La responsabilité pénale des dirigeants d’agence en cas de fraude
La loi Sarbanes-Oxley, pour les entreprises cotées aux Etats-Unis et leurs filiales, engage la responsabilité civile et pénale des directions générale et financière en cas de manipulation des données comptables. La fiabilité et l’inviolabilité des données sont ainsi devenues des points d’audit primordiaux dans tous les pays, qui peuvent même amener les commissaires aux comptes à refuser de les certifier !
Il est donc indispensable d’établir qui est autorisé à faire quoi dans le système de gestion : la personne qui saisit une information ne peut pas être celle qui la valide, les mots de passe ne doivent pas être génériques, chaque action doit être contrôlée par un responsable identifié, etc. Un paramétrage sans doute chronophage, mais incontournable.
Les états de contrôle pour gagner du temps
Dans le cadre d’un audit, les workflows et processus doivent pouvoir être extraits de l’ERP à la demande, notamment « lorsque les auditeurs veulent connaître les personnes habilitées à créer des bons de commande, l’ensemble des fiches clients modifiées entre deux dates ou les droits de tel ou tel comptable », explique Viviane Venchiarutti, directrice de projets Inedee. « C’est là que les états de contrôle automatiques font toute la différence ». Non seulement on fournit l’information rapidement mais en plus, elle provient directement du système et non d’un fichier Word ou Excel. Par ailleurs, l’historique (date et heure) des accès et modifications de documents doit être inviolable.
La direction générale doit consulter régulièrement ces états de contrôle, pour ajuster les droits d’accès de l’ancien stagiaire ou des nouveaux commerciaux. « On peut paramétrer l’envoi de ces états tous les mois, par exemple, pour avoir l’esprit serein », conseille Viviane Venchiarutti.