FINANCES PERSONNELLES
+ L’achat d’une propriété aux États-Unis
+ Inquiétudes post-emploi
+ Plus
PME
+ En mode survie
+ 10 services valeur ajoutée
+ Marchés étrangers
+ La juste evaluation
+ Faire croître ma PME
+ Vos actifs à la rescousse
+ Plus
IFRS et ISA
+ Sept normes côte à côte
+ Normes canadiennes d'audit
+ Pour réussir le passage obligé
+ Plus
TECHNOLOGIES
+ Systèmes CRM
+ Gestion de performance
+ Enquête 2010 sur les logiciels
+ Plus
LIEU DE TRAVAIL
+ Profession plurielle
+ La RSE : vraiment gagnante
+ Santé et productivité
+ Prévention de la fraude
+ CV chronologique gagnant
+ Gare aux fausses notes
+ Générations et objectifs
+ Les primes gardent la cote
+ Plus
ÉTUDIANTS CA
+ Certifié entreprise
+ Destination: CA
EXPERTISE
+ Les prix de transfert
+ Plus
+ Informations et contacts
RSS
+ Recevez les nouvelles qui vous intéressent
NOUVELLES EN LIGNE
+ Notre cyberlettre mensuelle
Intégrer la conformité à ses opérations
Par Yves Nadeau
Illustration : John Sapsford
L’approche descendante fondée sur les risques s’inscrit dans la foulée du futur règlement sur les exercices se terminant le 15 décembre 2008
La réglementation obligera dorénavant les dirigeants signataires à préciser leurs plans visant à corriger toute faiblesse importante liée à la conception du contrôle interne à l’égard de l’information financière (CIIF) de leur société. Le fait de revoir les procédés de conformité autour des structures de contrôle existantes pourrait s’avérer une décision coûteuse et les sociétés qui optent pour ce statu quo risquent d’être déçues des résultats obtenus. Cet article présente des conseils pratiques qui permettront aux sociétés de répondre aux nouvelles exigences en matière de conformité, tout en améliorant l’efficience de leurs contrôles internes.
Nouvelles directives de conformité
Le projet de règlement abrogeant et remplaçant le règlement 52-109 entrera en vigueur d’ici la fin de l’année et s’appliquera aux exercices financiers se terminant le 15 décembre 2008 ou après cette date. Conformément à ces nouvelles directives, les dirigeants signataires devront attester :
- le cadre de contrôle utilisé pour concevoir le CIIF de l’émetteur (COSO, COBIT ou autre);
- que l’émetteur a présenté, dans son rapport de gestion annuel et intermédiaire, la description de toutes les faiblesses importantes liées à la conception, leur incidence sur l’information financière et le CIIF de l’émetteur, ainsi que tout plan actuel visant à corriger ces faiblesses ou toute mesure déjà prise à cette fin;
- le fait qu’ils ont limité, le cas échéant, l’étendue de leur conception des contrôles et procédures de communication de l’information (CPCI) et du CIIF afin d’exclure les contrôles, les politiques et procédures et l’information financière de certaines entités;
- qu’ils ont évalué l’efficacité des CPCI et du CIIF de l’émetteur et que l’émetteur a présenté les conclusions sur l’efficacité du CIIF, une description des faiblesses importantes, leur incidence sur l’information financière et le CIIF de l’émetteur et sur toute mesure visant à corriger ces faiblesses;
- qu’ils ont informé les vérificateurs de l’émetteur ainsi que son conseil d’administration ou son comité de vérification de toute fraude impliquant la direction ou d’autres salariés jouant un rôle important dans le CIIF.
Mesures recommandées
Pour répondre à ces nouvelles exigences de conformité, les sociétés devraient envisager les quatre mesures suivantes :
- privilégier une approche descendante sur les risques;
- apprécier seulement les risques directement liés aux assertions des états financiers présentés par la direction;
- déterminer si les contrôles internes sont alignés sur un cadre de contrôle établi et mis en œuvre de façon à réduire de manière adéquate les risques relatifs à l’information et à sa présentation;
- tester l’efficacité de la conception et du fonctionnement des CPCI et du CIIF suffisamment longtemps avant la fin de l’exercice afin que les déficiences de contrôle puissent être corrigées.
Une approche descendante fondée sur les risques
Les délais supplémentaires que les autorités de réglementation accordent afin de permettre aux sociétés d’évaluer l’efficacité de leurs contrôles internes donnent à ces dernières l’occasion de mieux planifier la phase de conformité de leur processus d’attestation, de consolider leur démarche et de réduire considérablement les efforts et les coûts associés à leurs tests. Pour saisir pleinement cette occasion, les sociétés devront :
- améliorer l’appréciation des risques et la délimitation de l’étendue antérieures, à l’aide des dernières indications fournies par les autorités de réglementation américaines (SEC, AS 5, PCAOB) ainsi que des indications canadiennes comparables publiées par les ACVM et l’ICCA;
- suivre une approche descendante fondée sur les risques pour déterminer la nature, l’étendue et le calendrier d’application des tests. Cela implique un filtrage des sondages antérieurs afin de ne vérifier que les contrôles liés à des éléments d’information financière présentant un risque élevé.
L’appréciation des risques permet d’établir une base de planification et de délimitation de l’étendue des contrôles internes et comporte quatre étapes :
- identifier les éléments d’information financière significatifs, y compris les comptes significatifs et les informations significatives;
- mettre l’accent sur le risque d’inexactitudes importantes et tenir compte du risque d’inexactitudes résultant d’erreurs, de fraudes ou d’omissions;
- identifier les objectifs en matière d’information financière, c’est-à-dire les assertions, et les risques de ne pas les atteindre;
- classer les risques par ordre de priorité; comme l’illustre le graphique 1 en page 56, ils n’ont pas tous la même importance :
- déterminer l’ordre de grandeur des comptes ou de l’information touchés et la probabilité d’inexactitudes en ce qui concerne le risque connexe;
- pour plus d’efficience, le classement des risques aura des répercussions sur le processus d’identification des contrôles internes et sur la nature, l’étendue et le calendrier des tests.
Cette démarche implique que la détermination des établissements ou des unités économiques à apprécier sera fondée sur le risque d’inexactitudes importantes, plutôt que sur un pourcentage de couverture.
Si le risque est adéquatement pris en compte par des contrôles dont le fonctionnement est central, ou s’il n’est pas présent pour un établissement ou une unité économique en particulier, il n’est donc pas nécessaire d’affecter des ressources à l’établissement en question. C’est donc l’évaluation du risque qui gouverne l’ensemble du processus de conformité et qui détermine ce qui doit être soumis à des tests, comment et quand les effectuer et qui devrait y procéder.
Quoi soumettre à des tests ?
L’approche descendante fondée sur les risques commence par l’identification des contrôles internes qui minimisent efficacement les risques ciblés.
Comme le démontre le graphique 2 ci-dessous, ce sont les contrôles de l’entité qui doivent être privilégiés, car ils peuvent suffire pour atténuer un nombre important de risques liés à l’information financière. En outre, ils sont plus économiques à vérifier.
Parmi les contrôles critiques les plus courants, figurent la séparation des tâches, l’accès aux systèmes et aux données, les contrôles des modifications de systèmes, les autorisations, les contrôles des données entrées, les rapprochements et les processus d’examen. Dans les cas où les contrôles de l’entité ne suffisent pas à minimiser les risques plus élevés, notre stratégie suggère alors de vérifier les contrôles automatisés spécifiques aux assertions à vérifier.
Il est notamment important de tester les applications et les programmes qui ont été modifiés au cours de la période et de vérifier que les accès aux systèmes sont contrôlés de manière appropriée. En dernier ressort, les sociétés peuvent s’appuyer sur des procédés de contrôle manuels en l’absence de contrôles automatisés.
Comment effectuer les tests ?
Comme le démontre le graphique 3 en page 58, c’est une fois de plus l’appréciation des risques liés à l’information financière qui déterminera la nature des tests des contrôles (enquête, observation, examen, reprise du procédé), leur étendue (taille des échantillons), ainsi que le niveau nécessaire pour déterminer si les contrôles internes sont efficaces.
Il est donc primordial de bien évaluer si le risque d’une erreur d’importance dans les états financiers est élevé, modéré ou faible. Plus ce risque est élevé, plus le risque d’échec des contrôles sera élevé et plus les tests devront comporter des éléments probants.
Les procédés de contrôles manuels comportent évidemment un risque d’échec plus élevé, tout comme les contrôles qui requièrent plus de jugement. La direction peut déterminer qu’il n’est pas nécessaire de maintenir séparément des copies des éléments probants qu’elle évalue, si ceux-ci, contenus dans les livres et registres de la société, suffisent à fournir un appui raisonnable à l’évaluation.
Au chapitre des PME, le suivi quotidien des contrôles par les dirigeants signataires pourrait servir de fondement à l’évaluation des CPCI et du CIIF si l’application des contrôles et des politiques et procédures est centralisée et ne fait intervenir qu’un nombre limité de membres du personnel. L’appui raisonnable à ce recours quotidien comprendrait, entre autres, les éléments suivants : notes de service, courriels et instructions ou directives adressées à la direction ou encore adressées par la direction aux employés de la société; étude du degré de complexité du contrôle, du niveau de jugement nécessaire pour exercer le contrôle et du risque d’inexactitude d’un élément de l’information financière qui pourrait donner lieu à des inexactitudes importantes dans les états financiers.
Quand procéder et qui devrait procéder à des tests ?
Les procédés pour obtenir des éléments probants peuvent être intégrés aux responsabilités quotidiennes des employés. Lorsque le risque lié au contrôle interne augmente, les sociétés devraient envisager une validation accrue des contrôles, une exécution des tests s’étendant sur de plus longues périodes ainsi qu’un recours à du personnel ayant un plus grand niveau d’objectivité, tout en s’assurant d’avoir accès à l’expertise requise à l’égard des éléments considérés. Cependant, tous ces éléments accroissent le coût de la conformité et offrent peu de valeur ajoutée à l’entreprise.
Les meilleures pratiques
Les entreprises qui visent à adopter les meilleures pratiques de l’industrie en matière de conformité peuvent grandement améliorer l’efficience et la rentabilité des projets de conformité et la qualité de leurs processus d’affaires.
En recourant à l’approche descendante fondée sur les risques, qui consiste à traiter d’un risque par des contrôles au niveau de l’entité d’abord, ces contrôles étant habituellement exécutés moins fréquemment, on réduit par conséquent les efforts nécessaires à l’évaluation de l’efficacité de leur fonctionnement.
Les contrôles au niveau de l’entité sont aussi très précis, car ils portent directement sur les risques que les dirigeants cherchent à minimiser. Les pratiques exemplaires suivantes devraient également être envisagées afin de réduire les coûts de conformité :
- s’assurer d’obtenir la collaboration de personnes connaissant bien les principes comptables généralement reconnus (PCGR), les rapports financiers et les normes de certification aux fins d’évaluer les risques et l’étendue du travail de conformité, ce qui permettra notamment de bien identifier les comptes significatifs;
- ne pas reconduire les évaluations des années antérieures et les tests de l’efficacité du fonctionnement de contrôle interne sans avoir déployé un effort suffisant de révision reflétant les principaux changements aux directives normatives; dans l’ensemble, les contrôles pourront être allégés car ils ne porteront que sur les risques significatifs;
- mettre à jour l’appréciation des risques lorsque les facteurs internes ou les facteurs de risque changent;
- adapter la nature, l’étendue et le moment des activités de conformité en fonction des risques; cela impliquera notamment une documentation du lien entre les contrôles au niveau de l’entité et les risques sous-jacents liés à l’information financière, ainsi qu’une amélioration des procédures existantes au niveau de l’entité, qui devront être suffisamment directes et précises pour qu’on puisse s’y appuyer;
- prendre en compte les risques liés à la préparation et à la présentation de l’information de source informatisée, lorsque l’exhaustivité et l’exactitude des informations sous-jacentes s’appuient sur des contrôles dépendant d’une information de source informatisée.
En conclusion
Les sociétés ont tout intérêt à saisir l’occasion offerte par les nouvelles directives de conformité pour adopter les meilleures pratiques dans ce domaine dans une optique d’efficacité. L’intégration de la conformité aux opérations et la mise en place d’une approche descendante fondée sur les risques permettront, non seulement d’accroître l’efficience de leurs contrôles internes, mais également d’en réduire les coûts.
Nous traiterons davantage, dans un prochain article, de notre approche pour améliorer la conformité tout en faisant de même pour les processus d’affaires.
Yves Nadeau, CA, est associé, Certification et Services conseils en gestion des risques au bureau monréalais du cabinet RSM Richter, et dirige cette rubrique.
