La réforme de l’audit, constituée d’une directive transposée dans le droit français et d’un règlement européen d’application directe, est applicable depuis le 17 juin 2016. L’objectif affiché par le législateur européen, en réponse aux griefs formulés à l’encontre des auditeurs suite à la crise de 2008, était de renforcer l’indépendance de ces derniers, déconcentrer le marché de l’audit et améliorer la qualité de l’audit.
Dans les faits, cette réforme affecte tout autant les entreprises, et notamment leurs comités d’audit, que les commissaires aux comptes.
Sur le fond, la nouvelle obligation de rapport des commissaires aux comptes au comité d’audit offre l’opportunité d’un dialogue plus approfondi entre les auditeurs et les administrateurs sur le processus de contrôle de l’information financière et contribue certainement à l’amélioration de la qualité de l’audit.
La réforme impose néanmoins de nouvelles responsabilités au comité d’audit tant sur le contrôle de l’indépendance que sur la gestion des rotations de cabinets dont la complexité de mise en œuvre opérationnelle a certainement été sous-estimée par le législateur pour les grands établissements financiers.
Une opportunité de resserrer la communication entre auditeurs et comité d’audit
A l’issue du premier exercice de mise en place du nouveau rapport à destination du comité d’audit (RCCA), le bilan de ces nouvelles obligations de communication (v. Encadré 1) est plutôt positif. Ce rapport structuré et à vocation pédagogique (explicitation de la méthodologie d’audit, mise en évidence des points clés de l’audit) est perçu par nombre d’administrateurs comme améliorant et facilitant le travail du comité d’audit. Ce rapport lui permet en particulier d’exercer les nouvelles responsabilités que lui confère la réforme de l’audit, notamment son rôle joué dans le processus de contrôle de l’intégrité de l’information financière. Le rapport étant normé, il a pour avantage de structurer la discussion entre le collège des commissaires aux comptes et le comité d’audit, permettant dans le même temps une comparaison plus aisée des pratiques pour les administrateurs impliqués dans plusieurs comités d’audit.
L’investissement des comités d’audit a été significatif durant l’exercice 2017 : des séances spécifiques ont souvent été organisées afin de permettre aux auditeurs d’expliciter leur démarche de travail telle qu’elle peut être décrite dans le RCCA : explication de la notion de risques significatifs, de comptes significatifs, des obligations en matière d’approche contrôle versus tests substantifs, sans oublier la présentation des seuils de matérialité et du périmètre d’intervention qui permettent à l’auditeur d’organiser efficacement ses travaux dans le respect des normes d’audit.
Ce travail d’explication au comité d’audit de la démarche du commissaire aux comptes avant d’arriver à une certification des comptes est une grande première dans de nombreux établissements. Jusqu’à la réforme de l’audit, l’unique séquence réservée aux auditeurs par le comité d’audit (généralement entre la présentation des comptes par la direction financière et l’examen formel des comptes par le comité d’audit) était un rapport par exception consacré à la présentation des anomalies identifiées dans les comptes et les éventuelles défaillances du contrôle interne pouvant avoir un impact sur ces derniers.
Pour les commissaires aux comptes, derrière cette nouvelle contrainte RCCA, l’enjeu est d’engager un dialogue plus direct et transparent avec le comité d’audit. On observe à ce titre un changement de méthode de travail de certains comités d’audit qui demandent des réunions avec les auditeurs en amont des séances du comité pour avoir le temps de discuter en détail le contenu du RCCA. L’analyse des points clés présentés dans les rapports d’audit des établissements financiers au titre de 2017 confirme d’ailleurs une discussion nourrie en amont sur de nombreux sujets d’attention pour le secteur bancaire : 5 points clés en moyenne pour les banques françaises contre 3 points clés en moyenne pour le SBF 120. La comparaison des banques françaises par rapport aux banques européennes confirme également un nombre de points clés dans le haut de la fourchette, certainement du fait de la diversité des métiers des banquiers-assureurs français.
Les sujets les plus sensibles concernent principalement les estimations de la direction (évaluation du risque de crédit, valorisation des instruments complexes, estimations des impacts financiers des litiges ou encore évaluation des provisions techniques des activités d’assurance). Les risques informatiques, et en particulier les défaillances dans les contrôles des droits d’accès, et les anomalies constatées dans les contrôles applicatifs peuvent également constituer un point clé de l’audit mis plus particulièrement en exergue dans le secteur bancaire.
Un dispositif d’autorisation préalable des missions du commissaire aux comptes complexe
Le suivi de l’indépendance des commissaires aux comptes incombant au comité d’audit constitue un exercice difficile pour les établissements financiers. La complexité de l’exercice d’approbation préalable des missions effectuées par chacun des commissaires aux comptes (voir Encadré 2) et de son réseau tient en particulier à l’existence de multiples entités d'intérêt public (EIP) au sein d’un groupe bancaire : de facto, toutes les filiales exerçant l’activité de banque ou d’assurance remplissent la définition d’EIP. Le règlement impose donc au comité d’audit de chacune des EIP d’approuver les missions réalisées sur l’ensemble de la chaîne de contrôle de l’EIP à savoir les missions concernant l’EIP elle-même, les filiales de l’EIP et la maison mère de l’EIP. De manière à rendre plus fluide le système tout en protégeant la responsabilité des administrateurs, des mécanismes de pré-approbation sont nécessaires. En pratique, de nombreux établissements ont mis en place une procédure comprenant :
- la définition au niveau du groupe des missions pré-approuvées par nature ;
- un mécanisme conférant au comité d’audit de l’EIP de la maison mère ultime l’autorité pour approuver chacune des missions réalisées par les commissaires aux comptes au sein du groupe.
L’analyse de la compatibilité des missions avec l’audit s’avère par ailleurs beaucoup plus complexe pour les comités d’audit et les cabinets. Cette complexité d’analyse tient pour l’essentiel :
- au champ d’intervention des auditeurs qui n’est plus limité par les textes à des diligences directement liées aux comptes et peut donc a priori couvrir un spectre plus large d’interventions telles que des actions de formation ou des missions réglementaires. Une analyse au cas par cas est alors indispensable et difficilement généralisable à l’ensemble du groupe ;
- à la diversité des analyses suivant la juridiction dans laquelle se trouve l’EIP. Effectivement, le règlement a offert des options aux pays européens s’agissant par exemple de la possibilité d’autoriser pour un auditeur légal la réalisation de certaines missions fiscales. Certains états membres tels que l’Allemagne autorisent ces missions alors que d’autres, la France par exemple, ont inclus ces missions dans la liste des services interdits.
Anticiper et élaborer un plan de rotation des cabinets
Les règles de rotation obligatoire des auditeurs constituent un jeu de contraintes multiples, à prendre en considération par le comité d’audit, placé par la réforme au cœur du processus de sélection des auditeurs (voir Encadré 3).
Pour les groupes bancaires, l’exercice peut être particulièrement complexe, compte tenu des éléments suivants :
- le comité d’audit de chacune des EIP composant le groupe doit formuler sa proposition à l’Assemblée générale, en confirmant qu’il n’a pas été influencé par un tiers dans sa décision et qu’aucune clause contractuelle ayant pour effet de restreindre le choix de l’Assemblée générale ne lui a été imposée ;
- les règles de rotation obligatoire s’appliquent à l’ensemble des EIP composant le groupe. Or chaque EIP peut avoir un historique de mandat différent de la maison mère et donc une désynchronisation des dates de fin de mandat. Pour les mandats de commissariat en France, il faut rappeler que les règles du code de commerce interdisent aux commissaires aux comptes de démissionner avant la fin de son mandat pour homogénéiser les dates de renouvellement de mandats au sein d’un groupe ;
- les règles de rotation des cabinets ne sont pas homogènes entre pays européens, avec par exemple l’Italie qui impose une rotation des auditeurs tous les 9 ans ou bien la Pologne tous les 5 ans ;
- beaucoup de projets internes menés par les banques requièrent des expertises (risques, finance, réglementation) qui sont bien souvent portées par les cabinets d’audit. Le processus de sélection d’un nouvel auditeur, probablement engagé sur des missions de conseil pour la banque, doit tenir compte de la nécessaire période de viduité d’au moins une année pour certaines missions avant le début du mandat. En pratique, les appels d’offres audit observés anticipent parfois d’au moins un an la sélection des auditeurs afin de tenir compte de la période de viduité et de la mise en conformité de l’auditeur retenu avec les obligations imposées par le Règlement.
