Tout écart significatif est examiné et fait l'objet d'une recherche si nécessaire.
  • Poids 50%
Brésil - Examen SOX 2018 REV-R.01 : risque sans titre REV-03
  • Description Le comptable rapproche les encaissements à l'extrait de compte et les factures surlignées afin de garantir un enregistrement précis, complet et cohérent dans la période comptable appropriée. Le contrôleur examine le rapprochement et valide les écritures au journal associées.
  • Poids 30%
REV-04
  • Description Le contrôleur examine les expéditions qui se déroulent peu avant ou après la fin d'une période comptable afin de garantir un enregistrement complet et cohérent dans la période comptable appropriée, dont l'examen des factures liées.
  • Poids 20%
REV-05
  • Description Le contrôleur effectue un rapprochement des produits de la période qu'il compare aux produits que le département a déclaré. Tout écart significatif est examiné et fait l'objet d'une recherche si nécessaire.
  • Poids 50%

Résultat

Les résultats de test associés au contrôle sont agrégés dans le cadre à des fins de reporting :

Capturer les déficiences et les actions

Vous pouvez capturer et affecter les déficiences marquées pour remédiation tout au long du processus d'examen de conformité, et déléguer des déficiences aux propriétaires de contrôle ou de problème afin de mettre à jour le statut et les plans d'action liés. Vous pouvez également affecter des actions à un intervenant afin de simplifier la surveillance, le rassemblement de preuves et la résolution.

Exemple

Scénario

Comme le test du contrôle REV-03 pour le 4eme trimestre a échoué dans le projet Brésil - Examen SOX 2018, vous devez noter l'exception en journalisant une déficience. Vous voulez également créer une mesure consécutive spécifique qui est associée à une déficience identifiée et l'affecter à un membre du personnel approprié.

Processus

Rubriques d'aide

Vous documentez la déficience et l'action suivants dans le projet Brésil - Examen SOX 2018 :

Problème

  • Titre/Intitulé Séparation inadéquate des tâches
  • Description La séparation des tâches comptables signifie la division des tâches de sorte que plusieurs personnes gèrent le traitement des transactions, l'enregistrement des données, la préparation de l'état financier et l'audit. S'appuyer sur une personne pour gérer toutes les fonctions comptables peut donner des contrôles internes médiocres, entraîner une fraude comptable et un détournement de l'actif de l'entreprise.
  • Propriétaire Directeur comptable
  • Type de problème Déficience
  • Date identifiée Date
  • Gravité Élevé - Étude de l'audit importante qui entraîne des pertes financières
  • Publié Publié

Action

  • Titre Imposer la séparation des tâches et/ou mettre en place des contrôles compensatoires
  • Propriétaire Directeur comptable
  • DescriptionS'assurer que le département comptable est organisé de manière à permettre une séparation adéquate des tâches. Lorsqu'il est impossible de séparer les tâches, mettez en place les contrôles compensatoires suivants :
    • Traitement de tous les rapports d'exception au niveau supervision
    • Mise en place d'un contrôle d'accès par rôle dans les systèmes informatiques
  • Date d'échéance Date
  • Statut Ouvert
  • Priorité Élevé

Résultat

La déficience et l'action sont récupérées. Plus tard, l'audit peut examiner le plan de remédiation et documenter les résultats du nouveau test afin de déterminer si la déficience a réellement été remédiée.

4. Rapport sur les contrôles internes

Le reporting des contrôles internes est très important pour la branche exécutive de l'activité et résultent souvent en une exigence critique de la part des contrôleurs, des vice-présidents et même du directeur financier. À tout moment du cycle du projet, vous pouvez générer des rapports afin de fournir des informations à la direction et au conseil à des fins de reporting réglementaire. Vous pouvez également diffuser des rapports spécifiques selon un calendrier afin de suivre la remédiation et les indicateurs de retard.

Astuce

L'application Projets propose au téléchargement de nombreux rapports en un clic qui évoluent automatiquement en fonction de l'avancement du projet. Par exemple, le rapport Plan de test peut être téléchargé pour déterminer si un projet est pris en compte par une méthode d'échantillonnage valide, identifier un test manuel contraignant et créer des opportunités de gain efficaces. Pour obtenir des options de création de rapports personnalisées, les organisations peuvent utiliser l'application Rapports.

Exemple

Scénario

Vous devez fournir des informations détaillées sur le statut de test de contrôle à votre PMO. Le rapport doit comprendre l'avancement du test de contrôle pour les deux projets (Canada - Examen SOX 2018 et Brésil - Examen SOX 2018), dont les attributs de contrôle, les évaluation d'efficacité et les validations du préparateur de test de contrôle. Vous voulez également permettre de filtrer les données du test de contrôle en fonction du projet ou de la note d'efficacité.

Processus

Rubriques d'aide

Vous commencez par copier le modèle de rapport Détails du test de contrôle et modifier le rapport, si nécessaire. Ensuite, vous enregistrez et activez le rapport. Pour finir, vous diffusez le rapport par e-mail au destinataire approprié selon un calendrier défini.

Résultat

Le rapport est partagé avec le destinataire correspond selon un planning récurrent. La diffusion d'un rapport est une manière efficace de partager des données avec d'autres personnes sur une base récurrente. Si vous devez cibler différents publics, vous pouvez préparer plusieurs calendriers de diffusion pour un seul projet.

Quelles sont les prochaines étapes ?

Découvrez comment automatiser un programme de certification SOX 302

Les applications Projets et Résultats permet de conduire des auto-évaluations de manière efficace, de déployer des demandes de certification 302 et de garantir une distribution juste des responsabilités entre les intervenants du contrôle interne.

Pour en savoir plus, voir Automatiser un programme de certification SOX 302.