Vous êtes sur la page 1sur 1

Présentation rapide :

Loi Sarbanes Oxley


Objectif :
Cette loi, comme d’autres textes à travers le monde 1, fait suite à certains scandales financiers (Enron, Worldcom…) et
a pour objectif d’améliorer la transparence et l’exactitude des informations financières, pour éviter les fraudes, et
redonner confiance aux investisseurs.

Comment ?
En instaurant :
Î l’obligation de rapports annuels sur la mise en place de procédures de contrôle interne sur le reporting
financier et contre la fraude, et sur leur efficacité
Î la responsabilité pénale de la Direction
Î l’indépendance de l’audit des mesures de contrôle implémentées

A qui s’applique-t-elle ?
- A toutes les sociétés américaines et étrangères cotées aux Etats Unis, ainsi qu’à leurs filiales..
- Eventuellement à certains de leurs partenaires commerciaux (sous-traitance, rapport SAS 70)

Quand rentre-t-elle en application ?


- Elle est déjà en vigueur depuis décembre 2004 pour les sociétés américaines ayant une capitalisation boursière
supérieure à 75 millions de dollars.
- Devant les difficultés de mise en œuvre rencontrées, l’échéance, initialement fixée au 15 juillet 2005, a été
reportée au 15 juillet 2006 pour les sociétés suivantes :
Î sociétés américaines cotées aux Etats Unis et leurs filiales à l’étranger, si leur capitalisation boursière est
inférieure à 75 millions de dollars
Î sociétés étrangères cotées aux Etats Unis et leurs filiales

SOX et le Système d’Information


L’informatique tient une place prépondérante dans la génération des données financières, c’est à ce titre que le SI est
concerné par cette loi.
Les mesures de contrôle interne doivent garantir l’exactitude, la fiabilité et l’accessibilité de l’information.

En matière de contrôle des systèmes d’information, les sociétés peuvent se référer au COBIT2 publié par
l’IT Governance Institute, référentiel usuel des contrôles à mettre en oeuvre pour se conformer à la loi Sarbanes Oxley.

Les différents contrôles à mettre en œuvre sont présentés sous forme de matrices mettant en regard les risques, les
événements à contrôler pour les limiter, les contrôles mis en place et les moyens d’en vérifier l’efficacité.

Les principaux domaines de contrôle du SI dans COBIT sont 3:


Acquisition et mise en place => solutions de gestion de version, documentation,
gestion des environnements et robots de tests, help desk…
AI2 Acquérir des applications et en assurer la maintenance
AI5 Installer les systèmes et les valider
AI6 Gérer les changements => audit des environnements de production
Distribution et support
DS3 Gérer la performance et la capacité => solutions de monitoring système
DS4 Assurer un service continu => solutions de haute disponibilité
DS5 Assurer la sécurité des systèmes => contrôle d’accès et audit
DS9 Gérer la configuration => audit des valeurs système
DS10 Gérer les problèmes et les incidents => alertes
DS11 Gérer les données => audit des données sensibles
DS13 Gérer l’exploitation => audit des travaux
Surveillance
S4 Disposer d’un audit indépendant => outil d’audit destiné aux auditeurs

La partie « Ensure System Security » (DS5) détaille les contrôles à mettre en place en matière de sécurité : la gestion
des profils et des habilitations, ainsi que le contrôle des accès aux ressources de production sont les premières
priorités.

1
Loi de Sécurité Financière en France, Combined Code au Royaume Uni, 8ème directive en cours de modification pour la CEE
2
Control OBjectives for Information and related Technology, diffusé par l’ISACA. (Information Systems Audit and Control
Association) www.isaca.org. COBIT est disponible en Anglais, Français, Allemand, Hongrois, Coréen et Espagnol.
3
En gras les points couverts par QJRN/400 et/ou CONTROLER