Publications | Fiches point de vue
Les nouveaux enjeux de l'archivage électronique au regard des lois Sarbanes Oxley et de Sécurité Financière
Qui n'a pas entendu parler de la loi Sarbanes Oxley de juillet 2002 et de son équivalent français, la Loi de Sécurité Financière du 1er août 2003 ? Ces textes font suite aux différents scandales financiers (Parmalat, Enron, Worldcom, etc.) survenus récemment et qui ont fait apparaître au grand jour les failles de la législation comptable et financière des entreprises. Ces lois prévoient désormais l'obligation pour les dirigeants de mettre en place, au sein de l'entreprise, des systèmes de contrôle interne destinés notamment à permettre une présentation fidèle des résultats financiers.
1. Etat des lieux de la nouvelle législation
La loi Sarbanes Oxley (dite "SOX") s'applique à toutes les sociétés qui émettent des titres enregistrés auprès de la SEC ou placés publiquement sur le marché américain. Son champ d'application est donc très large et concerne actuellement environ une centaine d'entreprises françaises.
Ce texte prévoit plusieurs dispositions et notamment l'obligation pour les dirigeants d'évaluer la qualité du contrôle interne afin de permettre la présentation d'une situation financière fidèle et des fraudes susceptibles d'avoir été réalisées.
En outre, le nouveau texte impose aux entreprises la mise en place d'un système d'archivage permettant d'obtenir rapidement des informations sur l'historique financier de l'entreprise.
En France, la Loi de Sécurité Financière dispose que la direction générale doit rendre compte, dans un rapport présenté chaque année aux actionnaires lors de l'assemblée amenée à statuer sur les comptes de l'exercice, des procédures de contrôle interne mise en place au sein de l'entreprise et assurant une meilleure transparence.
La loi française est beaucoup moins précise que la loi américaine et ne définit cependant pas les procédures de contrôle interne auxquelles elle fait référence ni les moyens permettant d'assurer ce contrôle interne au sein de l'entreprise.
2. Qu'est-ce que le contrôle interne ?
La notion de contrôle interne ne fait pas l'objet d'une définition juridique.
On peut se référer à la définition du COSO (1), à laquelle renvoie
directement la loi SOX, qui précise que " le contrôle interne
est un processus, défini et mis en œuvre par le conseil d'administration,
le management et le personnel de l'entreprise visant à fournir une
assurance raisonnable que les objectifs suivants sont atteints :
- fiabilité de l'information comptable et financière,
- efficacité et efficience de la conduite des opérations de l'entreprise,
- respect des lois et de la réglementation applicable."
L'Ordre des Experts Comptables français définit le contrôle interne comme l'ensemble des politiques et procédures mises en œuvre par la direction d'une entité en vue d'assurer, dans la mesure du possible, la gestion rigoureuse et efficace de ses activités. Cette définition est particulièrement large et n'est pas limitée aux informations comptables et financières.
Ces procédures impliquent notamment le respect des politiques de gestion, l'exactitude et l'exhaustivité des enregistrements comptables, ou encore l'établissement en temps voulu d'informations financières ou comptables fiables.
Les systèmes d'informations font partie intégrante de ce contrôle interne.
En effet, ils sont indissociables des processus de l'entreprise et en particulier du processus de reporting financier, comme le précise la loi SOX, puisque la quasi-majorité des transactions économiques de l'entreprise sont enregistrées dans les applications informatiques.
Le contrôle interne général doit donc être accompagné d'un contrôle interne informatique.
3. L'obligation d'archivage des données au regard de la mise en œuvre des procédures de contrôle interne
Afin de contrôler la pertinence de l'information financière communiquée, l'entreprise doit être en mesure de disposer de moyens d'archivage et de recherche de l'information pertinents. En effet, l'archivage, lorsqu'il est effectué dans certaines conditions, est un moyen de vérifier que les informations comptables, financières et de gestion communiquées aux organes sociaux de la société reflètent avec sincérité l'activité et la situation de la société.
L'archivage de l'information ne doit pas être effectué à la légère. En effet, il doit en particulier permettre de garantir :
- l'intégrité de l'information conservée et ceci pendant toute
la durée de conservation, qui peut être longue puisque le Code
de Commerce impose de conserver la comptabilité pendant une
durée de 10 ans et le Code Général des Impôts pendant une durée
de six ans.
La notion d'intégrité renvoie au support d'archivage qui doit exclure toute possibilité de modification de l'enregistrement initial. Actuellement, il existe sur le marché plusieurs supports de ce type (disque WORM, etc.).
- la traçabilité de l'information, c'est-à-dire la possibilité de repérer si les informations ont été manipulées depuis leur origine et par quelles personnes.
La législation américaine impose même la conservation de la messagerie électronique.
Juridiquement, aucun texte ne définit l'archivage.
Certains textes, comme le Code de Commerce ou le Code Général des Impôts traitent de l'archivage mais sans préciser les supports utilisables ou les procédures qui doivent être respectées.
En pratique, pourtant, il existe de nombreux outils, particulièrement fiables, qui permettent d'assurer l'intégrité et la fiabilité nécessaires.
En outre, il est tout à fait envisageable d'externaliser l'archivage électronique de ses données financières auprès d'un tiers spécialisé. L'entreprise, demeurant responsable au regard de la loi, doit simplement prendre certaines précautions dans le cadre du contrat conclu avec le prestataire d'archivage.
A ce titre, il est nécessaire de prévoir notamment un engagement de niveau de services incluant certaines obligations relatives au contrôle interne (sécurité des données archivées, garantie de l'intégrité), ou encore un droit d'audit pour l'entreprise.
En tout état de cause, la mise en place d'un système d'archivage adéquat nécessitera un véritable dialogue au sein de l'entreprise entre la direction financière dont l'objectif est d'assurer la fiabilité de l'information financière, la direction des systèmes d'information et la direction générale qui demeure responsable du respect de la législation.
En conclusion : la législation tant française qu'internationale a voulu restaurer la confiance des marchés financiers en obligeant les entreprises à communiquer sur les procédures de contrôle interne. L'archivage des données comptables et financières est l'un des éléments de ce contrôle interne, certes encore mal appréhendé par les entreprises. Pourtant, il peut s'avérer être un outil efficace pour lutter contre les fraudes.
(1) COSO : Committee of Sponsoring Organizations of the Treadway Commission [retour]
- Fiche point de vue : janvier 2005 -
© Mascré Heguy Associés - janvier 2005
