Accueil
 > Rapports de TEC > Blogue de TEC > Sarbanes-Oxley Act importants mandats et ce qu'ils signif...

Sarbanes-Oxley Act importants mandats et ce qu'ils signifient pour la gestion de la chaîne d'approvisionnement

Écrit par : Predrag Jakovljevic
Date de publication : juillet 18 2013

Mandats liés à la GCA: Sections 404 et 401

De plus en plus, les entreprises se rendent compte de l'importance d'adopter une approche holistique de leurs entreprises de haut en bas, et commencent à exploiter un logiciel stratégiques émergentes catégorie- gouvernance, gestion des risques et de la conformité (GRC). À cette fin, leur attention a jusqu'ici été largement mis l'accent sur la conformité à la Sarbanes-Oxley Act américain (SOX). Les directeurs financiers (CFO) et directeurs généraux (PDG) des entreprises cotées en bourse sont maintenant très conscients de l'impact SOX a sur leurs entreprises, comme le non-respect normes et des politiques strictes de la loi, même inconsciemment, peut essentiellement fin à la carrière de tout pouvoir exécutif, et souvent d'une manière honteuse. Pour une discussion sur la relation de la loi SOX à d'autres lois réglementaires, voir Thou Shalt conformer (et plus, ou autre).

Bien que la loi comportait un certain nombre de nouveaux mandats, deux sections ont eu des implications claires pour les systèmes d'information des entreprises, alors que certains sont particulièrement pertinents pour la gestion des la chaîne d'approvisionnement (SCM). À savoir, article 404 (évaluation de la gestion des contrôles internes) oblige la direction à évaluer l'efficacité de ses contrôles et procédures internes de l'information financière chaque année. Article 409 (communication en temps réel), les entreprises doivent apparaître des changements importants dans leurs conditions financières ou des opérations sur une base rapide et actuelle. L'article 404, qui exige la vérification des contrôles internes, a fait dirigeants réexaminer et parfois remplacer les systèmes d'exploitation qui ne sont pas bien intégrés à leurs systèmes financiers.

Section 401a (obligations hors bilan divulgation) est un ajout à la Loi de 1934 titres. Section 401a exige la divulgation des "opérations importantes hors-bilan, les arrangements, les obligations (y compris les obligations conditionnelles), et d'autres relations de l'émetteur [à savoir la société elle-même, un émetteur de titres] avec d'autres entités ou personnes« Si ces dispositions peuvent avoir un effet significatif actuel ou futur sur l'état de la société financière, les opérations, et ainsi de suite.

Cela affecte particulièrement les contrats de services, tels que ceux qui sont habituellement écrites avec les transporteurs maritimes et les fournisseurs de Managed Inventory (VMI) des dispositions prises pour couvrir le risque et rapatrient leurs actifs hors bilan. De plus en plus, les entreprises qui adoptent des pratiques VMI à réduire les actifs de stocks actuels peuvent inclure une certaine forme de clause de pénalité dans leur contrat pour défaut d'utiliser des matériaux ou de l'annulation anticipée de contrats, et de l'article 401a exige clairement listes chronologiques de ces obligations potentielles. En outre, les conditions du marché peuvent changer et conduire les entreprises à annuler des contrats d'achat à long terme avec les fournisseurs, avec des pénalités d'annulation ou des frais de réapprovisionnement en conséquence. SOX exige des entreprises qu'elles exposent les détails précis de ces frais et pénalités potentielles. Dans le même esprit, les entreprises doivent rapporter et documenter les cas de résiliation anticipée ou de frais d'annulation dans les contrats de location ou de lettres d'intention (qui sont parfois utilisés pour aider avec des délais de livraison et les délais de fabrication pour les articles critiques).

Bien que l'article 401a a une applicabilité limitée à certains contrats de la chaîne d'approvisionnement, l'article 404 est globalement pertinente pour de nombreux processus SMC, y compris les contrats d'impartition. Externalisation des processus et des opérations relève de deux articles 401 et 404, par lequel des accords hors bilan avec les fournisseurs doivent être signalées (401) et soumis à des contrôles internes efficaces (404). SOX est plus exigeante à cet égard que les normes d'audit traditionnelles. Par exemple, l'article 404 ordonne au Securities and Exchange Commission américaine (SEC) de prescrire des règles qui exigent des rapports annuels comprennent un rapport de contrôle interne. Ce rapport sur le contrôle interne doit contenir deux éléments: 1) il doit indiquer la responsabilité de la gestion de l'établissement et le maintien de contrôles (y compris les politiques, les procédures et les processus) pour le reporting financier, et 2) il doit contenir une évaluation de l'efficacité de ces contrôles et procédures .

Si la chaîne d'approvisionnement doit être véritablement contrôlé au niveau requis par la loi Sarbanes-Oxley, alors il doit y avoir un processus bien structuré qui fonctionne à travers de multiples fonctions, et non pas simplement une série de transactions se faisant passer pour un processus. PDG vont donc chercher à tous les chefs d'entreprise à l'échelle, y compris les gestionnaires SMC, à jouer un rôle proactif et de collaboration en matière de gouvernance d'entreprise, puisque tout le monde doit se rendre compte que les audits de passage est seulement une étape à l'amélioration de la gouvernance d'entreprise, et que les auditeurs jamais comprendre les domaines de la chaîne d'approvisionnement de la même manière professionnels SCM font (et vice versa).

entreprises qui se déplacent agressivement dans le sens prescrit par l'article 404 pourraient même avoir une chance d'améliorer la gestion de leurs chaînes d'approvisionnement (qui est, d'atteindre l'excellence de la chaîne d'approvisionnement), et à acquérir un avantage concurrentiel sur leurs rivaux. Cela est particulièrement vrai étant donné que les autres exigences de divulgation (ceux institués dans le Unio européenne n [UE], par exemple) peut également soutenir un environnement plus efficace et crédible, concurrentiel pour les entreprises et leurs chaînes d'approvisionnement.

contrôle exige une visibilité à travers le processus (de la commande des composants à fournir des biens et services finis aux clients), et la technologie de l'information (IT) peut être une aide nécessaire à la réalisation de cette visibilité totale. Pourtant, il ne suffit pas à constituer un contrôle SOX niveau. Sens, le simple suivi de l'inventaire ne peut pas se substituer à l'efficience et l'efficacité dans toutes les activités SCM. Par exemple, en ce qui concerne la gestion des stocks et des radiations de stocks, la plupart des entreprises ont encore la responsabilité du contrôle des stocks et des immobilisations. Cependant, SOX implications seraient désormais inculquer la condition que la valeur des stocks sont correctement indiqués, par lequel les directeurs financiers ne peuvent plus «reporter» les dépréciations de stocks pour éviter la radiation des pertes sur les déclarations de revenus trimestriels. En d'autres termes, SOX exige une comptabilité plus précise et en temps opportun pour assurer que le matériel est physiquement présent, son état est correctement déclaré et les valeurs d'inventaire sont correctement enregistrés dans le système comptable.

Quant aux transferts de matières et manque de précision de l'inventaire, la plupart des entreprises ont encore la responsabilité des activités de contrôle du matériel. Dans le passé, trop souvent, les transferts et transactions de stocks ne seraient pas traitées en temps opportun, créant ainsi un véritable inventaire qui est «en décalage» avec la situation-sur-records escomptés. SOX, cependant, stipule que tous les mouvements de stocks ou des immobilisations doivent maintenant être enregistrés en temps opportun. En d'autres termes, tous les mouvements auront un impact financier définitif sur la société et l'enregistrement de l'information financière exacte est le fondement de la loi SOX.

En outre, une comptes créditeurs (AP) système qui ne correspond pas systématiquement commandes (OP) et les recettes pour les factures des fournisseurs avant le paiement peut être vulnérable à la fraude, ou même à une situation où quelqu'un crée des employés ou des fournisseurs fictifs, puis "payer", et empocher l'argent lui-même. Traditionnellement, les ministères SCM au sein des entreprises (par exemple, les services d'ingénierie) ont accueilli "clients internes" à "assainir" soi-disant "après les bons de commande fait des" engagements. Conformément à la réglementation SOX, cependant, si les politiques et les procédures décrivent précisément les autorités de réquisition et d'approvisionnement, et si ceux-ci indiquent clairement que les ministères SCM sont pas autorisés à délivrer des engagements confirmant, alors de telles actions par les ministères SCM serait un SOX violation apparente. La «charge» serait non-respect des contrôles internes à l'égard de l'engagement de fonds de la société et en conformité avec les politiques et procédures de l'entreprise.

Tout cela accentue l'importance d'instaurer la soi-disant ségrégation de-devoirs (SOD) pour pratiques-sur les conflits d'intérêts possibles dans les processus Procure-to-Pay qui comprendre la réception, la commande, le traitement des factures et établir vendeur (fournisseur) des données de base et des configurations. L'article 404 est tout au sujet de s'assurer que les entreprises ont des processus et procédures en place approbation adéquates pour anticiper la fraude ou le vol, ainsi que de s'assurer que des contrôles et des tests sont effectués pour garantir que ces garanties fonctionnent.

autres exemples de bonnes pratiques de SOD sont de ne pas permettre un directeur de l'ingénierie à la fois les fournisseurs sélectionnés et payante, car certains de ces fournisseurs pourraient, par exemple, être des membres de la famille ou les meilleurs copains du gestionnaire. Les développeurs de logiciels ne doivent pas effectuer des tests de la qualité de leurs propres applications. En outre, un système de facturation qui n'est pas intégré avec l'expédition pourrait permettre à un gestionnaire de reconnaître correctement des recettes qui n'ont pas encore été gagné. Beaucoup d'entreprises utilisent maintenant de nombreux outils contemporains, tels que des cartes d'achat, les applications d'e-procurement et les communiqués de commande de couverture, soit aider ou surveiller l'exécution des dépenses de l'entreprise. L'objectif de la loi SOX est de s'assurer que les entreprises instaurer des contrôles adéquats pour surveiller les dépenses et les engagements afin de s'assurer que les actifs de la société sont protégés et politiques sont respectées.

l'activité de documentation concernés

SOX a également eu un effet sur l'obligation des entreprises publiques afin de documenter leurs activités. Depuis l'évolution de leurs activités pourraient avoir une incidence sur les résultats financiers des entreprises, les entreprises doivent fournir toutes les informations pertinentes sur les modifications à leurs actionnaires dans les 96 heures (voir 2005 Article de Claudia Delto vérifiant deux fois - Bâle II, Sarbanes-Oxley Act , les Normes internationales d'information financière ). Par conséquent, l'exigence de la rapidité de l'article 409 semble appeler un système de reporting financier plus transparent et plus intégrée que de nombreuses entreprises ont aujourd'hui. Par exemple, les entreprises qui sont habitués à travailler sur une période de clôture financière de dix jours semblent être à risque de non-conformité avec l'exigence de divulgation en temps réel, qui est actuellement interprété comme exigeant la divulgation des événements importants dans les quatre jours ouvrables.

Logiquement, lorsque les fournitures ou les services essentiels ou critiques sont en retard, ils ont inévitablement un impact sur le chiffre d'affaires d'une entreprise. Et si retard de livraison résultant en un impact financier important, cela doit être signalé en temps opportun. En outre, étant donné la tendance vers une plus grande externalisation, les entreprises sont responsables de bonnes décisions d'affaires et à l'exécution des accords et des relations avec les fournisseurs. L'article 409 est de s'assurer que, en cas de rupture d'approvisionnement, il ya un processus en place pour rendre compte de l'impact financier des perturbations en temps opportun, si la nature du matériau.

Un rapport SAS 70 type II peut également être inclus dans la demande de proposition d'externalisation. Pour ceux qui ne connaissent pas bien le rapport, SAS 70 est une norme d'audit conçu par l'Institut américain de Certified Public Accountants (AICPA) pour permettre à un vérificateur indépendant pour évaluer et émettre une opinion sur les contrôles d'un organisme de service. Le rapport du commissaire aux comptes de service contient l'avis de l'auditeur, une description des contrôles mis en œuvre, et une description des essais de l'auditeur de l'efficacité d'exploitation (si le rapport est un Type II).

Le rapport d'audit peut être partagée avec les clients de la société de services (associations d'usagers) et leurs auditeurs respectifs. L'organisation du service est chargé de décrire ses objectifs de contrôle et les activités de contrôle qui seraient d'intérêt pour les organisations d'utilisateurs et leurs auditeurs respectifs. En d'autres termes, le rapport permet d'externaliser chaque fournisseur à avoir un compte d'évaluation unique, et exclut la nécessité pour eux d'avoir chaque client revoir leurs processus sur une base individuelle. Il s'agit d'un mécanisme pour externaliser les fournisseurs de démontrer la suffisance de leur conception de contrôles et de vérifier que les contrôles fonctionnent efficacement.

Le problème des rapports SOX est particulièrement aigu pour les entreprises comptant plusieurs unités d'exploitation et les systèmes décentralisés. C'est parce que ces dernières années, de nombreuses entreprises ont connu une croissance à la fois organique et par acquisitions, et donc, des rapports exacts sur ces unités d'affaires requiert un nombre important de processus "manuelles" comptables et les ajustements. Ces entreprises devront soit d'adopter un système de reporting financier commun, peut-être intégrer plusieurs systèmes avec une couche d'information financière au niveau de l'entreprise, ou mettre en œuvre une solution de gestion du rendement pour fournir près d'analyse en temps réel (voir l'information financière, de la planification, et budgétisation des pièces nécessaires EPM ).

outre, alors que les premières années qui ont suivi la promulgation SOX ont été consacrés principalement à des questions financières, en 2007 et au-delà, les mandats de la loi sera probablement plonger plus profondément dans les structures organisationnelles et significativement contact SMC, les ressources humaines (HR), et les services informatiques. Même maintenant, SOX exige la divulgation des risques et des stratégies qui entreront en vigueur après ces événements perturbateurs comme les ouragans, les accidents, et des menaces ou des cas réels de terreur, afin d'atténuer leurs effets.

Le défi de la conformité SOX

De toutes les lois et réglementations, SOX présente quelques-uns des plus grands défis techniques pour les entreprises, étant donné que les exigences supplémentaires de la loi augmentent la quantité de traitement manuel requis. Ceci, à son tour, augmente considérablement le coût de la conformité. Le coût permanent de vérification des contrôles financiers manuelles conformer à la SOX exigences, ainsi que les risques en matière de conformité associés à ces contrôles, oblige les entreprises à s'orienter vers la gestion financière et des systèmes comptables que non seulement les opérations d'enregistrement, mais aussi de gérer l'ensemble de SOX 404 processus de conformité.

Les adopteurs précoces de conformité SOX auraient appris de dures leçons. Programmes SOX ont mis en évidence les processus manuels, sur papier comme étant très coûteux pour vérification par rapport aux procédés automatisés. C'est beaucoup de temps à se réconcilier et corriger les erreurs dans les processus manuels. Ils courent un risque plus élevé d'erreurs humaines et (peut-vile) omissions, des coûts d'audit en cours élevés (comme la conformité à un endroit ne signifie pas nécessairement la conformité à un autre endroit), et d'exiger des contrôles de détection de rechercher et d'identifier les erreurs après qu'elles ont eu lieu. Pourtant, si une société est coupable d'avoir négligé ou violé ses devoirs d'information, son directeur de l'information de (CIO) pourrait aussi être condamné (voir vérifiant deux fois ). Même les sociétés détenues privées qui ne sont pas légalement tenus de se conformer peuvent être indirectement touchées par SOX. Des exemples de ces entreprises sont des clients qui fabriquent ou fournissent des biens aux grands organismes publics, tels que les constructeurs automobiles, ces organisations exigent souvent que leurs fournisseurs soient SOX conforme.

La question logique est-faire est une organisation avec des ressources limitées (en particulier une plus petite) devait faire face à tout cela? Plus important encore, comment ces organisations se tenir au courant des modifications supplémentaires qui sont certains d'être sur le chemin? Une réponse sensée à ces questions est, puisque de nombreux outils logiciels ont été développés qui peuvent grandement simplifier le processus. Le tout se résume à la gestion et la surveillance des processus internes d'une organisation. Ces prévention, de détection, ou le respect d'atténuation contrôle idéalement utilisateurs de portée, les rôles et les processus qui nécessitent l'accès et l'évaluation de l'autorisation, les tests et l'assainissement.

Par exemple, certaines de ces solutions comparer les contrôles actuels d'une société de conformité «meilleures pratiques» et d'offrir des solutions sur la façon de consolider les faiblesses et de mieux séparer les tâches. En d'autres termes, le logiciel qui a régit l'autorisation d'effectuer des tâches telles que la rédaction d'un chèque à un fournisseur, payer un employé, ou en ajoutant des revenus d'un trimestre donné. Ce logiciel peut non seulement mettre en place qui peut faire quoi, mais il serait également respecter les règles (c'est-à alerter les chiens de garde de la conformité devrait une personne tentative non autorisée de «singe» avec quoi que ce soit, et donc de prévenir la fraude avant qu'elle ne survienne). D'autres logiciels peuvent aider les responsables des politiques et des procédures documentées, la création d'archives électroniques de ces politiques sur le chemin, tandis que plusieurs paquets peuvent signaler les transactions internes qui semblent suspectes.

En conséquence, les utilisateurs devraient être en mesure d'obtenir un contrôle optimal des questions de SOD, et d'un système pour identifier les lacunes en matière de contrôle et d'assainir les risques. En général, ces outils comme le Control Manager Conformité récemment lancé ( CCM ) par Lawson , directeur des contrôles internes Oracle , Enterprise Internal Controls Enforcer par PeopleSoft , Event Manager par exacte ou CODA-Control Suite, pour n'en nommer que quelques-uns, peut fournir des solutions raisonnablement rentable, permettant aux chefs d'entreprise de se concentrer davantage sur leur temps améliorations opérationnelles, et moins sur les questions de conformité. En outre, ces systèmes pourraient permettre d'entreprises utilisatrices à rationaliser l'intégration des nouvelles divisions dans leurs systèmes et processus financiers, assurant ainsi que les processus d'affaires des unités acquises sont SOX 404-conforme. Pour plus d'informations, voir rejoindre le mouvement Sarbanes-Oxley; Répondre aux besoins des petites et moyennes entreprises et l'aide de Business Intelligence Infrastructure pour assurer la Conformité avec la loi Sarbanes-Oxley .

Pour de nombreux éditeurs, il est parfaitement logique de lancer des modules de conformité en offres packagées pour les produits et les architectures qui ne disposent que de peu de données, processus, reporting, et d'autres capacités de changement de la livraison, en particulier à partir d'un chiffre d'affaires ou du marketing qui est financièrement solide perspective. D'autres fournisseurs, tels que Agresso , ont une approche très différente. La société soutient qu'elle n'a pas besoin de créer des modules de conformité particulières et de les commercialiser en tant que marque de nouveaux produits, en raison inhérente, reconfigurable, " Lego -brique" architecture de style du vendeur, et les couplages virtuellement infinie des données, des processus, et ainsi de suite, indépendamment de l'évolution des besoins réglementaires.

En d'autres termes, la capacité de répondre aux nouvelles exigences réglementaires provient essentiellement au sein de la solution (voir L'approche de modélisation à l'agilité post-mise en œuvre dans les systèmes d'entreprise et Comment un fournisseur Fournitures Agilité de systèmes d'entreprise post-implémentation ). Toute nouvelle réglementation peut être, en théorie, a rencontré un personnel «interne IT lumière», ou même avec un simple, utilisateur averti intelligent bien versé dans le règlement. L'inconvénient de ceci est que les entreprises devront alors compter sur leur propre connaissance de la réglementation et sur les utilisateurs de labour à travers la législation et la création de spécifications pour leur système d'entreprise. Mais là encore, être bien informé permet une bonne affaire.

SOX peut-être que le début d'une vague de règlements financiers, les directives et les lois que les entreprises doivent se conformer, soit directement, soit indirectement. Dans cet esprit, les entreprises doivent s'assurer que leur planification des ressources d'entreprise (ERP) et les systèmes de gestion financière fournit un ensemble adéquat de services financiers et des capacités d'analyse pour répondre aux exigences.

la deuxième partie de la série Thou Shalt conformer (et plus), ou encore: En regardant Sarbanes-Oxley

 
comments powered by Disqus

Recherches récentes :
A B C D E F G H I J K L M N O P Q R S T U V W X Y Z Others

©2014 Technology Evaluation Centers Inc. All rights reserved.