Externalisation et contrôle interne : ayez la situation bien en main

La gestion des risques que posent les contrats d’externalisation nécessite de la diligence. Le nouveau contexte réglementaire l’exige.

par Nelson Huen et Ted Aslanidis

La gestion des risques est un élément essentiel de la bonne gouvernance d’entreprise. Depuis quelques années, on se penche sur les changements à apporter à la réglementation régissant les sociétés ouvertes canadiennes afin de créer un cadre plus solide pour la gestion des sources possibles de risque. La mise en œuvre de ces modifications devra tenir compte de tous les aspects des activités d’une entreprise, y compris les ententes d’externalisation.

Nouvelles règles

Les sociétés canadiennes inscrites aux bourses américaines sont assujetties à l’article 404 de la loi Sarbanes-Oxley de 2002 (SOX), selon lequel les sociétés doivent consigner par écrit leurs contrôles internes et en attester la conformité. Les sociétés inscrites aux bourses canadiennes attendent actuellement l’adoption d’une législation comparable au Canada.

Le 10 mars 2006, les Autorités canadiennes en valeurs mobilières (ACVM) ont publié l’Avis 52-313, qui établit clairement que les sociétés canadiennes ne seront pas tenues d’obtenir l’opinion de leur vérificateur sur l’évaluation par la direction de l’efficacité du contrôle interne à l’égard de l’information financière, comme elles l’auraient été en vertu du Règlement 52-111. Cependant, le chef de la direction et le directeur financier de ces sociétés devront, en vertu du projet de Règlement 52-109 élargi, déclarer dans leurs attestations annuelles qu’ils ont évalué l’efficacité de leurs contrôles internes à l’égard de l’information financière, et présenter leurs conclusions quant à l’efficacité de ces contrôles internes.

À l’heure actuelle, on ne sait pas dans quelle mesure les sociétés inscrites à la cote des bourses canadiennes assujetties aux règlements proposés par les ACVM seront tenues de consigner par écrit et de tester leurs contrôles internes en comparaison de ce que doivent faire les sociétés assujetties à la SOX. Cependant, les chefs de la direction et directeurs financiers avisés veilleront à ce qu’il y ait suffisamment de preuves que leurs contrôles sont en place et qu’ils fonctionnent.

La direction doit donc évaluer tous les processus et systèmes internes importants pour cerner les risques susceptibles de se répercuter sur les états financiers et d’exposer éventuellement les dirigeants à des sanctions, quel que soit le cadre réglementaire qui régit leurs activités.

L’externalisation est certainement l’un de ces secteurs qui peuvent présenter des risques.

Cerner les risques

Quand les activités d’un sous-traitant peuvent-elles avoir une incidence sur les états financiers? Certains sous-traitants sont autorisés à entrer directement des opérations dans les systèmes financiers du donneur d’ordres ou d’émettre ses bons de commande. D’autres peuvent se retrouver responsables d’accidents environnementaux ou de production défectueuse. D’autres encore peuvent, par inadvertance, compromettre l’intégrité ou la sécurité de documents privés et de l’information sensible sur les clients.

Le fait de cerner et de gérer ce type de risques constituera un élément crucial du nouveau contexte d’application des règlements au Canada. Voici trois mesures importantes que vous devriez prendre pour gérer ces risques.

1. Répertorier tous les contrats d’externalisation et établir un cadre de gouvernance à l’égard de l’externalisation

Lorsque l’externalisation est devenue une pratique courante, on s’est peu préoccupé des risques qu’elle posait pour les états financiers. Souvent, les différents services d’une organisation étaient autorisés à gérer leurs propres contrats de sous-traitance et les ententes étaient éparpillées. Avec pareille division des responsabilités, il est difficile de rassembler et de répertorier les contrats à des fins de gouvernance et d’évaluer les risques possibles qui y sont associés. En outre, les organisations doivent tenir compte du risque global, et non seulement du risque associé à chaque contrat.

Il importe donc de savoir où se trouvent tous ces contrats, d’évaluer leur incidence sur l’efficacité du contrôle interne à l’égard de l’information financière et d’établir un cadre efficace de gouvernance et de conformité pour gérer les risques. Ce travail est plus difficile qu’il n’y paraît. De nombreux gestionnaires de contrats n’aiment pas remettre en cause le statu quo, partager le contrôle ou se préoccuper de l’incidence de ces nouvelles exigences sur le budget et les ressources.

Le premier réflexe sera peut-être de centraliser la gestion des contrats d’externalisation dans un seul service ou bureau, mais il n’est pas toujours nécessaire de recourir à une telle réorganisation. On peut opter, par exemple, pour la création d’un comité composé des gestionnaires de contrats actuels, mais il se peut que ces derniers ne comprennent pas les risques ou les règles de la conformité. Dans certains cas, un modèle hybride qui prévoit une centralisation partielle est plus approprié.

Peu importe la solution retenue, l’une des premières difficultés à résoudre concerne la différence entre les dispositions des contrats actuels et des contrats futurs. Il faut évaluer le risque que posent les contrats existants à l’aide d’une stratégie à court terme qui vise à amener les sous-traitants à adopter le type d’assurance en matière de contrôle qui sera bientôt exigé. Il faut ensuite établir une terminologie standard en matière de contrôle et de « droit à la vérification » pour les contrats futurs.

Il faut s’attendre à de la résistance de la part des sous-traitants qui ne veulent pas engager des dépenses supplémentaires ou consacrer du temps à des éléments non prévus dans le contrat actuel. Certains seront disposés à tenir compte de ces changements, contre rémunération. Néanmoins, les organes de gouvernance doivent travailler activement à uniformiser la formulation des contrats pour s’assurer que les processus de gouvernance à l’échelle de l’entreprise à l’égard des ententes d’externalisation sont aussi rigoureux, uniformes et vérifiables que possible.

2. Tenir compte des efforts à déployer en vue de la conformité dans le cours de la négociation des contrats

Les gestionnaires des contrats d’externalisation devront adopter, à l’égard des négociations, une attitude différente dans le nouveau cadre réglementaire. Il ne suffit plus de conclure une bonne affaire avec un sous-traitant. Désormais, la conformité doit être un critère important. Chaque sous-traitant doit être disposé à conclure un contrat qui prévoit une assurance suffisante à l’égard des contrôles. Qui plus est, le degré de protection doit correspondre au risque : trop importante, la protection est une dépense inutile; trop faible, elle est insuffisante. Enfin, prenez note des dates de renouvellement des contrats actuels et mettez-vous à l’œuvre dès maintenant pour ne pas être obligé de modifier plus tard les conditions du nouveau contrat.

La conformité est une question complexe et le mieux est d’y faire participer les bons membres de votre équipe de direction et les bons conseillers le plus tôt possible. Ils vous aideront à comprendre les exigences de votre entreprise en matière de contrôle, à établir une stratégie de négociation et à aborder avec votre fournisseur les exigences quant à la conformité.

Au cours des négociations, indiquez clairement le type de conditions et de droits dont vous avez besoin. Il n’existe pas de formule universelle. En principe, il faut que la direction ou ses conseillers soient capables de vérifier les procédures, processus et opérations du sous-traitant. Certains sous-traitants verront cela comme une intrusion, parce que le travail additionnel ou les interruptions risquent de réduire une marge bénéficiaire déjà mince. Par ailleurs, vous devrez comprendre et voir les procédures appliquées par vos sous-traitants, y compris les contrôles internes à l’égard des TI. Le degré d’accès et l’étendue du travail de vérification requis dépendront de la mesure dans laquelle le sous-traitant se charge des processus, contrôles et systèmes clés de l’information financière et du niveau d’assurance dont la direction et le conseil ont besoin pour être certains que les dispositions du Règlement 52-109 sont respectées.

Le coût de la conformité sera toujours un aspect à prendre en considération dans le cadre de ces négociations. Car il peut être considérable. Par exemple, le recours à des sous-traitants étrangers par souci d’économie ne semblera peut-être pas aussi intéressant une fois pris en compte les coûts engagés dans la gestion des risques et le respect de la réglementation.

3. Établir un programme rigoureux d’examen et de surveillance de la conformité

La distinction entre un sous-traitant et un fournisseur ordinaire n’est pas toujours claire. On fait parfois l’erreur de supposer que certaines ententes ne sont pas visées. Il faut appliquer les critères de l’importance relative et de la responsabilité éventuelle à tous les contrats pour évaluer les risques.

Voici les trois grandes façons d’évaluer les ententes d’externalisation dans le contexte des contrôles internes à l’égard de l’information financière :

1. S’appuyer sur les contrôles actuels et créer éventuellement des contrôles supplémentaires au sein de l’organisation. Cette démarche consiste à relever et à consigner par écrit tous les contrôles d’entrée et de sortie, ou à examiner et vérifier toutes les opérations à l’interne pour garantir que tous les points de transfert entre votre organisation et le sous-traitant font l’objet d’un contrôle suffisant pour réduire les risques.

2. Procéder à une inspection physique et à la documentation des contrôles du sous-traitant à l’aide de ses propres ressources. Cette méthode est peut-être moins onéreuse que l’approche dont il est question ci-après, mais il est important que vos ressources internes reçoivent le niveau de formation approprié de même que les instructions et les outils adéquats pour effectuer l’évaluation avec efficience et efficacité.

3. Demander aux sous-traitants des preuves de conformité. Pour ce faire, on a recours au rapport du vérificateur établi en vertu du chapitre 5970 (Canada) ou de la norme SAS 70 (É.U.) et portant sur les contrôles mis en œuvre par le sous-traitant.

La solution qui convient le mieux à votre organisation dépend de divers facteurs comme l’efficacité, le coût, le temps et les ressources. Parfois, l’indépendance associée à une opinion émise en vertu du chapitre 5970 peut s’avérer utile, en particulier lorsqu’une inspection physique des activités du sous-traitant risque de nuire aux rapports avec ce dernier. Mais cette opinion est beaucoup plus onéreuse que les contrôles d’entrée et de sortie. Qui paiera la note? Les contrôles d’entrée et de sortie permettent-ils de réduire suffisamment les risques associés à certaines ententes d’externalisation? Il faudra peut-être procéder à de multiples inspections et vérifications sur place (option 2 ci-dessus) afin d’évaluer l’efficacité des contrôles, mais l’entreprise dispose-t-elle des ressources suffisantes, d’un personnel compétent et des outils nécessaires pour appuyer et effectuer ces vérifications? Comment peut-on s’assurer que le sous-traitant apportera les modifications requises en vue d’atténuer les risques relevés?

Il importe de se rappeler que seul un contrat convenablement négocié vous donnera le droit de procéder à la vérification. En vertu des exigences plus strictes en matière de divulgation et de présentation de l’information, les contrats d’externalisation représentent un secteur à risque qui doit être géré et la relation sera plus harmonieuse si les contrats et les processus de contrôle sont adéquats.

Ted Aslanidis et Nelson Huen sont membres du groupe des Services-conseils de KPMG.

HAUT