Selon un sondage à propos de l’application des lois de protection des investisseurs, qui édictent que les systèmes technologiques utilisés pour l’information financière feront l’objet de contrôles, les dirigeants des entreprises canadiennes ne savent pas si les organisations pourront respecter les dates butoirs. Se préoccupent-ils assez de la situation?
En vertu d’un sondage effectué par Info-Tech Research Group pour le compte de Symantec, 10 % des dirigeants interrogés auraient dit croire que les autres dirigeants seraient prêts à se conformer aux exigences de lois comme la Loi 198 en Ontario. Incidemment, 45 % auraient déclaré que la loi ontarienne était « inutile. »
Les entreprises devaient, au plus tard le 31 décembre 2006, avoir indiqué les mesures de protection des investisseurs qui seraient établies en 2007. Or, 55 % des répondants des entreprises canadiennes auraient affirmé que leur organisation respectait « la plupart des exigences, mais pas toutes », alors que 35 % aurait indiqué ne respecter que partiellement les exigences.
Aussi, 43 % des dirigeants interrogés auraient dit que l’échéance du 31 décembre 2006, qui visait à soumettre un plan d’action pour l’application des dispositions relatives aux lois canadiennes reliées à la loi 198 ontarienne et à la loi Sarbanes-Oxley américaine, avait été respectée « avec un minimum d’efforts », sans investir des processus ou des outils nouveaux. En revanche, 7 % des dirigeants auraient indiqué ne pas avoir soumis de plan d’action.
À propos des investissements consentis pour assurer la conformité à ces lois, 63 % des personnes sondées auraient indiqué que moins de 0,5 % des revenus de leurs organisations avaient été investis pour assurer le respect des exigences des lois dites C-SOX, tandis que 20 % des entreprises auraient mentionné n’avoir rien déboursé à cet effet.
Par ailleurs, 54 % des hauts dirigeants auraient dit ne pas savoir comment leurs organisations allaient respecter les exigences de ces lois. En outre, 31 % auraient indiqué que leurs organisations n’auraient pas recours à des logiciels d’automatisation des processus liés au respect des exigences législatives et 28 %, que ces exigences ont résulté en une modification des responsabilités et des tâches au sein de leurs organisations.
Finalement, 67 % des personnes sondées auraient dit qu’elles jouaient un rôle clairement défini afin d’assurer la conformité de leurs organisations aux exigences législatives.
Enjeux de temps, d’intérêt et d’interaction
Ce sondage, qui a été réalisé avant et après la date butoir du 31 décembre 2006 auprès de dirigeants canadiens, a été commandé par l’entreprise Symantec qui commercialise des logiciels d’infrastructure, dont des solutions d’automatisation des processus.
M. Constantine Karbaliotis, spécialiste principal canadien, respect des lois chez Symantec, explique en partie le manque d’importance accordée à la préparation aux exigences de conformité au temps écoulé depuis les événements qui ont mené à l’adoption de telles mesures législatives, ainsi qu’à la portée de ces exigences.
« Les événements qui ont mené à l’adoption des lois de conformité étaient un sujet chaud en 2001, avec les scandales de Enron et WorldCom. Des dirigeants pensent que c’est un problème américain plutôt qu’un problème canadien. En regardant les nouvelles des dernières semaines, avec les cas de Nortel et de Conrad Black, il est clair qu’il s’agit d’une fausse perception », indique M. Karbaliotis.
Mais le spécialiste croit qu’une bonne partie de l’enjeu s’explique par une déconnexion « très sérieuse » entre les dirigeants exécutifs, qui ont des responsabilités générales, et les départements des TI qui font les implantations.
« D’une certaine façon, puisque cet enjeu est en partie fondé sur des systèmes technologiques, il y aurait une tendance à dire ‘C’est le problème du département informatique’, alors qu’il s’agit d’un problème qui est plus large, un problème d’affaires plutôt qu’un problème technologique. Les TI servent juste à permettre aux entreprises d’être conformes », mentionne-t-il.
M. Karbaliotis croit qu’il y a un problème de communication entre les composantes des entreprises. « Lors de discussions avec des clients, nous avons vu que les gens des TI étaient laissés à eux-mêmes, sans être suffisamment orientés par les dirigeants ou les responsables des finances, souligne-t-il. À la fin de l’automne, nous leur avons demandé s’ils avaient parlé aux responsables des finances pour avoir une idée de la conception des contrôles allaient être, et ils répondaient que non. Je pense qu’il faudrait passer à l’action. »
« À la lumière des statistiques, je pense que la communication n’a toujours pas lieu, qu’il y a de la procrastination, que les gens espèrent que la situation disparaisse d’elle-même et que c’est un problème de TI que les gens des TI prendront en charge. Ce n’est pas différent qu’aux États-Unis avec la loi SOX, où beaucoup d’argent a été dépensé – ce dont plusieurs se sont plaints – sans que personne se soit assis pour voir s’il faut documenter tous les contrôles, si les bons contrôles sont appliqués, si trop de contrôles sont faits ou s’il faut rationaliser la façon de faire des affaires. »
« La conformité a trait au bon fonctionnement des entreprises. Il faut voir si l’enjeu en est un de coût ou d’opportunité pour exploiter plus efficacement son entreprise, avec une plus grande imputabilité envers les actionnaires », estime-t-il.
Réalisme québécois?
Le sondage indique que 28 % des entreprises ontariennes auraient dit croire que les organisations canadiennes ne respecteront pas la date limite du 31 décembre 2007 établie par la loi 198, ce qui en ferait les répondants les plus optimistes. Ce serait au Québec, où 52 % des dirigeants sondés auraient dit croire que les entreprises canadiennes ne respecteront pas la date butoir, que les répondants auraient fait preuve du plus grand pessimisme.
« Il y a plus de pression auprès des entreprises ontariennes de la part des entreprises américaines, à qui elles sont redevables, notamment dans les cas d’impartition. Mais peut-être que les Québécois sont plus réalistes à propos des efforts à faire, car nous savons qu’il faut en faire beaucoup dans cet exercice », commente M. Karbaliotis.
La conformité au Québec
Les résultats de l’étude d’Info-Tech Research Group font beaucoup référence à la Loi 198 et à la Loi Sarbanes-Oxley. Or, ces lois ont respectivement été votées en Ontario et aux États-Unis. Quels en sont les impacts réels au Québec?
La Loi 198, qui a été adoptée en 2003 par la province de l’Ontario, contient des clauses d’amélioration de la précision et de la fiabilité des informations divulguées par les organisations cotées en bourse, et ce, afin de protéger les investisseurs. Cette loi, surnommée C-SOX par certains, a été établie à la suite de l’adoption de la Loi Sarbanes-Oxley aux États-Unis en 2002. D’autres provinces canadiennes ont adopté des règles similaires. Une portion de ces lois a trait au contrôle et à l’audit des systèmes technologiques qui sont utilisés pour les informations financières des organisations.
Éric Aubailly, directeur principal, technologies de l’information chez KPMG à Montréal, explique que les entreprises québécoises qui sont cotées aux bourses de Toronto, pour la Loi 198, ou aux bourses des États-Unis, pour la Loi Sarbanes-Oxley, devront appliquer la réglementation 52-109 de l’Autorité des marchés financiers du Québec. Cette réglementation régit l’ensemble des obligations de contrôles internes à l’égard de l’information financière et de reddition de comptes auprès de la Commission des valeurs mobilières de l’Ontario.
Selon ses explications, la conformité est généralement répartie en deux phases, où l’une est la conception des contrôles et leur implantation et l’autre est l’efficacité des contrôles. Il s’agit d’une spécificité canadienne, alors qu’elle n’en forme qu’une seule aux États-Unis.
« Par exemple, certains de nos clients se sont rendu compte que le processus de gestion des changements d’applications était mal contrôlé, indique M. Aubailly. Avant le 31 décembre 2006, ils avaient l’obligation de concevoir et de mettre en place les contrôles nécessaires pour ce processus. Il fallait s’assurer que les changements soient approuvés par les usagers, qu’il y ait une agrégation de tâches entre les développeurs et ceux qui font la production, et que les tests se fassent dans les environnements de tests et non directement dans les environnements de production. »
« La partie à tester avant juin 2008 est d’assurer que ces contrôles sont réalisés de manière systématique et efficace tout au long de l’exercice 2007 et au début de l’exercice 2008. C’est plutôt une systématisation de l’application du contrôle, versus une définition et une implantation du contrôle qui ont été réalisées précédemment », ajoute-t-il.
M. Aubailly précise que ces contrôles devront être réalisés annuellement, pour que le management atteste de l’efficacité des contrôles. « Cette partie reliée aux TI est une composante du contrôle interne à l’égard de l’information financière. S’il y a des lacunes ou des déficiences majeures du point de vue technologique, elle devra les dévoiler dans son rapport annuel », indique-t-il.