La loi Sarbanes-Oxley prend racine dans les scandales financiers de fin 2001 et début 2002, que sont les affaires Enron et Worldcom qui ont mis toutes les deux en jeu l'une des cinq plus grandes sociétés d'audit et de conseil ; Arthur Andersen. Les manipulations financières et comptables se sont déroulées devant l'indifférence des médias spécialisés et des analystes financiers contredisant l'efficience supposée des marchés. Mais il faut surtout noter la myopie voire la complicité du cabinet Arthur Andersen. Ces affaires mettent en exergue des problèmes de contrôle interne, de déontologie, d'indépendance et d'éthique qui concernent non seulement les auditeurs mais aussi les financiers.
Pour contrer cette crise majeure de confiance et de pratiques frauduleuses, l'Etat américain a réagi par un renforcement profond de la réglementation par la « Public Accounting Reform and Investor Protection Act of 2002 » ou communément dénommée « Sarbanes-Oxley Act », SOX ou encore SOA. La loi Sarbanes-Oxley a amené la plus importante réforme que les marchés financiers Américains ont vu depuis la sortie du «Securities Act » en 1933 et du « Securities Exchange Act » en 1934. L'Europe et la France ont suivi l'évolution de la réglementation avec respectivement la publication de recommandations sur les principes fondamentaux de l'indépendance du contrôleur légal des comptes et la loi sur la sécurité financière de 2003 pour la France.
L'objectif de cette loi est de réduire les fraudes et les conflits d'intérêts d'une part et d'augmenter la transparence financière et la confiance du public dans les marchés d'autre part. En effet, Sarbanes-Oxley vise directement les facteurs de fraude en essayant de renforcer la supervision des comités d'administration et d'audit, d'augmenter la vigilance et l'indépendance des auditeurs, de renforcer le contrôle interne et la gestion des risques et de créer des pénalités de fraudes comptables suffisamment dissuasives. La loi Sarbanes-Oxley est célèbre pour les paragraphes qui énoncent que le président-directeur général et le directeur financier d'une organisation sont responsables à titre personnel de la certification des résultats financiers.
La réglementation SOX touche l'ensemble des marchés financiers ; toutes les sociétés, industrielles ou de services, ont été et vont continuer à être impactées par SOX. La section 404 de l'acte, « Management Assessment of Internal Control », en est probablement l'aspect le plus ambitieux. Elle requiert des entreprises cotées à la bourse de New York et de leurs auditeurs externes de rapporter sur l'efficacité du contrôle interne sur le reporting financier. Ce texte constitue une réforme significative sur le fonctionnement des organes de management et sur la qualité de l'information financière. Il faut noter que les entreprises ne se sont pas immiscées dans la rédaction de la loi. Les entreprises n'ont pas voulu s'impliquer dans des apports ou des suggestions suite aux scandales révélés.
La loi Sarbanes-Oxley a suscité beaucoup de réactions négatives à sa sortie. En effet, beaucoup de sociétés ont critiqué sa lourdeur administrative, redoutant une baisse de productivité et des coûts trop élevés. Les entreprises ont dû engager énormément de ressources (hommes, temps, argent, connaissances) pour être en conformité avec la loi. Elle a engendré beaucoup de changements qui, à première vue, peuvent paraître contre-productifs (contrôles, testing et documentations) mais qui dans le temps peuvent apporter beaucoup de bénéfices, d'autant plus que nombres d'entreprises auraient un jour ou l'autre implanté un système de contrôle interne semblable à SOX.
Après les deux premières années de mise en œuvre et la troisième en cours, les coûts exorbitants de mise en place des changements pour être en conformité avec la loi ont fait s'interroger les entreprises : les mesures de SOX sont-elles si nécessaires et efficaces que ça ? La loi a-t-elle atteint/répondu aux objectifs qu'elle s'était fixée ? Quel a été l'impact réel de la section 404 sur le contrôle interne ? Les bénéfices ont-ils dépassé les coûts ? Et aussi, quelle démarche efficace faut-il mettre en œuvre pour réussir le projet de mise en conformité ?
Pour tenter de répondre à ces questions, nous allons dans un premier temps, regarder comment une entreprise doit aborder le projet de mise en conformité, c'est-à-dire comment organiser le management, comment analyser le contrôle interne déjà mis en place, comment définir les contrôles à documenter, à tester et comment évaluer les déficiences. Dans une seconde partie, nous allons analyser les résultats de la première et deuxième année pour en déterminer l'impact sur le contrôle interne, mais aussi sur la gouvernance d'entreprise et sur les marchés boursiers. Nous regarderons les apports non négligeables de la loi ainsi que ses lacunes. Enfin, nous observerons comment les entreprises peuvent agir pour aller au delà de la loi et transformer une contrainte imposée en opportunité.
Nous verrons que la mise en conformité est un processus long, complexe et coûteux à mettre en place mais la loi a, dans une large majorité, répondu à ses objectifs. L'évaluation du contrôle interne à l'égard de l'information financière d'une société n'est pas sans entraîner des coûts, mais elle procure de nombreux avantages en termes de sécurité financière. Nous verrons que la loi SOX est un tremplin pour un contrôle interne efficace et plus de transparence.
Mots clés: SOX, Sarbanes-Oxley, Sarbanes-Oxley Act, loi de sécurité financière, Securities Exchange Commission, Ernst et Young, Price Waterhouse Coopers, PwC, Standard & Poor's, DAS, BU, Business Unit, Charles River Associates, Domaine d'activité stratégique, scoping, monitoring, entreprise, management, mise en conformité, reporting financier
[...] Une grande partie des résultats de la 2ème année traités ci- dessous sont issus de la même étude d'E&Y. Cependant il ne s'agit que d'estimations (de Mai 2005 et Août 2005) car les résultats définitifs seront publiés courant septembre 2006. Néanmoins, l'étude nous donne une bonne base pour analyser les résultats probables de la deuxième année Evolution du nombre de contrôles testés a. Estimations générales Le nombre de contrôle à tester va influer sur le coût total de mise en conformité. [...]
[...] Facteurs explicatifs Il y a plusieurs facteurs qui expliquent cette baisse. La plus significative est l'expérience qu'ont accumulée les manageurs au cours de la première année d'implantation et de testing. De plus les coûts de documentation ont fortement diminué du fait que le plus gros du travail a dû être fourni la première année. On peut également citer l'utilisation moins importante de consultants, principalement utilisés pour leur expertise comptable pour les petites entreprises et - pour les grandes). En effet, ils n'ont eu qu'un rôle ponctuel afin de réorganiser les services (notamment les processus). [...]
[...] Temps fourni pour la mise en conformité par type d'entreprise Si l'on regarde le nombre d'heures fournies par type d'entreprise toutes tailles confondues (Cf Annexe on constate que ce sont les entreprises défense/aérospatial, automobiles et de matière première qui ont fourni le plus de travail (c'est-à-dire plus de heures dans l'année). Il n'y a donc aucune corrélation entre temps fourni et rapports défavorables. c. Ecart entre le temps estimé et le temps réalisé Très logiquement, les compagnies ont eu du mal à estimer le temps nécessaire pour se mettre en conformité. Il y a eu des écarts plus ou moins importants selon les entreprises. [...]
[...] Il faudra bien entendu revoir les contrôles sur les processus de consolidation et de pilotage ; aussi bien les éléments automatisés que manuels (tel que l'utilisation de tableau Excel). Pour améliorer le processus de reporting, il est important d'automatiser le plus possible les tâches afin de limiter les risques d'erreurs ou de fraude. L'utilisation de sites intranet, de memos et de base de données peut aider pour la diffusion et la compréhension des procédures comptables ainsi que pour la formation du personnel comptable. Bien sur, demander la validation du comité d'audit pour toutes les procédures comptables est essentiel pour limiter les risques de non conformité. [...]
[...] Plus précisément le facteur de succès est le délai et la qualité de résolution de l'exception. Il faut faire une revue de compréhension totale des exceptions afin de connaître l'impact réel sur les états financiers. Identification des déficiences L'identification des déficiences va se faire par tous les parties qui vont évaluer le temps nécessaire pour y remédier mais aussi identifier ce qui constitue une déficience continue. Les déficiences peuvent être liées à la conception ou à l'efficacité opérationnelle du contrôle. La première étape va consister à identifier les déficiences à tous les niveaux. [...]
Référence bibliographique
Source fiable, format APALecture en ligne
avec notre liseuse dédiée !Contenu vérifié
par notre comité de lecture
