|
Démarche de conformité SOX
Par Murray Wolfe
Illustration : Susanna Denti
 LES
entreprises doivent modifier en profondeurleur culture et leur gestion interne pour s’adapter aux nouvelles
règles
Depuis quelques années, la
plupart des sociétés nord-américaines s’ingénient à trouver la meilleure façon de se conformer aux règles et
règlements qui découlent de la Loi Sarbanes-Oxley. Au Canada, le pendant de ces règles et règlements se
retrouve dans le Règlement 52-109 et le projet de Règlement 52-111, publiés par les Autorités canadiennes en
valeurs mobilières (ACVM), au lendemain de l’adoption de la Loi 198 en Ontario.
En mars, les ACVM ont publié l’Avis 52-313 dans lequel elles annonçaient l’abandon du projet de Règlement
52-111 et l’apport de certaines modifications au Règlement 52-109. Leur intention visait principalement à
laisser ainsi aux entreprises une plus grande latitude quant à l’approche choisie pour se conformer aux
nouvelles exigences, compte tenu de leurs besoins. Cette décision faisait suite aux commentaires des
entreprises sur l’importance excessive des coûts de mise en œuvre.
La question des coûts excessifs de conformité à la «Loi SOX» par rapport aux avantages a également été portée
à l’attention de la Securities and Exchange Commission et du Public Company Accounting Oversight Board
(PCAOB). Bien que la plupart des entreprises admettent que la Loi SOX a permis de rehausser la confiance des
investisseurs dans les marchés financiers nord-américains, dans l’ensemble, elles estiment que les coûts
qu’ont dû engager les sociétés et au bout du compte leurs actionnaires en estompent les avantages
retirés.
Malgré d’importantes différences, la Loi SOX et son pendant canadien mettent tous deux l’accent sur
l’obligation de documenter et de tester les contrôles internes à l’égard de l’information financière (CIIF),
et de prendre des mesures correctives pour en combler les lacunes. Pour faciliter la lecture, les règles et
règlements tant américains que canadiens seront ici désignés collectivement sous le nom de «SOX».
L’incapacité des entreprises à comprendre que la conformité aux nouvelles règles exige un changement de
culture à tous les niveaux de l’organisation et leur incapacité à gérer efficacement ce changement sont en
grande partie à l’origine des coûts excessifs. Ayant sous-estimé l’ampleur du changement nécessaire, beaucoup
d’entreprises ont dû suspendre leurs initiatives pour les reprendre à zéro ou ils ont gaspillé des ressources
considérables en s’enlisant dans leur démarche de conformité aux exigences.
Dans leur article «The psychology of change management», publié en 2003 dans un numéro spécial du McKinsey
Quarterly, Emily Lawson et Colin Price font observer : [TRADUCTION] «Les programmes destinés à améliorer la
performance organisationnelle gagnent en popularité dans les entreprises. Or, il est reconnu qu’ils sont
difficiles à mettre en œuvre. Leur succès n’est possible que dans la mesure où l’on arrive à convaincre des
centaines, voire des milliers de personnes de modifier leurs méthodes de travail. Et, pour accepter ce type
de changement, les gens doivent en venir à envisager leur travail différemment.»
Les auteurs de l’article indiquent que ces programmes produisent de meilleurs résultats si on a déterminé
d’avance l’ampleur du changement souhaité. Selon eux, trois niveaux de changement sont possibles, soit :
- prendre des mesures qui n’impliquent pas de changement dans les méthodes de travail des gens, soit se
défaire d’actifs secondaires pour se concentrer sur les activités de base, par exemple;
- exiger des employés qu’ils s’adaptent à de nouvelles pratiques, ou adopter des pratiques qui cadrent avec
la mentalité des employés. Par exemple, on peut trouver de nouveaux moyens de réduire le gaspillage dans une
entreprise déjà optimisée;
- modifier le comportement des gens à tous les niveaux de l’organisation, essentiellement par un changement
profond de la culture de celle-ci. Pour qu’un tel changement s’opère dans la culture collective de
l’entreprise, il faut modifier la mentalité de centaines, voire de milliers de personnes.
Pour la plupart des entreprises, le changement nécessaire pour se conformer aux exigences SOX correspond
clairement au troisième niveau. En fait, SOX vise fondamentalement à provoquer un changement dans la culture
d’entreprise pour la concentrer davantage sur le contrôle interne. Ces exigences vont au-delà du simple fait
de décrire, de documenter et de tester les CIIF, et de prendre des mesures correctives pour en combler les
lacunes : elles exigent que des mesures soient prises pour conscientiser les membres de l’organisation sur
l’importance des CIIF et pour assurer qu’ils aient le pouvoir et les moyens de les améliorer de façon
continue.
Faute d’avoir compris dès le départ qu’un changement en profondeur s’imposait, beaucoup d’entreprises ont
cru, à tort, qu’elles pourraient arriver à se conformer aux nouvelles exigences en procédant à des
changements correspondant aux deux premiers niveaux, gaspillant du coup argent, efforts et ressources.
Selon Emily Lawson et Colin Price, quatre conditions de base sont nécessaires pour que s’effectue un
changement efficace des mentalités au sein d’une entreprise.
Les employés doivent comprendre le but du changement et en reconnaître le bien-fondé. Autrement dit, il
est nécessaire de définir, de communiquer et de renforcer adéquatement les objectifs pour permettre aux
employés de les intérioriser et d’apporter leur contribution personnelle au changement proposé.
Dans ce contexte, l’établissement des cibles, les mesures de la performance et l’octroi d’avantages
financiers et non financiers doivent s’arrimer aux nouveaux comportements recherchés. Ceux-ci doivent faire
l’objet d’un suivi et être renforcés de diverses façons au fil du temps afin d’assurer que les employés
demeurent motivés et engagés.
Les employés doivent avoir la capacité de répondre aux exigences. Cela signifie qu’il pourrait s’avérer
nécessaire d’embaucher de nouvelles personnes pour combler les lacunes du personnel en place, et de prévoir,
au besoin, des activités adaptées de formation et de perfectionnement.
À tous les niveaux de l’organisation et dans tous les secteurs fonctionnels, certaines personnes doivent
donner l’exemple en joignant le geste à la parole. Cela nous ramène aux deux premières conditions, en ce sens
que les employés ont besoin de pouvoir s’inspirer du comportement de leurs modèles, ces personnes qu’ils
respectent au sein de l’organisation à l’égard du changement visé.
Fait intéressant, ces quatre conditions correspondent en substance aux éléments essentiels du modèle des
critères de contrôle élaboré par le Conseil sur les critères de contrôle (CCC) de l’ICCA et publié en 1995
dans le document Recommandations sur le contrôle. Plus particulièrement, selon le CCC : «Dans toute
organisation, le but, l’engagement, la capacité, le suivi et l’apprentissage sont les éléments essentiels du
contrôle.»
Le CCC définit comme suit ces quatre éléments : «La personne accomplit une tâche en se fondant sur la
compréhension du but de cette tâche (l’objectif à atteindre) et en s’appuyant sur sa capacité (informations,
ressources, fournitures et compétences). Pour bien exécuter la tâche au fil du temps, la personne doit
s’engager. Elle fait le suivi de sa performance et surveille l’environnement externe pour apprendre à mieux
accomplir la tâche et à identifier les changements requis. Cela s’applique également à une équipe ou à un
groupe de travail.»
Fondé sur la notion de boucle de communication, le modèle des critères de contrôle doit être appliqué d’une
manière continue. Chaque élément du modèle doit ainsi être revu progressivement, comme illustré dans
l’exemple qui suit.
Ainsi, dans le cadre d’un projet de conformité à la Loi Sarbanes Oxley (projet SOX), des mesures devraient
être prises à l’égard du but et de l’engagement, de façon à ce que les employés comprennent les objectifs du
projet SOX et qu’ils demeurent mobilisés tout au long de sa réalisation. Pour ce faire, divers moyens sont
envisageables : communications régulières sur le projet diffusées par la haute direction par courriel, lors
d’activités promotionnelles, de réunions du personnel, etc.; portail voué au projet aisément accessible sur
le site intranet et évaluations périodiques de la performance des employés affectés à temps partiel au
projet, pour s’assurer qu’ils y consacrent toute l’attention et les efforts qui s’imposent.
Ensuite, selon le CCC, au chapitre de la capacité, il faut prendre des mesures pour faire en sorte que les
employés concernés reçoivent la formation appropriée de façon à pouvoir mener les nouvelles activités de
contrôle conçues et mises en place dans le cadre du projet SOX. Consécutivement à la mise en œuvre de mesures
correctives, un nouveau rapport SAP pourrait, par exemple, avoir été mis au point. Il faudrait alors prendre
des mesures pour assurer l’utilisation adéquate de ce rapport. En fait, il ne s’agit essentiellement que de
bonnes pratiques de gestion de projets, mais il arrive souvent que ces pratiques soient négligées,
court-circuitées ou écartées en vue de réduire les coûts directs d’un projet. L’application des critères de
contrôle aide à prévenir ce genre de situation.
Enfin, en ce qui concerne le suivi et l’apprentissage, des mesures devraient être mises en place pour assurer
que la démarche de conformité puisse être adaptée, au besoin, sur la durée du projet et, plus important
encore, une fois le projet complété, dans le cadre du maintien de ce qui a été implanté. Les exigences SOX
étant appelées à rester en vigueur, il est crucial que les contrôles internes clés à l’égard de l’information
financière soient bien conçus et efficaces pour s’assurer, à chaque trimestre, qu’ils sont en place et
fonctionnent comme prévu.
À l’instar du modèle du CCC, le En-terprise Risk Management Framework du COSO vise à fournir des
indications sur le contrôle interne. Si le second fournit des indications sur la nature du cadre de contrôle
interne, le premier s’attache à sa mise en application. Par ailleurs, dans ses Recommandations sur le
contrôle, le CCC fait ressortir les points de concordance entre son modèle et celui du COSO, ce qui permet de
comprendre plus facilement comment ces deux modèles peuvent être utilisés en conjonction.
Pour une entreprise qui en est aux débuts de sa démarche de conformité SOX, il est recommandé d’utiliser
une stratégie mixte COSO - CCC.
Au départ, il est essentiel que la haute direction et que toutes les autres parties prenantes du projet
SOX comprennent et acceptent le fait que ce projet entraînera un changement de culture mobilisant
d’importantes ressources et demandant un appui inconditionnel, solide et continu. Il s’agit là du facteur de
réussite le plus important de tout projet SOX, mais c’est trop souvent l’aspect le plus négligé. C’est
pourquoi il est indispensable de prendre conscience, dès l’étape de la planification, qu’on devra consacrer
beaucoup d’efforts pour susciter et nourrir un engagement durable des principaux membres de la haute
direction.
Deuxièmement, le modèle du COSO s’impose pour déterminer les mesures à prendre afin d’assurer la
conformité SOX. Le modèle du COSO étant devenu la norme de fait, il est logique de s’y référer dès le début
du projet SOX.
Par la suite, sur le plan de la gestion du changement de culture nécessaire pour assurer la conformité
SOX, une attention particulière devrait être portée aux quatre éléments du modèle du CCC : le but,
l’engagement, la capacité, ainsi que le suivi et l’apprentissage. L’application du modèle du CCC doit se
faire en boucle continue, tout au long de la durée du projet SOX.
Enfin, la gestion des efforts de mise en œuvre devrait faire appel aux techniques de gestion de projets
qu’on retrouve dans la plupart des initiatives de mise en conformité avec SOX, soit notamment désigner un
responsable de projet, mettre sur pied un comité de direction constitué de parties prenantes, nommer un chef
de projet et constituer une équipe d’implantation et, enfin établir les objectifs du projet et un plan. Ces
techniques de gestion de projets, plus ou moins usuelles, s’inscrivent dans l’esprit du modèle du CCC.
Outre leur utilité dans le cadre de la démarche de conformité SOX, les modèles du CCC et du COSO
présentent de nombreux autres points d’intérêt. Les deux modèles partent du principe que le contrôle interne
consiste à identifier et à gérer efficacement les risques inhérents à l’atteinte des objectifs
organisationnels, qu’il s’agisse d’objectifs financiers, de conformité ou de fonctionnement. En outre, les
deux modèles sont évolutifs et peuvent être appliqués à un niveau stratégique, tactique (dans un secteur
fonctionnel, par exemple) ou opérationnel (dans un service, par exemple) à la grandeur de l’organisation.
C’est pourquoi l’utilisation d’une stratégie mixte faisant appel aux deux modèles peut être appliquée à toute
initiative organisationnelle et peut s’avérer particulièrement utile dans le cadre d’initiatives qui, comme
la conformité SOX, exigent un changement de culture important dans toute l’organisation. Cette approche peut
également servir en contexte d’implantation du système ERP d’une entreprise (comme le progiciel SAP), d’un
système global de gestion de l’information de l’entreprise, d’un système global de gestion de la poursuite
des activités ou encore dans le cadre de la mise en œuvre d’une véritable gestion des risques
d’entreprise.
Le modèle de contrôle interne du COSO, publié en 1992, a été délaissé pendant près d’une décennie jusqu’à
ce que la Loi Sarbanes-Oxley lui redonne toute sa pertinence aux yeux des entreprises de partout en Amérique
du Nord. Or, comme le modèle du CCC peut augmenter l’efficience des projets SOX et d’autres types
d’initiatives, le temps est venu de le réhabiliter lui aussi.
Pour en savoir plus sur le modèle des critères de contrôle, procurez-vous les Recommandations sur le
contrôle du CCC en allant sur le site de l’ICCA à l’adresse www.cica.ca.
Murray Wolfe est directeur de la
vérification interne pour une société canadienne de distribution d’énergie. On peut le joindre par courriel
à mdwolfe@telus.net
|
|
|
