Les affaires électroniques

Par Gerald Trites
Illustration : Gary Taxali

Les normes de vérification et de certification devraient tenir compte de l'incidence des affaires électroniques

Les normes de vérification font partie du Manuel de l'ICCA depuis plus de 30 ans. La plupart d'entre elles ont été élaborées bien avant la révolution des affaires électroniques et, certaines, avant même que l'utilisation de la technologie ne devienne courante en affaires. En vue de déterminer si le changement technologique lié aux affaires électroniques a eu une incidence sur ces normes, le Comité consultatif sur les technologies de l'information (CCTI) de l'ICCA a mené une étude, en 2000, qui a révélé que certaines modifications avaient été apportées aux normes, mais que d'autres s'imposeraient encore.

Même si le terme «affaires électroniques» a été galvaudé, il est largement utilisé. Cependant, les définitions qu'on en donne varient considérablement. Comme l'a noté le CCTI, il y a une différence entre le commerce électronique et les affaires électroniques : «Le commerce électronique est le processus consistant à effectuer des opérations commerciales par voie électronique, sans utilisation de papier et au moyen d'une infrastructure de communications, qui est le plus souvent Internet. Les affaires électroniques quant à elles renvoient aux activités des entreprises qui utilisent le commerce électronique et les technologies et processus connexes pour développer ou accroître leurs activités commerciales. En conséquence, le terme "affaires électroniques" recouvre une réalité plus large que le terme "commerce électronique".»

Les affaires électroniques comportent des aspects technologiques et opérationnels, et des aspects relatifs à la gestion. Les technologies y sont habituellement classées selon qu'elles ont trait aux achats ou aux ventes, ou qu'elles constituent des outils de service initial ou de post-marché. Les aspects organisationnels ont trait à des activités telles que celles des webmestres et des fournisseurs de services Web. Les aspects relatifs à la gestion comprennent l'impartition, la planification stratégique et la transformation des processus d'affaires. Le terme «affaires électroniques» recouvre l'utilisation de la technologie, mais dans un but distinct, et permet de cerner les questions rattachées à cette spécificité.

La note d'orientation concernant la certification et les services connexes NOV-32 (Incidence du commerce électronique sur la vérification des états financiers) a été publiée en mars 2003. Ce texte, qui fait suite à l'adoption de l'International Auditing Practice Statement (IAPS) 1013, couvre plusieurs questions liées aux affaires électroniques, même si elle n'apporte aucune modification aux recommandations du Manuel.

Les principaux sujets couverts par la NOV-32 sont l'importance relative et le risque de mission, la connaissance des activités de l'entité, les inexactitudes, le contrôle interne et les éléments probants. Les chapitres du Manuel traitant de ces questions devront également bientôt faire l'objet d'une révision par suite du projet sur le risque de mission, dans le cadre duquel l'IAASB a récemment publié des normes dont le CNVC prévoit s'inspirer.

La NOV-32 comprend des indications sur le risque lié aux affaires électroniques et comporte une section sur les incidences juridiques de celles-ci. Elle comprend également une section importante sur la connaissance des activités de l'entité, axée sur les secteurs d'activité de l'entité qui utilisent le commerce électronique, et sur la stratégie de commerce électronique de l'entreprise, l'étendue de ses activités dans ce domaine et les accords d'impartition. Le CCTI recommande que le CNVC ajoute un paragraphe au chapitre 5140 pour indiquer que la connaissance requise à l'égard des affaires électroniques d'un client donné implique une connaissance suffisante de la technologie, de la stratégie et des techniques utilisées pour effectuer les opérations sur Internet. La NOV-32 traite aussi, de façon générale, des questions de contrôle interne relatives aux affaires électroniques (contrôles de l'environnement de TI de sites Web, planification stratégique des affaires électroniques, infrastructure de soutien et contrôles d'applications Web).

Bien que la NOV-32 comprenne une section sur le contrôle interne, elle ne couvre pas la communication des lacunes du contrôle interne, dont traite le chapitre 5220 du Manuel. Dans le cas des entreprises électroniques, la question se pose de savoir qui est responsable de la communication des lacunes du contrôle interne d'un système partagé par plusieurs sociétés ayant différents vérificateurs. Une exigence devrait être établie, selon laquelle une société serait tenue de communiquer les lacunes des systèmes qu'elle utilise, quels que soient les propriétaires de ces systèmes. De plus, il faudrait ajouter des dispositions dans le Manuel pour définir les responsabilités en matière de rapport qui incombent aux divers vérificateurs concernés par des systèmes partagés.

La note d'orientation comprend certaines dispositions sur les éléments probants, qui supposent la prise en compte de la possibilité que des documents papier ne soient pas disponibles et qu'il faille mettre en œuvre des procédés supplémentaires pour vérifier l'intégrité des éléments probants électroniques. Le récent rapport de recherche de l'ICCA, intitulé Les éléments probants électroniques, contient d'excellentes réflexions sur ce sujet, et il conviendrait d'en faire l'examen et de les intégrer dans le Manuel.

Enfin, le rôle plus important de la technologie dans les affaires électroniques a accru l'importance des questions dont traitait le chapitre 5360, «Utilisation du travail d'un spécialiste». Plusieurs aspects des affaires électroniques peuvent exiger l'utilisation du travail d'un spécialiste. Le CCTI recommandait que le chapitre soit enrichi par l'ajout d'exemples de situations relatives aux affaires électroniques, ainsi que la publication d'une note d'orientation traitant du recours à des spécialistes en contexte d'affaires électroniques. La note d'orientation actuelle reconnaît l'importance des spécialistes en matière d'affaires électroniques.

L'utilisation d'Internet étant au cœur des affaires électroniques, il faut que les normes de vérification et de certification reflètent les questions liées à l'utilisation de sites Web dont la NOV-32 ne traite pas. Les dispositions sur l'association énoncées au chapitre 5020 ont été rédigées avant l'avènement des sites Web, ce qui laisse un vide quant aux situations où les experts-comptables sont associés à des sites Web. Actuellement, les noms d'experts-comptables figurent régulièrement dans des sites, à divers titres, et il est important d'aborder cette question. La question des «limites» se pose également. En raison des hyperliens existant sur les sites, il arrive que les utilisateurs ne sachent pas à quel endroit du site ils se trouvent, ou même qu'ils se trouvent sur un autre site. (Voir le rapport de recherche de l'ICCA L'incidence de la technologie sur la présentation de l'information financière et d'entreprise.) La Bourse de Toronto a publié une déclaration de principes qui traite de la question des limites.

Le chapitre 5050, «Utilisation des travaux de vérification interne», traite d'un autre sujet important sur lequel l'utilisation d'Internet a une incidence. Même s'il ne sera vraisemblablement pas nécessaire de modifier les principes de base en la matière, l'étendue potentielle du recours à la vérification interne à l'égard d'éléments technologiques est si importante qu'elle mérite une attention particulière.

Il conviendrait d'envisager de modifier le chapitre 5135, «Responsabilité du vérificateur relativement à la prise en compte des fraudes et des erreurs», pour tenir compte de la réalité des sites Web. Le vérificateur a le même degré de responsabilité relativement à la détection des inexactitudes découlant de fraudes et d'erreurs en contexte d'affaires électroniques que dans d'autres environnements plus sécuritaires. En conséquence, ce sujet devrait faire l'objet d'un examen en vue de revoir les responsabilités ou de définir les mesures de prudence à prendre dans le cadre de vérifications d'entreprises électroniques afin de s'acquitter de ces responsabilités.

Par ailleurs, bien que la documentation des dossiers de vérification soit de plus en plus informatisée, certains documents doivent encore être élaborés et conservés sur support papier. D'autres documents tels que les confirmations bancaires, les confirmations de compte, les lettres de déclaration et les lettres à caractère juridique sont toutefois obtenus en format numérique. Cela soulève la nécessité de revoir les procédés requis pour maintenir les principes fondamentaux des confirmations, tels que le contrôle du processus par le vérificateur, et indique la nécessité de réviser le chapitre 5145, «Documentation».

Le chapitre 5805 traite des rapports de vérification sur des informations financières autres que des états financiers. L'utilisation accrue d'Internet à des fins d'affaires et d'information accroît la nécessité de rapports sur la performance. La question de l'établissement de rapports sur des mesures de la performance particulières se pose avec de plus en plus d'acuité, et le Manuel devrait en traiter. De même, l'utilisation accrue du langage XBRL, comme en témoigne son adoption récente par la Bourse de Toronto, entraîne le besoin qu'une assurance soit fournie à l'égard d'éléments particuliers de données étiquetés, ce qui crée la nécessité d'une certification à l'échelle des données. Il est urgent d'entreprendre des recherches dans ce domaine, qui comporte des opportunités pour la profession.

Le chapitre 6560, «Communications avec les cabinets d'avocats au sujet des réclamations en cours et des réclamations éventuelles», devrait faire l'objet d'une révision pour tenir compte de l'évolution des lois relatives aux affaires électroniques. Cet aspect est en quelque sorte devenu un domaine de spécialité chez les avocats, ce qui signifie que les communications portant sur des questions relatives aux affaires électroniques pourraient devoir être fondées sur cette expertise spéciale. Peut-être faudra-t-il procéder à une étude conjointe avec le Barreau sur cette question. Les affaires électroniques entraînent également des questions de compétence territoriale complexes dont on pourrait avoir à tenir compte dans la prise de renseignements et dans l'évaluation des réponses.

Des prospectus sont parfois postés sur des sites Web et il ne fait pas de doute que cette tendance s'intensifiera. Le chapitre 7100 traite des responsabilités du vérificateur à l'égard des prospectus et autres documents de placement. En mars 2003, des modifications ont été apportées à ce chapitre pour tenir compte de cette question. De même, des modifications ont été apportées au chapitre 7500, «Association du vérificateur à des rapports annuels, à des rapports intermédiaires et à d'autres documents publics», qui exige du vérificateur qu'il examine le rapport annuel pour déterminer si son contenu entre en conflit avec les états financiers.

Le chapitre 9200, «Missions de compilation», pourrait également devoir être modifié. La situation où des experts-comptables s'associent à des sites Web, et où des modifications sont apportées aux informations figurant sur ces sites ou aux données sous-jacentes, soulève la question de savoir si un rapport sur la compilation devrait être délivré et quand il devrait l'être.

L'examen mené par le CCTI en 2000 a abouti à des suggestions concernant plusieurs projets de recherche nouveaux.

• Piratage éthique (ou tests d'intrusion) — Le piratage éthique est un type d'affectation dans le cadre de laquelle un professionnel tente de pénétrer les couches de sécurité du système d'un client et fait ensuite rapport au client. Ce type de services fait appel à des compétences traditionnellement utilisées dans le cadre d'examens de la sécurité de systèmes de TI, mais aussi à des compétences spécialisées en TI. Les tests de vulnérabilité s'apparentent quelque peu aux tests d'intrusion; il s'agit d'affectations dans le cadre desquelles un professionnel de la sécurité exécute un examen pour déterminer si le système du client est vulnérable à l'accès non autorisé. Cet examen est habituellement axé sur le repérage de vulnérabilités particulières du système à l'accès non autorisé. Le CCTI a publié un dossier d'information sur ce sujet (voir www.icca.ca/ccti).
• Vérification d'entreprises virtuelles — Les entreprises virtuelles supposent des communautés d'intérêts et des échanges commerciaux. Les partenaires commerciaux utilisent des systèmes liés, tels que les systèmes de gestion intégrée, de gestion de la relation client et d'approvisionnement en ligne, pour ces échanges. Toutes les questions de vérification relatives aux entreprises virtuelles (p.ex. évaluation des actifs, manque d'actifs corporels et systèmes partagés) doivent faire l'objet de recherches. C'est la technologie qui sous-tend et permet la création de ces entreprises.
• Certification croisée des systèmes — De nombreux systèmes liés au commerce électronique sont interorganisationnels et, dans ce cadre, certaines organisations d'un groupe utilisent des systèmes gérés par les autres organisations du groupe. Cela signifie que les vérificateurs de chaque organisation doivent s'appuyer sur les systèmes des autres organisations. En conséquence, les divers vérificateurs du groupe peuvent devoir procéder à une certification croisée de ces systèmes.
• Incidence des réseaux virtuels privés sur la vérification — Les réseaux virtuels privés sont des réseaux logiques plutôt que physiques. En d'autres termes, ils sont établis au moyen de logiciels créant des tunnels sur Internet. On les utilise souvent pour créer des liens privés sécurisés permettant d'envoyer des données sensibles. En conséquence, on les considère comme étant sécuritaires et fiables. De plus, ils constituent une partie importante du système de TI d'une entreprise et, dans le cadre de toute vérification, il faut se préoccuper de leurs incidences sur l'ensemble du système.

Il reste beaucoup à faire pour tenir compte de l'incidence importante des affaires électroniques et de la technologie sur les normes de vérification et de certification. Espérons que le CNVC se penchera plus avant sur ces questions et que des projets seront entrepris afin que les incidences des affaires électroniques soient intégrées dans le Manuel, et prises en compte en vue de l'élaboration de nouvelles monographies ainsi que de nouveaux documents d'information à l'intention des praticiens.