+33 (0)5 34 25 73 52

Face au nombre croissant d’entités qui externalisent totalement ou partiellement certaines de leurs fonctions ou activités, le Comité des normes professionnelles de la CNCC a précisé les diligences susceptibles d’être mises en œuvre par le commissaire aux comptes lorsque la reconnaissance de l’intégralité ou d’une partie du chiffre d’affaires de l’entité auditée est effectuée sur la base d’informations communiquées par une entité source.

Contexte : de plus en plus d’entités externalisent des fonctions ou des activités – L’externalisation totale ou partielle de certaines fonctions ou activités, notamment d’opérations relatives à la commercialisation de produits et services, est choisie par un nombre croissant d’entités. Elle peut concerner, par exemple :

-des entités qui vendent leurs produits en utilisant des places de marché électroniques (« marketplaces »). Dans ce cas, la plupart des étapes de la vente s’opérant de manière informatique, c’est la place de marché qui communique à l’entité ayant recours à ses services les informations relatives aux produits vendus pour son compte ;

-des entités qui vendent leurs services en utilisant une plateforme Internet de mise en relation. Dans cette hypothèse, le chiffre d’affaires (CA) est comptabilisé sur la base des informations communiquées par la plateforme (c’est le cas, par exemple, pour les réservations de chambres d’hôtel) ;

-des entités dans le secteur des médias qui placent des publicités sur des sites Internet. Le CA est comptabilisé sur la base d’un rapport que le site hébergeur leur envoie chaque mois ;

-des entités dans le secteur de l’énergie renouvelable qui distribuent l’énergie produite par des éoliennes appartenant, par exemple, à un distributeur d’énergie. La quantité d’énergie produite et à facturer par le distributeur (l’entité auditée) à son client (le consommateur final) lui est, alors, communiquée par ce distributeur d’énergie ;

-des « corners » dans le secteur de la grande distribution (zones de vente spécifiques situées dans un espace commercial tel qu’un grand magasin ou une enseigne), pour lesquels le CA est enregistré sur une caisse du grand magasin puis rétrocédé à l’entité, défalqué éventuellement d’une commission prévue au contrat ;

-des concessionnaires dont des produits de redevances sont comptabilisés sur la base d’informations communiquées par un sous-concessionnaire (points presse dans les aéroports, boutiques sur les concessions d’autoroute…) ;

-des éditeurs de contenus rémunérés sur le nombre de diffusions. L’information sur les diffusions est communiquée à l’éditeur par le diffuseur ;

-des associations et fondations faisant appel à la générosité du public qui ont recours à des plateformes pour la collecte de dons. Le montant des dons collectés est communiqué aux associations et fondations par la plateforme.

Dans ces différentes situations, l’entité auditée procède à la reconnaissance de son chiffre d’affaires sur la base des informations communiquées par l’entité source, c’est-à-dire l’entité qui réalise un chiffre d’affaires pour son compte en application, le cas échéant, du contrat qui les lie.

Problématique – Dans ce contexte, le Comité des normes professionnelles (CNP) de la Compagnie nationale des commissaires aux comptes (CNCC) a été appelé à répondre à la question suivante : quelles sont les diligences susceptibles d’être mises en œuvre par le commissaire aux comptes lorsque la reconnaissance de l’intégralité ou d’une partie du chiffre d’affaires de l’entité auditée est effectuée sur la base d’informations communiquées par une entité source ?

Démarche d’audit du CAC lorsque l’entité dans laquelle il exerce une mission de contrôle légal externalise partiellement ou totalement certaines de ses fonctions ou activités – Précisons, tout d’abord, que, contrairement au périmètre retenu pour la NI XIX qui porte sur la mission du commissaire aux comptes d’une entité qui a recours à un centre de service partagé (CSP) au sein d’un groupe, le Comité des normes professionnelles traite ici des diligences à mettre en œuvre par le CAC lorsque le chiffre d’affaires de l’entité dont il certifie les comptes est reconnu sur la base d’informations communiquées par une autre entité, hors périmètre du groupe (selon la NI XI) auquel elle appartient. Le CNP souhaite, ainsi, accompagner les commissaires aux comptes devant certifier les comptes d’une entité dans cette situation particulière, pour laquelle aucune norme d’exercice professionnel (NEP) n’existe à ce jour. Voici la démarche d’audit que le CAC doit mettre en œuvre dans ce cas.

Rappel des principes. Il appartient à la direction de l’entité auditée d’établir des comptes présentant une image fidèle (c. com. art. L. 123-14, al. 1) conformément au référentiel comptable applicable ainsi que de mettre en place le contrôle interne qu’elle estime nécessaire à l’établissement de comptes ne comportant pas d’anomalies significatives, que celles-ci proviennent de fraudes ou résultent d’erreurs.

Par ailleurs, pour obtenir l’assurance raisonnable que ces comptes pris dans leur ensemble ne comportent pas d’anomalies significatives, le CAC met en œuvre un audit des comptes conformément aux normes d’exercice professionnel. Quelles que soient les modalités d’exercice de l’activité de l’entité auditée, il doit collecter les éléments suffisants et appropriés pour fonder son opinion sur les comptes. Lorsque cela n’est pas possible, il en tire les conséquences sur cette dernière.

Acceptation et maintien de la mission. Outre le fait de vérifier que l’accomplissement de la mission est compatible avec les exigences légales et réglementaires et celles du code de déontologie de la profession (c. déont. art. 21), le CAC apprécie, ici, avant d’accepter ou de poursuivre la mission, si les circonstances de cette dernière sont de nature à remettre en cause sa capacité à, notamment :

-accéder à l’information auprès de la direction de l’entité auditée ;

-collecter les éléments suffisants et appropriés pour fonder son opinion sur les comptes de l’entité auditée, en utilisant une ou plusieurs techniques de contrôle telles que l’observation physique ou la demande de confirmation des tiers (NEP 500, § 10) ;

-constituer son dossier d’audit conformément aux normes d’exercice professionnel.

En pratique, le commissaire aux comptes prend connaissance, par exemple :

-de la nature des prestations fournies par l’entité source et de leur importance pour l’entité auditée, y compris de leur incidence sur son contrôle interne ;

-de la nature et de l’importance des opérations de chiffre d’affaires traitées, des comptes ou des processus, informatisés ou manuels ;

-de la capacité de l’entité auditée à mettre en œuvre des procédures de contrôle sur les informations fournies par l’entité source ;

-de la nature de la relation entre l’entité auditée et l’entité source, y compris les conditions contractuelles régissant ces relations.

Par ailleurs, lorsque cela est possible, le CAC peut d’ores et déjà poser des questions clefs (voir ci-après).

Prise de connaissance de l’entité et de son environnement et identification et évaluation du risque d’anomalies significatives dans les comptes. Au cours de cette phase, le commissaire aux comptes acquiert une connaissance suffisante de l’entité, notamment de son contrôle interne, afin d’identifier et d’évaluer le risque d’anomalies significatives dans les comptes, et ultérieurement de concevoir ainsi que de mettre en œuvre des procédures d’audit en réponse à ce risque (voir ci-après).

Prise de connaissance de l’entité et de son environnement. S’agissant du CA dont la reconnaissance est effectuée sur la base des informations communiquées par l’entité source, le CAC collecte les éléments appropriés en la circonstance pour vérifier les assertions pertinentes du CA (NEP 315, § 13). Ainsi, il prendra, notamment, connaissance :

-des principes relatifs à la reconnaissance du chiffre d’affaires et de leur conformité au référentiel comptable applicable (identification du fait générateur de la comptabilisation de ce CA, des risques qui y sont attachés, en particulier dans le cas où les éléments déclencheurs de ce fait générateur sont initiés par l’entité source) ;

-du montant du CA externalisé, ce qui lui permettra d’apprécier sa valeur relative par rapport au CA total et le niveau de risque d’anomalies significatives dans les comptes ;

-des procédures, informatisées ou manuelles, permettant d’initier, enregistrer et traiter les opérations et de les traduire dans les comptes. Au cas particulier, le CAC prendra ainsi connaissance des flux d’informations et, le cas échéant, des flux physiques, depuis la commande jusqu’à la livraison du bien ou l’exécution du service, y compris les interactions entre les différentes parties prenantes et le cheminement dans les différents systèmes d’information ;

-du contrat entre l’entité auditée et l’entité source. Dans les rares cas où il n’existerait pas, le CAC en évaluera l’incidence sur son approche d’audit. Par exemple, il s’interrogera sur les critères de reconnaissance du chiffre d’affaires ou les modalités de prise en compte du principe de séparation des exercices et il exercera son jugement professionnel quant au caractère adéquat des principes retenus pour la comptabilisation du chiffre d’affaires à partir des éléments qu’il aura collectés.

En fonction de la nature de l’activité de l’entité auditée (ventes de marchandises, prestations de services, prestations électroniques…), le niveau de risque d’anomalies significatives sur les assertions relatives au chiffre d’affaires peut varier (notamment en fonction de l’entité qui détermine le CA).

Cette prise de connaissance a également pour objectif de permettre au CAC d’obtenir une réponse à des questions clefs sur l’organisation et la gestion de l’entité (quelles sont les modalités de prises de commande et par qui les commandes sont-elles prises ? Qui facture le client (l’entité auditée ou l’entité source) ? Qui détermine le montant de la dépréciation du compte client et des stocks ? etc.). Les réponses apportées à ces questions constituent des éléments clefs de la démarche d’audit.

Prise de connaissance des éléments du contrôle interne pertinents pour l’audit du CA. Le commissaire aux comptes vérifiera si :

-l’entité auditée a connaissance du processus d’élaboration, par l’entité source, des informations servant de base à l’enregistrement de son chiffre d’affaires ;

-ces informations font l’objet de vérification(s) par l’entité source ;

-des processus et contrôles sont mis en place par l’entité auditée pour vérifier que les informations reçues sont fiables.

En complément des travaux menés au sein de l’entité auditée, le CAC peut juger utile de solliciter un entretien avec l’entité source, en présence de l’entité auditée, pour confirmer et compléter sa prise de connaissance.

Prise en considération de la possibilité de fraudes lors de l’audit des comptes. En plus d’appliquer le paragraphe 13 de la NEP 240, au cas particulier, le CAC s’enquerra auprès de la direction de l’entité auditée des procédures qu’elle a mises en place pour évaluer s’il existe un risque que les comptes comportent des anomalies significatives résultant de fraudes sur les informations communiquées par l’entité source. Ceci inclut la compréhension par la direction de l’entité auditée de l’intérêt ou de l’opportunité qu’aurait l’entité source à communiquer des informations erronées ou incomplètes de manière intentionnelle.

Par ailleurs, le CAC de l’entité auditée évaluera si l’externalisation du CA réduit ou augmente le risque d’anomalies significatives résultant de fraudes dans la comptabilisation des produits (NEP 240, § 19).

Procédures d’audit mises en œuvre par le commissaire aux comptes à l’issue de son évaluation des risques. Ces procédures comprennent des tests de procédures, des contrôles de substance ou une approche mixte utilisant à la fois des tests de procédures et des contrôles de substance (NEP 330, § 5).

Tests de procédures. Ainsi, le CAC réalise des tests de procédures pour collecter des éléments suffisants et appropriés montrant que les contrôles de l’entité auditée ont fonctionné efficacement au cours de la période contrôlée lorsqu’il considère que (NEP 330, § 10) :

-dans son évaluation du risque d’anomalies significatives au niveau des assertions, les contrôles de l’entité fonctionnent efficacement ;

-les seuls contrôles de substance ne permettent pas de réduire le risque d’audit à un niveau suffisamment faible pour obtenir l’assurance recherchée.

Les contrôles mis en œuvre par le commissaire aux comptes peuvent porter :

-sur des contrôles réalisés par l’entité auditée, de façon directe (par exemple, contrôle des stocks) ou indirecte, c’est-à-dire effectués sur des contrôles réalisés par l’entité source pour vérifier qu’ils fonctionnent correctement (par exemple, participation à l’inventaire des produits organisé par l’entité source). Le CAC prendra alors en compte ces contrôles pour vérifier que les informations communiquées par l’entité source sont fiables ;

-ou sur des contrôles réalisés par l’entité source, dans le cas où cela est prévu au contrat (clause d’audit). Par ailleurs, lorsque le rapport ISAE 3402 type 2 (standard mis en place en 2011 permettant aux utilisateurs de prestations externalisées d’obtenir une attestation de l’efficacité de leur contrôle interne) existe, le CAC de l’entité auditée peut obtenir ce rapport sur l’efficacité des contrôles mis en place dans l’entité source. Dans ce cas, l’obtention et l’analyse de ce rapport peuvent lui permettre de collecter des éléments afin de conclure sur l’efficacité des contrôles concernés. Il appréciera si le contenu du rapport ISAE 3402 est approprié et suffisant et, si tel n’est pas le cas, en l’absence de contrôles compensatoires dans la société auditée, il réalise des tests complémentaires chez l’entité source.

Précisons que la localisation de l’entité source, parfois à l’étranger, peut induire des difficultés opérationnelles, notamment du fait de la langue utilisée et du décalage horaire.

Contrôles de substance. Ils incluent les tests de détail et les procédures analytiques (NEP 315, § 07). Le CAC choisira parmi les techniques de contrôle celles qui lui paraissent les plus appropriées pour répondre à son évaluation du risque d’anomalies significatives au niveau des assertions. Ce choix résultera des différents éléments collectés lors de la prise de connaissance de l’entité et de l’évaluation du risque d’anomalies significatives dans les comptes et sera fonction, notamment, des modalités de l’externalisation totale ou partielle du chiffre d’affaires et du poids de l’activité externalisée dans les comptes de l’entité auditée.

Le CAC peut décider d’utiliser la technique de la demande de confirmation (ouverte ou fermée selon les cas) auprès de l’entité source, afin d’obtenir confirmation :

-détaillée du CA réalisé au titre de l’exercice, des stocks à la clôture, des créances clients… ;

-et qu’elle a signalé à l’entité auditée toutes les fraudes avérées dont elle a eu connaissance ou qu’elle a suspectées, et impliquant la direction, des employés ayant un rôle clef dans le dispositif de contrôle interne ou d’autres personnes dès lors que la fraude est susceptible d’entraîner des anomalies significatives dans les comptes de l’entité auditée.

Toutefois, préalablement à la mise en œuvre d’une demande de confirmation, le CAC s’interrogera sur la pertinence de la réponse qu’il pourra obtenir et sur son caractère suffisant et approprié pour vérifier les assertions pertinentes du chiffre d’affaires. En particulier, il considèrera l’indépendance de la source externe.

Par ailleurs, il pourra, notamment, mettre en œuvre des procédures analytiques pour apprécier la cohérence des données relatives au CA externalisé, à la marge réalisée sur les produits et services concernés, aux stocks avec des données antérieures, postérieures ou prévisionnelles de l’entité ou d’entités similaires et analyser des variations significatives ou des tendances inattendues.

Enfin, l’entité auditée, à la demande de son CAC, peut demander à l’entité source d’obtenir de la part de son propre CAC (ou auditeur) qu’il atteste le chiffre d’affaires réalisé pour son compte ou de réaliser une mission de procédures convenues sur ce chiffre d’affaires.

D’une façon générale, le CAC appréciera si les différentes techniques de contrôle mises en œuvre sont susceptibles de lui permettre de collecter les éléments suffisants et appropriés pour fonder son opinion sur les comptes.

Procédures d’audit indépendantes de l’évaluation du risque d’anomalies significatives. Dans tous les cas, le CAC vérifiera que le fait générateur de comptabilisation des ventes est décrit de façon pertinente dans l’annexe.

Conclusion du commissaire aux comptes. Si, en réponse à son évaluation du risque d’anomalies significatives au niveau des assertions du CA externalisé, et à l’issue de la mise en œuvre de procédures complémentaires (tests de procédure et/ou contrôles de substance) chez l’entité auditée et, le cas échéant, chez l’entité source, le CAC n’a pas été en mesure de collecter des éléments suffisants et appropriés, il en tire les conséquences sur son opinion.

CNCC, CNP 2021-04, octobre 2022