Loi Sarbanes-Oxley

Ambitieuse et destinée à rappeler les grandes réformes de Roosevelt dans la banque et la finance, la loi est votée dans le contexte très particulier qui suit le krach boursier de 2001-2002, sur fond de crise de la dette des entreprises et de faillites retentissantes touchant les groupes Enron et WorldCom. C'est la manipulation des données comptables qui est à l'origine de ces scandales financiers. Des milliers d'investisseurs ont perdu toutes leurs économies à la suite de ces comportements frauduleux. Il faut rappeler que le système de retraite américain est financé en grande partie par des fonds de pension. À la suite de ces événements, un traumatisme s'est installé au sein de la population entrainant la perte de confiance des ménages dans le système capitaliste. Le gouvernement a donc dû réagir rapidement pour faire face à cette menace et c'est dans ce contexte que la loi Sarbanes-Oxley a été votée.

Cette loi a créé un consensus au sein du congrès et du sénat américain. Le 25 juillet 2002 elle fut adoptée à la quasi unanimité par ces derniers et officiellement promulguée par le président George W. Bush le 30 juillet 2002.

La loi se compose de six parties :

• Certification des comptes : Pour mettre le directeur général et le directeur financier face à leurs responsabilités, la loi leur impose de certifier les états financiers. Ceux-ci devant être datés et signés.
• Contenu des rapports : La Securities and Exchange Commission (SEC) oblige les entreprises à publier des informations complémentaires dans un souci de fiabilité et de diffusion. Ces informations complémentaires comprennent notamment les engagements hors bilan, le rapport du commissaire aux comptes et toutes autres informations supplémentaires nécessitant d'être précisées. Un rapport sur l'audit interne et sur le code éthique adopté par l'entreprise doivent également être rédigé par le dirigeant.
• Contrôle de la SEC : Cette loi précise que la SEC se chargera de vérifier le bon comportement des sociétés cotées et cette vérification devra être effectuée au moins tous les trois ans.
• Comité d'audit et règles d'audit : Un comité d'audit est nommé pour choisir, désigner, rémunérer et superviser les auditeurs. Il se charge de mettre en place des procédures pour traiter les réclamations qui remettent en cause la comptabilité, les contrôles internes et l'audit. Il doit également préserver la confidentialité des observations faites par le personnel sur les problèmes comptables et audit de l'entreprise. De plus, la loi réglemente l'intervention des auditeurs externes. Elle précise que ceux-ci ne peuvent intervenir dans un cadre autre que leur mission principale. L'entreprise ne peut conserver les mêmes auditeurs externes pendant plusieurs années.
• Création du Public Company Accounting Oversight Board (PCAOB) : C'est un nouvel organisme de réglementation et de surveillance créé dans le but de superviser les cabinets d'audit, établir des normes, inspecter et sanctionner le cas échéant les personnes physiques ou morales aux comportements déviants.
• Sanctions : Cette loi précise également les sanctions pénales retenues contre les personnes ne respectant pas le cadre de la loi. Par exemple une falsification des états financiers est passible d'une amende d'un million de dollars ou peut être punie par une peine de dix ans de réclusion ou plus.

Cette loi oblige aussi à mettre en œuvre un contrôle interne s'appuyant sur un cadre conceptuel. En pratique le COSO est le référentiel le plus utilisé.

Une des premières critiques sinon la plus importante est le coût engendré par cette nouvelle loi. En voulant respecter la loi, beaucoup d'entreprises n'arrivent pas à maintenir leurs coûts à un niveau raisonnable. Cette loi a également un effet pervers. Une entreprise connaissant des difficultés aura plus d'informations à fournir ce qui engendre des coûts supplémentaires et la défavorise encore plus. Avant de procéder à quelque opération de redressement, il faut suivre toute une démarche, qui commence par le signalement au système de registre suivi d'une demande d'autorisation au supérieur hiérarchique. Quelques jours plus tard la commission d'évaluation, après réflexion donne son aval ou non pour procéder.

L'autre critique émise envers cette loi est qu'elle n'a pas eu l'effet attendu. Cette loi avait été créée pour éviter les scandales financiers comme Enron et WorldCom or elle n'a pas permis d'éviter la crise des subprimes, celle des dettes souveraines ni même les scandales comme l'affaire Madoff.

Les systèmes d'information doivent également se transformer notamment à cause des sections 409 « Real Time Issuer Disclosure » et 404 « Management Assessment of Internal Controls ».

• La section 409 oblige, entre autres, les entreprises à être en mesure de clore leurs comptes le plus rapidement possible (deux jours).
• La section 404 est, quant à elle, beaucoup plus contraignante. Celle-ci impose aux entreprises de mettre en place des contrôles interne dont l'efficacité devra être démontrée.

En outre, ces contrôles portent sur :

• La gestion des mots de passe : niveau de sécurité, changement à intervalle régulier ;
• Le réseau informatique : vérification de l'authentification des accès, protection du réseau par deux pare-feux, contrôle des accès à internet et bon usage d'internet, révocation des accès en cas de départ de l'employé ;
• La gestion des antivirus : analyse virale, contrôle des mises à jour ;
• La sécurité des ERP : contrôle des accès, longs mots de passe, restriction de l'accès des données aux utilisateurs ;
• Les sauvegardes : régulières, tests de restauration ;
• La gestion des vulnérabilités ;
• La protection des bâtiments ;
• La sécurité physique : mise en place de zones à accès restreints, enregistrement des visiteurs.

Nombre d'entreprises se sont tournées vers une infrastructure COBIT qui détaille l'évaluation des contrôles TI. En effet, l'activité Ensure Systems Security s'adapte particulièrement à la loi Sarbanes-Oxley. Son principal objectif étant de « fournir des contrôles protégeant l'information contre toute utilisation, divulgation ou modification non autorisée et contre tout dommages ou pertes à l'aide de contrôles ».

Dans le cadre de la loi Sarbanes-Oxley toutes les entreprises américaines cotées ont l'obligation de présenter à la SEC des comptes certifiés par leur représentant. Cependant, cette loi n'influence pas que les entreprises américaines. En effet, il en va de même pour les entreprises européennes qui ont des intérêts liés aux États-Unis c'est-à-dire par exemple les sociétés qui ont des filiales aux États-Unis ou encore les sociétés qui ont des relations commerciales avec des entreprises américaines. Elle a également influencé la loi de sécurité financière mise en place par le gouvernement français.