La séparation des tâches (SOD) dans l’audit est l’idée d’exiger que plus d’une personne accomplisse certaines tâches clés pour prévenir la fraude et les erreurs.
La séparation des tâches est un élément fondamental des contrôles internes. Le principe fondamental qui sous-tend la séparation des tâches est qu’aucune personne ou groupe d’employés ne devrait être en mesure de commettre et de dissimuler des erreurs ou des fraudes dans leurs emplois quotidiens.
Selon la taille et la nature d’une entreprise, les titres d’emploi et les structures organisationnelles réels peuvent varier considérablement d’une entreprise à l’autre.
Sous le concept de SOD, les tâches critiques pour l’entreprise peuvent être classées en quatre types de fonctions:
- Autorisation
- Garde
- Tenue de dossiers
- Réconciliation
Dans un système parfait, aucune personne ne doit gérer plus d’un type de fonction.
Le concept général de SOD est d’empêcher une personne d’avoir accès aux biens ainsi que la responsabilité de maintenir la responsabilité de ces biens. Essentiellement, SOD favorise le partage des responsabilités d’un processus clé qui disperse les fonctions critiques de ce processus à plus d’une personne, d’un département ou d’une entreprise.
La séparation des tâches est une question clé pour les organisations afin de garantir le respect des lois et des règlements. L’importance de SOD découle de la considération que le fait de donner à une seule personne le contrôle complet d’un processus d’affaires ou d’un actif peut exposer une entreprise à des risques.
Par conséquent, l’application de la SOD est un élément de contrôle important à l’appui de la mise en œuvre d’une stratégie efficace de gestion des risques.
Bien qu’il n’existe pas de norme d’audit du contrôle interne ou de dicton comptable qui prescrit des exigences spécifiques en matière de SOD, le maintien d’un système de contrôles internes efficaces nécessite une séparation appropriée des tâches.
Pour que les contrôles internes soient efficaces, il doit y avoir une répartition adéquate des responsabilités entre les personnes qui gèrent les actifs et celles qui exécutent des activités de contrôle ou des procédures comptables.
En général, les organisations doivent concevoir le travail de traitement des transactions et les tâches connexes de sorte que le travail d’une personne soit indépendant du travail d’une autre personne ou sert de contrôle sur celui-ci.
Cela réduit les risques d’erreurs non détectées et limite les possibilités de détournement d’actifs ou de dissimulation d’inexactitudes intentionnelles dans les états financiers d’une entreprise. SOD agit pour dissuader la fraude et empêcher une personne de dissimuler des erreurs parce qu’une personne devrait obtenir la coopération d’une autre personne pour dissimuler ces activités.
SOD est bien connu dans les systèmes de comptabilité financière. Les organisations de toutes tailles comprennent qu’elles ne doivent pas combiner les rôles, tels que la réception des paiements sur les comptes et l’approbation des radiations, le dépôt d’espèces et le rapprochement des relevés bancaires, etc.
Bien que la SOD soit relativement nouvelle pour la plupart des départements des technologies de l’information (TI), de nombreux problèmes d’audit interne de Sarbanes-Oxley (SOX) proviennent des TI. SOX, qui a été adopté en 2002, aide à protéger les investisseurs contre les informations financières frauduleuses des sociétés.
Dans les systèmes d’information, la séparation des tâches aide à réduire les dommages potentiels causés par les actions d’une seule personne. Selon la Matrice de contrôle de la séparation des tâches de l’ISACA, les entreprises ne devraient pas combiner certaines tâches en une seule position.
Cependant, la matrice n’est pas une norme de l’industrie, mais plutôt une ligne directrice générale indiquant quelles positions doivent être séparées et lesquelles nécessitent des contrôles compensateurs lorsqu’elles sont combinées. Les contrôles compensatoires sont des contrôles internes destinés à réduire le risque d’une faiblesse de contrôle existante ou potentielle.
Lorsqu’une organisation est incapable de séparer les tâches, elle devrait mettre en place des contrôles compensateurs. Si une personne peut effectuer et dissimuler des erreurs et / ou des irrégularités dans son travail quotidien, on lui a assigné des tâches qui ne sont pas compatibles avec SOD. Il existe plusieurs mécanismes de contrôle interne qui peuvent aider une entreprise à faire respecter la séparation des tâches:
- Les pistes d’audit permettent aux auditeurs de recréer le flux de transaction réel de son origine à son existence sur un fichier d’audit mis à jour. Une bonne piste de vérification devrait fournir des informations sur qui a initié l’opération, l’heure et la date de l’entrée, le type d’entrée, les champs d’information qu’elle contenait et les fichiers qu’elle a mis à jour.
- Les superviseurs doivent traiter les rapports d’exception, étayés par des preuves indiquant que les exceptions sont traitées correctement et en temps opportun. Généralement, la signature de la personne qui prépare le rapport est requise.
- Une organisation doit tenir à jour un journal manuel ou automatisé des transactions du système ou des applications enregistrant toutes les commandes du système traitées ou les transactions des applications.
- Une entreprise devrait employer quelqu’un pour effectuer un examen indépendant, ce qui peut aider à détecter les erreurs et les irrégularités dans les états financiers, par exemple.
Les organisations devraient appliquer une SOD appropriée en exigeant une séparation des tâches entre individus ou groupes d’individus. Il existe plusieurs niveaux de séparation des tâches:
- SOD par individus (SOD au niveau individuel): C’est le niveau traditionnel et le plus élémentaire de séparation des tâches. Dans ce cas, le gazon est obtenu en demandant à différentes personnes d’effectuer des tâches différentes. Par exemple, un gestionnaire autorise un travailleur à effectuer un paiement.
- SOD par fonctions ou unités organisationnelles (SOD au niveau de l’unité): À ce niveau, différentes fonctions, c’est-à-dire les départements, exécutent les tâches séparées. Par exemple, le service commercial peut préparer une offre et la fonction de gestion des risques la signe.
- GAZON par entreprises (GAZON au niveau de l’entreprise): À ce niveau, différentes entités juridiques sont tenues d’effectuer des opérations. Par exemple, la société contrôlante pourrait devoir autoriser des investissements effectués par une filiale. Un autre exemple de SOD au niveau de l’entreprise est un audit tiers.
Étant donné que le SOD est un contrôle interne, une organisation devrait le considérer dans le cadre de ses activités de gestion des risques. Une entreprise doit analyser en profondeur les processus métier et faire des choix quant à la détection et à la résolution des conflits potentiels.
Si des conflits persistent, l’organisation doit mettre en place des contrôles compensatoires pour gérer les risques associés de manière appropriée. Plus important encore, la SOD exige qu’une organisation ait une compréhension claire des personnes impliquées, de leurs rôles et de tout conflit potentiel.