Le besoin de régulation de la gouvernance : l’exemple de la Sarbanes-Oxley Act
Des nouvelles lois, en ce qui concerne les pratiques de gouvernance, plus spécialement sur les contrôles opérés sur les entreprises cotées, faisant suite à certains dérapages (scandales) survenus à la fin du XXème siècle, ont fait leur apparition. En guise d’exemple, nous allons décrire les lignes directrices de la Sarbanes-Oxley Act[1], loi américaine sur les entreprises cotées. Ces nouveaux systèmes de contrôle des entreprises ont commencé à se mettre en place seulement depuis 2003.
La loi Sarbanes-Oxley Act de 2002, promulguée à la suite des désastres comptables d’Enron et de WorldCom, est probablement la loi qui affecte le plus les sociétés cotées en bourse depuis la loi Securities Exchange Act de 1934. Afin de restaurer la confiance des investisseurs dans les rapports financiers des sociétés cotées en bourse, la loi Sarbanes-Oxley rend les dirigeants des entreprises personnellement responsables de toute falsification des données financières. Un cadre d’une société signant en toute connaissance de cause un rapport erroné est passible d’une amende pouvant atteindre jusqu’à un million de dollars et peut être condamné à une peine pouvant aller jusqu’à dix ans de prison. Même si la loi est entrée en vigueur en 2004, elle continue à se mettre en place alors que la SEC (U.S. Securities and Exchange Commission) décide des délais de mise en conformité et publie les règles relatives aux exigences et à la conformité. D’après une étude effectuée par AMR Research, environ 85% des sociétés cotées en bourse ont prévu de modifier leur système informatique dans le cadre de leurs efforts de mise en conformité avec cette loi. AMR a estimé que les entreprises ont dépensé plus de 2,5 milliards de dollars pour se mettre en conformité avec la loi Sarbanes-Oxley, pour la seule année 2003.
Guidée par trois grands principes soit l’exactitude et l’accessibilité de l’information, la responsabilité des gestionnaires et l’indépendance des vérificateurs/auditeurs, la loi vise à augmenter la responsabilité corporative et à mieux protéger les investisseurs pour rétablir leur confiance dans le marché. Elle a pour mandat principal de contrôler que les entreprises agissent de manière responsable vis-à-vis des actionnaires, notamment en leur donnant accès à des informations financières et comptables fiables et transparentes.
La plupart des entreprises ont effectué les changements exigés par la loi Sarbanes-Oxley et sont maintenant en pleine documentation des processus. Certaines entreprises ont même élargi le champ de leurs projets Sarbanes-Oxley afin de « comprendre la documentation, la conception et la mise en oeuvre des processus et contrôles, la plupart allant bien au-delà du processus de rapport financier ».[2]
Six grandes mesures se distinguent :
1) La mesure la plus significative est celle qui concerne la « responsabilité »[3] les dirigeants d’entreprises (Chief Executive Officer/CEO et Chief Financial Officer/CFO ). Toute irrégularité volontaire ou consciente est pénalisée. Les dirigeants pris en faute encourent dix ans de prison.
2) Afin d’améliorer l’accès et la fiabilité de l’information, les entreprises devront fournir à la SEC des informations complémentaires (principes comptables guidant la présentation des comptes, transactions hors bilan, changements dans la propriété des actifs détenus par les dirigeants, codes d’éthique de l’entreprise…)[4].
3) Depuis le 26 avril 2003, les entreprises doivent avoir mis sur pied des comités de vérification indépendants pour superviser le processus de vérification[5]. Ces derniers sont habilités à recevoir des plaintes venant des actionnaires ou encore des employés concernant la comptabilité de l’entreprise et les procédures de vérification.
4) Il est aussi prévu d’imposer la rotation des vérificateurs externes.
5) Un nouvel organisme de réglementation et de surveillance, le Public Company Accounting Oversight Board, doit superviser les firmes comptables, établir des standards, enquêter et sanctionner les personnes physiques et morales qui ne respectent pas les règles.
6) Les sanctions sont considérablement renforcées. La sentence maximale pour fraude passe par exemple à vingt cinq ans.
On se rappellera sans doute de la loi Sarbanes-Oxley Act dans l’histoire, comme de la régulation qui a cherché à éliminer les fraudes et les abus dans les entreprises, car elle exige une responsabilité complète des entreprises en matière de rapports financiers. Pour toutes les entreprises en dehors des Etats-Unis qui ont fait l’effort de mettre en place la gouvernance d’entreprise, il est temps de capitaliser cet effort et d’avancer vers la conformité à la loi Sarbanes-Oxley, puisque la Commission européenne, par exemple, met en place un système de contrôle similaire.
Le défi actuel consistera à trouver des instruments de régulation adéquats et des règles qui pourront tracer la ligne entre régulation et autonomie du marché dans un contexte d’importants changements économiques qui remet en cause l’ordre mondial établi.
[1] http://www.sarbanes-oxley.com/
[2] Méta Group et d’AMR Research.
[3] Section 302. Cette section, « Responsabilité de l’entreprise vis à vis des rapports financiers » est entrée en vigueur en 2002. Elle implique que le PDG et le directeur financier certifient personnellement les résultats financiers de l’entreprise. La section 302 précise également les pénalités criminelles encourues par des responsables qui publient sciemment de fausses déclarations
[4] Section 409. Cette section, « Signalement des problèmes en temps réel » exige la notification en temps réel des événements importants qui pourraient avoir un impact sur les performances financières d’une entreprise. Bien que la SEC n’ait pas défini ce qu’elle entend par « temps réel » et qu’aucun délai final n’ait été pour l’instant défini pour la mise en conformité à la section 409, de nombreuses entreprises l’interprètent comme 48 heures. Les spécialistes du secteur des systèmes d’information ont fait remarquer que pour une conformité avec la section 409, une intégration informatique importante et la mise en place de notifications en temps réel ainsi que d’alertes d’événements seront nécessaires.
[5] Section 404. Comme l’ont fait remarquer de nombreux commentateurs, la section 404, « Evaluation par la direction des contrôles internes », présente les plus grandes difficultés de mise en conformité. Elle demande en effet que les auditeurs certifient les contrôles et processus sous-jacents utilisés par l’entreprise pour créer des rapports sur leurs résultats financiers. Elle comprend une évaluation des contrôles et une identification du cadre utilisé pour l’évaluation. La section 302 exige que les déclarations financières soient complètes et précises, alors que la section 404 exige que le processus utilisé pour générer les déclarations soit précis et respecte la norme du marché acceptée (par exemple, la norme du Committee of Sponsoring Organizations of the Treadway Commission, développée après la crise des économies et prêts des années 80). La section 404 exige également que les changements dans le processus soient signalés tous les trimestres. Les grandes entreprises américaines avaient un délai au 15 juin 2004 pour respecter ces exigences, alors que les petites entreprises ont eu un délai au 15 avril 2005.