AUDIT - Bruxelles lance la revue

La réglementation européenne de l’audit ne connaît pas de mer d’huile. Alors que le coup de vent de la dernière réforme (adoptée en 2014, entrée en vigueur en 2016) n’a pas encore produit tous ses effets, un avis de nouvelle brise a été lancé fin mai par Mairead McGuinness, commissaire européenne en charge des Services financiers, de la Stabilité financière et de l’Union des marchés de capitaux. Aperçu des prévisions météo.

« Wirecard a cruellement sonné l’heure du réveil », a lancé la commissaire dans son discours, en référence à la débâcle en 2020 du groupe allemand, symbole des errements du reporting comptable. Cette détonation a remis au goût du jour la clause de revoyure sur la réforme qui n’avait pas été activée l’an dernier, pandémie oblige, et repoussée aux calendes grecques. Bruxelles s’apprête à lancer « après l’été » une consultation publique, en attendant une proposition législative « d’ici à fin 2022 ». Le respect d’un tel calendrier « signifierait l’absence de révision structurelle de la réglementation actuelle », avance Patrick Iweins, associé du cabinet d’audit et de conseil Advolis Orfis et président d’IMA France. Qui craint pourtant que « l’affaire Wirecard accentue le balancier avec le risque d’une réponse politique éloignée du pragmatisme attendu. »

Le siège de la Commission européenne n’est en tout cas pas d’ivoire. L’Europe pourra jeter un œil au Royaume-Uni qui, avec son lot de soucis comptables (Thomas Cook ou Carillion), a déjà lancé une réflexion, passant par une consultation publique cet été faisant vœu justement de « restaurer la confiance ». Ou en Allemagne, où la décadence de Wirecard a précipité l’entrée en vigueur en juillet d’une loi pour le renforcement de l’intégrité des marchés financiers (FISG ou Finanzmarktintegritätsstärkungsgesetz).

Il s’agit partout de garantir la confiance dans le reporting des sociétés, typiquement pour les entités d’intérêt public (EIP, sociétés cotées, banques et assureurs). Confiance indispensable aux rouages des marchés, comme l’a souligné Mairead McGuinness. La revue doit ainsi considérer les « trois piliers » ou lignes de défense de l’information : l’audit externe ou légal, bien sûr, celui des commissaires aux comptes, mais aussi la préparation et validation au sein même de l’entreprise, ainsi que la supervision publique de l’ensemble.

L’entreprise, donc, « bien entendu garante en premier lieu de ses comptes », reconnaissent Sophie Stabile et Helman le Pas de Sécheval, coprésidents du Club des présidents de comité d’audit de l’Institut français des administrateurs – IFA – (lire aussi ‘La parole à...’). Les regards se tournent vers la responsabilité du conseil d’administration : est-elle « assez clairement définie ? », s’interroge la commissaire européenne. Qui souhaite réfléchir à l’amélioration du rôle des comités d’audit, pourquoi pas en les rendant obligatoires. Ce point précis illustre un défi majeur récurrent des règles européennes : les options laissées aux Etats dans la transposition nationale, sources d’« un véritable patchwork, cela crée de la complexité pour tous les acteurs », glisse Patrick Parent, président du Comité européen des vingt-sept régulateurs nationaux de l’audit, le CEAOB (Committee of European Auditing Oversight Bodies), qui s’exprime dans ces pages en son nom personnel. L’Allemagne par exemple avait choisi en 2014 de ne pas systématiser le comité d’audit.

Certes, il était déjà monnaie courante au sein des EIP, mais la loi FISG l’exige, qui plus est avec au moins deux membres experts financiers (l’un en comptabilité, l’autre en audit).

Circonspection

Autre élément possible de la boîte à idées pour Bruxelles aujourd’hui pour garantir la sincérité des comptes, d’ailleurs appliqué en Allemagne, l’obligation d’un système de contrôle interne. « On peut imaginer que la direction générale de la société soit tenue de s’engager formellement non seulement sur sa mise en place mais aussi sur son efficacité opérationnelle, indique Pierre Planchon, responsable de l’audit chez KPMG France. Cela constituerait un changement de paradigme, il ne s’agit plus de garantir que les erreurs sont mises au jour, mais que tout est fait pour les empêcher de survenir. » Une évolution « dans l’esprit de la loi américaine Sarbanes-Oxley de 2002, évoque le cadre de KPMG. Mais tout le monde est d’accord en Europe pour estimer que cette loi est formellement trop contraignante, c’est écraser une mouche avec un marteau-pilon. »

Quelle que soit l’intensité du mouvement, les entreprises se montrent, selon Patrick Iweins, « réservées face à l’immixtion de l’organe de supervision de l’audit dans les affaires du conseil d’administration ». « Nous avons aujourd’hui une obligation de moyens, pas de résultats », plaident les représentants de l’IFA. Le contrôle interne, avancent-ils, doit être impulsé par une direction générale forte à laquelle est directement rattaché un comité d’audit de fait indépendant et qui est le réceptacle d’une remontée continue et fluide de l’information. « Nous sommes dubitatifs sur le scénario de responsabiliser davantage le conseil d’administration après Wirecard, cela ne changera pas la donne, il s’agissait d’une fraude très organisée », clament Sophie Stabile et Helman le Pas de Sécheval. Si tout scandale est regrettable, « il existe certainement de nombreux cas de fraudes détectés et résolus sans être rendus publics ». Surtout, ajoutent les membres de l’IFA, « toute évolution de la réglementation implique davantage de contrôles, mais il n’y a pas forcément moins de soucis qu’avant. Ce travail supplémentaire représente autant de moyens humains et financiers en moins déployés sur le cœur de notre activité, sur la marche de l’entreprise, car il mobilise tout le monde dans la société, dès le premier contrôle opérationnel ». « Il est souhaitable d’améliorer le dialogue entre contrôle interne et audit externe », estime Pierre Planchon chez KPMG. Et, selon Patrick Iweins, « une position formelle du management sur l’efficacité et la qualité du contrôle interne permettrait de mieux clarifier les responsabilités vis-à-vis des tiers. Subsiste encore trop de confusion sur le rôle du commissaire aux comptes qui ne participe pas à l’établissement des comptes ». Mais doit donner une assurance élevée qu’ils ne comportent pas d’anomalie significative.

S’il n’est pas possible de garantir que sa « signature a une réelle valeur, nous avons un grand problème », a averti Mairead McGuinness. Elle s’interroge déjà sur l’opportunité de renforcer la responsabilité civile et pénale des auditeurs. Un chemin suivi par la nouvelle loi allemande. En amont, la revue bruxelloise se penchera sur leur indépendance, soutenue notamment par l’exigence de rotation. Berlin (encore) vient de se plier au lot commun d’un maximum de dix ans pour un mandat EIP. Une durée jugée trop courte par les praticiens français. De fait, la France se distingue avec un mandat pouvant atteindre 24 ans (4 fois 6 ans, quand ailleurs la reconduction est souvent annuelle), cela à la condition d’appels d’offres formels et de co-commissariat aux comptes. Ce dernier est (quasiment) une exception française, semble-t-il désormais observée avec moins de circonspection à Bruxelles. Outre l’atout du double regard, il présente un argument très cher à la Commission : l’espoir d’une moindre concentration du marché. « La France est le seul pays où 250 cabinets interviennent sur les EIP. Dans de nombreux pays, il n’y a tout simplement pas d’alternative aux Big Four », pointe Patrick Parent. Pour Mairead McGuinness, il faut sans doute agir, quand en 2018 PwC, EY, KPMG et Deloitte s’arrogeaient 92 % des revenus des audits légaux d’EIP en Europe (selon un rapport de la Commission de février 2021, voir le graphique page 27). La concentration, plaide Pierre Planchon, « n’est pas mauvaise en soi, elle résulte des investissements et de l’expertise nécessaires à l’audit des grands groupes ». La cour des grands ne pourrait donc pas s’ouvrir au premier venu.

De plus en plus de contraintes

Bruxelles scrutera aussi le sort des services dits non audit, souvent de conseil, source potentielle de conflits d’intérêts. Les Etats disposent ici encore d’une marge de manœuvre, et Berlin vient de durcir le ton, en supprimant particulièrement l’option de conseil fiscal. « Naturellement, il ne faut pas mélanger les genres entre audit et conseil au sein d’une même société, mais l’interdiction de tous les services non audit est dangereuse : qui mieux que le commissaire aux comptes peut assurer ceux qui relèvent de l’observation et du diagnostic, sans mise en œuvre ? », lance Pierre Planchon. La séparation juridique ou opérationnelle des activités « reste délicate en termes d’attractivité de la profession », avertit Patrick Iweins. « Espérons que la prochaine réforme ne fera pas fuir d’autres talents rêvant d’accéder à notre métier », précise Sandrine Van Bellinghen, déléguée générale aux affaires européennes et internationales de l’Institut des réviseurs d’entreprises (IRE), comme on nomme en Belgique les commissaires aux comptes. De fait, à ses yeux, « s’il est vrai que l’amélioration de la qualité de l’audit est un objectif louable, les réformes se suivent et se ressemblent sur un point : elles imposent à chaque fois de plus nombreuses contraintes ».

Côté supervision, enfin, troisième pilier, il est possible de renforcer les moyens ou l’indépendance des régulateurs nationaux parmi lesquels le Haut conseil du commissariat aux comptes français, le H3C, n’est pas le moins actif. Ou renforcer leur coopération avec les régulateurs européens, le CEAOB mais aussi l’Autorité européenne des marchés financiers (Esma), côté marchés financiers, ou l’Autorité européenne des assurances et des pensions professionnelles (Eiopa), côté assureurs. Le CEAOB est jeune, né avec la réforme en 2016, « il n’a pas de pouvoirs ni de moyens propres », souligne son président. « La revue de la réglementation est une occasion que ses membres devraient saisir pour aller plus loin dans la mise en commun de moyens, y compris financiers, et l’harmonisation des approches. Elle pourrait aussi permettre de remettre à plat les systèmes de sanctions en vue de les renforcer », précise Patrick Parent. Pour Pierre Planchon, « on ne peut pas aller plus vite que l’intégration européenne au sens large. En France, notre mission inscrite au Code de commerce est beaucoup plus large que dans la plupart des autres pays ».

Tout cela ne déclenchera peut-être pas une tempête sur l’écosystème de l’audit mais promet une mer agitée.