|
Question d’attestation
Par Jim Goodfellow et Alan
Willis
Illustration : Gérard Dubois
 En trois ans à peine, la réglementation a mis au défi chefs
de la direction et chefs des finances d’assurer l’intégrité des rapports financiers.
Depuis 2004, les chefs de
la direction et les chefs des finances d’émetteurs canadiens ont dû faire face à trois phases d’un nouveau
processus d’attestation, et ce n’est pas fini. Toutes trois visaient à rétablir la confiance des
investisseurs dans l’information financière et les contrôles connexes, en rehaussant la reddition de comptes
et la transparence. Ces expressions, peu entendues au cours des années 1990, ont été marquées par une
croissance exceptionnelle. Depuis 2001, elles sont devenues des principes d’affaires, de gouvernance et
d’information.
La notion d’attestation a été introduite au Canada en 2004, lorsque les Autorités canadiennes en valeurs
mobilières (ACVM) ont exigé que le chef de la direction et le chef des finances de tout émetteur assujetti
attestent l’information financière contenue dans les documents intermédiaires et annuels.
En 2005, l’attestation a été étendue afin d’inclure les contrôles et procédures de communication de
l’information. L’année dernière, la troisième phase a été mise en œuvre. Les signataires de l’attestation des
émetteurs inscrits à la Bourse de Toronto et à la Bourse de croissance TSX doivent maintenant produire une
attestation annuelle complète pour les exercices se terminant le 30 juin 2006 ou après, ce qui, pour de
nombreux émetteurs assujettis, correspond à l’année civile terminée le 31 décembre 2006.
Le Règlement 52-109 exige que les chefs de la direction et les chefs des finances déclarent, dans leur
attestation annuelle complète, qu’ils ont «conçu ou fait concevoir sous [leur] supervision [le] contrôle
interne à l’égard de l’information financière, pour fournir une assurance raisonnable que l’information
financière est fiable et que les états financiers ont été établis, aux fins de la publication de
l’information financière, conformément aux PCGR de l’émetteur».
De plus, ils sont tenus d’attester que le rapport de gestion annuel de l’émetteur indique tout changement
concernant le contrôle interne de l’information financière. Ce changement doit être survenu au cours de la
dernière période intermédiaire, ayant eu ou qui pourrait avoir une importante incidence sur ce contrôle
interne.
Cette troisième phase du processus d’attestation ne s’applique qu’à la conception du contrôle interne à
l’égard de l’information financière (CIIF), et non à l’efficacité de son fonctionnement. Cet aspect sera
abordé dans la quatrième phase d’attestation, encore à venir.
En mars 2006, l’Avis 52-313 du personnel des ACVM annonçait que les chefs de la direction et les chefs des
finances des émetteurs inscrits à la Bourse de Toronto et à la Bourse de croissance TSX seraient en outre
tenus de déclarer, dans leurs attestations, qu’ils ont évalué l’efficacité du contrôle interne à l’égard de
l’information financière de l’émetteur à la fin de l’exercice et ils ont «fait en sorte que l’émetteur
présente dans le rapport de gestion annuel leurs conclusions sur l’efficacité de ce contrôle».
Les règles proposées par les ACVM pour cette quatrième phase d’attestation devaient être publiées avant la
fin de 2006. (Toutefois, au moment de mettre sous presse, elles ne l’étaient toujours pas).
Alors que les obligations d’attestation pour les émetteurs assujettis canadiens suivent leur cours, elles se
différencient des règles d’attestation américaines. En effet, contrairement aux entités inscrites auprès de
la Securities and Exchange Commission, les émetteurs au Canada ne sont pas tenus, selon l’Avis 52-313, de
fournir un rapport distinct de la direction sur le CIIF, ni d’obtenir l’opinion de leurs vérificateurs en ce
qui concerne l’évaluation de l’efficacité du contrôle interne à l’égard de l’information financière par la
direction.
Il est suggéré aux lecteurs d’examiner les propositions des ACVM en complément du présent article. Elles
visent à aider les chefs de la direction, les chefs des finances, les autres membres de la direction et les
comités de vérification à finaliser leur évaluation de la conception du CIIF de même que les informations qui
seront fournies dans leur rapport de gestion afin de satisfaire aux exigences en vigueur depuis juin
2006.
Processus de gestion descendante fondé sur les risques
L’évaluation de la conception du CIIF actuellement exigée représente un défi. En effet, les chefs de la
direction et les chefs des finances sont tenus d’attester que le CIIF existe sur papier, et non de vérifier
qu’il fonctionne bel et bien en pratique, en particulier pendant une période donnée. Ils doivent donc adopter
un processus structuré, méthodique et documenté pour évaluer et documenter leurs conclusions concernant la
conception du CIIF, afin d’étayer leur attestation et les informations communiquées dans le rapport de
gestion.
Publié à l’automne 2006, le document Le contrôle interne et l’attestation : version 2006 de l’ICCA propose
une approche simple, consistant en un processus de gestion descendante fondée sur les risques, que les chefs
de la direction et les chefs des finances peuvent suivre pour l’évaluation et l’attestation de la conception
du CIIF. Cette approche aidera également les sociétés à se préparer à l’évaluation de l’efficacité du CIIF,
qui sera bientôt exigée.
L’efficacité et l’efficience du processus de gestion descendante fondée sur les risques dépendent de deux
choses. Premièrement, il faut mettre l’accent sur le ton donné par la direction, c’est-à-dire l’influence du
conseil d’administration et du chef de la direction sur l’établissement de l’environnement de contrôle et de
la culture d’intégrité.
Deuxièmement, il faut établir un processus solide pour repérer les principaux risques d’entreprise, y
compris ceux liés à l’information financière et à la communication de l’information. L’efficacité du
processus de gestion descendante fondée sur les risques pour évaluer la conception du CIIF concorde avec les
constatations présentées dans le document, publié en août 2006, par la Fédération internationale des
comptables, intitulé Internal Controls — A Review of Current Developments. Ce document révèle qu’au cours des
deux dernières années, les prises de position de différents pays et organismes au sujet du contrôle interne
ont convergé, montrant ainsi que le ton donné par la direction et l’accent mis sur les risques sont des
caractéristiques essentielles du contrôle interne.
Par ailleurs, les sociétés devraient voir l’évaluation du CIIF comme une occasion d’amélioration, et non
comme une question de conformité à la réglementation. L’évaluation du CIIF permet à la direction, au conseil
d’administration et au comité de vérification, de réfléchir sur l’objectif que la mesure cherche à atteindre,
soit le contrôle de l’information financière et des risques liés à la communication de l’information.
Les sociétés doivent concevoir et mettre en œuvre le CIIF afin d’atteindre leurs objectifs et de
satisfaire à leurs obligations en matière d’information financière externe. Après tout, sans CIIF efficace,
comment les membres de la haute direction et les conseils d’administration peuvent-ils être certains du
bien-fondé des décisions prises en fonction de l’information financière interne?
Le document de la Fédération internationale des comptables fait la constatation suivante, tirée d’un
examen des règles de contrôle interne au Royaume-Uni : «On s’est aperçu que les entreprises qui considéraient
le contrôle comme une saine pratique de gestion avaient plus tendance à l’intégrer dans leurs processus
internes et à penser qu’elles en avaient tiré avantage, que celles qui le considéraient surtout comme un
exercice de conformité.»
En résumé, le ton donné par la direction et l’environnement de contrôle, l’accent mis sur les risques, le
degré de participation active du chef de la direction et la surveillance appropriée exercée par le conseil
d’administration sont des éléments essentiels du CIIF. Le processus de gestion descendante fondée sur les
risques devrait également être plus pratique que l’approche privilégiée, jusqu’à maintenant aux États-Unis,
aux fins de la conformité à l’article 404 de la loi Sarbanes-Oxley.
Reddition de comptes/transparence
Les exigences des ACVM en matière d’attestation se fondent sur deux principes fondamentaux : la reddition de
comptes et la transparence. Le principe de la reddition de comptes est fonction des attestations distinctes
et personnelles du chef de la direction et du chef des finances.
Le principe de la transparence s’applique à quatre niveaux. Le premier, celui du contenu, signifie la
mesure selon laquelle l’information contenue dans les documents permet d’interpréter la situation financière,
les résultats d’exploitation et les flux de trésorerie de l’émetteur.
Le deuxième niveau, lié aux processus, renvoie à la fiabilité des contrôles et procédures de communication
de l’information (CPCI) et à la communication de toute faiblesse importante relevée dans ceux-ci.
Le troisième niveau, également lié aux processus, a été ajouté afin d’englober la conception du CIIF. Il
prévoit la présentation d’informations sur les changements apportés au CIIF.
Un quatrième niveau, qui sera ultérieurement ajouté, exigera de la direction qu’elle communique les
conclusions découlant de son évaluation de l’efficacité du CIIF.
Malheureusement, nombre d’émetteurs n’ont pas saisi les messages de transparence et de reddition de
comptes enchâssés dans les obligations d’information des ACVM.
En vertu des exigences en matière d’attestation des CPCI, les chefs de la direction et les chefs des
finances doivent indiquer qu’ils ont fait en sorte que l’émetteur présente, dans son rapport de gestion
annuel, leurs conclusions sur l’efficacité des CPCI à la date de clôture de la période visée par les
documents annuels.
Toutefois, dans l’Avis 52-315 du personnel, publié en septembre 2006, les ACVM indiquent qu’un échantillon
de 286 émetteurs établis partout au pays révèle ce qui suit : «[…] environ 28 % des émetteurs de
l’échantillon n’ont pas inclus cette information dans leur rapport de gestion annuel. L’omission fréquente de
se conformer à une obligation aussi claire et élémentaire indique que bon nombre d’émetteurs ne portent pas
une attention suffisante au respect de leurs obligations d’information. Le fait que l’information sur les
contrôles et procédures de communication de l’information ne soit pas présentée dans le rapport de gestion
annuel nous préoccupe particulièrement, étant donné que dans la plupart des cas, les dirigeants signataires
ont déclaré, dans leur attestation, avoir fait en sorte que l’émetteur présente cette information dans le
rapport de gestion annuel.»
De toute évidence, cette obligation d’information est dans l’écran radar des ACVM, et celles-ci
continueront de veiller à ce qu’elle soit respectée. Ce qui est moins évident, c’est de savoir si les ACVM se
pencheront davantage sur l’ampleur des efforts que consacreront les chefs de la direction et les chefs des
finances à leur évaluation des CPCI, ou s’ils chercheront plutôt à déterminer s’il existe des faiblesses
importantes dans ceux-ci. Peut-être faudra-t-il que des causes en responsabilité civile soient soumises aux
tribunaux pour clarifier les attentes et les conséquences sur les jugements portés dans le cadre des
évaluations et des attestations personnelles connexes.
Importance relative
L’importance relative d’une faiblesse de conception devrait être fonction de la mesure selon laquelle cette
faiblesse peut accroître le risque que soient commises des erreurs pouvant induire les investisseurs en
erreur, ou qu’elles passent inaperçues dans les états financiers publiés et établis conformément aux PCGR de
l’émetteur.
La documentation comptable contient des indications sur la détermination de l’importance relative, tant au
plan qualitatif que quantitatif. Il existe peu de directives canadiennes pour aider la direction à évaluer la
probabilité que des erreurs se produisent, ou à établir ce qui constituerait une probabilité faible ou
forte.
Aux États-Unis, la règle n° 2 du Public Company Accounting Oversight Board des États-Unis, donne la
définition suivante d’une faiblesse importante : «déficience importante, ou une combinaison de déficiences
importantes, faisant en sorte que la non-prévention et la non-détection d’une inexactitude importante dans
les états financiers annuels ou intermédiaires ne soient pas très improbables». En somme, les chefs de la
direction et les chefs des finances doivent exercer leur jugement professionnel pour évaluer leurs
constatations sur la conception du CIIF et pour déterminer les informations qui doivent être communiquées
dans le rapport de gestion.
Lors de l’évaluation d’une faiblesse de conception du CIIF, on peut tenir compte des trois niveaux de
communication qui suivent, selon le type de faiblesse détecté.
- Type A — les faiblesses jugées importantes, qui doivent être présentées dans le rapport de gestion et
communiquées au comité de vérification et aux vérificateurs externes.
- Type B — les faiblesses jugées non importantes, mais qui doivent être communiquées au comité de
vérification et aux vérificateurs externes.
- Type C — les faiblesses non significatives au plan de l’information externe, mais qui doivent être
communiquées au membre concerné de la direction pour qu’un correctif soit apporté.
Les chefs de la direction et les chefs des finances devraient établir leurs propres critères
d’application, après consultation du service de vérification interne, des vérificateurs externes et du comité
de vérification.
Informations fournies dans le rapport de gestion
En septembre 2006, l’Avis 52-316 du personnel des ACVM a indiqué clairement que les conclusions individuelles
du chef de la direction et du chef des finances sur l’efficacité des CPCI devraient inclure des informations
sur les faiblesses relevées dans le CIIF :
«Étant donné que les définitions de contrôles et procédures et de contrôle interne se recoupent sur bien
des points, nous estimons que les dirigeants signataires devraient faire en sorte que l’émetteur indique,
dans son rapport de gestion annuel, la nature de toute lacune repérée dans la conception du contrôle interne,
les risques associés et les mesures qu’il compte prendre, le cas échéant, pour y remédier. Si l’émetteur ne
prévoit pas modifier la situation, il devrait envisager d’indiquer les motifs de sa décision.»
[«Lacune» s’entend ici de toute faiblesse qui amènerait les dirigeants signataires à se demander si la
conception du CIIF permet d’obtenir une assurance raisonnable sur la fiabilité des états financiers, et si
ces derniers ont été établis conformément aux PCGR de l’émetteur.]
La direction devrait également, après enquête, corriger les erreurs qui pourraient être survenues lors de
l’exercice considéré ou des exercices subséquents dans les états financiers, jusqu’à ce que la faiblesse soit
rectifiée.
Supposons, par exemple, qu’une faiblesse importante de conception du CIIF est détectée et présentée dans
le rapport de gestion annuel de 2006. La direction devrait alors mener une enquête afin de s’assurer que
cette faiblesse n’a pas engendré des erreurs importantes dans les états financiers de 2006 avant qu’ils ne
soient finalisés et publiés.
Elle devrait ensuite mener une enquête similaire au 1er trimestre de 2007, et aux trimestres subséquents,
jusqu’à ce que la faiblesse de conception soit corrigée.
Le chef de la direction, le chef des finances et les administrateurs de la société qui omettraient de
mener de telles enquêtes pourraient être en butte à des poursuites ou à des mesures réglementaires s’il était
découvert que les états financiers contenaient une erreur importante, et qu’ils n’avaient rien fait pour
s’assurer qu’une image fidèle était présentée dans les états financiers alors qu’ils étaient au courant de la
présence d’une faiblesse de conception du CIIF.
L’arbre de décision (Tableau 1, à la page 34) peut être utile aux chefs de la direction et aux chefs des
finances pour décider des informations à inclure dans le rapport de gestion concernant les faiblesses de
conception du CIIF.
Selon l’attestation du chef de la direction et du chef des finances pour 2006, ces derniers doivent également
présenter, dans le rapport de gestion des informations, tout changement important apporté au CIIF au cours de
la plus récente période intermédiaire (le quatrième trimestre dans le cas des rapports de gestion annuels,
par exemple). Cela s’applique, tant aux changements ayant eu une incidence importante sur le CIIF, qu’à ceux
qui sont susceptibles d’en avoir ultérieurement.
Le Tableau 2 (à la page 36) peut être utile à la prise de décisions à propos des informations à fournir
pour tenir compte des changements apportés au CIIF au cours du quatrième trimestre.
Signature des attestations si le CIIF présente des faiblesses importantes
Lors de la signature de leurs attestations, les chefs de la direction et les chefs des finances
feront face à un dilemme dans le cas où :
- une faiblesse importante non corrigée de la conception du CIIF a été repérée à la fin de la période;
- les informations appropriées sur la faiblesse ont été fournies dans le rapport de gestion;
- des mesures appropriées ont été prises afin de s’assurer que la faiblesse n’a eu aucune incidence
importante sur les états financiers.
Le libellé de l’attestation requise ne peut être modifié, et l’attestation indique explicitement que le
chef de la direction et le chef des finances ont «conçu [le CIIF] pour fournir une assurance raisonnable que
l’information financière est fiable et que les états financiers ont été établis, aux fins de la publication
de l’information financière, conformément aux PCGR de l’émetteur». Toutefois, la communication des faiblesses
de conception du CIIF dans le rapport de gestion laisse entendre qu’il n’existe pas d’assurance raisonnable
sur la fiabilité de l’information financière. Que devraient alors faire le chef de la direction et le chef
des finances?
L’Avis 52-316 du personnel des ACVM, publié en septembre 2006, indique ceci : «À notre avis, les
dirigeants signataires peuvent attester la conception du contrôle interne de l’émetteur, si l’information
présentée par ce dernier sur la lacune repérée dresse un portrait exact et complet de l’état de la conception
du contrôle interne de l’émetteur.»
On conseille alors aux chefs de la direction et aux chefs des finances de porter la question à l’attention
du comité de vérification et de consulter un conseiller juridique pour déterminer les mesures à prendre.
Si l’émetteur rend public un plan de rectification concernant une faiblesse importante du CIIF, ce plan
devrait indiquer clairement les mesures qui seront prises, le moment où elles le seront, l’engagement pris à
leur égard et la capacité de les mettre en œuvre.
Le plan devrait aussi être approuvé par le chef de la direction, le chef des finances et le comité de
vérification. De même, les informations devraient être fournies aux périodes ultérieures tant que le comité
de vérification n’est pas assuré que le plan de rectification a été entièrement mis en œuvre.
Il est conseillé à la direction de même qu’au comité de vérification de ne pas tenter d’expliquer pourquoi
une faiblesse de conception du CIIF n’est pas réellement importante et elle ne devrait donc pas être
communiquée, afin d’éviter une éventuelle contradiction entre les informations fournies dans le rapport de
gestion et le libellé des attestations requises.
Conséquences pour les petits émetteurs
Pour certaines petites entreprises, il peut être difficile de corriger certaines faiblesses de
conception du CIIF (séparation des fonctions incompatibles, par exemple).
Nombre de petites entreprises pourraient ainsi conclure que leur CIIF est inefficace. Elles devront
communiquer les faiblesses importantes de conception du CIIF dans leur rapport de gestion et y indiquer que
leurs contrôles de communication de l’information sont inefficaces.
Comme il a été mentionné ci-dessus, l’Avis 52-316 du personnel des ACVM a indiqué, en septembre 2006, que
l’émetteur devrait «indique[r] dans son rapport de gestion annuel la nature de toute lacune repérée dans la
conception du contrôle interne, les risques associés et les mesures qu’il compte prendre, le cas échéant,
pour y remédier. Si l’émetteur ne prévoit pas remédier à la lacune, il devrait indiquer les motifs de sa
décision».
Toutefois, la direction et le comité de vérification pourraient envisager des mesures moins coûteuses que
la correction des faiblesses de conception du CIIF, afin de fournir aux investisseurs l’assurance que ces
faiblesses n’ont pas donné lieu à des inexactitudes importantes dans les états financiers.
Par exemple, le comité de vérification pourrait charger le vérificateur externe de procéder à des examens
trimestriels des états financiers intermédiaires. Si le comité de vérification confie aux vérificateurs la
mission d’effectuer des examens trimestriels, on recommande que ce fait soit présenté dans le rapport de
gestion.
Conclusion
Les obligations d’attestation de la conception du CIIF ne peuvent pas être évitées. Toutefois, la
direction peut mettre en œuvre son processus d’attestation de la conception du CIIF pour s’assurer que
celui-ci justifie la prise de décisions d’affaires internes et la fiabilité de l’information financière
externe.
En adoptant une telle approche, le temps et l’énergie consacrés à la conception du CIIF et à une
évaluation fondée sur un processus de gestion descendante des risques seront plus susceptibles de porter
leurs fruits. Cette approche sera également utile pour établir une défense fondée sur la diligence
raisonnable, si jamais la direction ou le conseil d’administration devaient y recourir.
Enfin, les mesures prises et les leçons tirées lors de l’évaluation de la conception du CIIF seront utiles
dans l’avenir lorsque les chefs de la direction et les chefs des finances s’attaqueront à la quatrième phase
du processus d’attestation, c’est-à-dire lors de l’évaluation annuelle de l’efficacité du fonctionnement du
CIIF.
|
