Geneviève Mottard, présidente et chef de la direction de l’Ordre des CPA du Québec (Photo: courtoisie)
LES GRANDS DE LA COMPTABILITÉ. Les données prennent beaucoup de place dans la gestion et les opérations des entreprises, mais il n’existe pas de normes comptables uniformes à leurs sujets. Cela représente un défi pour les sociétés et leurs comptables.
« Il n’y a pas de normes internationales sur la gestion des données préparées pour la profession comptable, admet Geneviève Mottard, présidente et chef de la direction de l’Ordre des CPA du Québec. Dans les normes de certification et d’audit, on trouve des principes de base quant à la validité et à l’intégrité des informations financières qui peuvent s’appliquer aux données, mais elles ne sont pas complètement adaptées à l’ère numérique. »
Samuel Sponem, titulaire de la Chaire internationale CPA en recherche de contrôle de gestion, à HEC Montréal, note que le Conseil des normes internationale d’audit et d’assurance (IAASB) propose un cadre d’utilisation des nouveaux outils technologiques en certification, d’ailleurs repris par le Conseil des normes d’audit et de certification du Canada. « Toutefois, il s’agit d’un cadre de référence et non de normes obligatoires », précise le professeur.
Il cite aussi la certification professionnelle Certified Information Systems Auditor (CISA) de l’ISACA (auparavant connue sous le nom d’Information Systems Audit and Control Association), prisée par de plus en plus de CPA intéressés par les nouvelles technologies. Cette certification témoigne d’une expertise pour contrôler les systèmes informatiques et pour déterminer les risques technologiques et de conformité. L’ISACA propose également le Control Objectives for Information and related Technology (COBIT), un référentiel de bonnes pratiques d’audit informatique et de gouvernance des systèmes d’information. Il s’applique notamment à la sécurité des données, à la gestion des risques et aux activités de certification.
Les cabinets se donnent des normes
Les cabinets comptables doivent appuyer leurs clients dans leur gestion de données et s’assurer qu’ils utilisent de manière sécuritaire les informations obtenues de ces clients. C’est pourquoi BDO Canada a adopté le cadre de référence Service Organization Controls (SOC 1) de l’American Institute of Certified Public Accountants (AICPA). SOC 1 se concentre sur cinq critères : la sécurité des données, leur accessibilité, leur intégrité, leur confidentialité et le respect des politiques de protection de la vie privée de l’entreprise.
« Il s’agit d’un programme de vérification destiné aux firmes qui manipulent des données comptables pour le compte d’autres organisations, comme un cabinet comptable qui réalise des états financiers et des certifications », explique Éric Aubailly, associé et chef national de la gamme des services-conseils dans le secteur des technologies à BDO Canada.
Du côté de l’Union européenne (UE), le Règlement général sur la protection des données (RGPD) est en vigueur depuis mai 2018. Il augmente les exigences de sécurité des données personnelles et l’imputabilité des entreprises qui les utilisent. Il a une grande incidence au Canada, puisqu’il s’applique aussi à toutes les sociétés non européennes qui servent des clients dans l’UE ou traitent les données d’individus ou d’organisations de cette région.
« À EY, nous nous conformons au RGPD puisque nous avons beaucoup de clients européens », souligne Nicola Vizioli, associé pour le groupe Cybersécurité d’EY Canada. Il ajoute que le Canada et le Québec devraient bientôt adopter des réglementations largement inspirées du RGPD.
En juin dernier, le gouvernement du Québec a déposé effectivement le projet de loi 64 sur la protection des renseignements personnels, notamment dans la foulée de la gigantesque fuite de données qui a frappé le Mouvement Desjardins. Le gouvernement fédéral lui a emboîté le pas en novembre avec le projet de loi C-11, qui propose de remplacer la « Loi sur la protection des renseignements personnels et les documents électroniques » par une « Loi sur la protection de la vie privée des consommateurs », qui se veut plus stricte.
Le rôle du CPA évolue
Geneviève Mottard rappelle que la quantité de données dont disposent les entreprises continue d’augmenter. Les sociétés ont aussi dû accélérer leur virage numérique depuis le début de la pandémie, avec la généralisation du télétravail et du commerce électronique. Quant aux cabinets, ils accordent de plus en plus de place à l’utilisation de l’intelligence artificielle dans le traitement de certaines données. « Il faut adapter les normes comptables à la nouvelle réalité », croit-elle.
La vaste majorité des CPA ne travaillent pas dans les grandes firmes qui disposent de fortes sommes à investir dans les nouvelles technologies. L’Ordre des CPA du Québec offre d’ailleurs à ses membres des services sécurisés de courriels et d’infonuagique, afin que la collecte et le stockage de données des clients soient plus sûrs.
Les CPA doivent aussi se questionner quant à leur propre rôle à l’égard de ces données. « Les CPA sont bien placés pour aider les entreprises à s’assurer que leurs données sont bien protégées et valides, ainsi qu’à leur donner un sens, souligne Geneviève Mottard. C’est essentiel afin de pouvoir les utiliser pour prendre les bonnes décisions d’affaires. »