Analyse des risques et des zones de vulnérabilités

Le commissaire aux comptes dispose de grandes compétences dans l’identification et l’évaluation des risques et vulnérabilités de l’entité que ce soit au regard de sa capacité à élaborer des données financières fiables ou au regard de sa capacité à poursuivre son exploitation. Il pourra élaborer une cartographie des risques d’anomalies liés aux comptes ou à toute autre donnée financière de l’entité, ainsi que des risques pesant sur la continuité d’exploitation.

Evaluation de l'efficacité du contrôle interne comptable et financier

Par sa connaissance des procédures et des systèmes d’information, le commissaire aux comptes dispose d’une véritable expertise pour apprécier si des processus tels qu'ils sont conçus et qu’ils fonctionnent dans l’entité sont en mesure de produire des données comptables et financières qui traduisent l’exhaustivité, la réalité et la correcte évaluation des flux ainsi que leur comptabilisation dans le bon exercice.

Cette démarche qui est largement mise en œuvre dans une mission d’audit des comptes peut s’avérer très pertinente dans des entités non dotées d’un commissaire aux comptes.
Elle permet à l’entité de disposer d’une bonne appréciation de la maîtrise de ses risques. Cette mission peut porter sur l’ensemble des processus de traitement des opérations ou peut être limitée à certains processus (achats, personnel, dépenses, processus en sous-traitance etc.).

Par processus, le périmètre de cette mission intègre les traitements dits manuels et ceux produits par le système d’information. Pour autant, cette mission ne constitue pas un audit approfondi et étendu du système d’information.

Attestations de données prévisionnelles/du business plan

Par sa connaissance financière et opérationnelle des entreprises, et sa méthodologie structurante pour identifier les risques d’anomalies significatives dans les données financières, le commissaire aux comptes a un véritable rôle à jouer pour sécuriser les données de nature prévisionnelle.

C’est notamment le cas dans des phases de croissance qui nécessitent de nouveaux financements où l’ouverture du capital à de nouveaux actionnaires. Que l’entité soit dotée ou non d’un commissaire aux comptes, des demandes d’assurance sur la sincérité de certaines données peuvent devenir plus prégnantes en particulier de la part des financeurs ou des investisseurs, qu’ils soient traditionnels ou exerçant dans le cadre du financement participatif.

Lorsque l’entité est soumise au contrôle d’un commissaire aux comptes, les données prévisionnelles ne sont pas couvertes par l’audit légal, alors que leur communication peut en être exigée par des tiers dans certaines circonstances ou à l’occasion de certaines opérations, ou à la demande de l’entité elle-même pour fiabiliser ses propres estimations.

Audit financier contractuel

Dans les entités dont les comptes ne sont pas soumis chaque année au contrôle d’un commissaire aux comptes, un audit contractuel des comptes peut être effectué. Cet audit peut porter sur l’ensemble des comptes annuels ou sur des éléments de comptes. Cette mission peut être réalisée soit à la demande de l’entité elle-même, soit à la demande de financeurs ou d’actionnaires minoritaires ou par une entité qui a consenti un engagement de soutien financier.

Cet audit contractuel peut également être effectué :
-Dans des filiales non auditées d’un groupe à la demande de l’entité actionnaire
-Dans des entités satellites du secteur public dont les collectivités sont donneurs d’ordre : associations, régies etc.

Un audit contractuel peut s’avérer également nécessaire à l’occasion de certaines opérations sur le capital et par exemple lorsque les textes prévoient l’intervention d’un commissaire aux comptes lors de la suppression du droit préférentiel de souscription. Le commissaire aux comptes réalise cet audit dans le respect des normes d’exercice professionnel sans mettre en œuvre les vérifications spécifiques.

Attestations des ratios financiers

Les ratios financiers sont des indicateurs utilisés pour conduire des analyses financières des entités. Ils constituent les outils d’interprétation des comptes sous différents angles : solidité financière, rentabilité, valeur ajoutée etc. A ce titre, ils sont d’une grande utilité, tant pour les dirigeants, que pour les lecteurs de comptes, ainsi que pour les investisseurs ou les financeurs. Ils ne prennent généralement pas en compte les données prévisionnelles qui s’inscrivent plutôt dans un rapport de solvabilité.

Le contrôle de la sincérité des ratios financiers suppose en amont qu’un audit des comptes soit réalisé soit parce qu’elle dispose déjà d’un commissaire aux comptes soit parce que l’on intégrera, au préalable de cette mission, un audit des comptes. Par son expertise des mécanismes financiers et du fonctionnement de l’entreprise, le commissaire aux comptes est en capacité d’évaluer si les éléments pris en compte pour la détermination des ratios sont pertinents, si les calculs sont exacts et si l’interprétation de ces ratios est sincère.

Certaines entités sectorielles sont contraintes de publier des ratios prudentiels. L’audit de ces ratios, n’étant pas prévu par les textes, une fiabilisation de ces données prudentielles, en particulier celles qui sont publiées, semble pertinente.

Analyse de la solvabilité

Le rapport de solvabilité détermine notamment pour les exercices à venir, l’impact sur cette situation de la continuité des opérations engagées.

En l’absence d’une certification des comptes dans les entités en dessous des seuils de nomination d’un commissaire aux comptes, ou dans des entités non soumises au contrôle d’un commissaire aux comptes, un rapport de solvabilité peut s’avérer particulièrement utile en particulier :

✓ dans le cadre de projets nécessitant des financements externes
✓ pour informer des investisseurs/actionnaires minoritaires

Dans le cas d’entités dont les comptes sont audités par un commissaire aux comptes, une analyse de la solvabilité permet de faire porter les analyses sur des aspects plus prospectifs non couverts par la certification des comptes. Par son expertise des mécanismes financiers et du fonctionnement de l’entreprise, le commissaire aux comptes est un interlocuteur privilégié sur les sujets de solvabilité.

Attestation de l'utilisation des fonds reçus à leur objet

Dans la vie d’une entreprise ou d’une association, il peut arriver que des fonds, privés ou publics, soient octroyés dans le cadre d’une utilisation spécifique. Le rôle du commissaire aux comptes sera de s’assurer que l’utilisation de ces fonds s’est bien faite conformément à l’utilisation prévue. La vérification de la conformité de l’utilisation des fonds reçus conformément à leur objet peut notamment résulter d’une demande des donateurs d’une association, d’une demande d’un financeur d’un fonds de dotation, de la Commission européenne qui a octroyé des subventions, d’un donateur dans le cadre du crowdfunding (financement participatif), etc.

Analyse de la situation financière

Cartographie des risques

Par sa connaissance des entreprises et par son expérience de l’approche par les risques, le commissaire aux comptes dispose de grandes compétences dans l’évaluation des risques et vulnérabilités des entités, au-delà des seuls risques d’anomalies dans l’information financière.

Il peut identifier les risques susceptibles d’affecter les activités de l’entité et évaluer sa capacité à supporter la survenance de certains risques, sur des aspects plus ou moins étendus de ses activités selon la demande du client.

Appréciation de la conformité d'un processus à un référentiel

Ce type de mission porte sur un périmètre très étendu. Le concept de « référentiel » doit être entendu dans un sens très large :

• un référentiel public élaboré par une autorité, une fédération, un organisme qui labellise
• un cahier des charges interne à l’entité
• une convention signée avec un partenaire
• un contrat
• une norme

Cette mission consiste à vérifier que l’entité met en œuvre ses activités dans le respect d’engagements qu’elle a pris vis-à-vis d’autorités, d’un donneur d’ordre, de consommateurs, de salariés, de citoyens et de communiquer sur cette conformité, ou dans le cadre de ses propres besoins internes.

Par sa connaissance des acteurs économiques, par sa méthodologie d'analyse de procédures (conception et fonctionnement), le commissaire aux comptes a un rôle à jouer pour apprécier la conformité de ces processus.

Analyse des conditions de fonctionnement d'un processus

Les dirigeants peuvent être intéressés par le fait de disposer d’un diagnostic approfondi sur l’efficacité d’un processus qu’ils jugent comme stratégique, complexe ou anciennement mis en place. En effet, selon sa taille ou son statut, l’entité ne dispose pas des disponibilités et/ou des compétences pour effectuer ce type de diagnostic. Or, l’efficacité de certains processus, susceptible de diminuer avec le temps, peut s’avérer essentielle.

Dans les entités dotées d’un commissaire aux comptes, cette évaluation de l’efficacité des processus peut utilement venir compléter la mission d‘audit légal des commissaires aux comptes. Le commissaire aux comptes pourra, en outre, associer à cette mission la notion d’efficience des process, non visée par cette fiche.

La méthodologie du commissaire aux comptes, basée sur la description des procédures, l’identification des contrôles internes, l’évaluation de la qualité de leur conception et de leur fonctionnement, constitue une approche particulièrement appropriée à l’évaluation d’un processus. Son jugement professionnel, sa capacité à évaluer l’importance des sujets, et à mettre son expérience au service de l’entreprise pour apporter des recommandations font du commissaire aux comptes un interlocuteur privilégié pour effectuer cette mission.

Analyse de l'exposition et de la maturité de l'entité face aux risques cyber

La cybersécurité constitue aujourd’hui l’un des enjeux stratégiques majeurs des entreprises. En effet, 4 PME sur 5 sont victimes d’au moins une tentative de cyber-attaque par an, et pourtant les entreprises sont très peu informées sur le sujet, et de ce fait, peu protégées.

Le commissaire aux comptes, sans être un expert de l’informatique, est capable de mettre à profit sa méthodologie de travail, afin d’aider le chef d’entreprise à limiter les impacts d’une potentielle cyber-attaque et à anticiper les éventuels coûts induits par une attaque.

Analyse des dispositifs RGPD

Cette mission permet à l’entité – à ses dirigeants, mandataires sociaux des entreprises et associations, actionnaires, associés, adhérents des associations, élus des collectivités locales...– :

• de confirmer que les dispositifs internes sont appliqués et conformes au RGPD
• de se prémunir contre les risques d’image et de réputation
• de s’assurer que leur responsabilité ne sera pas mise en cause en cas de contrôles organisés par la CNIL
• de communiquer positivement sur la conformité au RGPD

Audit des systèmes d'information

Le système d’information s’entend de l’ensemble des moyens, ressources, éléments organisés permettant de collecter, saisir, traiter, stocker et transmettre différentes informations.

Le système d’information d’une entité réalise des traitements qui interviennent directement dans la production de l’information comptable et financière.

A ce titre, le commissaire aux comptes, pour couvrir le risque d’anomalie significative dans les comptes, effectue certains contrôles sur le système d’information. Ces contrôles ne sont pas aussi étendus que ceux mis en œuvre dans le cadre d’un audit global du système d’information qui couvre l’ensemble de l’activité informatique.

L’audit du système d’information consiste à vérifier qu’il existe des contrôles efficaces et performants de maîtrise de l’activité informatique principalement sous les aspects suivants :

• Organisations de la fonction informatique
• Travaux d’exploitation
• Applications informatiques opérationnelles
• Sécurité informatique

Examen du respect des délais de paiement

Le respect des délais de paiement est considéré comme un enjeu économique majeur par les pouvoirs publics. Le montant des sanctions susceptibles d’être appliquées aux entreprises ne respectant pas ces délais illustre l’importance de cet enjeu. Les sanctions prononcées par la Direction générale de la concurrence, de la consommation et de la répression des fraudes (DGCCRF) augmentent sensiblement chaque année, et font l’objet d’une publicité de nature à affecter la réputation des entreprises concernées.

Par sa connaissance des procédures et des systèmes d’information en matière comptable et financière, le commissaire aux comptes a un véritable rôle à jouer en ce qui concerne le respect des délais de paiement. Tandis que l’obligation légale, prévue à l’article L. 441-6-1 du code de commerce, est restreinte aux sociétés qui établissent un rapport de gestion et ne porte que sur les données à la date de clôture des comptes, la mission proposée consiste à attester, sur une période ou un exercice comptable donnés, la conformité des délais de paiement avec les dispositions légales et réglementaires applicables ou avec les stipulations d’un contrat.

Cette mission peut être mise en œuvre dans les sociétés non soumises au contrôle légal de leurs comptes ou dans les collectivités locales, qui souhaitent communiquer auprès des tiers sur le respect des délais de paiement, notamment dans le cadre de leurs appels d’offres.

Examen de conformité sociale

Cette mission peut être particulièrement utile à des entités qui ne disposent pas de ressources internes pour suivre les évolutions légales et réglementaires en droit social et s’assurer de leur bonne application.

Le champ social étant très large, la mission portera sur des informations précises définies avec le client, permettant de circonscrire l’étendue de la mission. Ces informations peuvent par exemple concerner :

• les contrats de travail des dirigeants ou de certaines catégories de personnel ;
• la politique salariale (revue de la rémunération fixe et variable, respect des minimas, application des avantages, prise en charge des frais, …) ;
• le temps de travail (organisation du temps travail mis en place, détermination de la durée du travail, temps pause, heures supplémentaires, télétravail, …) ;
• les charges sociales (obligations, calcul des cotisations, déclarations, le paiement, …) ;
• la convention collective (application cohérente, respect des dispositions, …) ;
• la représentation des salariés (présence des différentes organes, élections, fonctionnement, attributions, …) ;
• la formation des salariés ;
• l’emploi de personnes handicapées ;
• les règles d’hygiène et de sécurité ;
• les mesures mises en place suite aux contrôles de l’Urssaf et/ou de l’Inspection du travail ;
• la protection sociale complémentaire.

Examen de conformité fiscale

Vérification du respect de dispositions liées à la forme juridique de l'entité

Toute entité peut avoir besoin d’une vérification du respect des règles statutaires relatives au système de gouvernance de l’entité : tenue des assemblées générales, réalisation des procès-verbaux, exhaustivité des résolutions, etc.

Cette mission peut s’adresser à toute entité, qu’elle soit dotée d’un CAC ou non, dans la mesure où cette mission n’est pas prévue dans le périmètre de l’audit légal. La mission pourra porter sur la vérification du respect de dispositions spécifiques, telles que :

• la tenue des assemblées générales (mode de convocation et délai)
• la présentation du rapport de gestion, des comptes annuels et consolidés, du rapport du CAC le cas échéant
• les statuts de l’entité
• certaines dispositions spécifiques telles que la proportion des administrateurs de chaque sexe (art. L225-18-1, dans les sociétés dont les actions sont admises aux négociations sur un marché réglementé) et leur âge (art. L225-54)

Vérification du respect de dispositions réglementaires propres à l'exercice d'une activité

Cette mission vise à attester du respect de certaines dispositions légales, réglementaires ou contractuelles propres à l’exercice d’activités spécifiques, par des entités qui y sont soumises, notamment dans le secteur de l’immobilier, de l’assurance, de la sécurité, ou du transport routier. Ces dispositions concernent principalement les conditions d’accès et d’exercice des activités tels que les agréments, les formations, ou les couvertures d’assurance nécessaires.

Il peut aussi s’agir d’obligations dont le respect est contrôlé par des autorités, telles la Commission de régulation de l’énergie (CRE), l’Autorité de régulation des communications électroniques et des postes (ARCEP), l’Autorité de régulation des activités ferroviaires et routières (ARAFER), la Haute autorité pour la diffusion des œuvres et la protection des droits sur internet (HADOPI).

NB : Les missions portant sur des obligations contrôlées par la Commission nationale de l’Informatique et des libertés (CNIL) font l’objet d’une fiche spécifique : cf. Vérification de la conformité au RGPD (Règlement général sur la protection des données).