Les TI et la loi Sarbanes-Oxley

Le respect des exigences de la loi Sarbanes-Oxley et une saine gestion des TI vont assurément de pair. Les entreprises ont cependant intérêt à prendre conscience du fait que ce lien procure des avantages encore plus grands. En effet, l’application de la loi peut déboucher sur des façons nouvelles et plus efficaces de gérer les entreprises. Les chefs de file pourront en tirer parti.

par Sally Chan, CMA et Stan Lepeak

Dans la foulée des scandales d’Andersen et d’Enron, les innombrables irrégularités qui ont secoué les conseils d’administration nord-américains n’ont d’égal que le volume de recommandations sur la gouvernance découlant de la loi Sarbanes-Oxley de 2002, appelée couramment SOX.

La plupart des sociétés assujetties à la SOX se sont employées à prendre les mesures requises pour attester les états financiers du premier exercice et se conformer aux articles 302 (Responsabilité de l’entreprise en matière de contrôle sur l’information à fournir) et 404 (Évaluation des contrôles internes par la direction). Bien que la SOX s’applique principalement aux sociétés cotées en bourse aux États-Unis et ayant une capitalisation boursière supérieure à 75 millions de dollars, les entreprises de taille plus modeste et les sociétés fermées sont nombreuses à vouloir également s’y conformer.

Ces sociétés passent aussi en revue leurs stratégies et leurs méthodes par suite de l’approbation, en mars 2004, d’une nouvelle norme sur la vérification des contrôles internes par le Public Company Accounting Oversight Board (PCAOB). Cette norme précise la façon de vérifier les contrôles internes appliqués à l’information financière ainsi que la relation entre cette vérification et celle des états financiers.

D’autres articles importants de la SOX méritent cependant tout autant d’attention. C’est le cas, par exemple, des articles 409 (Information en temps réel par les émetteurs) et 802 (Sanctions pénales en cas de falsification de l’information). Le présent article devrait rééquilibrer les choses.

Notre examen de la documentation existante a révélé que peu de publications traitent de la SOX comme faisant partie intégrante d’un cadre pratique de gouvernance d’entreprise. Elles sont également très peu nombreuses à souligner l’apport des TI au-delà des contrôles technologiques omniprésents au niveau de l’infrastructure et des applications de gestion.

Pourtant, les TI et le groupe qui en est responsable jouent un rôle de premier plan dans les paradigmes clés de la gouvernance. Une entreprise qui parvient à adapter intelligemment ses solutions technologiques existantes pour se conformer aux articles 409 et 802 de la SOX n’aura pas de raison de le regretter.

Place des TI dans le cadre général de l’entreprise

Le META Group, société de conseil et de recherche, décrit le paradigme de la gouvernance d’entreprise comme un ensemble de quatre piliers étroitement reliés :

• Gestion de l’éthique : Un code d’éthique, y compris les processus de communication et de présentation de l’information de gestion et de l’information financière, occupe une place centrale dans ce domaine. Le code d’éthique donne le ton aux échelons supérieurs et sert de structure morale à la gouvernance d’entreprise. L’intégrité et les valeurs éthiques sont des composantes clés de l’environnement de contrôle d’une organisation. Ce principe est clairement énoncé dans le document Internal Control — Integrated Framework du Committee of Sponsoring Organizations (COSO) de la Commission Treadway, qui est un cadre de contrôle auquel la SEC donne ouvertement son appui. Les groupes responsables des TI jouent un rôle de premier plan, quoique sous-estimé, lorsqu’il s’agit de donner aux organisations les moyens de relever certains défis importants sur le plan de l’éthique à l’ère électronique. Par exemple, la protection du caractère confidentiel des renseignements qu’une organisation possède sur ses clients et ses employés, le partage de l’information et l’utilisation du courrier électronique sont autant de préoccupations importantes.
• Conformité aux règlements : Les structures, y compris celles des TI, doivent être organisées de manière à assurer le respect de la réglementation. Ce principe vaut également pour la SOX. Le respect de toutes les exigences auxquelles est assujettie une organisation est important, qu’il s’agisse notamment de la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDÉ), du Nouvel accord de Bâle sur les fonds propres (Bâle II) dans le cas des institutions financières, de la USA Patriot Act, de la Health Insurance Portability and Accountability Act (HIPAA) ou de l’article 17a-4 de la Security Exchange Act dans le cas des sociétés de courtage et des services connexes. Toutefois, les organisations doivent également coordonner leurs efforts afin d’exploiter et d’optimiser leurs ressources. Cela est particulièrement essentiel lorsqu’on dresse des plans à l’appui des applications, des outils et des systèmes.
• Gestion des risques : La gestion des risques doit faire partie intégrante de la gestion des objectifs concernant les finances, l’exploitation, la conformité et l’information financière d’une entreprise. La SOX exige une évaluation annuelle des contrôles internes appliqués à l’information financière, mais une telle évaluation nécessite au préalable une analyse des risques connexes. Les contrôles sont axés sur les risques, tout comme les vérifications externes effectuées pour s’assurer de la validité de l’évaluation faite par la direction de la conception et de l’effica-cité opérationnelle des contrôles internes de l’information financière.
• Gestion de la performance : Un cadre de gouvernance devrait toujours inclure des indicateurs clés de la performance ou d’autres approches de gestion qui s’appuient sur des mesures — comme la planification et l’information en boucle fermée pour gérer les performances des plateformes verticales ou interfonctionnelles. Toutefois, même si les indicateurs de performance sont essentiels à l’évaluation des capacités d’une organisation, ils ne sont pas un moyen adéquat de produire une information financière exacte, complète et fidèle, exigence primordiale de la SOX.

Les entreprises désireuses de se doter d’un solide cadre de gouvernance doivent tenir compte des quatre piliers. Cette approche globale pose un défi particulier aux entreprises des branches d’activité peu réglementées, mais elle requiert également une coordination accrue au sein des entreprises des secteurs qui le sont fortement. Les banques, par exemple, se sont dotées de mécanismes de gestion des risques en ce qui a trait aux réserves, aux portefeuilles de placements, aux instruments dérivés, etc., mais dans certains cas, elles élargissent leur évaluation des risques de crédit pour tenir compte de leur exposition aux problèmes de sécurité associés à Internet et des autres sources de vulnérabilité connexes qui pourraient entraîner des lacunes dans les contrôles requis par la SOX.

Il est donc impératif de traiter chaque problème de gouvernance dans le cadre global de la gouvernance. Les efforts en ce sens doivent partir de la haute direction et être déployés du sommet à la base de l’organisation. Un directeur de la conformité ou son équivalent doit en assurer la coordination et faire appel au groupe des TI, dont le rôle de soutien peut se révéler essentiel.

Article 409 : Importance du respect des échéances

L’article 409 de la SOX oblige les entreprises à communiquer rapidement tout événement qui est susceptible d’influer sur leur performance financière. Cette obligation a des répercussions directes sur le groupe des TI. Les entreprises doivent en effet savoir si leurs principaux systèmes financiers sont capables de fournir des données en temps réel, ou si elles devront se doter d’une telle capacité ou utiliser un logiciel spécialisé pour accéder aux données. Qui plus est, elles doivent également tenir compte des changements qui surviennent à l’extérieur de leur organisation, notamment des changements que vivent leurs clients ou leurs partenaires commerciaux, et qui pourraient avoir une influence significative sur leur propre situation financière (client ou fournisseur qui fait faillite ou qui est en défaut de paiement, par exemple).

Afin de préparer une transition harmonieuse, les professionnels des contrôles technologiques devraient s’inspirer des pratiques de gestion des relations en temps réel avec la clientèle et des capacités événementielles qui caractérisent l’environnement dans le secteur des affaires électroniques et de négociation sur les marchés financiers. Au départ, toutefois, il est utile d’évaluer les capacités technologiques de votre organisation dans les catégories suivantes :

Qualité des capacités de modélisation financière : Une bonne capacité de modélisation financière aide les entreprises à prévoir et, parfois, à éviter des situations gênantes en matière d’information. Elle les aide également à s’adapter aux situations qui évoluent rapidement.

Accessibilité à des portails internes et externes : Les portails aident à cerner les problèmes et les obligations d’information et à en faire part aux investisseurs et aux autres parties intéressées. Cette capa-cité répond à la nécessité de communiquer rapidement l’information.

Ampleur et pertinence des éléments déclencheurs et des signaux d’alarme. Il s’agit ici de déterminer ce qui déclenchera la communication d’information en vertu de l’article 409.

Pertinence des référentiels de documents : Les référentiels jouent un rôle de premier plan, tant pour le suivi des événements en vue d’évaluer la nécessité de communiquer de l’information que pour la mise en place d’un mécanisme visant à vérifier si l’information communiquée est adéquate.

Pertinence des pistes de vérification des documents : Il s’agit là d’un élément nécessaire à l’établissement de processus d’information adéquats et de registres appropriés sur l’information communiquée.

Capacité à adopter rapidement le langage XBRL (eXtensible Business Reporting Language) : Le langage XBRL est appelé à devenir un outil clé pour intégrer et relier les systèmes transactionnels, les outils d’information et d’analyse, les portails et les référentiels.

Nous nous attendons à ce que les entreprises fassent largement appel aux outils et aux applications de gestion des performances (BPM) pour se conformer à l’article 409. Actuellement, ces produits sont essentiellement autonomes, mais au fil du temps et en réponse à la demande, leurs principales fonctions seront ajoutées aux systèmes financiers et aux systèmes intégrés de planification d’entreprise (ERP).

Article 802 : Sanctions pénales

Pour se conformer à l’article 802, les entreprises doivent faire en sorte que de l’information complète soit accessible rapidement et en toute sécurité. Elles doivent en outre garantir l’immuabilité des dossiers de vérification et des documents de travail utilisés dans le cadre des missions de vérification ou d’examen. Nous limiterons notre discussion à la gestion des documents électroniques. Pour s’assurer que leur programme de conservation des documents est complet et efficace, les entreprises doivent considérer les contrôles manuels que requiert la conservation des documents — dont nous ne traiterons pas ici — dans le contexte plus vaste des risques et des contrôles technologiques associés à la gestion globale des documents. À cet égard, les organisations doivent faire intervenir non seulement le groupe des TI, mais également un conseiller juridique compétent, car les exigences en matière de conservation des documents sont très astreignantes.

En vertu de l’article 802, les organisations seront appelées à répondre de leur gestion des obligations de la SOX. Elles devront pour ce faire résoudre un certain nombre de difficultés à caractère technologique : politique et normes sur la conservation, la protection et la destruction des documents, stockage en ligne, pistes de vérification, intégration avec un référentiel, technologies disponibles sur le marché, choix d’un logiciel d’aide à la conformité etc. Les entreprises devraient de surcroît être prêtes à défendre la qualité de leur programme de gestion des documents (GD) : immuabilité et exhaustivité des pratiques de GD (communications imprimées, électroniques et transactionnelles, par exemple), durée de conservation des documents, pistes de vérification et accessibilité au contenu et contrôle de la GD.

Soulignons que la SOX n’a nullement modifié les principes traditionnels d’une saine gestion des documents : les documents doivent en tout temps être complets, exacts et authentiques. L’article 802 accorde une très grande importance à l’authenticité des documents conservés, particulièrement par suite d’enquêtes portant sur une faillite ou une vérification. Une saine gouvernance, cependant, devrait toujours traiter la conservation des documents de la même façon, peu importe la situation, qu’il s’agisse par exemple d’une faillite ou dans le cours normal des activités de l’entreprise.

L’article 802 stipule clairement que les dossiers de vérification doivent être conservés pendant cinq ans. Comme les vérificateurs externes se fondent dans une certaine mesure sur la vérification interne effectuée, on peut raisonnablement supposer que les dossiers de vérification interne doivent eux aussi être conformes à l’article 802. Fait intéressant, cette exigence parallèle remet totalement en question la pratique insensée qui consistait par le passé à conserver les dossiers de vérification jusqu’à la vérification suivante. Les cycles de vérification sont fonction du risque : plus le risque est élevé, plus les vérifications sont fréquentes. L’article 802 élimine, et à raison, la corrélation illogique selon laquelle moins le risque était grand, plus la période de conservation des dossiers était longue.

La question de la sécurité des supports de stockage et de la qua-lité de la protection des documents électroniques conservés pour une utilisation immédiate ou future vient se greffer à la question de la conservation des documents. L’obligation de conserver les documents pendant cinq ans signifie que les technologies existantes doivent permettre de consulter les documents stockés il y a cinq ans. Compte tenu de la rapidité avec laquelle les technologies tombent en désuétude, certains supports d’information utilisés actuellement risquent d’être obsolescents d’ici trois à cinq ans. Les données de vérification conservées aujourd’hui risquent donc d’être impossibles à récupérer dans cinq ans, pas en raison de leur dégradation, mais parce que le matériel informatique et les supports de stockage sont devenus obsolescents. Le maintien de l’accessibilité aux données devrait par conséquent être considéré comme un impératif crucial de la gestion des documents.

Les entreprises doivent intégrer la gestion interfonctionnelle des TI et les articles 409 et 802 dans leurs efforts globaux de conformité avec la SOX. Comme nous le mentionnions précédemment, il devrait y avoir une seule personne ressource, un directeur de la conformité par exemple, qui dirige et pilote ces efforts. Pour se conformer aux articles 409 et 802, il est important de se fixer un échéancier en établissant les étapes à franchir, les résultats à obtenir et les capacités dont il faut doter l’entreprise. Même si une conformité minimale peut se révéler suffisante, nous encourageons les entreprises à relever ce défi avec enthousiasme et à ne pas se contenter de la note de passage.

L’adoption de pratiques conformes aux articles 409 et 802 n’a pas pour seul avantage le respect des exigences minimales de la SOX. Elle permet en effet d’accroître la visibilité et la transparence des processus financiers, ce qui peut contribuer à une amélioration du service. La capacité de produire de l’information en réponse aux événements peut procurer des avantages importants aux entreprises capables d’en tirer parti. Les entreprises ne devraient pas sous-estimer le danger et les répercussions du non-respect des articles 409 ou 802, ou même de l’article 404, et risquer de ternir leur réputation.

Défis de la mise en œuvre

De nombreux défis attendent les entreprises désireuses de se conformer aux articles 409 et 802. D’abord, jusqu’à ce que les utilisateurs et leurs pairs aient terminé un premier cycle de vérification, on ne saura pas avec précision comment les cabinets de vérification externe interpréteront les exigences de la SOX et du PCAOB. Il n’existe et n’existera jamais de liste standard des points à respecter. Les niveaux de documentation requis, l’étendue des tests exigés, etc., demeurent incertains. Nous pouvons certes nous inspirer des pratiques exemplaires de la vérification interne et externe, mais ces dernières ne peuvent que nous orienter. Les organisations — dirigeants, vérificateurs internes et groupe des TI —, de concert avec les vérificateurs externes (dans la mesure du possible, étant donné les limites de l’« encadrement » qu’ils peuvent fournir) et les autres spécialistes de la SOX doivent définir et documenter ce qu’ils font de bonne foi et pourquoi, compte tenu des interprétations existantes.

Nous apprenons tous au fur et à mesure qu’avance la mise en œuvre de la SOX. Les projets-pilotes, c’est bien, mais pour l’heure, la meilleure conduite à adopter consiste à faire preuve de diligence raisonnable à chaque étape : de l’établissement de la portée à la documentation des contrôles en passant par la planification, par l’évaluation de la conception et de l’efficacité opérationnelle et par un suivi continu. Il y a clairement place pour des leaders d’opinion. Ceux qui sauront relever le défi que représente la SOX seront largement récompensés.

Agir sans tarder

La loi Sarbanes-Oxley impose aux entreprises touchées des attentes totalement nouvelles. Elle aura de vastes répercussions sur les conseils d’administration, la haute direction, les conseillers juridiques, les vérificateurs internes et externes, les cadres hiérarchiques, les fournisseurs de services de TI et le personnel des unités fonctionnelles, pour ne nommer que ceux-là. La façon dont les entreprises relèveront le défi déterminera si la SOX n’est qu’un autre fardeau législatif improductif qui règle somme toute peu de choses ou si elle marque au contraire le début d’un sérieux coup de barre pour rétablir la confiance de toutes les parties prenantes.

Sally Chan, CMA, est l’expert-ressource des TI affecté au projet Sarbanes-Oxley du Bureau des contrôles financiers de RBC Groupe financier à Toronto, en Ontario.

Stan Lepeak est vice-président au sein du META Group, société de conseil de recherche. Il est responsable de la conformité aux règlements et des marchés des entreprises et des services de TI.

Les constatations, les interprétations et les opinions exprimées n’engagent que les auteurs.

Haut