Accueil     Contacts     Contenu rédactionnel     Publicité     Abonnement     Archives     Recherche     CMA Canada  
Dernier Numéro
Novembre 2008
Articles de fond Contenu   Imprimer le texte seulement

Appliquer le projet de loi 198

Comme certaines sociétés doivent bientôt se conformer à ce que d’aucuns appellent la « loi SOX canadienne », il est utile de réfléchir aux meilleures façons d’en respecter les exigences. Dans un livre à paraître prochainement, Madeleine Ferris, CMA, se penche sur les recommandations du CCC et sur le cadre de référence du COSO.

par Madeleine Ferris, CMA

En 2002, dans la foulée des réformes mises en œuvre aux États-Unis en vertu de la loi Sarbanes-Oxley, la Commission des valeurs mobilières de l’Ontario (CVMO) a présenté le projet de loi 198 afin de restaurer la confiance des investisseurs envers les marchés financiers canadiens. Dans l’un des chapitres de son livre à paraître prochai-nement, intitulé Governance, Risk, and Compliance Handbook, (John Wiley & Sons, décembre 2007), Madeleine Ferris, CMA, passe la nouvelle réglementation au crible et explique quelles sont les meilleures manières de l’appliquer. L’article qui suit est une adaptation et un résumé de ce chapitre.

Le Règlement 52-109 concernant l’attestation de l’information présentée dans les documents annuels et intermédiaires des émetteurs a pour but d’améliorer la qualité et la fiabilité des documents annuels et intermédiaires des émetteurs. Dans un premier temps, les chefs de la direction et les directeurs financiers doivent attester qu’ils ont conçu ou supervisé la conception des contrôles internes ainsi que des contrôles et procédures de communication de l’information, et qu’ils les ont mis en œuvre.

Chaque année, ils doivent évaluer l’efficacité des contrôles internes ainsi que des contrôles et procédures de communication de l’information, et présenter leurs conclusions à cet égard dans le rapport de gestion annuel. Ils doivent faire part au comité de vérification et aux vérificateurs indépendants de toute lacune sérieuse des contrôles, de toute faiblesse importante et de tout acte frauduleux qui implique la direction ou d’autres employés jouant un rôle déterminant dans les contrôles internes. Les politiques et les procédures particulières concernant les contrôles internes ou les contrôles de communication de l’information d’un émetteur ne sont pas prescrites.

La CVMO a publié deux autres politiques. Le Règlement 52-108 sur la surveillance des vérificateurs exige que les vérificateurs soient membres en règle du Conseil canadien sur la reddition de compte (CCRC) et participent au programme de surveillance du CCRC destiné aux cabinets de vérification qui assurent la vérification des états financiers des sociétés ouvertes.

De son côté, le Règlement 52-110 sur les comités de vérification précise le sens de l’indépendance ainsi que la formation et l’expérience requises des membres du comité de vérification d’un émetteur. Le comité de vérification assume notamment les responsabilités suivantes :

  • superviser le travail des vérificateurs externes (services de vérification et services autres que de vérification);
  • examiner, avant leur publication, les états financiers de l’émetteur, son rapport de gestion et ses communiqués de presse sur les résultats;
  • s’assurer que les procédures adéquates existent au sujet de la publication des informations financières extraites ou reprises des états financiers de l’émetteur;
  • établir des procédures concernant :
    • la réception, l’archivage et le traitement des plaintes adressées à l’émetteur en matière de comptabilité, de contrôle interne et de vérification;
    • la communication confidentielle et anonyme, par des employés de l’émetteur, de préoccupations liées à des actions suspectes en matière de comptabilité et de vérification.

Après analyse des commentaires envoyés par un large éventail de parties prenantes pendant la période prévue à cet effet, et à la lumière d’événements survenus récemment à l’étranger, particulièrement aux États-Unis, la CVMO a étendu la portée du Règlement 52-109 pour qu’il englobe les exigences liées à l’information sur les contrôles internes. La principale différence entre ce règlement et la loi américaine est que ce dernier n’oblige pas l’émetteur à obtenir une opinion du vérificateur externe sur l’évaluation par la direction de l’efficacité des contrôles internes à l’égard de l’information financière.

Quelles sont les exigences?

Les sociétés canadiennes appliquent un certain nombre de modèles qui proposent une démarche normalisée de l’évaluation de l’efficacité des contrôles internes, en particulier :

  • les recommandations du Conseil sur les critères de contrôle (CCC) de l’Institut Canadien des Comptables Agréés (ICCA);
  • le cadre de référence du Committee of Sponsoring Organizations of the Treadway Commission (COSO);
  • le cadre COBIT, un outil de gouvernance des TI établi par l’IT Governance Institute (ITGI), qui aide les organisations à mettre leurs technologies de l’information au service de leurs objectifs d’affaires globaux.

Les exigences d’information interne du Règlement 52-109 touchent tous les émetteurs assujettis au Canada. Ces exigences seront appliquées aux exercices clos le 31 décembre 2007 ou après.

Recommandations du CCC

Selon le CCC, le contrôle est constitué des éléments d’une organisation (y compris les ressources, les systèmes, les processus, la culture, la structure et les tâches) qui, collectivement, aident le personnel à réaliser les objectifs de l’organisation.

Le modèle de contrôle du CCC est fondé sur quatre éléments interdépendants :

 

 

 

 

 

Une personne effectue une tâche, guidée par une compréhension de son but et soutenue par sa capacité (information, ressources, fournitures et compétences). Il lui faut un sens de l’engagement pour s’acquitter de sa tâche à longue échéance. Elle effectuera le suivi de sa performance et de l’environnement externe afin d’apprendre comment elle peut mieux s’acquitter de sa tâche. Il en va de même pour tout groupe de travail. Dans toute organisation, l’essence du contrôle est une combinaison de ces quatre éléments.

But : Les critères relatifs au but sont ceux qui contribuent à affirmer l’orientation de l’organisation. Ils visent les objectifs, les risques et les opportunités, les politiques, la planification et les cibles et indicateurs de performance, éléments qui se décomposent comme suit :

B1   Les objectifs, comprenant une mission, une vision et une stratégie, doivent être établis, communiqués et classés par ordre de priorité afin de donner une orientation.

B2   Les risques internes et externes importants auxquels s’expose l’organisation pour atteindre ses objectifs doivent être identifiés et évalués régulièrement.

B3   Les politiques visant à soutenir la réalisation des objectifs d’une organisation et la gestion de ses risques doivent être élaborées, communiquées et mises en application afin que les employés de l’organisation comprennent ce qu’on attend d’eux et jusqu’où s’étend leur liberté d’action.

B4   Les plans, y compris les stratégies, les plans d’action et les cibles opérationnelles et financières visant à orienter les efforts vers la réalisation des objectifs de l’organisation doivent être établis et communiqués.

B5   Les objectifs et les plans connexes doivent comprendre des cibles et des indicateurs de performance mesurables qui permettent de signaler assez tôt que les cibles ne sont pas atteintes.

Engagement : Les critères relatifs à l’engagement sont ceux qui contribuent à affirmer l’identité et les valeurs de l’organisation; ils visent les valeurs éthiques, les politiques en matière de ressources humaines, les pouvoirs, les responsabilités et l’obligation de rendre compte ainsi que la confiance mutuelle, éléments qui se décomposent comme suit :

E1    Les valeurs éthiques communes, notamment l’intégrité, doivent être établies, communiquées et mises en application dans l’ensemble de l’organisation.

E2    Les politiques et les pratiques en matière de ressources humaines doivent être conformes à l’éthique de l’organisation et compatibles avec ses objectifs.

E3    Le pouvoir, les responsabilités et l’obligation de rendre compte doivent être définis clairement et concorder avec les objectifs de l’organisation afin que les mesures soient prises par les personnes voulues.

E4    Un climat de confiance mutuelle doit être créé afin de favoriser le flux d’informations entre les personnes. La confiance mutuelle contribue au flux d’information nécessaire pour prendre des décisions et des mesures. Une communication ouverte crée la confiance tout autant qu’elle en dépend.

Capacité : Les critères relatifs à la capacité sont ceux qui contribuent à affirmer la compétence de l’organisation; ces critères visent les connaissances, les compétences et les outils, les processus de communication, l’information, la coordination et les activités de contrôle.

C1   Les gens doivent avoir les connaissances, les compétences et les outils nécessaires pour aider l’organisation à atteindre ses objectifs.

C2   Les processus de communication doivent soutenir les valeurs de l’organisation et favoriser la réalisation de ses objectifs grâce à une communication ouverte et rapide d’informations pertinentes et fiables.

C3   Les informations suffisantes et pertinentes doivent être relevées et communiquées rapidement afin que les gens s’acquittent des responsabilités qui leur ont été attribuées.

C4   Les décisions et les mesures prises dans différents secteurs de l’organisation doivent être coordonnées.

C5   Des activités de contrôle doivent faire partie intégrante de l’organisation, en prenant en considération ses objectifs, les risques qu’ils ne soient pas atteints et les relations entre les éléments de contrôle.

Suivi et apprentissage : Les critères relatifs au suivi et à l’apprentissage visent la surveillance des environnements externe et interne, le suivi de la performance par rapport aux cibles établies, la remise en cause des hypothèses, la réévaluation des besoins d’information et des systèmes connexes, les procédures de suivi et l’évaluation de l’efficacité du contrôle.

SA1  Un suivi des environnements externe et interne doit être fait afin d’obtenir de l’information pouvant indiquer qu’il est nécessaire de réévaluer les objectifs ou le contrôle de l’organisation.

SA2  La performance doit être évaluée par rapport aux cibles et aux indicateurs établis dans les objectifs et les plans de l’organisation. L’information doit être fiable et récente.

SA3  Les hypothèses sous-tendant les objectifs de l’organisation doivent être remises en question régulièrement.

SA4  Les besoins en matière d’information et les systèmes d’information connexes doivent être réévalués lorsque les objectifs changent ou que des lacunes sont repérées.

SA5  Des procédures de suivi doivent être établies afin que les mesures adéquates soient prises. Pour que les changements soient efficaces, les informations, notamment les résultats des évaluations du contrôle, doivent être communiquées à ceux qui autorisent les changements.

SA6  La direction doit évaluer régulièrement l’efficacité du contrôle dans l’organisation et communiquer les résultats à ceux qui en rendent compte.

Les critères à prendre en compte visent les contrôles concrets autant que les contrôles immatériels. Les contrôles immatériels sont plus facilement évalués et peuvent concerner la structure organisationnelle, les processus formels ainsi que les politiques et les procédures. Les contrôles immatériels peuvent englober le« ton donné par la direction », la confiance, les valeurs communes et l’engagement. Ils sont souvent fondés sur l’observation, car ils constituent des éléments intangibles qui dépendent des comportements.

Comparaison entre les recommandations du CCC et le cadre de référence du COSO

Le cadre de référence du COSO aux États-Unis et les recommandations du CCC au Canada présentent trois grandes différences.

1. Définition et portée

Le COSO définit le contrôle interne comme un processus faisant intervenir les administrateurs, les directeurs et les autres employés de l’organisation et visant à fournir une assurance raisonnable que les objectifs seront atteints en ce qui concerne :

  • l’efficacité et l’efficience des activités,
  • la fiabilité de l’information financière et
  • la conformité aux lois et aux règlements.

Les recommandations du CCC précisent que le contrôle est constitué des éléments d’une organisation (y compris les ressources, les systèmes, les processus, la culture, la structure et les tâches) qui, collectivement, aident le personnel à réaliser les objectifs de l’organisation. Elles distinguent trois catégories d’objectifs :

  • l’efficacité et l’efficience des activités,
  • la fiabilité de l’information interne et externe et
  • la conformité aux lois et aux règlements en vigueur, ainsi qu’aux politiques internes.

La définition du contrôle par le CCC inclut certains aspects des responsabilités de la direction qu’exclut le COSO, notamment l’établissement des objectifs, la planification stratégique et la gestion des risques, et les mesures correctives. À l’inverse, le CCC exclut de sa définition la prise de décision.

2. Concepts sous-jacents

Les recommandations du CCC sont explicites sur certains concepts absents du cadre de référence du COSO :

  • Le contrôle comprend l’identification et la réduction du risque de ne pas parvenir à maintenir :
    • la capacité de l’organisation à repérer et à exploiter des débouchés;
    • sa capacité à s’adapter à des risques et à des occasions imprévus et à prendre des décisions d’après des indications éloquentes en l’absence d’information définitive.
  • Les recommandations du CCC incluent deux critères qui ne sont pas explicitement abordés par le COSO. Ils concernent :
    • la confiance mutuelle qui existe entre les employés et le défi périodique des hypothèses;
    • le concept de suivi du CCC comprend la surveillance de la performance opérationnelle de l’organisation. La présentation du suivi par le COSO pourrait être interprétée comme mettant l’accent sur des activités de contrôle particulières.

3. L’appréciation de l’efficacité

Le COSO indique que le contrôle interne peut être jugé efficace dans chacune des trois catégories respectivement, si le conseil d’administration et la direction ont l’assurance raisonnable :

1. qu’ils comprennent la mesure dans laquelle les objectifs de l’organisation sont atteints;

2. que les états financiers publiés sont préparés de façon fiable;

3. que ces états sont conformes aux lois et règlements en vigueur.

Déterminer si un système particulier de contrôle interne est efficace revient à porter un jugement subjectif qui résulte d’une évaluation de l’existence et du bon fonctionnement de cinq éléments (environnement de contrôle, évaluation des risques, activités de contrôle, information et communication, et suivi). Leur efficacité fournit une assurance raisonnable concernant la réalisation des objectifs d’une ou de plusieurs catégories. Par conséquent, ces éléments sont aussi des critères d’un contrôle interne efficace.

Les recommandations du CCC diffèrent sur trois points essentiels :

1. Le jugement porté sur l’efficacité s’appuie sur un objectif précis, et non sur une catégorie d’objectifs.

2. Les recommandations du CCC requièrent qu’une évaluation de l’efficacité des contrôles soit effectuée en fonction d’une vingtaine de critères précis. Le COSO recommande que l’évaluation soit faite pour chacun des cinq éléments et donne des exemples de questions à prendre en compte pour chaque élément. Toutes ces questions sont abordées directement ou indirectement dans les recommandations du CCC, sauf peut-être les suivantes :

  • l’accueil fait par la direction aux suggestions des employés concernant les façons d’améliorer la productivité et la qualité, ou d’autres améliorations du même ordre;
  • la mesure dans laquelle le personnel, dans le cadre de ses activités courantes, obtient la preuve que le système de contrôle interne continue de fonctionner;
  • la mesure dans laquelle les parties externes ont été informées des normes éthiques de l’entité;
  • la mesure dans laquelle les séminaires de formation, les séances de planification et d’autres réunions permettent à la direction de savoir si les contrôles fonctionnent efficacement;
  • le caractère approprié du niveau de documentation (d’une évaluation).

3. Le CCC définit un contrôle efficace comme un contrôle qui rend une organisation fiable dans la réalisation de ses objectifs et donne l’assurance raisonnable que l’organisation les réalisera.

Il n’existe pas de démarche précise et définie permettant de se conformer au Règlement 52-109 au Canada. Une organisation doit examiner les différents modèles d’évaluation des contrôles qui existent et choisir celui (ou ceux, si la combinaison de plusieurs modèles convient mieux) qui correspond le mieux à ses besoins. Au bout du compte, l’objectif du projet de loi 198 est d’assurer une exactitude accrue de l’information financière. Dans cette optique, les sociétés sont en mesure de mieux gérer et de réduire davantage les risques, ainsi que de mettre en œuvre une meilleure gouvernance.

Madeleine Ferris, CMA, MBA, CSOXP® Sarbanes Oxley Institute Certifications, (mgferris@shaw.ca), est une professionnelle chevronnée qui a plus de 20 années d'expérience en analyse financière et en application des TI pour régler des questions courantes dans le monde des affaires. Depuis trois ans, elle est gestionnaire principale de projet pour les programmes relatifs à la loi Sarbanes-Oxley par l'intermédiaire de Ferris Enterprises Inc.

Cet article est constitué d’extraits traduits du livre intitulé Governance, Risk, and Compliance Handbook, (9780470095898, décembre 2007), avec la permission de l’éditeur, John Wiley & Sons. Tous droits réservés.

Ressources complémentaires

Le Committee of Sponsoring Organizations de la Treadway Commission : www.coso.org

Le modèle de contrôle du Conseil sur les critères de contrôle (CCC).  Accessible à l’adresse www.cica.ca. 

Haut