La loi Sarbanes-Oxley – menace ou opportunité pour les

INTERNATIONAL
La loi Sarbanes-Oxley – menace
ou opportunité pour les
professionnels de la qualité ?
Aux États-Unis, la conformité à la loi Sarbanes-Oxley (SOX), introduite
à la suite de scandales financiers, est surveillée de près par les dirigeants
d’entreprises et la communauté financière. Même si la SOX, comme ISO
9001, exige l’excellence des processus, les professionnels de la qualité perçoivent mal les opportunités à saisir pour intégrer la qualité et les finances
au niveau des conseils d’administration.
par Paul Palmes
La loi Sarbanes-Oxley (SOX)
est entrée en vigueur dans la
législation américaine le 30
juillet 2002, à la suite des scandales financiers d’Enron et de
WorldCom, pour protéger les
actionnaires et le grand public
des erreurs de comptabilité
et des pratiques frauduleuses,
en améliorant la précision et
la fiabilité de la comptabilité
des entreprises (voir encadré
« Qu’est-ce que la loi SarbanesOxley ? »).
La loi SOX a eu
des répercussions très
importantes dans un
certain nombre de domaines
Pour citer le Président George
Bush, cette loi est destinée à
« prévenir et à punir la fraude
des entreprises, la fraude financière et la corruption, assurer la
justice contre les contrevenants
et protéger les intérêts des travailleurs et des actionnaires ».
La communauté financière,
tenue par la SOX de développer l’excellence des processus,
est en train de mettre en œuvre
et d’intégrer une approche processus, semblable à celle d’ISO
9001:2000, mais dans une large
mesure sans faire appel à des
professionnels de la qualité.
Ces comptables et spécialistes
financiers décrivent des avantages que la communauté de la
qualité n’a pas vraiment contribué à créer, car, à l’origine, cette
mise en conformité répondait
à une obligation surveillée et
coûteuse, et la non-conformité
continue d’être passible d’importantes sanctions.
Si les mêmes obligations avaient
été imposées pour la mise en
œuvre d’ISO 9001 ou d’ISO
14001, y compris l’exigence d’intégrer les meilleures pratiques
financières, la loi SOX n’aurait
peut-être jamais été nécessaire
(voir encadré « Similitudes entre
SOX, ISO 9001 et ISO 14001 »).
ISO Management Systems – novembre-décembre 2006 37
INTERNATIONAL
Les avantages de
l’approche processus
La mise en conformité à la loi
SOX est une responsabilité
juridique des entreprises américaines cotées, alors qu’ISO
9001:2000 est une norme internationale relative à la gestion de
la qualité. Ceux qui travaillent
dans des entreprises étroitement
liées à des entreprises américaines ou dans des divisions étrangères d’entreprises américaines
savent déjà que la loi SOX a eu
des répercussions très importantes dans un certain nombre
de domaines.
À l’évidence, les départements
des finances portent l’essentiel de la charge, et dans bon
nombre de ces organisations, le
personnel de ces départements
vient tout juste de retrouver un
mode de fonctionnement quasi
normal. Et même si le processus
a pu être parfois douloureux et
onéreux, des résultats positifs
ont été enregistrés dans certaines organisations.
Il ressort des rapports préparés par des directeurs financiers
et des contrôleurs des finances
que la conformité à la loi SOX,
en particulier à sa section 404,
a généré un certain nombre
d’avantages. La section 404, sous
la rubrique « Comptabilité financière renforcée », se rapportant
à l’« évaluation de la direction
des contrôles internes », exige
des auteurs qu’ils publient dans
le rapport annuel des informations concernant la portée et
l’adéquation de la structure de
contrôle interne et des procédures utilisées pour les rapports
financiers.
Cette déclaration doit également évaluer l’efficacité de ces
contrôles et procédures internes. L’entreprise de comptabilité
enregistrée doit, dans le même
rapport, attester et faire rapport
sur l’évaluation de l’efficacité de
la structure et des procédures de
contrôles internes en matière de
rapports financiers.
L’auteur
Les avantages observés sont que
la conformité à de telles mesures a notamment permis :
• d’aider à centraliser et à normaliser de nombreux processus importants de l’entreprise – selon une entreprise, elle
constitue un avantage pour
les acquisitions futures et la
croissance d’ensemble ;
• de relever le niveau de sensibilisation aux contrôles
dans l’ensemble des organisations – dans une entreprise,
la section 404 a suscité une
attitude axée sur les contrôles non seulement au niveau
des finances, mais également
à celui du personnel dans ses
activités ;
• de donner aux directeurs des
services informatiques des
occasions de jouer un rôle
prépondérant dans un secteur majeur de l’entreprise,
démontrant ainsi leur valeur
pour l’entreprise à un niveau
de direction supérieur.
Le réveil a sonné
pour les professionnels de
la qualité
Ces exemples soulignent l’importance de la loi SOX en tant
que moteur de changement,
appel à l’excellence dans les processus et moyen d’augmenter le
respect des contrôles appropriés.
Toutefois, il serait intéressant
de demander à la communauté qualité si les mêmes observations ont été faites par les
décideurs d’entreprises quant
à la mise en œuvre d’ISO 9001
ou d’ISO 14001.
Ces mêmes décideurs ont-ils
donné pareillement leur aval,
et accepté d’investir des res-
38 ISO Management Systems – novembre-décembre 2006
sources financières équivalentes pour mettre
en œuvre des normes de systèmes de management qualité
ou de management environnemental (SMQ/SME) dans leur
entreprise ?
Comment se fait-il que parmi les
réussites de la mise en œuvre de
la SOX, où la communauté de
la qualité a joué un rôle secondaire, voire inexistant, les avantages de l’approche processus
sont souvent cités sans que soit
mentionnée de synergie entre
la SOX et le management de
la qualité ?
Si la conformité à la loi SOX et
aux normes de SMQ/SME peut
coexister et même être complémentaire dans différents domaines importants, la communauté
de la qualité montre une certaine réticence à considérer la
SOX comme la prochaine étape
logique dans son évolution, qui
est passée du contrôle des pièces et des processus à celui de
l’excellence et de l’amélioration
à l’échelle de l’entreprise.
Le plus troublant peut-être est
de voir que depuis cinq ans, les
livres, documents et articles
appellent la profession qualité à reconnaître les améliorations en termes financiers. Du
coût de la (mauvaise) qualité
à la concentration initiale Six
Sigma sur des projets offrant
des retombées significatives,
la profession reconnaît apparemment, mais continue d’éviter, une intégration en bonne et
due forme avec les finances traditionnelles.
L’auteur, Paul Palmes, est
membre principal de la Société
américaine pour la qualité
(ASQ), et Directeur Assurance
qualité pour Northern Pipe Products
Inc., Fargo, ND, États-Unis.
Il est Vice-président et Président
(Membres) du Groupe consultatif
technique américain (TAG)
auprès du Comité technique de
l’ISO ISO/176, Management et
assurance de la qualité. Il a
occupé la fonction de délégué
principal américain et secrétaire
du Groupe de travail lors de
l’élaboration d’ISO 10014, Management de la qualité – Lignes
directrices pour réaliser les avantages financiers et économiques.
Paul Palmes est représentant du
TAG américain auprès du groupe
d’évaluation de la conformité du
Forum international de l’accréditation, du Groupe des pratiques
d’audit et membre du Conseil
SMQ de l’Institut américain de
normalisation (ANSI), Bureau
d’accréditation national de l’ASQ.
Il a publié deux ouvrages, Process
Driven Comprehensive Auditing et
The Magic of Self Directed Work
Teams, publiés par ASQ Press.
Paul C Palmes, Quality Assurance
Manager, Northern Pipe Products
Inc., Fargo, ND 58102, USA.
E-mail [email protected]
INTERNATIONAL
Audit SOX et ISO
9001:2000
La communauté financière continue à auditer la conformité plus
que l’excellence des processus
– c’est-à-dire qu’elle s’attache
aux détails plutôt que d’aller
en profondeur. Elle continue à
insister sur un examen rigoureux
des enregistrements, alors que la
qualité a progressivement évolué
vers l’essai des résultats d’ensemble de processus inter-reliés.
Si l’on peut accorder foi aux
allégations de valeur ajoutée
évoquées plus haut, l’approche processus d’ISO 9001:2000
aurait dû venir immédiatement
à l’esprit des directions d’entreprise lorsque la conformité à la
SOX a été imposée.
Or, aidés par leur réseau traditionnel de personnes de confiance et d’appui, et ignorant
le potentiel de synergies d’ensemble de la SOX et de la norme SMQ de l’ISO, les dirigeants
ont largement ignoré le département de la qualité et ses auditeurs expérimentés, dans la conception et la mise en œuvre de
la SOX.
La plupart des organisations
gèrent actuellement
leur conformité SOX et
leur management de la
qualité/management
environnemental
par des systèmes séparés
Il y a quelques mois, une entreprise américaine a purement
supprimé sa fonction d’audit
qualité, en « absorbant » tout
simplement les auditeurs qualité au sein du département des
finances, où ils sont actuellement
formés pour devenir auditeurs
financiers internes.
Ils surveilleront aussi la qualité dans l’entreprise, mais à
titre de fonction secondaire.
Le raisonnement est que lors
d’un audit de conformité de
routine, ces doubles compétences apporteront le même
résultat, en permettant à l’entreprise d’économiser le coût de
financement d’un groupe qualité traditionnel, dont la valeur
est moins définie.
La SOX en tant
qu’avantage qualité
« Il y a eu des avantages, mais
le coût était disproportionné »,
indique un responsable financier, exprimant ce que ressentent de nombreux dirigeants
face au mécontentement croissant suscité par le coût de la
mise en conformité à la SOX.
Une autre entreprise estime que
pour chaque milliard de dol-
Qu’est-ce que la loi Sarbanes-Oxley ?
La loi Sarbanes-Oxley (SOX),
entrée en vigueur aux États-Unis
en juillet 2002, a introduit d’importants changements dans le
règlement de la gouvernance
d’entreprise et des pratiques
financières. Elle porte le nom du
sénateur Paul Sarbanes et du
représentant Michael Oxley,
qui en sont les principaux architectes.
La SOX a introduit des nouvelles
règles beaucoup plus strictes
dans l’objectif déclaré de :
« protéger les investisseurs en
améliorant l’exactitude et la fiabilité des comptes d’entreprise
conformément aux lois sur les
valeurs mobilières » et établit un
certain nombre d’échéances non
négociables pour la mise en
conformité qui exigent que :
• la plupart des entreprises
publiques établissent un
rapport financier et des obligations de certification à
chaque déclaration de fin
d’exercice financier soumise
après le 15 novembre ;
• que les entreprises relativement petites et les entreprises
étrangères répondent à ces
obligations pour toute déclaration après le 15 juillet 2005.
La SOX est organisée en 11 sections, même si les sections 302,
404, 401, 409, 802 et 906 sont
les plus importantes en ce qui
concerne la mise en conformité
(la section 404 semble être celle
qui cause le plus de préoccupations) et les contrôles internes.
En outre, la loi a créé une Commission publique des comptes.
Étant donné que la sécurité est un
élément fort de la loi, de nombreuses organisations répondent à
cette exigence en utilisant la
norme ISO/CEI 17799:2005, Technologies de l’information — Techniques de sécurité — Code de
bonne pratique pour la gestion de
la sécurité de l’information.
La législation SOX est placée sous
les feux des projecteurs et, pour
les entreprises américaines et affiliées, il n’y a pas d’échappatoire
possible à cette mise en conformité.
lars de recettes, une entreprise
moyenne dépense 1 million de
dollars pour la mise en conformité à la SOX – imaginez les mêmes
chiffres appliqués à la mise en
œuvre SQM ou SME !
Aucune organisation cotée en
bourse et, de plus en plus, aucun
de leurs prestataires de services
n’ignorent ces coûts. C’est pourquoi, contrairement à l’effort de
développement initial, la seconde étape de la mise en conformité
à la SOX offre des opportunités
considérables pour la profession
qualité, car chaque dollar investi
en effort en double entre le SMQ/
SME et la mise en œuvre la SOX
augmente le prix déjà exorbitant
de la mise en conformité.
Maintenant ou jamais
Le moment est venu d’intégrer les
finances et le développement des
processus de la qualité, les comptes rendus, les organigrammes,
l’évaluation des risques, l’audit
et une multitude d’autres activités. La réduction des coûts et
l’élimination des déchets sont des
éléments moteurs considérables
et, compte tenu des synergies, les
professionnels SMQ et SME peuvent fournir une importante liste
d’outils au comité d’audit et/ou
au conseil d’administration.
Plusieurs organisations ont déjà
combiné les équipes d’audit. La
charge de travail est partagée en
bénéficiant des acquis des deux
disciplines au fur et à mesure
que sont audités des domaines
autrefois audités séparément.
La façon la plus simple de percevoir les synergies les plus évidentes est de considérer les six
processus documentés requis par
ISO 9001:2000. Chacun concerne le suivi et/ou la maîtrise, et
pourtant la plupart des organisations gèrent actuellement leur
conformité SOX et leur management de la qualité/management
ISO Management Systems – novembre-décembre 2006 39
INTERNATIONAL
environnemental par des systèmes séparés.
Dans un SMQ/SME fondé sur
une norme ISO, une constatation d’audit négative devient
très souvent une non-conformité gérée par un processus d’action corrective. Pourquoi, dans
ce cas, les « faiblesses matérielles » (équivalent financier
d’une constatation négative) de
la SOX ne sont-elles pas gérées
avec un système identique ?
Faire passer le message
Les professionnels de la qualité, en tant que pilotes des systèmes de management de la qualité, ont beaucoup à offrir à leur
entreprise, mais ils doivent activement décrire leurs synergies
potentielles aux dirigeants.
Faute d’articuler clairement le
potentiel entre les disciplines, en
particulier en ce qui concerne la
réduction des coûts et le bon sens,
il est très probable que, au sein
de l’entreprise, la mise en conformité à la SOX prendra le pas sur
les départements qualité et non
l’inverse. L’inconvénient que cela
présente se situe au niveau de la
perspective, avec un retour à une
attitude axée sur la conformité et
un affaiblissement de l’approche
processus, une régression par rapport à plusieurs aspects de la révision 2000 d’ISO 9001.
Or, il peut en aller autrement ! Au
lieu d’une absorption pure et simple, ou d’une charge de travail trop
lourde en termes de vérification
de conformité supplémentaire,
les départements qualité peuvent
maintenir l’approche processus en
tant qu’instrument de l’amélioration continue au sein de tous les
éléments de l’entreprise.
Les professionnels de la qualité peuvent travailler avec leurs
homologues dans les domaines
financiers dans un effort d’équipe
pour tirer parti des exigences de
Similitudes entre SOX, ISO 9001 et ISO 14001
En principe, la section 404 de la SOX requiert
qu’une entreprise gère ses affaires financières en
analysant l’ensemble de l’« environnement du
contrôle » afin d’inclure la « prise de risque », la
mission, les politiques et les objectifs de l’organisation, le risque opérationnel pour chaque transaction, déterminant les types de contrôles significatifs
requis et le domaine où ils sont nécessaires. Ces
contrôles sont ensuite exercés par le biais d’audits
internes qui sont eux-mêmes audités par des
auditeurs indépendants qui font rapport au conseil
d’administration ou à ses actionnaires.
Dans la réalité de la mise en conformité à la SOX ,
la plupart des organisations se sont acquittées de
toutes ces tâches en se fondant sur des informations qui leur ont été fournies par des organismes
de conseils, les mises à jours de la Securities and
Exchange Commission et/ou du Public Company
Accounting Oversight Board et d’autres sources.
Il en allait de même au début de la mise en conformité à ISO 9001 où la peur de l’inconnu avait
donné naissance à une multitude de consultants,
de logiciels et d’interprétations divergentes. Quoi
qu’il en soit, le modèle des actions et des méthodes
pour la mise en conformité à la SOX est semblable,
mais avec une différence importante : la nonconformité à la SOX est sanctionnée par des amendes
et/ou des peines d’emprisonnement.
Compte tenu des meilleures pratiques dans la mise
en œuvre de la SOX et d’ISO 9001:2000, lorsqu’une
la SOX et les traduire en amélioration systémique pour les deux
disciplines. Les finances et la qualité peuvent combiner leurs forces pour créer une nouvelle race
de qualiticiens, bienvenus à tous
les niveaux de l’entreprise grâce
à un langage commun et des responsabilités partagées.
Si cet avenir se concrétise, il
sera toutefois nécessaire que
les professionnels de la qualité
40 ISO Management Systems – novembre-décembre 2006
évaluation du risque est achevée, les entreprises établissent une liste de processus clés et définissent leurs
interactions par le biais d’organigrammes et de justificatifs écrits. Dans les deux cas, les contrôles sont
identifiés et suivis, des enregistrements sont conservés
et des audits effectués pour déterminer si tous les
risques identifiés ont été traités de manière adéquate.
En dernier lieu, les organigrammes et les justificatifs sont examinés par un tiers indépendant, agréé
par un organisme d’accréditation reconnu. Toute
entreprise qui a mis en œuvre la SOX sait que dans
les achats, l’informatique, la réception, les ventes et
les expéditions, il n’est pas rare de faire l’objet d’un
audit SOX et ISO 9001:2000 dans le même mois
avec des organigrammes similaires ou identiques.
À l’inverse des règlements, les normes ISO sont
d’application volontaire. Elles fournissent un condensé des meilleures pratiques internationales dont la
véritable valeur réside dans la diffusion des savoirfaire, la facilitation des échanges et la compréhension entre partenaires économique.
Toutefois, dans le cadre de la SOX, ces mêmes
meilleures pratiques relèvent du droit des sociétés
et les avantages qui en résultent s’observent par
voie de conséquence. Malheureusement, on observe
aussi un accroissement du pouvoir et de l’influence
des professionnels des finances qui « découvrent »
ces avantages, qui ne vont pourtant pas aussi loin
que ceux que les normes apportent à ces mêmes
processus.
approchent les départements des
finances en offrant leur aide, en
ayant bien compris les fonctions
communes examinées auparavant dans une optique d’amélioration. L’autre solution est
beaucoup moins attrayante,
car les coûts incitent les finances à charger d’autres départements de tester et d’enregistrer
la conformité avec des exigences préétablies.
La loi Sarbanes-Oxley peut véritablement servir la qualité et la
hisser jusqu’aux Conseils d’administration, mais le montant
très élevé des coûts risque, et
tel a déjà été le cas, de renverser
la situation. Il nous appartient
de déterminer si notre futur est
une opportunité ou une menace en fonction de cette réalité
du marché.
•