Tour d’horizon de la loi Sarbanes-Oxley

Malgré les échéances serrées et l’adoption de nouveaux processus, la mise en œuvre des contrôles imposés par la loi Sarbanes-Oxley fut une expérience enrichissante pour de nombreux CMA et leur entreprise. Les leçons tirées pourraient aider d’autres entreprises à s’adapter à la nouvelle réglementation canadienne.

par Robert Colman

Au cours de la dernière année, de nombreuses entreprises canadiennes et américaines ont clos leur premier exercice de l’ère de la conformité à la loi Sarbanes-Oxley (la SOX). Un des principaux défis qu’elles ont eu à relever a été de mettre en œuvre les dispositions de l’article 404 concernant les rapports sur les contrôles internes. Au moment où beaucoup d’entreprises canadiennes se préparent à se conformer au Règlement 52-111 sur les rapports sur le contrôle interne à l’égard de l’information financière, il m’a semblé tout indiqué de rencontrer un certain nombre de personnes qui ont participé de près à l’application de la SOX. Les leçons tirées par ces personnes et leurs entreprises devraient être un bon indicateur de ce qui s’en vient.

Apporter les changements

En 2004, Brad Witt, CMA, s’est joint au service de trésorerie du siège social de Dow Chemical, à Midland (Michigan). « Mon service, explique-t-il, tentait de synchroniser ses efforts de conformité aux exigences de la SOX avec ceux du reste de l’entreprise. Mon poste a été créé pour faire en sorte que le service de trésorerie de Dow applique, au niveau mondial, des contrôles internes “de pointe” et ait un repré-sentant pour appuyer la grande équipe SOX de Dow. »

Tandis que l’équipe de trésorerie du siège social progressait, l’ensemble de l’entreprise s’efforçait de satisfaire aux exigences de la SOX, qui, à l’époque, n’étaient toujours pas bien définies. « Il faut fournir beaucoup de documents dans le cadre de la SOX, ajoute Brad Witt, mais au tout début, les législateurs et les vérificateurs nous donnaient peu de directives parce qu’ils apprenaient en même temps que nous et manquaient eux aussi d’information. Les règles changeaient à mesure que les vérificateurs en savaient davantage.

« L’approche de Dow était de mettre en pratique ce qui semblait logique, puis de rectifier le tir après coup en fonction des nouvelles données transmises par les vérificateurs. Nous utilisions des logiciels qu’ils nous avaient fournis pour évaluer nous-mêmes les différentes méthodes de travail appliquées à l’échelle de l’entreprise. L’équipe de trésorerie a d’abord procédé de manière globale. Nous montions un dossier pour tous les contrôles et testions tout, de façon générale d’abord, puis de plus en plus précise. Nous avons commencé à documenter toutes les méthodes de travail comme la gestion des risques, les activités de financement ainsi que les transactions et la planification financières (flux de trésorerie, coordination des unités de risque, etc.). Nous devions tout analyser, puis définir les contrôles en place avant de les mettre à l’essai pour démontrer qu’ils fonctionnaient réellement. Nos logiciels nous ont aidés à gérer ce processus. »

Or, bien qu’efficace, cette méthode nécessitait l’application de tests à l’échelle du globe. « Nous avons rationalisé les processus, précise Brad Witt, de façon à avoir quatre principaux points de tests dans le monde. Nous obtenons ainsi l’information dont nous avons réellement besoin. Et même cette méthode est appelée à être perfectionnée. Pour le service de trésorerie et le reste de l’entreprise, nous voulons affiner le processus et mettre l’accent sur les “principaux” contrôles au lieu de tout tester. » Leur travail a abouti, en 2004, à une évaluation favorable des vérificateurs externes sur l’efficacité des contrôles internes de l’entreprise.

Brad Witt espère qu’avec les efforts investis dans les contrôles internes, les méthodes de travail internationales du service de trésorerie continueront à évoluer pour devenir les plus efficaces possible. « C’est le moment idéal d’apporter des modifications, soutient-il, car tous les employés, même au niveau de l’application de ces méthodes de travail, comprennent les conséquences de la SOX. Il est plus facile de faire accepter les changements dans cet environnement. »

Maintenant que tous les systèmes sont fonctionnels et que le service est en voie d’adopter un nouveau système informatique externe plus efficace, on peut pousser la réflexion encore plus loin. « Nous devons nous demander, avance Brad Witt, si nos activités de contrôle sont judicieuses. Les connaissances acquises tout au long du processus nous permettent d’exploiter à fond notre nouveau système informatique. »

En définitive, ce processus aura profité non seulement à l’entreprise, mais également à Brad Witt. « J’ai appris tout ce qu’il y a à savoir sur le cadre du COSO, termine-t-il, dont je n’avais aucune connaissance directe auparavant. Et maintenant, je comprends mieux les processus internationaux dans le domaine de la trésorerie. Nous avons eu beaucoup d’occasions de normaliser les processus des divers pays et de gagner en efficacité. Nous voyons également un avantage à plus long terme : comme Dow encourage la mobilité géographique de ses employés, l’entrée en fonction dans un nouveau poste sera facilitée, car tous les établissements utiliseront les mêmes processus. »

Brad Witt a récemment quitté l’entreprise et revient au Canada occuper un emploi dans les environs de Toronto.

Principaux contrôles à Inco

Dorothy Cayen, CMA, vice-présidente des services financiers à Inco, est responsable des transactions financières des établissements de l’entreprise au Canada et au Royaume-Uni. Février 2005 marquait la fin de la première année d’application de la SOX chez Inco.

« La charge de travail était énorme, affirme Dorothy Cayen. Nous avons fait beaucoup d’heures supplémentaires, mais nos efforts ont porté fruit. Nous avons réussi très tôt à respecter les exigences. »

Dorothy Cayen souligne qu’elle a beaucoup appris dans le processus, tout comme le reste de l’entreprise. « Nous nous sommes aperçus que nous pouvions mieux documenter nos procédures, précise-t-elle. Nous avons consigné et représenté sous forme de diagrammes tous nos principaux processus financiers. Maintenant, ces renseignements se trouvent tous à un même endroit et nous avons cerné tous nos principaux contrôles.

« Nous avons beaucoup d’employés de longue date qui détenaient des mines d’information. Bon nombre de nos méthodes de travail étaient déjà en place, mais le processus de confirmation des examens n’était pas aussi rigoureux. Par exemple, les rapprochements des comptes étaient passés en revue par nos superviseurs, mais certains n’étaient pas approuvés de façon officielle, alors que maintenant, conformément aux exigences de la SOX, ils le sont tous. »

Dorothy Cayen insiste sur l’importance d’avoir adopté le cadre du COSO pour appliquer la SOX en entreprise et bien comprendre « qui faisait quoi dans l’entreprise, et comment nos employés nous voyaient. Ainsi, les vérificateurs ont pu interroger bon nombre de nos employés à tous les échelons pour bien comprendre le ton donné par la direction. Les sondages portaient également sur l’engagement envers le rendement des employés, la philosophie et le style de gestion des dirigeants ainsi que l’attitude face à la fiabilité de l’information financière. En raison de changements fréquents dans notre industrie, chaque fois qu’un employé prenait sa retraite, les tâches étaient rationalisées sans que les descriptions de poste soient nécessairement révisées. Le cadre du COSO nous a aidés à réorienter cet aspect de nos activités en actualisant les descriptions de poste et en déterminant clairement les liens hiérarchiques. »

Par contre, la mise en œuvre ne s’est pas faite sans peine. Les échéances étaient serrées et la communication entre les directeurs, essentielle. « Chaque service comptait un représentant de la SOX qui s’assurait que tous les employés connaissaient les attentes, souligne Dorothy Cayen. Cela a été tout un casse-tête d’affecter du personnel à temps plein à la SOX alors que nos employés étaient déjà pris par leurs tâches habituelles et l’entreprise, considérablement rationalisée. »

L’entreprise a compris dès le début qu’elle aurait besoin d’aide extérieure. « Nous avons fait appel à KPMG, poursuit Dorothy Cayen, qui nous a affecté une équipe d’une taille respectable. Celle-ci nous a aidés à considérer les meilleures pratiques, à comprendre les exigences et à déterminer les principaux contrôles à mettre en place. Nous avons ciblé sept de nos principaux processus financiers, qui englobaient la majorité des travaux de mise en œuvre de la SOX. Nous avons passé en revue et documenté chacun de ces processus, puis testé tous nos principaux contrôles internes. Nous avons fait plusieurs recommandations créatrices de valeur, sur lesquelles nous travaillons encore. »

Lorsqu’on lui demande ce qui a été le plus important dans la mise en œuvre, Dorothy Cayen mentionne le soutien de la haute direction, la formation d’une équipe principale attitrée au projet et un soutien logiciel efficace. « Scott Hand, notre président du conseil et chef de la direction, a entièrement appuyé le projet dès que nous avons reçu le feu vert, ajoute-t-elle. Il a désigné un comité d’orientation et a soutenu que nous allions réussir. Notre équipe principale a joué un rôle essentiel tout au long du processus. La communication à l’échelle internationale a également été un élément critique : nous avons échangé des renseignements et appris de nos collègues dans le cadre de conférences téléphoniques.

« Nous avons utilisé un logiciel nommé CARD, qui nous a aidés à faire le suivi des tâches à effectuer pour réussir notre évaluation. Cette documentation s’est avérée essentielle. »

Inco tente actuellement d’augmenter le nombre de spécialistes de la SOX à l’interne en formant des experts d’après les secteurs fonctionnels plutôt que géographiques. L’entreprise tente de continuer sur sa lancée de normalisation et de rationalisation à l’échelle mondiale. « Nous comptons désormais plus de 10 000 employés dans le monde, explique Dorothy Cayen. Nous ne voulons pas réinventer la roue dans chaque établissement. »

Pour l’entreprise, il était également primordial de célébrer la réussite de la première mise en œuvre de la SOX. Lorsque Inco a réussi sa première évaluation, tous les établissements du monde ont célébré pour remercier l’ensemble des employés de leur travail. « Nous voulons nous assurer, termine Dorothy Cayen, de réussir nos évaluations SOX tous les ans et faire en sorte que tous les employés comprennent l’importance des principaux contrôles. Nous avons tous trimé pour mener ce projet à terme et nous tenions à le souligner. »

Participation de l’équipe

Joey Rogers, CMA, directeur de la certification SOX pour Tembec Inc., entreprise établie à North Bay (Ontario), gère la conformité à la SOX. « Comme nous sommes une entreprise de produits forestiers entièrement intégrée qui compte 10 000 employés dans 58 établissements du monde entier, précise-t-il, le processus a été difficile à gérer. Nous avons déjà défini les champs d’application, réuni la documentation et cerné les principaux processus et contrôles. Nous préparons maintenant des tests, qui seront suivis d’une phase de correction et de mise au point de nos contrôles. Nous sommes également en train de mettre en œuvre un nouveau système de conformité à la SOX appelé Apian qui servira à gérer les documents, les tests et, un jour, le déroulement des activités. Nous voulons être certains de réussir. »

À l’instar de bien d’autres entreprises, Tembec a jugé nécessaire de demander un soutien externe. « L’ampleur des travaux nécessite des ressources expertes à temps plein, en particulier pour la documentation et les tests, affirme Joey Rogers. Lorsqu’on est à l’interne, il est facile de ne pas déceler les faiblesses du contrôle parce qu’on est étroitement lié à l’environnement et que parallèlement, on essaie de bien comprendre les exigences de la SOX — tout en essayant de trouver un juste équilibre entre les problèmes opérationnels et la nécessité de se conformer à la SOX. »

La conformité est un donnant-donnant, bien sûr, car les vérificateurs eux-mêmes commencent à peine à maîtriser les processus. « Notre cabinet de vérification est déjà venu nous rencontrer pour nous demander comment nous abordions certains problèmes, de sorte que nous sommes tous en période d’apprentissage », explique Joey Rogers. C’est pourquoi Tembec a eu de la difficulté à trouver des ressources externes compétentes : en fait, elle a dû faire appel à des consultants américains pour certaines tâches.

Tembec a également eu recours au cadre du COSO et en entrevoit déjà les avantages potentiels. « Notre forte croissance, fruit de nombreuses acquisitions, nous complique la tâche lorsqu’il s’agit de voir les ressemblances d’une unité fonctionnelle à l’autre, ajoute Joey Rogers. Mais nous commençons à y arriver, ce qui nous permet de trouver de meilleures pratiques et des contrôles plus efficaces pour certaines papeteries — finalement, nous établissons des processus plus efficients. Nous estimons qu’il nous faudra environ 30 000 heures avant d’être parfaitement conformes à la SOX; au cours des six prochains mois, nous nous adjoindrons les services d’une trentaine de personnes de l’extérieur pour effectuer des tests. Cela dit, d’autres entreprises font appel à beaucoup plus de ressources, tant à l’interne qu’à l’externe. »

Joey Rogers estime qu’un des plus gros défis est d’amener l’entreprise à atteindre les objectifs de la SOX. « Il est essentiel, soutient-il, de communiquer avec tous les intervenants pour nous assurer qu’ils adoptent la SOX et comprennent que nous la mettons en place pour des raisons opérationnelles, et pas seulement financières. Pour que le programme soit couronné de succès, ces deux aspects doivent être gérés ensemble.» En ce qui concerne la gestion du projet, « le fait de devoir aborder et régler les questions qui se présentent tout en assurant la conformité à la SOX représente un gros défi, conclut-il. Nous utilisons jusqu’à 20 000 contrôles principaux à l’échelle de l’entreprise, et chacun d’entre eux a dû être soigneusement documenté, validé et testé ».

Objectif clair

Lynda Kitamura, CMA, vice-présidente, Finances et administration, et directrice financière de HP Canada, insiste sur l’approche internationale adoptée par son entreprise pour mettre en œuvre la SOX ainsi que sur l’importance d’un leadership ciblé.

« En tant que multinationale dont le siège social est en Californie, souligne-t-elle, HP doit s’assurer que toutes ses entreprises sont conformes à la SOX. Pour un groupe réalisant un chiffre d’affaires de 86 milliards de dollars et présente dans 170 pays, il est essentiel de coordonner et de diriger efficacement tout nouveau programme, à chacune des étapes. »

Le processus de la SOX est en fait une question de priorités, avance Lynda Kitamura. « Il faut réfléchir aux résultats à atteindre, aux processus essentiels et aux éléments à valider. Par exemple, le processus de clôture de l’exercice financier est le même partout, mais les systèmes de gestion des commandes peuvent varier selon les pays. Les entreprises doivent évaluer tous les processus et les contrôles qui influent sur leurs finances.

« Tout compte fait, la SOX est la chose sensée à faire : elle nous permet de mieux comprendre les processus de base et les principaux contrôles ainsi que de déterminer si ces contrôles supportent l’épreuve de tests rigoureux. »

Lynda Kitamura croit qu’un service relativement bien géré ne devrait pas avoir de difficulté à mettre en œuvre le processus : « Les services qui peinent à le faire ne sont probablement pas les mieux gérés, ou alors sont gérés de façon réactive et instinctive plutôt que méthodique et proactive. Si l’on compte 57 principaux points de contrôle pour une fonction, il est impossible de les connaître. Il sera également difficile de se conformer à la SOX si l’on ne sait pas quels sont les processus de base. Ce travail nous a plutôt permis de définir et d’articuler clairement les processus déjà en place. La préparation en vue de la fin de l’exercice a été exigeante, mais pas pénible. »

Pour Lynda Kitamura, le plus gros défi a été d’obtenir des services non financiers qu’ils accordent la priorité à ce projet. « Beaucoup de groupes sont touchés, explique-t-elle. Toutes les fonctions en cause doivent ajouter la conformité à la SOX dans leurs plans et leurs paramètres. Une entreprise qui ne répond pas aux normes de la SOX risque d’affaiblir sa position sur le marché. Il est essentiel d’obtenir la participation de tous. »

Le soutien des TI est important pour toutes les entreprises, mais l’obligation de gérer des rapports provenant du monde entier rend cet élément encore plus essentiel pour les multinationales. Les contrôles des processus de HP s’inspirent du cadre du COSO et utilisent un programme et un système d’application internationale.

« HP utilise un entrepôt de données pour créer un référentiel de suivi utilisé dans le monde entier et essentiel à la coordination de nos processus, poursuit Lynda Kitamura. Ce système, lié à des protocoles d’autorisation des approbations, établit un format standard utilisé partout dans le monde. Un processus est d’abord approuvé à l’échelle du pays, puis de la région et, enfin, de l’entreprise. Un des éléments importants pour coordonner cette mise en œuvre était de former un bureau de coordination dont la structure de communication permettrait de faire circuler l’information rapidement et efficacement afin de pouvoir parcourir les modifications avec les vérificateurs et de naviguer à notre gré dans le système en temps réel. Le processus peut être vraiment dynamique. »

Lorsqu’on lui demande si elle a des recommandations pour aider les autres entreprises qui mettent en œuvre des architectures de contrôle, Lynda Kitamura est catégorique : « Si vous avez de bons plans, tout se passera bien. Si vous affectez seulement quelques employés au projet et qu’ils sont les seuls à être évalués, ils auront de la difficulté à y arriver. Vous devez trouver un cadre qui vous convient. Prenez un peu de recul pour avoir une vue d’ensemble et comprendre ce que vous essayez d’accomplir en tant qu’entreprise. Si vous établissez les priorités de cette façon et que vous élaborez un plan d’action fondé sur des principes d’affaires clairs, vous serez en mesure de procéder à une mise en œuvre efficace des contrôles d’entreprise. »

Agir dès maintenant

Darren Jones, CMA, directeur adjoint du risque lié à la technologie chez Protiviti, croit que les entreprises canadiennes peuvent apprendre énormément des efforts déployés au pays et à l’étranger. « J’ai quelques clients qui ne sont même pas tenus de se conformer à la réglementation canadienne avant 2009, lance-t-il, mais qui suivent attentivement la situation aux États-Unis et sont proactifs. »

À l’inverse, il a également rencontré des entreprises qui doivent se conformer à la SOX avant juin 2006 et qui commencent à peine à rassembler leurs documents. « C’est une erreur fondamentale en gestion de projet, avance-t-il. Il faut éviter de laisser des projets sur le chemin critique trop longtemps afin d’intégrer les imprévus dans les plans. De telles entreprises peuvent seulement espérer que tout se passera bien. »

Darren Jones insiste pour dire qu’il est sage de se mettre à l’œuvre dès maintenant.

« La prochaine étape est la conformité en 2007, enchaîne-t-il. Les entreprises visées doivent examiner l’ensemble de leurs contrôles internes sur la planification financière. Elles doivent être en mesure d’évaluer ces contrôles financiers, disposer du niveau de compréhension nécessaire et détenir des documents définissant les contrôles principaux et secondaires. Les entreprises doivent aisément pouvoir se conformer au Règlement 52-109 et bien saisir le niveau d’efficacité de la conception de leurs contrôles, car elles devront fournir ces preuves au vérificateur pour se conformer au Règlement 52-111. Une entreprise qui, en 2006, connaît déjà ses contrôles internes sera prête pour les phases de test du Règlement 52-111. »

Pour évaluer l’efficacité de la conception, une entreprise doit simplement déterminer si le contrôle est approprié pour le niveau de risque. Il est essentiel de comprendre quels risques peuvent compromettre l’exactitude et l’exhaustivité de l’information financière, et de savoir si les contrôles appliqués sont appropriés. La prochaine étape consiste alors à évaluer l’efficacité du fonctionnement des contrôles, c’est-à-dire à voir si le contrôle examiné est appliqué comme prévu. Mais selon Darren Jones, ce n’est pas aussi simple qu’on pourrait le croire.

« Il arrive souvent, précise-t-il, que les entreprises se lancent dans un projet en croyant qu’elles comprennent l’environnement, pour se rendre compte ensuite que certains facteurs viennent compliquer les choses. Nombre d’entre elles jugent alors qu’un simple replâtrage fera l’affaire. En fait, cela ne fera que créer de nouveaux problèmes. »

Darren Jones a tiré des leçons positives de sa collaboration avec ses clients, dont celle-ci : les dépenses en TI ne sont pas aussi élevées que les entreprises le croient habituellement. Avec quelques ajustements, les progiciels de gestion intégrée en place peuvent appuyer la gestion des contrôles et l’application des tâches.

« De nombreuses entreprises sous-utilisent les contrôles automatisés, observe Darren Jones, ce qui signifie que des tâches manuelles sont effectuées inutilement. Les contrôles automatisés peuvent prendre jusqu’à 75 % moins de temps que les processus manuels. »

Robert Colman est rédacteur en chef de CMA Management.

Cinq grands conseils pour gérer les changements de réglementation

1. Obtenir le soutien de la direction. Quel que soit le projet, un appui solide de la direction vous permettra de garder le cap.

2. Former une équipe spécialisée.Bon nombre des entreprises rencontrées ont profité de la présence d’employés affectés exclusivement à la mise en œuvre de la SOX. En formant un groupe pour gérer les problèmes particuliers, vous obtiendrez un processus plus harmonieux. Le groupe peut également régler les questions efficacement.

3. S’en tenir à l’essentiel. Assurez-vous de comprendre vos activités de base. Ce conseil semble simple, mais vos tâches quotidiennes peuvent vous éloigner de la véritable raison d’être de votre travail. En comprenant clairement ce que votre entreprise cherche à accomplir, vous serez mieux à même de définir vos principaux processus.

4. Utiliser efficacement les TI. Il n’est peut-être pas nécessaire de se doter d’un nouveau système d’entrepôt de données pour gérer la mise en œuvre, mais il est important d’utiliser les TI le plus efficacement possible pour simplifier la production de rapports. Il sera ainsi plus facile de faire le suivi des progrès et de gérer les examens de vérification. Installer des ressources informatiques adéquates fera gagner du temps.

5. Obtenir de l’aide extérieure. Il est difficile d’affecter à temps plein au processus de mise en œuvre des employés dont vous avez absolument besoin dans le cadre de vos activités. N’hésitez pas à appeler des experts à la rescousse.