• Accueil / Salesforce / Conformité SOX et…
, Conformité SOX et rapports financiers pour Salesforce<span class="wtr-time-wrap after-title"><span class="wtr-time-number">2</span> minutes de lecture</span>

Conformité SOX et rapports financiers pour Salesforce2 minutes de lecture


La loi Sarbanes-Oxley a été adoptée il y a près de 20 ans, et bien que la lettre de la loi n’ait pas changé, la façon dont elle est appliquée et son champ d’application l’ont été. D’une part, ce n’est pas surprenant – SOX est à un niveau un ensemble de réglementations sur la technologie, et à mesure que la technologie évolue, le cadre réglementaire dans lequel il existe doit s’adapter en conséquence. D’un autre côté, cela crée une incertitude pour les équipes travaillant avec cette technologie dans des environnements réglementés.

C’est quelque chose que nous voyons tout le temps dans notre travail avec les administrateurs Salesforce et la direction informatique dans les entreprises pré-IPO et publiques. Au fur et à mesure que la plate-forme évolue, il reste une confusion considérable quant à savoir si, et dans quelle mesure, Salesforce est dans le champ d’application.

, Conformité SOX et rapports financiers pour Salesforce<span class="wtr-time-wrap after-title"><span class="wtr-time-number">2</span> minutes de lecture</span>

Dans cet article, nous examinerons cinq tendances que nous observons qui incitent les auditeurs à se concentrer sur votre organisation Salesforce et comment cela peut vous impacter. Tout d’abord, un peu de contexte sera utile.

Qu’est-ce que SOX ?

La loi Sarbanes-Oxley de 2002, également connue sous le nom de Corporate and Auditing Accountability, Responsibility and Transparency Act, a été la principale réponse législative des États-Unis à une série de scandales comptables très médiatisés (Enron, WorldCom, etc.) au début années 2000.

SOX a établi un ensemble de normes générales pour la gouvernance financière et la responsabilité dans les entreprises publiques et, dans une capacité plus limitée, certaines sociétés privées. Il a créé de nouvelles exigences plus strictes en matière de tenue de dossiers et de divulgation, et a imposé des sanctions plus sévères en cas de fraude et d’autres violations.

Entre autres choses, la section SOX 404 a introduit de nouvelles exigences en matière de sécurité des données et des informations, de gestion des accès et de contrôle des modifications autour de tout logiciel pouvant avoir un impact sur les enregistrements financiers, les données et les processus métier critiques.

Pourquoi Salesforce ? Et pourquoi maintenant ?

Pour des raisons évidentes, les plateformes de comptabilité/ERP comme NetSuite ont toujours été à la portée de SOX. Ce que nous constatons maintenant, c’est que les auditeurs commencent également à se concentrer sur Salesforce.

Pourquoi? D’après notre expérience, cela se résume à cinq tendances principales :

1. Cloud de revenus et applications associées

L’incroyable croissance de Salesforce au cours des dernières années a créé un solide écosystème d’applications pour prendre en charge de nouveaux cas d’utilisation. Et plus d’applications signifie une plus grande possibilité qu’un changement dans l’une de ces applications puisse avoir un impact sur les données financières.

Nous le voyons le plus clairement dans Revenue Cloud, où les applications de facturation et CPQ stockent les règles concernant les produits, les prix, les remises, les flux de travail d’approbation, etc. en tant que données de configuration (de nombreuses autres applications tierces le font également). Les auditeurs voudront voir comment vous contrôlez les modifications apportées à ces données ; ils voudront voir que vous êtes au courant, par exemple, si un administrateur modifie une règle de tarification ou d’approbation avancée sans autorisation.

2. Croissance de la plate-forme

La tendance numéro deux est essentiellement une extension du numéro un. L’un des principaux arguments de vente de Salesforce est qu’il est hautement configurable. Il n’est donc pas surprenant que, pour de nombreuses organisations, il s’agisse de bien plus qu’un CRM. Nous avons vu Salesforce utilisé pour tout, de la gestion de projet aux services professionnels, et il est devenu de plus en plus verticalisé pour des applications spécialisées telles que les soins de santé, les sciences de la vie et la fabrication.

L’essentiel est que plus la plate-forme est large – et plus les données critiques y sont stockées – plus elle est susceptible d’avoir un impact en aval sur les rapports financiers.

, Conformité SOX et rapports financiers pour Salesforce<span class="wtr-time-wrap after-title"><span class="wtr-time-number">2</span> minutes de lecture</span>

3. Intégrations ERP automatisées

La croissance des outils iPaaS contribue également à la concentration accrue des auditeurs sur Salesforce. Désormais, une grande partie du processus d’opportunité d’encaisser se déroule sur la plate-forme ; dans de nombreux cas, ces données sont automatiquement envoyées au grand livre dans un ERP, prêtes à être enregistrées.

L’intégration manuelle entre les systèmes CRM et ERP nécessite un degré de surveillance humaine qui peut suffire à satisfaire les auditeurs – en d’autres termes, si quelqu’un exporte et importe lui-même des données, il peut théoriquement confirmer si elles sont exactes ou non. Mais si, comme c’est de plus en plus courant, le processus est automatisé via une plate-forme d’intégration comme Mulesoft, un contrôle n’est plus en place, et les auditeurs voudront voir que les changements sont correctement gérés d’où proviennent les données.

4. Processus de bout en bout

La plupart des entreprises publiques restreignent strictement les personnes autorisées à accéder à leurs organisations de production et disposent de processus d’approbation formels pour les modifications. Cependant, les auditeurs sont plus préoccupés par les changements que vous ne connaissez pas – ceux qui ont ignoré le processus CI/CD (intégration continue/livraison continue) ou ont eu un impact inattendu (potentiellement malveillant) sur les finances ou la fiabilité du système.

Un bon exemple de ceci est la modification d’une liste de sélection. Ce qui semble être un simple changement peut potentiellement entraîner un traitement incorrect des données par le code dépendant, ou entraîner le saut complet d’un enregistrement pertinent. Un exemple plus sinistre est un « œuf de Pâques » infiltré dans un code qui touche des enregistrements sensibles ou des informations personnelles.

Il est essentiel de disposer d’outils et de systèmes pour prouver à vos auditeurs que tous les changements affectant les processus critiques ont été approuvés avant leur publication et que les implications des changements ont été comprises. Si vous n’êtes pas très prudent et systématique, ces problèmes pourraient potentiellement amener tous les changements dans la portée de SOX, augmentant la charge de travail de conformité et réduisant l’efficacité de l’équipe de développement.

, Conformité SOX et rapports financiers pour Salesforce<span class="wtr-time-wrap after-title"><span class="wtr-time-number">2</span> minutes de lecture</span>

5. Sensibilisation des auditeurs

En ce qui concerne SOX, en fin de compte, vous devez vous soucier de ce dont vos auditeurs vous disent de vous soucier. Et à mesure que les auditeurs internes et externes se familiariseront avec la plate-forme Salesforce (ce que vous pouvez en faire, à quoi elle se connecte et comment elle est gérée), ils vont commencer à poser plus de questions.

D’après notre expérience, plus que tout, c’est la communauté d’audit de plus en plus férue de technologie et consciente de Salesforce qui est le principal moteur de l’attention accrue portée à SOX.

Conformité SOX dans Salesforce

Pour les développeurs, les administrateurs et les responsables informatiques de Salesforce, la conformité SOX pour Salesforce se résume à quelques concepts clés : l’auditabilité et la délégation de tâches dans les déploiements.

L’auditabilité consiste à apporter une visibilité sur qui change quoi et quand dans Salesforce. Cela donne aux auditeurs la possibilité de suivre et de tracer les modifications apportées dans votre organisation Salesforce qui pourraient être considérées comme ayant un impact sur les rapports financiers.

La délégation de tâches consiste à s’assurer que les développeurs qui écrivent le code sont différents des personnes qui déploient le code. Ceci est destiné à protéger une organisation contre l’entrée de code non contrôlé dans Salesforce qui pourrait affecter les rapports financiers qui en sortent.

Les auditeurs sont principalement concernés par trois choses : les contrôles d’accès, les métadonnées et les données de configuration. Ce qui est essentiel, cependant, c’est que tout n’est pas à la portée de SOX, les auditeurs ne se soucient que de ce qui est lié aux processus commerciaux critiques ou aux données et objets liés à la comptabilisation des revenus.

Alors, qu’est-ce que tu peux faire?

Auditabilité avec contrôle de source

Les options de maintien de l’auditabilité pour la configuration dans Salesforce sont quelque peu limitées. Vous pouvez télécharger la piste d’audit Salesforce tous les quelques mois, mais une meilleure option serait de configurer un outil de contrôle de source pour Salesforce. Cela peut être quelque chose comme Bitbucket, GitHub ou un outil spécifique à Salesforce. Les systèmes de gestion de contrôle de source vous permettent de conserver une source unique de vérité, de fusionner le code sans conflits et de faciliter la collaboration et l’automatisation.

, Conformité SOX et rapports financiers pour Salesforce<span class="wtr-time-wrap after-title"><span class="wtr-time-number">2</span> minutes de lecture</span>

Délégation de tâches

Une partie de la conformité SOX consiste à s’assurer que le développeur qui apporte des modifications n’est pas la même personne qui déploie ces modifications en production. Cela peut être difficile à réaliser pour les petites équipes, celles qui n’ont pas de suivi ou de contrôle de version, et ne commençons même pas avec celles qui apportent des modifications en production !

Les options incluent :

  • Limiter l’accès à votre organisation de production
  • Toutes les modifications doivent passer par un processus de révision des modifications commençant dans un bac à sable
  • Le code doit être revu et approuvé par quelqu’un qui n’a pas écrit le code
  • Envisagez d’investir dans un outil de gestion des versions modifiées pour Salesforce
, Conformité SOX et rapports financiers pour Salesforce<span class="wtr-time-wrap after-title"><span class="wtr-time-number">2</span> minutes de lecture</span>

Travailler avec un auditeur

Travaillez directement avec votre auditeur pour examiner votre environnement Salesforce et déterminer ce qui est et ce qui ne l’est pas. Dans certaines organisations, vous devrez peut-être suivre uniquement les types tels que les classes Apex. Dans d’autres, vous devrez incorporer une liste plus longue comprenant des déclarations, des modifications d’accès et des données.

Les équipes qui prennent activement le temps de s’asseoir avec leur auditeur et d’obtenir des éclaircissements sur l’étendue des changements qui nécessitent un suivi, ont beaucoup plus de facilité à la saison des audits. Travailler avec votre auditeur peut vous assurer de vous concentrer sur les domaines qui comptent et de réduire le temps nécessaire pour terminer l’audit.

, Conformité SOX et rapports financiers pour Salesforce<span class="wtr-time-wrap after-title"><span class="wtr-time-number">2</span> minutes de lecture</span>

Sommaire

La plate-forme Salesforce met la conformité SOX à portée de main, mais nous constatons que les équipes Salesforce recherchent de plus en plus des outils leur permettant de gagner du temps et de renforcer le processus. Découvrez ce court article sur le avantages et inconvénients de la préparation de SOX à l’aide de la piste d’audit de configuration et du suivi de l’historique des champs qui va dans ce plus en détail.

Les équipes Salesforce doivent trouver des moyens de traiter ces changements avec plus de rigueur tout en continuant à innover rapidement ailleurs sur la plate-forme. Et c’est exactement ce que fait notre produit, Strongpoint. Si vous souhaitez savoir comment il peut automatiser ce travail difficile et réduire le temps de préparation des audits jusqu’à 90 %, consultez notre site Internet!



Source de l’article traduit automatiquement en Français

Besoin d'aide ?
Vous utilisez Pardot depuis un certain temps mais vous n'êtes pas sûr d'en
exploiter tout le potentiel

Notre analyse de votre Pardot offerte dès aujourd'hui
Merci, vous pouvez compléter notre questionnaire
Nous allons revenir vers vous rapidement !

Fermer