Quelles implications politiques des technologies pour l’expertise comptable en 2024 ?

Les implications politiques des technologies transforment radicalement la profession d’expert-comptable. Alors que la concurrence s’intensifie, cette analyse met en lumière les nouvelles missions et défis, soulignant l’importance d’une adaptation proactive pour préserver la position des experts dans l’économie numérique.

Section 2 :

Les nouvelles missions d’opinion

Les observateurs de l’univers Internet s’accordent pour lui reconnaître certaines zones de risque : protection de la vie privée, transparence des pratiques commerciales, intégrité des opérations, disponibilité, authenticité d’origine, non-répudiation (reconnaissance par le destinataire des messages électroniques qui lui sont adressés), etc. Ces observateurs s’accordent aussi pour dire que le monde Internet doit s’autoréguler naturellement et non pas être soumis à des règles préétablies.

Ce processus d’autorégulation peut être illustré par l’apparition d’une classe d’intermédiaires ou arbitres entre les parties prenantes à une transaction, une discussion ou toute autre forme d’échange d’informations : modérateurs de groupes de discussion, organismes de certification électronique, etc. L’expert-comptable devrait aussi faire partie de cette classe surtout avec la généralisation des pratiques de publication financière (et d’affaires) sur le Web.

Par ailleurs, la transparence et l’interdépendance croissantes des systèmes d’information donne à la fiabilité des systèmes d’entreprise une importance accrue. Cette fiabilité est recherchée en tant que telle (mission spécifique de certification) ou dans le cadre d’un processus d’assurance continue. En effet, les systèmes d’information de plus en plus performants et intégrés assurant l’essentiel des fonctions de contrôle font évoluer les attentes en matière de fréquence et de rapidité de l’audit vers un nouveau modèle d’audit continu ou de rapport en ligne.

Pour répondre à ces attentes, l’expert-comptable devrait développer entre autres des connaissances et des aptitudes dans les contrôles informatisés, la sécurité informatique et les Techniques d’Audit Assisté par Ordinateur (CAATs) afin d’être en mesure d’offrir des services de pointe tels que WebTrust (Sous-section 1), SysTrust (Sous-section 2) ou l’assurance permanente (Sous-section 3).

Sous-Section 1 : La certification des opérations de commerce électronique : la mission WebTrust

Dans cette sous-section, nous procéderons d’abord à une présentation du service (§1) ainsi que des « principes et critères » (§2) WebTrust. Ensuite, nous tenterons de décrire la conduite d’une mission WebTrust (§3). Enfin, nous discuterons des limites et variantes de ce service (§4).

§1. Présentation

Le terme « nouvelle économie » est souvent utilisé pour désigner la croissance tirée par les nouvelles technologies. Nous pouvons en déduire simplement que le commerce électronique est à la nouvelle économie ce que le commerce est à l’économie en général. On répertorie sous le terme commerce électronique tous genres de pratiques et opérations commerciales effectuées par l’entremise des ordinateurs et des réseaux de télécommunications.

Jusqu’à tout récemment, la définition du commerce électronique était focalisée sur l’échange de données informatisé (EDI), le principal moyen pour deux entreprises liées par un contrat d’effectuer des opérations commerciales électroniques. Cette définition s’est toutefois élargie pour englober les opérations effectuées par Internet (plus précisément, sur le Web), même entre des entités qui ne se connaissaient pas auparavant. Le recours à une infrastructure fondée sur un réseau public comme Internet peut réduire les coûts et uniformiser les règles de jeu pour les PME et les grandes entreprises. De la sorte, quelle que soit leur envergure, les entreprises peuvent avoir accès à une clientèle plus vaste.

¹ Les développements ci-après s’appuient sur le document AICPA-ICCA. Principes et critères WebTrust pour le commerce électronique entre entreprises et consommateurs. Version 2.0 (octobre 1999) / Version 1.1 (juillet 1999). Le nom WebTrust fait l’objet d’une marque déposée par l’ICCA, et d’une marque de service (service mark) par l’AICPA.

Le commerce électronique présente une formidable réserve d’affaires, surtout pour les PME. Toutefois, plusieurs facteurs jouent en défaveur de son développement avec, à leur tête, le manque de confiance du public. Selon une étude menée en 1998 par YANKELOVICH Partners, les consommateurs sont très inquiets de la mesure dans laquelle leurs renseignements personnels sont protégés dans le cadre d’un achat en ligne. En effet,

• 91% d’entre eux ne veulent pas communiquer d’informations sur leurs revenus.
• 85% ne veulent pas communiquer leur numéro de carte de crédit.
• 74% ne veulent pas communiquer leur numéro de téléphone.
• 67% ne veulent pas communiquer leur adresse.

Dans ce domaine, les craintes du public – déjà en nette augmentation avec la montée en puissance du cyber-crime – ne semblent pas relever de la phobie. En effet, selon une étude récente du groupe GARTNER-ZDNet, seules 27% des attaques sont signalées par les sociétés ou organismes visés. Ce silence confirme que la confiance du public dans les transactions en ligne est tellement fragile que le moindre incident suffit à l’ébranler.

En réaction à ces craintes, et en vue d’accroître la confiance des consommateurs à l’égard du commerce électronique, l’AICPA et l’ICCA ont mis au point un nouveau service professionnel de certification des opérations de commerce électronique appelé WebTrust.

Les praticiens ayant reçu une certification leur permettant la prestation du service WebTrust de l’ICCA, de l’AICPA ou d’autres organismes nationaux autorisés sont en mesure d’offrir des services de certification afin d’évaluer et de contrôler dans quelle mesure un site Web donné respecte les principes et les critères WebTrust.

§2. Les principes et critères WebTrust

Les principes WebTrust correspondent aux grands secteurs de risque associés au commerce électronique. Alors que la version 2.0 n’a porté que sur 3 principes, la version 3.0 des principes et critères WebTrust prévoît 7 principes. Ci-après, les 4 premiers principes listés sont ceux développés définitivement. Le 5^ème (confidentialité) est au stade de l’exposé sondage alors que les 2 derniers (non répudiation et énonciations personnalisées) sont en cours de développement.

1. Protection de la vie privée. L’entreprise assure que les informations personnelles collectées dans le cadre d’opérations de commerce électronique sont protégées conformément à ses politiques publiées en matière de protection de la vie privée. Ce principe implique notamment l’information des consommateurs sur l’utilisation qui sera faite des informations collectées.
2. Sécurité. L’entreprise assure que l’accès au système et aux données du commerce électronique est limité au personnel autorisé conformément à ses politiques publiées en matière de sécurité. Ce principe inclut notamment l’existence d’un plan testé de reprise en cas de sinistre.
3. Transparence des pratiques commerciales et intégrité des transactions. L’entreprise traite ses transactions de commerce électronique intégralement et avec précision conformément à ses pratiques commerciales divulguées. Ce principe implique notamment l’information des consommateurs sur la présentation des produits, les délais de livraison et les conditions de paiement ainsi que la procédure d’annulation des commandes.
4. Disponibilité. L’entreprise assure que les systèmes et données de commerce électronique sont disponibles comme elle l’indique. Ce principe inclut l’adoption de règles dûment documentées et testées concernant la disponibilité des composantes matérielles et logicielles du système ainsi que la conformité de ces règles aux différentes obligations légales, réglementaires et contractuelles.
5. Confidentialité. L’entreprise assure que l’accès aux informations obtenues dans le cadre d’opérations de commerce électronique et qualifiées de confidentielles est réservé aux

personnes autorisées conformément à ses pratiques publiées en matière de confidentialité. Ce principe requiert de laisser aux clients la possibilité de se rétracter.

1. Non répudiation. L’entreprise garantit que l’authentification et l’intégrité des messages et autres transactions électroniques reçus sont prouvables aux parties intéressées conformément à ses pratiques publiées de non répudiation. Selon ce principe, le système doit garder des traces de toutes les étapes de la transaction de commerce électronique et être en mesure de déterminer les responsabilités à chaque étape.
2. Enonciations personnalisées. Les énonciations spécifiques visibles sur le site Web de l’entreprise (par exemple le nombre d’entrées au site pendant un laps de temps) sont conformes aux standards professionnels et pertinents eu égard à son activité de commerce électronique. Ce principe inclut l’existence de contrôles efficaces assurant la fiabilité des informations spécifiques fournies par le site.

Un certain nombre de critères ont été élaborés pour chaque principe WebTrust afin de fournir des indications plus précises. Pour être en conformité avec les critères WebTrust, l’entité doit être en mesure de démontrer, sur une certaine période (au moins deux mois) :

1. qu’elle a effectué ses opérations conformément aux pratiques de commerce électronique indiquées ;
2. que ses contrôles ont fonctionné efficacement ;
3. qu’elle avait en place un environnement de contrôle propice à la communication d’informations fiables sur ses pratiques commerciales et à l’application de contrôles efficaces ;
4. qu’elle avait en place des procédures de surveillance permettant d’assurer que les pratiques commerciales indiquées sont toujours suivies et que ses contrôles continuent d’être efficaces en conformité avec les critères WebTrust.

§3. Conduite d’une mission WebTrust

Pour le praticien, l’objectif d’une mission WebTrust est en général de délivrer un rapport indiquant si la direction a exercé des contrôles efficaces à l’égard des principes WebTrust. Le praticien établit si des contrôles sont en place à l’égard des systèmes et données de commerce électronique et effectue des tests visant à déterminer si ces contrôles ont été efficaces tout au long de la période couverte par le rapport de certification.

La direction doit remettre au praticien une déclaration ou assertion précisant que l’entité a exercé, tout au long de la période couverte par le rapport, des contrôles efficaces de nature à procurer une assurance raisonnable que les principes WebTrust étaient respectés en conformité avec les critères de l’AICPA et de l’ICCA. Le praticien doit émettre une opinion sur la sincérité de cette assertion. Pour y parvenir, il lui faut mettre en œuvre une stratégie d’audit basée sur ses compétences en audit des états financiers et ses connaissances en systèmes d’information. Des compétences assez avancées en audit des systèmes d’information sont également nécessaires. Elles requièrent dans la plupart des cas une formation supplémentaire.

Le rapport du praticien est important pour la direction, car il contribue à donner plus de crédibilité à l’assertion de celle-ci et il permet à l’entité de se démarquer des autres fournisseurs de services. En effet, l’obtention d’un rapport sans réserve permet à l’entreprise d’afficher sur son site Web le sceau de certification WebTrust qui devrait symboliser pour les internautes une garantie délivrée par un tiers de confiance.

§4. Limites et variantes

Avec un nombre de sites certifiés de par le monde à peine supérieur à la vingtaine¹, le service WebTrust tarde à décoller depuis son lancement en septembre 1997. Plusieurs facteurs semblent être à l’origine de ce retard.

D’abord, le coût du service tant pour le client que pour le praticien est assez élevé. Pour le client, le coût d’une certification WebTrust serait comparable à celui des missions de conseil à forte valeur ajoutée. L’investissement nécessaire à l’obtention du label WebTrust représenterait 6% du coût global de lancement d’un site². Quant au praticien désirant offrir le service WebTrust, il doit engager des coûts relatifs à sa formation, aux redevances de licence et à la mise à jour du sceau WebTrust.

Ensuite, les concepteurs du programme WebTrust pourraient avoir placé la barre trop haut dans la mesure où les exigences de ce programme semblent s’écarter considérablement de la réalité du monde Internet. Au mois d’avril 2001, aucun site français n’a obtenu la certification WebTrust. Pourtant, l’association WebTrust France (regroupant l’OEC et la CNCC) s’était fixé comme objectif une centaine de sites certifiés à la fin de l’année 2000.

Enfin, plusieurs services similaires existent sur le marché et concurrencent WebTrust notamment sur le terrain de la protection de la vie privée. Parmi ces services, on peut citer à titre d’exemples :

• TRUSTe : c’est le label le plus populaire aux Etats-Unis. Au mois de mars 2000, il comptait 1300 sites certifiés parmi lesquels figuraient ceux de AOL, AMAZON, Microsoft, E Bay, Yahoo, Altavista,.. etc. Aujourd’hui, on reproche à TRUSTe le peu de sérieux avec lequel il traite les réclamations des consommateurs.
• BBB OnLine (Privacy Seal) : ce label a été lancé par le Better Business Bureau, organisme de protection des consommateurs nord-américains (Etats-Unis et Canada) créé en 1912. Cet organisme exclut pour le moment tout développement à une échelle mondiale.
• BetterWeb : ce service offert par PriceWaterhouseCoopers vise à garantir aux consommateurs un bon niveau d’information émanant des sites Web concernant les conditions de vente, la protection de la vie privée, la sécurité et les possibilités de recours des consommateurs.

Il faut enfin préciser que contrairement à WebTrust qui se base sur un audit effectif des procédures et contrôles en vigueur « derrière l’écran », plusieurs services concurrents se contentent de déclarations sur l’honneur faites par les directions des entreprises. C’est le cas de TRUSTe auquel on reproche de n’avoir jamais retiré le label à un client malgré un volume important de réclamations.

________________________

¹ Les développements ci-après s’appuient sur le document AICPA-ICCA. Principes et critères WebTrust pour le commerce électronique entre entreprises et consommateurs. Version 2.0 (octobre 1999) / Version 1.1 (juillet 1999). Le nom WebTrust fait l’objet d’une marque déposée par l’ICCA, et d’une marque de service (service mark) par l’AICPA. ↑

² L’investissement nécessaire à l’obtention du label WebTrust représenterait 6% du coût global de lancement d’un site. ↑

Questions Fréquemment Posées

Quelles sont les nouvelles missions d’opinion des experts-comptables dans le contexte des nouvelles technologies ?

Les experts-comptables devraient faire partie d’une classe d’intermédiaires entre les parties prenantes à une transaction, en raison de la généralisation des pratiques de publication financière sur le Web.

Comment les nouvelles technologies influencent-elles les attentes en matière d’audit ?

Les systèmes d’information de plus en plus performants font évoluer les attentes en matière de fréquence et de rapidité de l’audit vers un nouveau modèle d’audit continu ou de rapport en ligne.

Qu’est-ce que la mission WebTrust pour les experts-comptables ?

La mission WebTrust concerne la certification des opérations de commerce électronique, et elle est essentielle dans le contexte de la nouvelle économie tirée par les nouvelles technologies.