Le commissaire aux comptes n’est plus un simple contrôleur comptable, ou réviseur comptable !
Rentrer une balance générale dans le système, puis foncer dans le grand-livre pour aller pointer les comptes avec les classeurs de factures, c’est du commissariat révolu. Dans le même genre, et je suis certain que vous en connaissez, c’est le CAC qui, au 20 juin, va se faire une bouffe avec le directeur général de l’entreprise à auditer. Il discute deux heures avec lui, ramène quelques papiers (histoire de) et vous demande de pointer le grand-livre client, émet son rapport et classe l’affaire. Je dis Non !
Autant le dire tout de suite, la comptabilité en tant que telle ne représente pas plus de 25% de la mission. Oui, vous avez bien lu, ¼, pas plus à priori. L’idée dans le commissariat moderne, c’est d’avoir une vision d’ensemble et une connaissance suffisante de la société (et non pas seulement de sa comptabilité). L’approfondissement de l’audit facilite ensuite l’émission d’une opinion sur « la régularité, la sincérité et l’image fidèle » des comptes de l’entreprise. On est bien d’accord pour dire que ce qui nous intéresse, c’est ce qui a un impact sur les comptes annuels, pas de savoir si la secrétaire fait des heures supplémentaires avec le président (et encore, il faudrait évaluer l’impact sur la continuité d’exploitation ; si le président est le premier commercial, si il doit quitter ses fonctions ou être amoindri pour des raisons conjugales, la boîte peut se mettre en difficulté, bref.).
Pour émettre cette opinion, le CAC se fonde sur une démarche d’audit, qui n’est que l’application des normes d’exercice professionnelle, des textes obligatoires que doit appliquer tout commissaire aux comptes. Premièrement, nous allons prendre connaissance de l’entreprise, puis, analyser son risque, et enfin, étudier son contrôle interne. Là, on rentre dans l’audit. C’est le point central de la mission. Sur cette analyse s’appuie toute la mission, les contrôles sont faits à partir des constatations de cette analyse des risques.
Pour analyser, il faut déjà prendre connaissance des procédures existantes dans l’entreprise pour tout ce qui concerne les comptes, et si ces procédures assurent une certaine fiabilité.
- Comment est comptabilisée une facture ? Qui la comptabilise ?
- Qui encaisse le paiement ? Est-ce la même personne (alors c’est un problème !) ?
- Existe-t-il un rapprochement des bons de commandes/factures/bons de livraison ?
- Existe-t-il une déclaration unique d’embauche pour chaque contrat signé ? La représentation du personnel est-elle correcte (délégués du personnel, comité d’entreprise,…) ?
- La gestion de l’association est-elle désintéressée ?
- Le système informatique est-il fiable ?
- Etc…
La portée de la mission du CAC ne se limite pas qu’à la comptabilité et qu’au processus d’élaboration des comptes. Différents moyens sont à notre portée pour nos missions : interviews (je fais des enregistrements des conversations en prévenant mon interlocuteur bien entendu, et je les verse au dossier), questionnaires à remplir, ou diagrammes de circulation des flux (diagrammes des chemins entre les applications informatiques, ou des flux d’informations dans l’organigramme) par exemple.
- Exemple : Le gestionnaire édite les bulletins de paies, verse les salaires, et les comptabilise. Il y a un problème de contrôle interne. Le CAC doit le signaler à la direction formellement (par une lettre), et il va mettre en place des procédures particulièrement strictes et exigeantes sur la paie. Ce gestionnaire a pu faire des erreurs que personne n’a vues, il a pu créer un salarié fictif, à qui il verse un salaire. Bon, l’exemple est un peu gros, mais nous avons identifié un risque qui va orienter notre mission sur le social.
Rappelons que le risque est de deux natures :
- le risque dit inhérent, c’est-à-dire le risque de la structure si aucun contrôle n’était fait,
- le risque lié au contrôle, c’est-à-dire le risque qu’une anomalie significative se produise et ne soit pas détectée.
L’étude de ces risques doit permettre au CAC de mettre en place des procédures de contrôle adaptées en fonction de ce qui a été découvert. Permettez-moi de le dire, mais les notes de synthèse de cette étude ressemblent fortement à des notes d’audit classique, avec toutefois une finalité différente. Nous ne devons pointer que les dysfonctionnements, et apporter des recommandations sur ces points (je vous entends déjà crier « Non immixtion dans la gestion », mais oui on doit faire des recommandations, et la frontière est parfois floue).
Cette partie de la mission d’analyse des risques est tout à fait centrale, et est méconnue (parfois de la profession même…), mais la valeur ajoutée du commissaire aux comptes n’est pas de refaire ce que fait l’expert-comptable, mais d’apporter une expertise différente, de la hauteur sur l’entreprise, sur son fonctionnement, et sur sa sécurité.