Loi Sarbanes-Oxley

Cet article ne cite pas suffisamment ses sources (décembre 2023).

Si vous disposez d'ouvrages ou d'articles de référence ou si vous connaissez des sites web de qualité traitant du thème abordé ici, merci de compléter l'article en donnant les références utiles à sa vérifiabilité et en les liant à la section « Notes et références ».

En pratique : Quelles sources sont attendues ? Comment ajouter mes sources ?

Pour les articles homonymes, voir SOX.

Loi Sarbanes-Oxley

Données clés

Présentation

Titre	« Loi visant à protéger les investisseurs en améliorant l'exactitude et la fiabilité des publications des entreprises conformément aux lois sur les valeurs mobilières, ainsi qu'à d'autres fins apparentées. »
Abréviation	SOX, Sarbox, ou SOA
Référence	Public Law 107-204
Pays	États-Unis
Langue(s) officielle(s)	Anglais
Type	Loi fédérale du Congrès des États-Unis

Adoption et entrée en vigueur

Signature	30 juillet 2002

Lire en ligne

Texte en anglais sur Wikisource

modifier

Aux États-Unis, la loi de 2002 sur la réforme de la comptabilité des sociétés cotées et la protection des investisseurs est une loi fédérale, votée par le Congrès, imposant de nouvelles règles sur la comptabilité et la transparence financière. Elle fait suite aux différents scandales financiers révélés dans le pays au début des années 2000, tels ceux d'Enron et de Worldcom. Le texte est couramment appelé « loi Sarbanes-Oxley », du nom de ses promoteurs : le sénateur Paul Sarbanes et le député Mike Oxley. Ce nom peut être abrégé en « SOX », « Sarbox », ou « Sarbane Oxley Act ».

Cette loi a pour objectif d'accroître la responsabilité des entreprises, de rendre la communication de l'information financière plus fiable et de lutter contre les comportements déviants et frauduleux des entreprises. Cette loi est d'autant plus importante que c'est une des seules lois fédérales encadrant le système comptable américain. En effet, les principes comptables (les Generally Accepted Accounting Principles, ou US GAAP) aux États-Unis sont développés par un organisme à but non lucratif et non gouvernemental, le Financial Accounting Standards Board (FASB). Les US GAAP ne sont qu'un cadre conceptuel qui donnent des objectifs généraux.

Ambitieuse et destinée à rappeler les grandes réformes de Roosevelt dans la banque et la finance, la loi est votée dans le contexte très particulier qui suit le krach boursier de 2001-2002, sur fond de crise de la dette des entreprises et de faillites retentissantes touchant les groupes Enron et WorldCom. C'est la manipulation des données comptables qui est à l'origine de ces scandales financiers. Des milliers d'investisseurs ont perdu toutes leurs économies à la suite de ces comportements frauduleux. Il faut rappeler que le système de retraite américain est financé en grande partie par des fonds de pension. À la suite de ces événements, un traumatisme s'est installé au sein de la population, entrainant la perte de confiance des ménages dans le système capitaliste. Le gouvernement a donc dû réagir rapidement pour faire face à cette menace et c'est dans ce contexte que la loi Sarbanes-Oxley a été votée.

Cette loi a créé un consensus au sein du Congrès et du Sénat américain. Le 25 juillet 2002, elle fut adoptée à la quasi-unanimité par ces derniers et officiellement promulguée par le président George W. Bush le 30 juillet 2002.

La loi se compose de six parties :

• Certification des comptes : Pour mettre le directeur général et le directeur financier face à leurs responsabilités, la loi leur impose de certifier les états financiers. Ceux-ci devant être datés et signés.
• Contenu des rapports : La Securities and Exchange Commission (SEC) oblige les entreprises à publier des informations complémentaires dans un souci de fiabilité et de diffusion. Ces informations complémentaires comprennent notamment les engagements hors bilan, le rapport du commissaire aux comptes et toutes autres informations supplémentaires nécessitant d'être précisées. Un rapport sur l'audit interne et sur le code éthique adopté par l'entreprise doit également être rédigé par le dirigeant.
• Contrôle de la SEC : Cette loi précise que la SEC se chargera de vérifier le bon comportement des sociétés cotées et cette vérification devra être effectuée au moins tous les trois ans.
• Comité d'audit et règles d'audit : Un comité d'audit est nommé pour choisir, désigner, rémunérer et superviser les auditeurs. Il se charge de mettre en place des procédures pour traiter les réclamations qui remettent en cause la comptabilité, les contrôles internes et l'audit. Il doit également préserver la confidentialité des observations faites par le personnel sur les problèmes comptables et audit de l'entreprise. De plus, la loi réglemente l'intervention des auditeurs externes. Elle précise que ceux-ci ne peuvent intervenir dans un cadre autre que leur mission principale. L'entreprise ne peut conserver les mêmes auditeurs externes pendant plusieurs années.
• Création du Public Company Accounting Oversight Board (PCAOB) : C'est un nouvel organisme de réglementation et de surveillance créé dans le but de superviser les cabinets d'audit, établir des normes, inspecter et sanctionner le cas échéant les personnes physiques ou morales aux comportements déviants.
• Sanctions : Cette loi précise également les sanctions pénales retenues contre les personnes ne respectant pas le cadre de la loi. Par exemple une falsification des états financiers est passible d'une amende d'un million de dollars ou peut être punie par une peine de dix ans de réclusion ou plus.

Cette loi oblige aussi à mettre en œuvre un contrôle interne s'appuyant sur un cadre conceptuel. En pratique le COSO est le référentiel le plus utilisé.

Une des premières critiques sinon la plus importante est le coût engendré par cette nouvelle loi. En voulant respecter la loi, beaucoup d'entreprises n'arrivent pas à maintenir leurs coûts à un niveau raisonnable. Cette loi a également un effet pervers. Une entreprise connaissant des difficultés aura plus d'informations à fournir ce qui engendre des coûts supplémentaires et la défavorise encore plus. Avant de procéder à quelques opérations de redressement, il faut suivre toute une démarche, qui commence par le signalement au système de registre suivi d'une demande d'autorisation au supérieur hiérarchique. Quelques jours plus tard, la commission d'évaluation, après réflexion, donne son aval ou non pour procéder.

L'autre critique émise envers cette loi est qu'elle n'a pas eu l'effet attendu. Cette loi avait été créée pour éviter les scandales financiers comme Enron et WorldCom or elle n'a pas permis d'éviter la crise des subprimes, celle des dettes souveraines ni même les scandales comme l'affaire Madoff.

Les systèmes d'information doivent également se transformer notamment à cause des sections 409 « Real Time Issuer Disclosure » et 404 « Management Assessment of Internal Controls ».

• La section 409 oblige, entre autres, les entreprises à être en mesure de clore leurs comptes le plus rapidement possible (deux jours).
• La section 404 est, quant à elle, beaucoup plus contraignante. Celle-ci impose aux entreprises de mettre en place des contrôles internes dont l'efficacité devra être démontrée.

En outre, ces contrôles portent sur :

• La gestion des mots de passe : niveau de sécurité, changement à intervalle régulier ;
• Le réseau informatique : vérification de l'authentification des accès, protection du réseau par deux pare-feux, contrôle des accès à internet et bon usage d'internet, révocation des accès en cas de départ de l'employé ;
• La gestion des antivirus : analyse virale, contrôle des mises à jour ;
• La sécurité des ERP : contrôle des accès, longueur des mots de passe, restriction de l'accès des données aux utilisateurs ;
• Les sauvegardes : régulières, tests de restauration ;
• La gestion des vulnérabilités ;
• La protection des bâtiments ;
• La sécurité physique : mise en place de zones à accès restreints, enregistrement des visiteurs.

Nombre d'entreprises se sont tournées vers une infrastructure COBIT qui détaille l'évaluation des contrôles TI. En effet, l'activité Ensure Systems Security s'adapte particulièrement à la loi Sarbanes-Oxley. Son principal objectif étant de « fournir des contrôles protégeant l'information contre toute utilisation, divulgation ou modification non autorisée et contre tous dommages ou pertes à l'aide de contrôles ».

Dans le cadre de la loi Sarbanes-Oxley toutes les entreprises américaines cotées ont l'obligation de présenter à la SEC des comptes certifiés par leur représentant. Cependant, cette loi n'influence pas que les entreprises américaines. En effet, il en va de même pour les entreprises européennes qui ont des intérêts liés aux États-Unis, c'est-à-dire par exemple les sociétés qui ont des filiales aux États-Unis ou encore les sociétés qui ont des relations commerciales avec des entreprises américaines. Elle a également influencé la loi de sécurité financière mise en place par le gouvernement français.

• En France : Loi relative aux nouvelles régulations économiques du 15 mai 2001, Loi de sécurité financière du 17 juillet 2003, Loi pour la confiance et la modernisation de l'économie du 26 juillet 2005.
• Foreign Corrupt Practices Act (1977, s'applique également à toute société, américaine ou non, cotée aux États-Unis)

• Portail du droit
• Portail de l’économie
• Portail des États-Unis
• Portail des années 2000